Privacyregelgeving in het kader van een overnameproces (Monard Law)

Auteurs: Jill Leen en Kristof Zadora (Monard Law)

Anno 2023 zijn de meeste ondernemingen wel bekend met de Algemene Verordening Gegevensbescherming (AVG) en de (basis)verplichtingen die hieruit voortvloeien. Toch stellen we vast dat ondernemingen vaak nog geconfronteerd worden met specifieke vragen en uitdagingen, zoals bijvoorbeeld in het kader van een overname van aandelen van een vennootschap.

Tijdens een overnameproces worden er gebruikelijk veel gegevens, waaronder persoonsgegevens, tussen de targetvennootschap, de verkopers en de potentiële koper(s) uitgewisseld.

De AVG mag dus niet uit het oog worden verloren, enerzijds tijdens het eigenlijke overnameproces en anderzijds bij de beoordeling van de targetvennootschap. Hierna worden de belangrijkste overwegingen in dit kader uiteengezet.

1. ALGEMENE PRINCIPES VAN DE AVG TIJDENS HET OVERNAMEPROCES

Indien een onderneming persoonsgegevens verwerkt, dienen de beginselen van de AVG te worden gerespecteerd.

Tijdens een overnameproces kunnen er persoonsgegevens van klanten, werknemers, leveranciers, etc. van de targetvennootschap toegankelijk worden gemaakt aan potentiële kopers en hun adviseurs (bv. tijdens het due diligence onderzoek). De targetvennootschap en de potentiële koper(s) dienen passende maatregelen te treffen om hierbij de basisbeginselen van de AVG na te leven en de persoonsgegevens afdoende te beschermen.

In elke fase van het overnameproces moeten onderstaande basisbeginselen van de AVG worden nageleefd:

1) Rechtmatigheid, behoorlijkheid en transparantie

In de eerste plaats moet elke verwerking van persoonsgegevens o.a. gestoeld zijn op één van de verwerkingsgronden opgenomen in de AVG.

In het kader van een overname kan de ter beschikking stelling (of ruimer de verwerking) van persoonsgegevens onder bepaalde voorwaarden geoorloofd zijn op basis van het afgewogen gerechtvaardigd belang van de targetvennootschap en/of de potentiële koper(s). Het gerechtvaardigd belang zou in dit geval bijvoorbeeld het boekenonderzoek kunnen zijn met het oog op de verkoop van de aandelen of bepaalde activa van de targetvennootschap.

Opdat een onderneming zich op de rechtsgrond van het afgewogen gerechtvaardigd belang kan beroepen, dienen de volgende 3 voorwaarden cumulatief vervuld te zijn:

1. De verwerkingsverantwoordelijke of een derde aan wie de gegevens worden verstrekt, streven een gerechtvaardigd belang na;
2. De verwerking is noodzakelijk voor de realisatie van dit gerechtvaardigd belang;
3. De fundamentele rechten en vrijheden van de betrokkene(n) (data subjecten of de (de personen van wie de gegevens worden meegedeeld) prevaleren niet.

De onderneming dient hiertoe een schriftelijke belangenafweging te maken. Het is aanbevolen om deze belangenafweging steeds nauwkeurig te documenteren in het kader van de verantwoordingsplicht.

We raden de targetvennootschap aan om minstens in de privacyverklaringen op te nemen dat de onderneming, onder bepaalde voorwaarden, mogelijks persoonsgegevens doorgeeft aan andere ondernemingen in het kader van een overnameproces. Op die manier zijn de werknemers, klanten, leveranciers, etc. reeds op de hoogte dat hun persoonsgegevens mogelijks worden doorgegeven bij een overnameproces.

2) Doelbinding

Dit basisbeginsel strekt ertoe dat persoonsgegevens enkel mogen worden verwerkt voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden en dat zij niet verder mogen worden verwerkt op een met deze doeleinden onverenigbare wijze.

