Vad gäller vid företagsöverlåtelser
Nästan alla företag samlar in och lagrar en mängd data rörande dess kunder och anställda som en del av sin affärsverksamhet. Sådan information kan vara värdefull vid en företagsöverlåtelse, fusion, aktieförsäljning eller annan transaktion eftersom informationen påverkar värdet av företagets verksamhet.
Anställda
Det första man bör ha i åtanke är att de anställda måste vara informerade om att deras personuppgifter kommer att behandlas för ändamålet försäljning eller investering. Det är därför lämpligt att ha med en punkt om detta i den interna informationen om hur de anställdas personuppgifter behandlas (intern dataskyddsinformation). Om förvärvet innebär att de anställda får ett annat bolag som arbetsgivare måste den interna dataskyddsinformationen uppdateras med den nya personuppgiftsansvariges identitet och om eventuella nya behandlingar.
Typiskt sett vill den som är intresserad av att förvärva få information om företagets anställda under due diligence delen av förhandlingarna. Behovet av detaljerad information på individnivå är ofta olika på olika stadier av förvärvet. Behovet varierar också beroende på verksamhetens art, personalens yrken och olika uppdrag.
Företag som avser att lämna ut personuppgifter bör begränsa utlämnandet till de uppgifter som är absolut nödvändiga för intressenterna. Information om anställdas löner bör t.ex. anges som en aggregerad summa istället för att specificera de individuella lönerna. Semesterskuld, pensionsskuld och liknande är i princip aldrig intressant på individnivå utan bör också bara anges som en aggregerad summa.
Vad gäller chefer och andra nyckelpersoners identitet, löner och meriter så kan det finnas ett behov av att lämna mer detaljerad information redan under ett tidigt skede i processen. Det är viktigt att man gör en bedömning av vad som är relevant i just den aktuella förhandlingen och inte delar personuppgifter om personal i en due diligence, bara för att det är enklare än att välja ut relevant information. Om behov finns ska information delvis raderas eller maskeras innan den delas. Kan man inte motivera varför motparten behöver viss information på individnivå på ett visst stadium, så är det inte tillåtet att lämna ut personuppgifterna, enligt GDPR.
Det är naturligtvis nödvändigt att erhålla sekretessförbindelser från de som ska ta del av informationen och att ha avtal om att intressenten inte har rätt att använda personuppgifterna för egen räkning. Tänk dock på att dessa förbindelser inte fråntar er skyldigheten att uppgiftsminimera och att ni själva måste ta ställning till vilka personuppgifter som verkligen är nödvändigt att dela.
Tänk också på att det inte går att samla in samtycken i en sådan här situation eftersom det föreligger en maktobalans mellan arbetstagare och arbetsgivare och ett samtycke därför inte anses giltigt.
Kunder
Om ett företag överlåter hela eller delar av sin verksamhet till någon annan följer oftast även kundregistret med. Dessa personuppgifter får behandlas av förvärvaren så länge uppgifterna används för ändamål som är förenliga med det ursprungliga (det vill säga de ändamål för vilka de samlades in). Om det bara är verksamheten och inte själva bolaget som förvärvas måste förvärvaren informera kunderna, t.ex. vid utskick av direktreklam, om att det är en ny personuppgiftsansvarig som behandlar uppgifterna.
Leverantörer
Om förvärvet innebär att ett annat bolag blir personuppgiftsansvarig (t.ex. om det endast är del av verksamheten som överlåts) måste förvärvaren tillse att alla eventuella personuppgiftsbiträdesavtal uppdateras med rätt parter, d.v.s. att förvärvaren ersätter överlåtaren i dessa avtal.