Při převodu podniku (obchodního závodu) převádí podnikatel na jiného určitý soubor svého majetku, dluhů a souvisejících práv a povinností, které slouží k provozování určité podnikatelské činnosti. Podle povahy podniku může na nabyvatele v souvislosti s převodem přejít také odpovědnost v oblasti ochrany osobních údajů. Jak při převodu podniku postupovat, aby nový vlastník nic nezanedbal?
Typickým případem prodeje závodu, který bude mít dopad i do sféry ochrany osobních údajů, je převod e-shopu nebo výrobního závodu. Nový vlastník se spolu s nabytím závodu automaticky stává správcem všech převzatých databází osobních údajů – zákaznických, zaměstnaneckých i dodavatelských – a nese odpovědnost za jejich další zpracování. Aby byl převod podniku v souladu s právními předpisy na ochranu osobních údajů, tj. nařízením (EU) 2016/679 (GDPR) a zákonem č. 110/2019 Sb., o zpracování osobních údajů, je vhodné ochranu osobních údajů zohlednit už při přípravě smlouvy o převodu závodu a následně zajistit její správné naplnění v praxi.
K převodu podniku obecně
Nejprve je třeba si vyjasnit terminologii. Od přijetí nového občanského zákoníku již český právní řád nehovoří o podniku, ale o obchodním závodu. Obchodním závodem se dle platné úpravy rozumí organizovaný soubor jmění (aktiva i pasiva), který podnikatel vytvořil a který z jeho vůle slouží k provozování jeho činnosti, přičemž se má za to, že závod tvoří vše, co zpravidla slouží k jeho provozu. Jde o věc v právním smyslu, s níž lze právně nakládat – např. ji za úplatu převést na jiného.
Due diligence a smluvní ujednání týkající se GDPR
Už při přípravě smlouvy o převodu závodu (resp. už při případném due diligence, jedná-li se o větší transakci) je vhodné věnovat otázkám ochrany osobních údajů náležitou pozornost. Doporučujeme zaměřit se zejména na tyto oblasti:
Identifikace rozsahu převáděných osobních údajů
Strany by si měly jasně vymezit, jaké databáze a jaké kategorie osobních údajů jsou součástí převodu (např. údaje o zákaznících, zaměstnancích či obchodních partnerech). Dále je vhodné uvést, pro jaké účely byly tyto údaje dosud zpracovávány a zda nový vlastník bude pokračovat v jejich zpracování pro tytéž nebo jiné účely. Tím se předejde nejasnostem ohledně právního základu zpracování a případným pochybnostem o zákonnosti zpracování novým správcem.
Povinnost spolupráce mezi stranami
Strany by měly upravit povinnost vzájemné součinnosti při plnění povinností vyplývajících z GDPR, zejména informační povinnosti nebo při vyřizování žádostí subjektů údajů (např. žádostí o výmaz údajů). Spolupráce může být důležitá i při v případě kontroly ze strany dozorujícího orgánu.
Závazek k likvidaci či anonymizaci kopií údajů po převodu
Převádějící strana by se měla ve smlouvě výslovně zavázat k tomu, že po dokončení převodu vymaže nebo jiným způsobem zlikviduje všechny kopie osobních údajů, jimiž disponuje a které již nejsou potřebné pro splnění zákonných povinností. Tím se minimalizuje riziko neoprávněného dalšího zpracování údajů a zajistí se, že po převodu bude existovat pouze jediný, aktuální správce těchto dat.
Odpovědnost za porušení povinností před datem převodu
Je vhodné výslovně stanovit, která ze stran ponese odpovědnost za případná porušení GDPR, k nimž došlo před účinností převodu závodu. Smlouva může obsahovat ujednání o rozdělení odpovědnosti za sankce uložené za minulá pochybení, případně o způsobu náhrady škody vzniklé z dřívějšího nezákonného zpracování osobních údajů.
Co musí zajistit nový vlastník závodu ve vztahu k GDPR
V souvislosti s převodem obchodního závodu dochází ke změně osoby správce osobních údajů, které jsou součástí závodu. Na nového vlastníka tak přechází veškeré povinnosti vyplývající z právních předpisů o ochraně osobních údajů a v praxi je vhodné, aby nový správce po nabytí závodu zajistil zejména následující kroky:
Revize právních základů zpracování a souhlasů - Nový správce by měl posoudit, zda právní tituly, na jejichž základě osobní údaje zpracovává, se uplatní i po převodu závodu. Pokud bylo zpracování založeno na souhlasu subjektu údajů, je třeba vyhodnotit, zda tento souhlas pokrývá i zpracování novým správcem, nebo zda je nutné získat souhlas nový.