Concreet komt dit beginsel erop neer dat de persoonsgegevens enkel mogen worden uitgewisseld en worden gebruikt in het kader van (in ons voorbeeld) de overname en voor het specifieke doel waarvoor de persoonsgegevens ter beschikking worden gesteld (bvb. de afweging of een overname groen licht krijgt of niet).

3) Minimale gegevensverwerking

Persoonsgegevens dienen toereikend te zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt.  Dit wil zeggen dat de targetvennootschap en de potentiële koper(s) erop moeten toezien dat niet méér persoonsgegevens worden verwerkt dan nodig is in het kader van het vooropgestelde doel.

Concreet mag de targetvennootschap enkel die persoonsgegevens ter beschikking stellen aan de potentiële koper(s) die relevant zijn voor de potentiële koper(s) om de wenselijkheid van de overname te onderzoeken. Persoonsgegevens die niet relevant zijn, dienen zoveel als mogelijk te worden afgeschermd voor de potentiële koper(s) (bv. door persoonsgegevens te pseudonimiseren of anonimiseren). Indien er documenten, bijvoorbeeld kopieën van overeenkomsten, worden opgeladen in een dataroom dan dient de targetvennootschap na te gaan of de namen van de natuurlijke personen die vermeld staan op deze documenten effectief noodzakelijk zijn voor een beoordeling door de potentiële koper(s). Ook een potentiële koper dient erop toe te zien dat enkel die persoonsgegevens worden verwerkt die effectief noodzakelijk zijn.

In de voorbereidende fase (in de aanloop van het overnameproces) dient dus bijzondere aandacht te worden besteed aan de documenten die in de dataroom ter beschikking zullen worden gesteld.

4) Juistheid

De targetvennootschap en de potentiële koper(s) moeten alle redelijke maatregelen nemen om de persoonsgegevens te allen tijde juist en geactualiseerd te houden.  Onjuiste gegevens dienen in principe zo snel mogelijk gewist of gecorrigeerd te worden.

5) Opslagbeperking

Persoonsgegevens mogen niet langer worden bewaard dan nodig voor de doeleinden waarvoor ze worden verwerkt, behoudens indien ze zouden worden bewaard in geanonimiseerde vorm.

6) Integriteit en vertrouwelijkheid

Tot slot moeten zowel de targetvennootschap als de potentiële koper(s) passende technische en organisatorische maatregelen nemen om ervoor te zorgen dat de beveiliging van persoonsgegevens, en meer in het bijzonder de vertrouwelijkheid, integriteit en beschikbaarheid ervan, op elk ogenblik gewaarborgd is (bv. toegangscontrole tot de dataroom, loggen van handelingen in de dataroom, etc.).

Indien er bijvoorbeeld documenten worden opgeladen in een dataroom, dan moeten de nodige maatregelen worden genomen om de dataroom afdoende te beveiligen zodat de persoonsgegevens onder meer worden beschermd tegen ongeoorloofde of onrechtmatige verwerking, verstrekking of toegang en tegen opzettelijk verlies, vernietiging of beschadiging. Ditzelfde principe geldt ook ingeval de potentiële koper de documenten gaat downloaden en opnemen in een eigen bestand.

 Neem contractueel ook de nodige maatregelen om de integriteit en vertrouwelijkheid te vrijwaren (bv. afsluiten van een verwerkersovereenkomst met de externe provider voor een dataroom, vertrouwelijkheidsovereenkomst met de potentiële koper(s) en eventueel de personen die toegang krijgen tot de informatie).

2. COMPLIANCE NIVEAU TARGETVENNOOTSCHAP

Als potentiële koper is het belangrijk om een duidelijk zicht te krijgen op de mate waarin de targetvennootschap de AVG naleeft. Voornamelijk in bepaalde sectoren (bv. IT-sector, gezondheidszorg, etc.) is het uiterst belangrijk dat de targetvennootschap de nodige maatregelen heeft genomen om zich in regel te stellen met de AVG.

