Zawarcie znaczącej transakcji bez sprawdzenia kontrahenta to duże ryzyko. Szczególnie gdy chodzi o nabycie innego podmiotu. Kupujący coraz częściej decydują się więc przeprowadzić wcześniej jego badanie prawne.
Celem due diligence jest dokładne poznanie kondycji kupowanej spółki lub jej składników majątkowych oraz precyzyjne oszacowanie ich wartości. Nierzadko wymaga to przekazania przez sprzedającego szczegółowych informacji, w tym danych osobowych kontrahentów, klientów oraz pracowników kupowanej spółki.
Szczególne kontrowersje wzbudza możliwość przekazania sprzedającemu danych osobowych pracowników badanej spółki. Brakuje bowiem szczegółowych regulacji prawnych w tej materii. W konsekwencji przekazanie danych osobowych pracowników na potrzeby due diligence, jako mieszczące się w definicji przetwarzania danych osobowych, zasadniczo podlega ocenie na podstawie ustawy o ochronie danych osobowych. Stąd pytanie, czy i ewentualnie w jaki sposób można to robić, aby z jednej strony zabezpieczyć interesy pracowników i nie narazić się na zarzut naruszenia przepisów o ochronie danych osobowych, a z drugiej – z sukcesem przeprowadzić zaplanowaną transakcję.
Praktyka rynkowa
W związku z brakiem bezpośredniej regulacji prawnej, praktyka rynku, która wykształciła się w zakresie przekazywania danych osobowych pracowników na potrzeby ?due diligence, jest bardzo różnorodna.
Dotychczas niejednokrotnie zdarzało się, że kupujący uzyskał do nich dostęp wyłącznie na podstawie ogólnej umowy o zachowaniu poufności, zawartej przez strony przy okazji planowanej transakcji. Z punktu widzenia przepisów dotyczących ochrony danych osobowych to zdecydowanie nie wystarcza. Przekazanie tych danych w sposób niezgodny z przepisami naraża zarówno sprzedającego, jak i kupującego na wiele negatywnych konsekwencji. Jedną z nich jest decyzja generalnego inspektora danych osobowych nakazująca przywrócenie stanu zgodnego z prawem. Jeśli adresat nie spełni tego obowiązku, naraża się na grzywnę w wysokości do 50 tys. Konsekwencje mogą być też natury cywilnoprawnej – jak możliwość dochodzenia przez osobę, której dane były przetwarzane nielegalnie, odszkodowania na ogólnych zasadach określonych w kodeksie cywilnym z tytułu czynów niedozwolonych lub naruszenia dóbr osobistych. Istnieje również ryzyko poniesienia odpowiedzialności karnej.