Aktualizace záznamů o činnostech zpracování - Nový správce musí přezkoumat a aktualizovat záznamy o činnostech zpracování podle čl. 30 GDPR. Tyto záznamy by měly nově odrážet skutečnost, že došlo ke změně správce, a případně také upravit účely zpracování, právní základ či příjemce údajů. Vhodné je rovněž posoudit, zda jsou všechny činnosti zpracování nadále nezbytné a zda odpovídají zásadám minimalizace a omezení uložení údajů.
Informování subjektů údajů o změně správce - Subjekty údajů, jejichž osobní údaje jsou součástí převodu (např. zákazníci, zaměstnanci, dodavatelé), musí být v souladu s čl. 13 a 14 GDPR informovány o tom, že došlo ke změně správce, a to v přiměřené lhůtě po získání osobních údajů, nejpozději do jednoho měsíce. Nový vlastník závodu by měl také aktualizovat informační dokumenty (zásady zpracování osobních údajů, interní směrnice, oznámení na webu apod.) a zajistit, aby byly tyto informace dostupné transparentním a srozumitelným způsobem.
Nastavení vztahů se zpracovateli a třetími osobami - Nový vlastník by měl prověřit veškeré smluvní vztahy se zpracovateli (např. poskytovateli IT služeb, mzdovými účetními, marketingovými agenturami), popřípadě uzavřít nové zpracovatelské smlouvy podle čl. 28 GDPR. Tím se zajistí, že zpracovatelé budou nadále zpracovávat údaje výhradně na základě pokynů nového správce a v souladu s požadavky na zabezpečení a důvěrnost údajů.
Zajištění kontinuity bezpečnostních opatření - Nový správce musí ověřit, že veškerá technická a organizační opatření přijatá k ochraně osobních údajů jsou přiměřená rizikům a odpovídají povaze zpracování. Může jít např. o přístupová práva do databází, šifrování přenosů dat, politiky uchovávání dokumentů či školení zaměstnanců. V případě potřeby by měl správce tato opatření aktualizovat nebo doplnit.
Vyhodnocení rizik a případná aktualizace posouzení vlivu na ochranu osobních údajů (DPIA) - Pokud některé činnosti zpracování představují vysoké riziko pro práva a svobody fyzických osob, je vhodné, aby nový správce přezkoumal, zda je nutné aktualizovat posouzení vlivu na ochranu osobních údajů podle čl. 35 GDPR.
Práva subjektů v souvislosti se změnou správce
Změna správce nemá vliv na práva subjektů údajů, ale mění osobu, u níž se tato práva uplatňují. Nový správce musí zajistit, aby výkon těchto práv nebyl převodem ztížen. Měl by tak mít jasně stanovené interní postupy pro vyřizování žádostí, aktuální kontakty na pověřence a přehled o lhůtách dle čl. 12 GDPR.
Závěr
Převod obchodního závodu je komplexní právní i ekonomický proces, jehož nedílnou součástí může být i zajištění kontinuity ochrany osobních údajů. Pro minimalizaci rizik je klíčové integrovat ochranu údajů do celého transakčního procesu – od počáteční due diligence a ověření právních titulů pro zpracování dat, přes detailní smluvní ujednání (zejména ohledně odpovědnosti za porušení před převodem), až po následnou interní revizi a splnění informační povinnosti vůči subjektům údajů (zákazníkům, zaměstnancům). Pokud si při převodu vašeho obchodního závodu nejste jisti správným nastavením povinností v oblasti GDPR nebo potřebujete pomoc s revizí dokumentace a procesů, můžete se obrátit na Companies.cz. Tým specialistů vám pomůže zajistit, aby celý proces proběhl v souladu s právními předpisy a bez zbytečných rizik.
Zodpovědný a proaktivní přístup obou smluvních stran k otázkám GDPR při převodu obchodního závodu významně snižuje pravděpodobnost budoucích sporů a sankcí ze strany dozorových orgánů.
