欧盟合规实务 | 在欧并购交易,如何应对跨境数据保护问题?【走出去智库】
The following article is from 泰乐信律师事务所 Author 泰乐信律师事务所
走出去智库观察
欧盟《通用数据保护条例》(GDPR)作为第一部全面的数据安全隐私法已经实施三年,虽然作为全面的数据保护框架在全球范围内处于领先地位,但在具体执行案例中仍然存在不确定性,亦对欧洲投资并购的相关项目带来较大的风险。
走出去智库(CGGT)观察到,虽然有78%的公司自信地认为已准备好满足数据保护要求,但GDPR实施后只有28%的公司能很好的遵守GDPR,还有大量公司远远未达到GDPR合规要求。如GDPR实施两年半以来,德国共处理了77747件信息泄露通知,可见执行GDPR合规难度之大。
在欧洲投资并购如何做好GDPR合规?今天,走出去智库(CGGT)获授权刊发德国领先律所——泰乐信律师事务所(Taylor Wessing)的文章,供关注欧洲投资数据合规的企业管理者参考。
要 点
CGGT,CHINA GOING GLOBAL THINKTANK
1、在尽职调查过程中,个人数据有可能在不同交易方之间流动,而某些交易方可能位于欧洲经济区以外的“第三国”。在这种情况下,交易各方需要确保他们在交易的过程中的数据传输遵守数据保护法的要求。
2、如果目标公司在英国和/或欧盟/欧洲经济区内运营,而文件资料室提供商和投资者位于欧洲以外,根据并购交易的需要,相关个人数据将会分别传输到英国和/或欧盟/欧洲经济区之外,此时则必须通过数据传输保障措施来保护这些个人数据。
3、确保买方和卖方就任何数据迁移和交接的过程达成约定,包括以相关记录作为支持(例如数据处理记录,或对直接营销的同意/选择退出(opt-out)的记录)。如果该数据迁移涉及到将个人数据传输到其他第三国,则确保具备适当的数据传输保障措施。
正 文
CGGT,CHINA GOING GLOBAL THINKTANK
文/Debbie Heywood
泰乐信伦敦办公室高级专业支持律师
作为欧盟数据保护法的基石,《通用数据保护条例》(以下简称“GDPR”)注重问责的概念,即,要求企业在合并、收购、投资和融资的情况下,对数据处理活动具备可证明的流程、控制和主动监督。
一、数据保护合规对目标公司的影响
如果目标公司有复杂的集团结构和/或复杂的跨境数据流,买方或投资者将需要了解交易各方在数据保护中的角色和数据传输过程,以评估相关风险,符合数据保护合规要求。
如果目标公司存在数据保护不合规的行为,则目标公司可能面临高额罚款、声誉受损和丧失商业机会的风险;反之,如果目标公司符合数据保护合规要求,则目标公司将会吸引更高的收购价格或投资水平。
二、与并购交易相关的数据传输
在尽职调查过程中,个人数据有可能在不同交易方之间流动,而某些交易方可能位于欧洲经济区以外的“第三国”。在这种情况下,交易各方需要确保他们在交易的过程中的数据传输遵守数据保护法的要求。
如果目标公司拥有健全的数据保护合规机制,并且能够按照问责原则证明这些机制,则将大大有助于尽职调查的进行。
三、并购交易各方在数据保护方面的角色
每家参与并购交易的公司理解其各自在数据保护方面扮演的角色是十分重要的,因为这决定了每家公司的数据保护职责和需要如何约定相应的合同条款,同时,不同的角色也将影响每家公司应负的潜在法律责任。根据GDPR,对于每一次使用个人数据,各家公司都将承担以下角色之一:
· 数据控制者——决定如何以及为何使用个人数据,包括根据其自身的专业判断以符合其自身义务的方式处理个人数据。
· 数据共同控制者(不太常见)——与另一个数据控制者共同决定如何和为何使用个人数据。
· 数据处理者——只是代表数据控制者使用数据(例如,为数据控制者提供基本服务)。
· 次级数据处理者——代表数据处理者使用数据。
在一个典型的并购交易中,我们可能会看到以下情况:
四、对个人数据的跨境传输的合规要求
如果目标公司在英国和/或欧盟/欧洲经济区内运营,而文件资料室提供商和投资者位于欧洲以外,根据并购交易的需要,相关个人数据将会分别传输到英国和/或欧盟/欧洲经济区之外,此时则必须通过数据传输保障措施来保护这些个人数据。该数据传输保障措施所采用的数据保护方式应与该等个人数据在数据生成国所受保护的方式一致。
并购交易中常见的传输保障措施包括:
对数据保护充分性的认定
个人数据可以被传输至经欧盟委员会认定提供了充分的数据保护的国家,
· 目前为止,这些国家包括:安道尔、阿根廷、加拿大(商业组织)、法罗群岛、根西岛、以色列、马恩岛、日本、泽西岛、新西兰、瑞士和乌拉圭。
· 英国也已认定上述国家以及直布罗陀对数据保护的充分性。
标准合同条款(以下简称:"SCC",也被称作示范条款)
个人数据可以在签署了SCC的两个实体之间传输。这是由欧盟委员会批准的一种用于国际传输的标准合同形式。它们不能被修改,但可以增加不削弱保护的商业条款。SCC也可用于英国和欧盟/欧洲经济区的数据传输。
目前,以下各方之间可以签订SCC:
· 位于英国/欧洲经济区的数据控制者向非英国/欧洲经济区的数据控制者传输数据,或者
· 位于英国/欧洲经济区的控制者向非英国/欧洲经济区的数据处理者传输数据。
欧盟委员会制定的新SCC将涵盖在英国/欧洲经济区的数据控制者或数据处理者与非英国-欧洲经济区的数据控制者或数据处理者之间的数据传输。
