• PDF

Tietosuojariskien sopimusoikeudellinen hallinta yrityskaupoissa

3.1.2024, Maisteritutkielma

Viestintä- ja informaatioteknologian murros muuttaa jatkuvasti tapoja, joilla luonnollisia henkilöitä koskevia tietoja kerätään, säilytetään ja käytetään. Kehityksen seurauksena Euroopan unioni on pyrkinyt yhdenmukaistamaan tietosuojasääntelyä unionin alueella vuonna 2018 sovellettavaksi tulleen yleisen tietosuoja-asetuksen muodossa. Asetuksen säännösten rikkominen voi johtaa hallinnollisiin seuraamuksiin, vahingonkorvausvastuuseen, henkilötietojen käyttökieltoon sekä mahdollisesti rikosoikeudelliseen vastuuseen. Yrityksen liiketoiminnan kannalta merkityksellisen riskin muodostavat myös tietosuojarikkomusten mahdolliset muut seuraukset, kuten maineen ja luottamuksen menetys kuluttajien silmissä.

Tutkimuksen keskiössä on sopimus yrityskauppaan liittyvien tietosuojariskien hallinnan välineenä yrityskaupan osapuolten välisessä suhteessa sekä osapuolten ja muiden kauppaprosessiin osallistuvien tahojen välisissä suhteissa. Pyrkimyksenä on hahmottaa systemaattisesti niin soveltuvien tietosuojasäännösten kuin sopimusoikeuden periaatteiden asettamat rajat ja edellytykset tietosuojariskien tehokkaalle hallinnalle yrityskauppatilanteissa. Tutkimuksessa tarkastellaan sopimusoikeudellisia keinoja hallita yrityskauppaan liittyviä tietosuojariskejä mahdollisimman tehokkaalla tavalla ostajan edun mukaisesti. Toisin kuin monet muut yrityskauppoihin liittyvät oikeudelliset vastuuriskit henkilötietojen käsittely muodostaa ostajan kannalta merkityksellisen riskin useammalla tasolla. Ostajan on ensinnäkin otettava tietosuojasääntelyn vaatimukset huomioon arvioidessaan kaupan kohteen ominaisuuksia ja siihen liittyviä riskejä. Ostaja saattaa joutua oikeudelliseen vastuuseen tai kärsiä taloudellisia vahinkoja esimerkiksi tilanteessa, jossa kohdeyhtiön ennen kaupan solmimista tekemä tietosuojarikkomus ilmenee vasta kaupan täytäntöönpanon jälkeen. Mahdollisessa kaupan jälkeisessä sopimusriitatilanteessa arvioitavaksi saattaa nousta kysymys siitä, miten ostaja on täyttänyt velvollisuutensa tarkastaa kaupan kohde. Kaupan osapuolten väliseen sopimussuhteeseen liittyvien mahdollisten riitojen lisäksi ostajan due diligence -toimien huolellisuus voi tulla arvioitavaksi tietosuojaviranomaisen tai tuomioistuimen toimesta ratkaistaessa mahdollista tietosuojasääntelyn rikkomista ja siihen liittyviä vastuukysymyksiä.

Kauppaprosessin aikaisiin henkilötietojen siirtoihin ja muuhun käsittelyyn liittyy riski siitä, että tietoja käsitellään kaupan toteuttamisen kannalta oikeutetun tahon toimesta mutta soveltuvien tietosuojasäännösten vastaisesti. Toisaalta henkilötietojen käsittelyyn osallistuvan tahon puutteelliset tietoturvatoimet voivat johtaa tietovuotoihin sekä henkilötietojen päätymiseen oikeudettomille tahoille. Myyjän ja ostajan välisen tietojenvaihdon lisäksi kauppaprosessin eri vaiheissa kaupan osapuolet käyttävät usein apunaan ulkopuolisia asiantuntijoita kaupan toteuttamiseksi. Ostajan on osaltaan toimeksiantokohtaisesti varmistettava tällaisten järjestelyjen aikaisten henkilötietojen käsittelyjen lainmukaisuus.

Tutkimus on rakenteeltaan jaettavissa neljään eri vaiheeseen, ja tutkimus etenee johdonmukaisesti läpi yrityskauppaprosessin kaupan esivaiheesta kaupan jälkihoitoon. Tutkimuksen ensimmäisessä vaiheessa (2 luku) tarkastellaan yleisen tietosuoja-asetuksen vastuujärjestelmää ja vastuiden kohdentumista yrityskauppatilanteissa. Vaiheen tarkoituksena on jäsentää tietosuojariskit hallittavana riskinä yrityskauppatilanteissa. Tutkimuksen toisessa vaiheessa (3 luku) tarkastellaan sitä, miten yrityskaupan toteuttamisen kannalta välttämättömään tietojenvaihtoon liittyviä tietosuojariskejä voidaan hallita sopimuksin sekä, miksi ja miten ostajan tulee ottaa kohdeyhtiöön liittyvät tietosuojariskit huomioon due diligence -tarkastuksessa. Toisen vaiheen tarkoituksena on jäsentää tarve ja keinot hallita kauppaprosessin aikaiseen tietojenvaihtoon liittyvät tietosuojariskit sekä ostajan tietosuojariskejä koskevan ennakkoselvityksen merkitys ja sisältö. Tutkimuksen kolmannessa vaiheessa (4 luku) käsitellään keinoja, joilla ostaja voi hallita kohdeyhtiöön liittyviä tietosuojariskejä kauppakirjan ehdoissa. Kolmannen vaiheen tarkoituksena on selvittää, millä tavoin ostajan on otettava tietosuojariskien erityispiirteet huomioon tietosuojariskien hallintaa koskevien sopimusehtojen muotoilussa. Tutkimuksen neljännessä vaiheessa (5 luku) tarkastelu kohdistuu yrityskaupan jälkihoitoon. Neljännen vaiheen tarkoituksena on jäsentää ostajan kaupan jälkeisten toimien merkitys kaupan kohteeseen ja kaupan jälkeiseen tietojenvaihtoon liittyvien tietosuojariskien hallinnassa.

Asiasanat
• Henkilötieto - Sopimus - Tietosuoja - Yrityskauppa