miercuri, 31 ianuarie 2018

Datele personale si due diligence

Photo by Wenni Zhou on Unsplash
În operațiunile de due diligence, necesare mai ales în cadrul procedurilor de fuziuni și achiziții, se va pune și problema prelucrării datelor personale.

În primul rând operatorul datelor va trebui să evalueze el însuși ce fel de date este nevoie să pună la dispoziție. În ce privește personalul există un interes legitim să comunice datele personale ale persoanelor din conducerea firmei către cei care realizează evaluarea în cadrul operațiuniid e due diligence. Însă, pentru restul personalului, datele pot fi prezentate sub forma statistică, sau anonimizate, deoarece nu poate fi prezentat un inetres legitim pentru a prezenta datele fiecărui angajat în parte.

În ce privește clienții, mai ales în afacerile B2C, datele pot fi prezentate de asemenea anonimizat, deoarece nu poate fi invocat un inetres legitim pentru dezvăluirea datelor personale privind clienții, importanți fiind numai indicatorii economici care pot fi extrași în legătură cu clienții.

Contractele vor fi prezentate cu datele personale anonimizate.

De câte ori va fi totuși nevoie să fie dezvăluite date personale, atunci se vor lua măsurile obișbuite de securitate, prin limitarea accesului la anumite persoane, încheierea de acorduri care să prevadă obligații pentru cel care primește datele să asigure securitatea acestora.

În cazul în care va fi cazul de dezvăluit date sensibile (medicale, orientare sexuală, convingeri religiaose și altele asemenea) acestea nu vor putea fi transmise decât în baza unui consimțământ din partea persoanelor vizate (persoanele ale căror date personale sunt transmise).

Intotdeauna este nevoie ca persoanele vizate să fie informate asupra modului în care sunt utilizate datele personale. Aceasta obligație este însă în contradicție cu interesul de a menține o anumită discreție asupra operațiunilor de fuziuni și achiziții. De aceea, este recomandat ca atunci când se solictă un consimâîmânt privind prelucrarea datelor să se insereze printre scopurile prelucrării datelor și acela al prelucrării în cadrul operațiunilor de fuziuni și achiziții, o informare prelabilă și generală putând fi considerată suficientă.

Dacă se folosește pentru trasnmiterea informațiilor o cameră virtuală de date (Virtual Data Room) trebuie ca entitatea care oferă acest serviciu să încheie un acord prin care să ofere toate garanțiile de securitate necesare, precum și să respecte drepturile persoanelor în legătură cu datele personale.

Lucrurile devin mai complicate dacă datele trebuie transferate în afara Spațiului Economic European. În acest caz două soluții pot fi implementate:

1. Să fie încheiat un contract conform contractului model adoptat de Comisia Europeană cu clauze standard,
2. Dacă e vorba de Statele Unite se pot transfera date către entitățile care sunt înregistrate în cadrul programului Privacy Shield.

Niciun comentariu: