欧盟合规实务 | 在欧并购交易,如何应对跨境数据保护问题?
欧盟《通用数据保护条例》(GDPR)作为第一部全面的数据安全隐私法已经实施三年,虽然作为全面的数据保护框架在全球范围内处于领先地位,但在具体执行案例中仍然存在不确定性,亦对欧洲投资并购的相关项目带来较大的风险。
走出去智库(CGGT)观察到,虽然有78%的公司自信地认为已准备好满足数据保护要求,但GDPR实施后只有28%的公司能很好的遵守GDPR,还有大量公司远远未达到GDPR合规要求。如GDPR实施两年半以来,德国共处理了77747件信息泄露通知,可见执行GDPR合规难度之大。
在欧洲投资并购如何做好GDPR合规?今天,走出去智库(CGGT)获授权刊发德国领先律所——泰乐信律师事务所(Taylor Wessing)的文章,供关注欧洲投资数据合规的企业管理者参考。
要 点
CGGT,CHINA GOING GLOBAL THINKTANK
1、在尽职调查过程中,个人数据有可能在不同交易方之间流动,而某些交易方可能位于欧洲经济区以外的“第三国”。在这种情况下,交易各方需要确保他们在交易的过程中的数据传输遵守数据保护法的要求。
2、如果目标公司在英国和/或欧盟/欧洲经济区内运营,而文件资料室提供商和投资者位于欧洲以外,根据并购交易的需要,相关个人数据将会分别传输到英国和/或欧盟/欧洲经济区之外,此时则必须通过数据传输保障措施来保护这些个人数据。
3、确保买方和卖方就任何数据迁移和交接的过程达成约定,包括以相关记录作为支持(例如数据处理记录,或对直接营销的同意/选择退出(opt-out)的记录)。如果该数据迁移涉及到将个人数据传输到其他第三国,则确保具备适当的数据传输保障措施。
正 文
CGGT,CHINA GOING GLOBAL THINKTANK
文/Debbie Heywood
泰乐信伦敦办公室高级专业支持律师
作为欧盟数据保护法的基石,《通用数据保护条例》(以下简称“GDPR”)注重问责的概念,即,要求企业在合并、收购、投资和融资的情况下,对数据处理活动具备可证明的流程、控制和主动监督。
一、数据保护合规对目标公司的影响
如果目标公司有复杂的集团结构和/或复杂的跨境数据流,买方或投资者将需要了解交易各方在数据保护中的角色和数据传输过程,以评估相关风险,符合数据保护合规要求。
如果目标公司存在数据保护不合规的行为,则目标公司可能面临高额罚款、声誉受损和丧失商业机会的风险;反之,如果目标公司符合数据保护合规要求,则目标公司将会吸引更高的收购价格或投资水平。
二、与并购交易相关的数据传输
在尽职调查过程中,个人数据有可能在不同交易方之间流动,而某些交易方可能位于欧洲经济区以外的“第三国”。在这种情况下,交易各方需要确保他们在交易的过程中的数据传输遵守数据保护法的要求。
如果目标公司拥有健全的数据保护合规机制,并且能够按照问责原则证明这些机制,则将大大有助于尽职调查的进行。
三、并购交易各方在数据保护方面的角色
每家参与并购交易的公司理解其各自在数据保护方面扮演的角色是十分重要的,因为这决定了每家公司的数据保护职责和需要如何约定相应的合同条款,同时,不同的角色也将影响每家公司应负的潜在法律责任。根据GDPR,对于每一次使用个人数据,各家公司都将承担以下角色之一:
· 数据控制者——决定如何以及为何使用个人数据,包括根据其自身的专业判断以符合其自身义务的方式处理个人数据。
· 数据共同控制者(不太常见)——与另一个数据控制者共同决定如何和为何使用个人数据。
· 数据处理者——只是代表数据控制者使用数据(例如,为数据控制者提供基本服务)。
· 次级数据处理者——代表数据处理者使用数据。
在一个典型的并购交易中,我们可能会看到以下情况:
四、对个人数据的跨境传输的合规要求
如果目标公司在英国和/或欧盟/欧洲经济区内运营,而文件资料室提供商和投资者位于欧洲以外,根据并购交易的需要,相关个人数据将会分别传输到英国和/或欧盟/欧洲经济区之外,此时则必须通过数据传输保障措施来保护这些个人数据。该数据传输保障措施所采用的数据保护方式应与该等个人数据在数据生成国所受保护的方式一致。
并购交易中常见的传输保障措施包括:
对数据保护充分性的认定
