Är det rimligt att man som säljare ska garantera att man uppfyllt alla förpliktelser enligt GDPR? Det frågar sig Nicklas Bexelius på Advokatbyrån Lindahl och Hampus Stålholm på Synch.
Skadeslöshetsåtagande tänkbar lösning
Mest läst i kategorin
Ikraftträdandet av den allmänna dataskyddsförordningen (GDPR) för snart två år sedan har inneburit stora förändringar. Den 25 maj 2018 ställdes inte bara det europeiska näringslivet inför utmaningen att anpassa sig till ett förnyat och i många delar strängare regelverk för skydd av personuppgifter, utan även stora globala företag såsom amerikanska Alphabet och Facebook har fått anpassa sin behandling av personuppgifter – data som utgör värdefull hårdvaluta i många affärsmodeller och som regleras av det uppdaterade regelverket.
Bristande efterlevnad av GDPR kan leda till både förelägganden och betydande sanktionsavgifter. Utöver den enskildes rätt till ersättning för skada som lids har tillsynsmyndigheterna (för Sverige Datainspektionen) möjlighet att påföra administrativa sanktionsavgifter på upp till det högre av 20 000 000 euro eller 4 procent av företagets globala årsomsättning föregående år. Den brittiska tillsynsmyndigheten (ICO) har exempelvis påfört British Airways en sanktionsavgift om 204 600 000 euro (ej slutligt avgjort). Datainspektionen har i jämförelse än så länge agerat relativt modest, med en högsta sanktionsavgift om 35 000 euro som påförts Nusvar (som driver sajten Mrkoll.se – ärendet är inte slutligt avgjort). Med andra ord finns det, oaktat etiska överväganden, goda skäl för företag att behandla personuppgifter med tillbörlig respekt och på ett sätt som kan demonstreras är i enlighet med gällande lagstiftning.
Som en konsekvens av den eventuella riskexponering som ett företag har enligt ovan har GDPR kommit att bli relevant även i andra legala områden, däribland inte minst inom aktieöverlåtelser. Ur ett köparperspektiv kan det bli kostsamt att förvärva ett målbolag som inte har nödvändiga processer på plats för behandling av personuppgifter enligt GDPR. Köparen bör därför vara noggrann i sin due diligence med hänsyn därav. Har exempelvis målbolaget säkerställt att all nödvändig dokumentation är på plats, och att alla erforderliga biträdesavtal är ingångna? Har personuppgiftsincidenter skett, men inte rapporterats eller dokumenterats? Som rapporterats av bland annat Capgemini Research Institute uppger många företag att de ännu inte kan sägas till fullo efterleva alla krav i GDPR.
Skräckexemplet beträffande bristande due diligence står att finna i Marriott Internationals förvärv (2016) av hotellkedjan Starwood. I ett dataintrång som skedde innan förvärvet (2014) läckte det sedermera förvärvade Starwood cirka 339 miljoner gästuppgifter, varav cirka 30 miljoner avsåg personer inom Europa, till följd av bristande säkerhetsåtgärder. Dessa brister upptäcktes inte i samband med Marriotts due diligence av bolaget under 2016. När Marriot upptäckte säkerhetsbristen och rapporterade den till ICO (november 2018) hade GDPR blivit tillämplig, och tillsynsmyndigheten påförde Marriott en sanktionsavgift uppgående till 110 390 200 euro (ej slutligt avgjort).
Efter en utförd due diligence uppstår frågan om den avtalsrättsliga hanteringen av eventuella brister i målbolaget beträffande GDPR. Typiskt sett är säljarens ansvar vid köprättsligt fel avtalsmässigt begränsat till de omständigheter som säljaren garanterar i en så kallad garantikatalog, samt att ingen annan påföljd än prisavdrag kan komma ifråga. Därtill brukar prisavdragets storlek i regel begränsas efter olika principer såsom total liability cap, de minimis, basket cap, med mera. Med hänsyn till riskexponeringen för bristande efterlevnad av GDPR, där sanktionsavgiften med råge kan överstiga köpeskillingen för målbolaget, kan det således finnas anledning att överväga om just åtaganden kring GDPR ska ligga utanför garantikatalogen och dess eventuella ansvarsbegränsningar. En tänkbar lösning är att säljaren ger ett skadeslöshetsåtagande att hålla köparen fullt ut skadeslös för det fall köparen skulle lida skada på grund av bristande behandling av personuppgifter.
Omvänt från säljarens perspektiv finns anledning att noga överväga vilka garantier eller åtaganden som skäligen kan ges i förhållande till behandlingen av personuppgifter. Är det rimligt att garantera att man uppfyllt alla förpliktelser enligt GDPR? Mot bakgrund av GDPR:s omfattning och komplexitet, samt organisatorisk anpassningsförmåga, kan det vara svårt för en säljare att lämna sådana garantier med tillräcklig trygghet om att dessa inte kommer att aktualiseras. Därutöver kan situationen uppstå att köparen till följd av dessa garantier förlorar incitament att åtgärda eventuella brister i målbolaget. Köparen och säljaren bör söka nå en för överlåtelsen lämplig riskfördelning samt anpassa bestämmelserna i förhållande till målbolagets kärnverksamhet.
Genom en mer nyanserad förståelse för GDPR och dess risker kan flera svårlösta frågor kring exempelvis felansvar vid aktieöverlåtelser hanteras på ett pragmatiskt och välgrundat sätt.
Nicklas Bexelius
Advokat, Advokatfirman Lindahl
Hampus Stålholm
Biträdande jurist, Synch