Právo a bezpečnost
GDPR a prodej firmy: Jak bezpečně sdílet data o zaměstnancích

GDPR a prodej firmy: Jak bezpečně sdílet data o zaměstnancích

Při prodeji firmy se kupujícímu nutně sdílejí osobní údaje zaměstnanců — mzdy, smlouvy, zdravotní dokumentace. Jak to udělat v souladu s GDPR a vyhnout se pokutám až do 20 mil. EUR?

Karolína Nováková Karolína Nováková 📖 10 min čtení 👁 30 zobrazení

GDPR a M&A transakce

GDPR (General Data Protection Regulation) se vztahuje na veškeré zpracování osobních údajů, včetně sdílení v rámci due diligence. Osobní údaje zaměstnanců — jména, mzdy, hodnocení, zdravotní stav — jsou citlivá data, jejichž sdílení podléhá přísným pravidlům.

Jaké osobní údaje se sdílejí při DD

FázeTyp údajůMíra detailu
Teaser / CIMPočet zaměstnanců, průměrné mzdy dle pozicAnonymizované, agregované
Předběžná DDOrganizační struktura, mzdové tabulky dle kategoriíPseudonymizované
Detailní DDPracovní smlouvy, hodnocení, BOZP dokumentacePlné údaje (po LOI)
Pre-closingKompletní personální spisyPlné údaje

Právní tituly pro sdílení

1. Oprávněný zájem (čl. 6 odst. 1 písm. f) GDPR)

Nejčastější právní titul pro sdílení dat při M&A. Prodávající má oprávněný zájem na prodeji firmy, kupující na prověrce. Nutné provést test proporcionality:

  • Je účel sdílení legitimní? ✅ (prověrka akvizice)
  • Je sdílení nezbytné? ✅ (jinak nelze transakci dokončit)
  • Nepřevyšují zájmy zaměstnanců? Záleží na rozsahu a ochraně

2. Plnění právní povinnosti

U přechodu zaměstnanců (§ 338 ZP) je sdílení dat nezbytné pro splnění právních povinností.

Praktická doporučení

Anonymizace a pseudonymizace

  • Fáze 1–2: Vždy anonymizujte — Zaměstnanec A, Zaměstnanec B
  • Fáze 3: Pseudonymizace — kódy místo jmen, mapovací tabulka u prodávajícího
  • Fáze 4: Plná data pouze po podpisu závazné smlouvy

Technická ochrana

  • Sdílejte výhradně přes šifrovaný Virtual Data Room
  • Nikdy neposílejte personální data e-mailem
  • Nastavte granulární přístupová práva
  • Omezte stahování — pouze prohlížení u nejcitlivějších dokumentů

Smluvní ochrana

  • NDA musí explicitně pokrývat osobní údaje
  • Data Processing Agreement (DPA) pro kupujícího jako zpracovatele
  • Povinnost smazání — při neúspěšné transakci musí kupující smazat všechna data

Co dělat s daty po neúspěšné transakci

  1. Požadujte písemné potvrzení o smazání/vrácení dat
  2. Deaktivujte přístupy do VDR
  3. Uchovejte auditní log přístupů pro případné spory
  4. Viz také Právo na výmaz dat z VDR
⚠️ Pozor na zvláštní kategorie: Zdravotní údaje zaměstnanců (lékařské prohlídky, pracovní neschopnost) jsou zvláštní kategorií osobních údajů s přísnějším režimem. Sdílejte pouze pokud je to nezbytně nutné.
✅ Na Exituj.cz: Náš Virtual Data Room je navržen s GDPR v souladu — šifrování, granulární přístupy, auditní stopa a automatická expirace přístupů po ukončení jednání.
„GDPR není překážka M&A transakcí — je to rámec, který chrání zaměstnance a zároveň umožňuje legitimní obchodní procesy. Klíčem je proporcionalita a bezpečnost."
Štítky: #anonymizace #due diligence #GDPR #osobní údaje #Virtual Data Room #zaměstnanci
Karolína Nováková
O autorovi

Karolína Nováková

Advokátka specializovaná na M&A

Karolína je advokátka s 12letou praxí v obchodním právu a M&A transakcích. Absolvovala Právnickou fakultu UK. Specializuje se na smlouvy o převodu obchodních podílů, due diligence a ochranu duševního vlastnictví. Zastupovala klienty v transakcích v hodnotě přes 500 mil. Kč.

obchodní právo M&A smlouvy IP due diligence

💼 Prodáváte web nebo firmu?

Exituj.cz nabízí kompletní nástroje pro prodej webů a malých firem — jednoduchý inzerát, Data Room pro dokumenty a Q&A modul pro komunikaci s kupujícími.

Registrovat se zdarma Prohlédnout nabídky

Mohlo by vás zajímat