个人数据可以被传输至经欧盟委员会认定提供了充分的数据保护的国家,
· 目前为止,这些国家包括:安道尔、阿根廷、加拿大(商业组织)、法罗群岛、根西岛、以色列、马恩岛、日本、泽西岛、新西兰、瑞士和乌拉圭。
· 英国也已认定上述国家以及直布罗陀对数据保护的充分性。
标准合同条款(以下简称:"SCC",也被称作示范条款)
个人数据可以在签署了SCC的两个实体之间传输。这是由欧盟委员会批准的一种用于国际传输的标准合同形式。它们不能被修改,但可以增加不削弱保护的商业条款。SCC也可用于英国和欧盟/欧洲经济区的数据传输。
目前,以下各方之间可以签订SCC:
· 位于英国/欧洲经济区的数据控制者向非英国/欧洲经济区的数据控制者传输数据,或者
· 位于英国/欧洲经济区的控制者向非英国/欧洲经济区的数据处理者传输数据。
欧盟委员会制定的新SCC将涵盖在英国/欧洲经济区的数据控制者或数据处理者与非英国-欧洲经济区的数据控制者或数据处理者之间的数据传输。
五、案例研究
想象一下这样一个并购交易:一家加拿大公司正在考虑收购一家英国公司。该英国的目标公司使用一家美国的文件资料室提供商,且该文件资料室提供者已经指定津巴布韦的另一家公司提供技术支持。数据传输保障措施可能如下所示:
六、并购交易各阶段存在的数据保护问题
1. 在最初的交易准备阶段
评估目标公司的数据保护合规性:评估目标公司现有的数据保护合规制度,并决定是否需要对该公司采取任何预备性的修复措施。
签订保密协议:在每份保密协议中包含适当的数据共享条款——例如,为了管理潜在风险(如数据泄露)而限制潜在买家对数据的使用方式,除了任何传输保障措施外,还对应增加了“轻度监管”(light-touch)的义务。
制定数据传输保障措施:如果接收数据的组织在英国和/或欧盟/欧洲经济区之外,则需制定适当的传输保障措施。不要想当然认为关于文件资料室的条款会涵盖这一要求。
2. 在尽职调查阶段
资料室的设置:聘用文件资料室提供商的公司应(根据GDPR第28条的规定)确保协议包含适当的数据处理者条款,包括数据传输保障措施和对次级数据处理者管理的条款。
标准问答:买方或投资者应当询问相关问题,以评估目标公司的数据保护合规性,包括关于标准文件和较高风险的问题(如数据传输、处理记录、数据保护协议、数据保护风险评估、泄露、主体权利请求以及数据保护官(DPO)或代表的任命)。检查目标公司对数据主体是否尽到透明义务,例如是否建立涵盖该潜在并购交易的隐私政策。
向资料室提供数据:目标公司需要在充分公平披露与数据保护原则之间取得平衡,包括采取相称的方法以及尽量减少个人数据的提供。避免提供不必要的个人数据,并对个人数据进行匿名化或假名化处理,例如,通过在可能的情况下对相关信息进行编辑。确保披露具有法律依据。
3. 在起草交易条款阶段
起草交易文件:在收购协议中应包含适当的对数据保护的保证,并仔细检查任何有关数据披露的条款,以确保内容约定具体且不会引起新问题。如果交易中存在任何过渡性的服务,应确保数据保护条款的措辞能体现交易各方在数据保护中的角色(例如,如果目标公司/卖方向买方提供服务,其是否将成为数据处理者?)。
4. 在并购交割和交割后
对数据迁移的要求:确保买方和卖方就任何数据迁移和交接的过程达成约定,包括以相关记录作为支持(例如数据处理记录,或对直接营销的同意/选择退出(opt-out)的记录)。如果该数据迁移涉及到将个人数据传输到其他第三国,则确保具备适当的数据传输保障措施。
对透明性的要求:须将对任何数据的控制权的变化告知数据主体,同时注意考虑到直接营销规则——例如,在告知数据主体数据控制者发生变化的同时,不应进行新服务促销。根据需要更新隐私政策。
实行补救措施:通过实施交割后行动计划,以补救尽职调查过程中发现的风险,并遵守交割后对数据保护的要求。
5. 持续的数据传输问题
数据传输相关情形还在继续发展。欧盟法院(CJEU)对Schrems II案作出的判决,以及欧盟委员会发布的新SCC(更不用说英国独立于欧盟的地位),使得数据传输仍然是一个热门话题。投资者们希望确保他们的目标公司继续保持数据保护合规,而潜在买家们则将需要适应新数据保护的要求。
来源:泰乐信律师事务所