五、案例研究
想象一下这样一个并购交易:一家加拿大公司正在考虑收购一家英国公司。该英国的目标公司使用一家美国的文件资料室提供商,且该文件资料室提供者已经指定津巴布韦的另一家公司提供技术支持。数据传输保障措施可能如下所示:
六、并购交易各阶段存在的数据保护问题
1. 在最初的交易准备阶段
评估目标公司的数据保护合规性:评估目标公司现有的数据保护合规制度,并决定是否需要对该公司采取任何预备性的修复措施。
签订保密协议:在每份保密协议中包含适当的数据共享条款——例如,为了管理潜在风险(如数据泄露)而限制潜在买家对数据的使用方式,除了任何传输保障措施外,还对应增加了“轻度监管”(light-touch)的义务。
制定数据传输保障措施:如果接收数据的组织在英国和/或欧盟/欧洲经济区之外,则需制定适当的传输保障措施。不要想当然认为关于文件资料室的条款会涵盖这一要求。
2. 在尽职调查阶段
资料室的设置:聘用文件资料室提供商的公司应(根据GDPR第28条的规定)确保协议包含适当的数据处理者条款,包括数据传输保障措施和对次级数据处理者管理的条款。
标准问答:买方或投资者应当询问相关问题,以评估目标公司的数据保护合规性,包括关于标准文件和较高风险的问题(如数据传输、处理记录、数据保护协议、数据保护风险评估、泄露、主体权利请求以及数据保护官(DPO)或代表的任命)。检查目标公司对数据主体是否尽到透明义务,例如是否建立涵盖该潜在并购交易的隐私政策。
向资料室提供数据:目标公司需要在充分公平披露与数据保护原则之间取得平衡,包括采取相称的方法以及尽量减少个人数据的提供。避免提供不必要的个人数据,并对个人数据进行匿名化或假名化处理,例如,通过在可能的情况下对相关信息进行编辑。确保披露具有法律依据。
3. 在起草交易条款阶段
起草交易文件:在收购协议中应包含适当的对数据保护的保证,并仔细检查任何有关数据披露的条款,以确保内容约定具体且不会引起新问题。如果交易中存在任何过渡性的服务,应确保数据保护条款的措辞能体现交易各方在数据保护中的角色(例如,如果目标公司/卖方向买方提供服务,其是否将成为数据处理者?)。
4. 在并购交割和交割后
对数据迁移的要求:确保买方和卖方就任何数据迁移和交接的过程达成约定,包括以相关记录作为支持(例如数据处理记录,或对直接营销的同意/选择退出(opt-out)的记录)。如果该数据迁移涉及到将个人数据传输到其他第三国,则确保具备适当的数据传输保障措施。
对透明性的要求:须将对任何数据的控制权的变化告知数据主体,同时注意考虑到直接营销规则——例如,在告知数据主体数据控制者发生变化的同时,不应进行新服务促销。根据需要更新隐私政策。
实行补救措施:通过实施交割后行动计划,以补救尽职调查过程中发现的风险,并遵守交割后对数据保护的要求。
5. 持续的数据传输问题
数据传输相关情形还在继续发展。欧盟法院(CJEU)对Schrems II案作出的判决,以及欧盟委员会发布的新SCC(更不用说英国独立于欧盟的地位),使得数据传输仍然是一个热门话题。投资者们希望确保他们的目标公司继续保持数据保护合规,而潜在买家们则将需要适应新数据保护的要求。
来源:泰乐信律师事务所
●●延展阅读
欧盟政策洞察 | 欧盟委员会发布应对外国补贴扰乱竞争秩序的立法提案
欧盟投资观察 | 在欧盟投资将面临新障碍?欧盟委员会发布针对外国补贴的白皮书
欧盟投资观察 | 欧委会白皮书意见征求将截止,赴欧投资中企如何应对
跨境数据安全 | 如何应对最严的欧洲数据监管?以德国为例
欧盟投资观察 | 疫情后,中企在德国面临的投资环境及建议
专家简介
Debbie Heywood律师是泰乐信伦敦办公室知识产权/信息技术团队的高级专业支持律师。擅长处理科技、通信、数据保护和客户数据相关的事项。Debbie律师创作了众多数据保护方面的出版物,经常担任泰乐信数据保护相关的网络研讨会的演讲嘉宾。
机构简介
泰乐信律师事务所(Taylor Wessing) 作为在跨境交易领域著名的国际律所,是德国具有百年历史的最大律所之一,2019年入选“德国法律500强”顶级律所。
泰乐信分布在欧洲、中东和亚洲16个国家和地区的28个办公室拥有超过1000名专业律师,可为客户提供跨越多法域的全方位法律服务,在公司/投资/并购、知识产权/信息技术、争议解决、医疗及生命科学、商业合同、人事/社保/养老金、破产及重整、反不正当竞争/欧盟和贸易、合规和公司犯罪等法律专业具有领先优势。
泰乐信从1985年起服务于中国国有及上市公司在欧洲的投资并购及当地运营发展,是最早在中国设立办公室的欧洲律师事务所之一,中国客户主要来自汽车、机械、医疗及生命科学、能源环保、TMT、银行及消费品行业等。
合作、业务咨询:
servicecenter@cggthinktank.com
走出去智库(CGGT)
不谈大道理,只讲干货。国内外一流投行、法律、会计、风险管理、银行/保险、品牌、人力资源、估值、境外信息情报和数据管理9个领域的专业人士联袂。走出去一站式专业实务和数据信息平台,企业跨境投资并购智囊团。
更多信息请访问:www.cggthinktank.com
版权声明:走出去智库(CGGT)欢迎转载,请注明来源:走出去智库(CGGT)。如不署名来源,CGGT将追究其相关法律责任。