Vraag in elk geval de volgende documentatie of informatie op om een zicht te krijgen op de verwerkingsactiviteiten van de targetvennootschap:

1. Het type en volume van persoonsgegevens dat wordt verwerkt door de targetvennootschap;
2. Verwerkingscyclus van de onderneming per type van persoonsgegevens (hoe verzamelt de targetvennootschap persoonsgegevens, hoe worden deze gebruikt, gedeeld, opgeslagen en verwijderd, etc.);
3. De rechtsgrond op basis waarvan persoonsgegevens worden verwerkt;
4. Verwerkingsregister;
5. Privacyverklaringen;
6. Op welke wijze wordt er gewerkt rond de bewustwording van de medewerkers binnen de onderneming inzake de AVG;
7. Hoe kwalificeert de targetvennootschap zichzelf bij de uitvoering van haar bedrijfsactiviteiten (als verwerkingsverantwoordelijke of als verwerker);
8. Lijst van verwerkers (gelokaliseerd binnen en buiten de EER);
9. Verwerkersovereenkomsten die werden afgesloten;
10. Op welke wijze doorgiften buiten de EER plaatsvinden;
11. Procedure ingeval van datalekken;
12. Informatie over datalekken die reeds zijn voorgevallen;
13. Procedure voor de uitoefening van de rechten van de betrokkenen;
14. Bewaarpolitiek van persoonsgegevens (alsook de locatie waar ze bewaard worden);
15. Verantwoordelijke voor gegevensbescherming binnen de onderneming;
16. Informatie over klachten bij of onderzoeken door de Gegevensbeschermingsautoriteit;
17. Verslagen van gegevensbeschermingseffectbeoordelingen die werden uitgevoerd;
18. Informatieveiligheidsbeleid

Indien de targetvennootschap geen voldoende niveau van compliance kan aantonen, dan doet een potentiële koper er goed aan om de nodige verklaringen en waarborgen op te nemen in de overdrachtsdocumentatie en/of eventueel een bijzondere vrijwaring indien er concrete risico’s aan het licht zijn gekomen tijdens het boekenonderzoek door de potentiële koper.

Ook kunnen er – in functie van de vastgestelde risico’s – bepaalde afspraken worden gemaakt met de targetvennootschap, bijvoorbeeld heronderhandeling over de prijs, wie welke maatregelen zal nemen om bepaalde gebreken te remediëren, etc.

3. CHECKLIST IN HET KADER VAN EEN OVERNAMEPROCES:

To do’s voor de verkoper:

• Respecteer in elke fase van het overnameproces de basisbeginselen van de AVG;
• Maak tijdig een schriftelijke belangenafweging om de doorgifte van persoonsgegevens te rechtvaardigen (in het kader van het gerechtvaardigd belang als rechtsgrond);
• Voorzie in de privacyverklaring(en) dat persoonsgegevens doorgegeven kunnen worden in het kader van een overnameproces;
• Geef enkel die gegevens door die noodzakelijk zijn voor de potentiële kopers om de wenselijkheid van de overname te onderzoeken;
• Let erop dat de persoonsgegevens die worden doorgegeven juist en actueel zijn;
• Bewaar persoonsgegevens niet langer dan noodzakelijk;
• Neem passende technische en organisatorische maatregelen om de persoonsgegevens te beveiligen.

To do’s voor de koper:

• Vraag de nodige documentatie of informatie op om een zicht te krijgen op de verwerkingsactiviteiten van de targetvennootschap;
• Onderzoek in hoeverre de AVG daadwerkelijk wordt toegepast en is ingeburgerd in de bedrijfscultuur van de targetonderneming;
• Voorzie, ingeval er geen voldoende niveau van AVG-compliance kan worden aangetoond, de nodige verklaringen en waarborgen en/of een bijzondere vrijwaring in de overnamedocumentatie;
• Maak, in functie van de vastgestelde risico’s, afspraken met de targetvennootschappen over hoe het gebrek aan AVG-compliance kan worden ondervangen;
• Respecteer de beginselen van de AVG indien u persoonsgegevens ontvangt in het kader van een overnameproces.

Bron: Monard Law