Yrityskaupat ja tietosuojavastuu

Aino-Kaisu Renko. Kuva: Pro Juridica

Yritys voi joutua taloudelliseen vastuuseen henkilötietojen lainvastaisesta käsittelystä useammalla eri perusteella. Kysymykseen voi tulla viranomaisen määräämä hallinnollinen sakko, rikosoikeudellinen vastuu, lakiperusteinen vahingonkorvausvastuu sekä yritysten välinen sopimusperusteinen vastuu sopimuskumppanille aiheutuneesta vahingosta. Oma erityiskysymyksensä on tietosuojavastuun kohdentuminen yrityskaupoissa. L​​ähtökohtaisesti vastuu seuraa mukana. Etenkin vaikeasti tunnistettaviin laiminlyönteihin liittyy riski taloudellisista seuraamuksista – kuinka ostaja voi varautua tietosuojavastuuseen, jonka olemassaoloa ei edes tunnisteta? Lue Asianajotoimisto Pro Juridican kirjoituksesta.

Worst case scenariossa vastuu eskaloituu useammalla eri perusteella. Tästä havainnollistavana esimerkkinä on Psykoterapiakeskus Vastaamon tietomurtokokonaisuus, jossa tietosuojavaltuutetun toimisto määräsi 608 000 euron hallinnollisen seuraamusmaksun (Diaarinro 1150/161/2021), syyttäjällä on syyteharkinnassa tietosuojarikosta koskeva rikostutkinta, ja tietomurron uhrit ovat esittäneet konkurssipesää kohtaan vahingonkorvausvaatimuksia.

Oma erityiskysymyksensä on tietosuojavastuun kohdentuminen yrityskaupoissa. Yrityskauppoihin liittyen mielenkiintoisena linjanvetona tietosuojavaltuutetun toimisto on katsonut, että mikäli tietosuojarikkomukseen syyllistyneen tahon liiketoiminta siirtyy uusille omistajille tai uudelle rekisterinpitäjälle kokonaisuudessaan, lähtökohtaisesti vastuu seuraa mukana. Henkilötietojen käsittelyn erityispiirteenä on, että laiminlyönnit ja niistä aiheutuvat vahingot voivat ilmetä varsin pitkänkin ajan kuluttua. Etenkin vaikeasti tunnistettaviin laiminlyönteihin liittyy riski taloudellisista seuraamuksista – kuinka ostaja voi varautua tietosuojavastuuseen, jonka olemassaoloa ei edes tunnisteta?

Pienentääkseen riskiä yllättävästä ja hallitsemattomasta tietosuojavastuusta tulee ostajan arvioida tietoturvariskit perusteellisesti osana juridista due diligence -tarkastusta. Mikäli ostettavassa yhtiössä on henkilötietojen käsittely keskeisessä roolissa, on tietosuojavelvoitteiden arviointi erityisen tärkeää. Kohdeyhtiön liiketoiminta vaikuttaa arvioinnin tasoon; on täysin eri asia arvioida esimerkiksi lääkärikeskuksen tietoturvakäytänteitä kuin teollisuuden alihankkijayrityksen suorittamaa henkilötietojen käsittelyä.

Yrityskauppavakuutuksia käytetään toisinaan kauppakirjassa sovitun vastuunjaon ohella riskienhallintakeinona. Huomionarvoista on, että Finanssivalvonnan (FIVA) tulkinnan mukaan hallinnollisten sakkojen ja seuraamusmaksujen varalta vakuuttaminen ei ole hyvän vakuutustavan mukaista, eikä siten sallittua (Finanssivalvonnan tulkinta FIVA 3/01.02/2018). Näin ollen tietosuojavastuisiin voidaan yrityskaupoissa varautua ainoastaan kauppakirjan ehdoin, ei erillisellä vakuutuksella.

Myyjän ja ostajan välillä kysymys on viime kädessä riskin ja vastuun jakamisesta. Tästä kaupan osapuolet voivat lähtökohtaisesti sopia kauppakirjassa haluamallaan tavalla. Viime aikoina on ollut havaittavissa, että ostajat pyrkivät esittämään kauppakirjoissa hyvinkin ankaria vastuuehtoja potentiaalisiin tietosuojarikkomuksiin liittyen. Tietosuojariskejä pyritään toisinaan siirtämään erityisiin, ajallisesti ja määrällisesti rajoittamattomiin korvausvastuisiin (ns. specific indemnity -ehdot). Myyjän näkökulmasta tällaiset vastuuehdot ovat epämieluisia etenkin tilanteissa, joissa kumpikaan kaupan osapuoli ei ole varsinaisesti tunnistanut erityisiä riskejä tai poikkeamia.

On mielenkiintoista nähdä, miten tietosuojavastuun kohdentamista koskeva käytäntö yrityskaupoissa kehittyy. Mitä huolellisemmin tietosuoja-asiat ja niitä koskeva dokumentaatio on myyjäyhtiössä toteutettu, sitä perustellummin myyjä voi esittää, että tietosuoja-asioihin ei kohdisteta kauppakirjassa erityistä, ankaraa vastuuta.


Aino-Kaisu Renko​​​​​​​

Asianajaja Aino-Kaisu Renko työskentelee Asianajotoimisto Pro Juridica Oy:n osakkaana ja hänen erityisosaamiseensa kuuluvat tietosuoja-asiat, erilaiset kaupalliset sopimukset, ICT-alan oikeudelliset ongelmat sekä yrityskaupat. Aino-Kaisu on myös sertifioitu tietosuoja-asiantuntija (CIPP/E).