Právo a bezpečnost
GDPR při M&A transakci: Jak převést osobní údaje zákazníků

GDPR při M&A transakci: Jak převést osobní údaje zákazníků

GDPR přidává M&A transakcím další vrstvu komplexity. Jak legálně převést zákaznickou databázi, jaký je rozdíl mezi asset deal a share deal z pohledu GDPR a kdy potřebujete souhlas zákazníků.

Karolína Nováková Karolína Nováková 📖 10 min čtení 👁 27 zobrazení

Při prodeji online businessu se vždy převádějí osobní údaje — zákaznické profily, e-mailové adresy, historie objednávek, analytická data. GDPR (Nařízení EU 2016/679) stanoví přísná pravidla pro zpracování těchto údajů, a to i v kontextu M&A transakcí.

GDPR dopad dle typu transakce

Share deal — jednodušší

Při prodeji podílu v s.r.o. se správce osobních údajů nemění — stále jím je s.r.o., jen se mění jeho vlastník. Proto:

  • ❌ Není nutný souhlas zákazníků s převodem dat
  • ❌ Nemusíte zákazníky informovat o změně vlastníka
  • ✅ Stávající právní základ zpracování zůstává v platnosti
  • ✅ Consent pro marketing zůstává platný

Ale: Doporučujeme zákazníky proaktivně informovat o změně vlastníka — buduje to důvěru.

Asset deal — složitější

Při prodeji aktiv se mění správce osobních údajů. Kupující je novým správcem a musí mít vlastní právní základ pro zpracování:

  • ✅ Transakční údaje — oprávněný zájem kupujícího (plnění stávajících smluv)
  • ✅ Kontaktní údaje pro zákaznický servis — plnění smlouvy
  • ⚠️ E-mail marketing — vyžaduje nový souhlas nebo re-consent kampaň
  • ⚠️ Profilování a analytika — nutné posouzení oprávněného zájmu (balancing test)

Fáze GDPR compliance v M&A

1. Due diligence fáze

Kupující potřebuje přístup k datům pro posouzení transakce. GDPR řešení:

  • Anonymizace/pseudonymizace — sdílejte anonymizovaná data (kohorty, agregáty)
  • Právní základ: Oprávněný zájem prodávajícího na dokončení transakce
  • NDA: Kupující se zavazuje k ochraně dat
  • Minimalizace: Sdílejte jen data nutná pro DD

2. Signing fáze

V kupní smlouvě ošetřete:

  • Prohlášení prodávajícího o GDPR compliance
  • Seznam zpracovávaných osobních údajů
  • Platné souhlasy a právní základy
  • DPA (Data Processing Agreement) pro přechodné období

3. Closing a transition

  • Aktualizace privacy policy — nový správce, kontaktní údaje DPO
  • Informování subjektů údajů — dle čl. 13/14 GDPR
  • Re-consent kampaň — pro e-mail marketing (asset deal)
  • Aktualizace záznamů o zpracování — čl. 30 GDPR

Informační povinnost vůči zákazníkům

Co sdělit (asset deal)

  • Identita nového správce a jeho kontaktní údaje
  • Účely zpracování (zůstávají stejné)
  • Právní základ zpracování
  • Práva subjektů údajů (přístup, výmaz, přenositelnost)
  • Kontakt na DPO (pokud je jmenován)

Jak informovat

  • E-mail — nejefektivnější pro existující zákazníky
  • Web — aktualizace privacy policy + oznámení na webu
  • Při prvním kontaktu — nový zákaznický servis informuje při prvním kontaktu

E-mail marketing — speciální pozornost

E-mail marketing je oblast s nejvyšším rizikem při M&A:

Zákon č. 480/2004 Sb. (o některých službách informační společnosti)

  • § 7 vyžaduje předchozí souhlas příjemce s obchodními sděleními
  • Výjimka: Stávající zákazníci pro podobné výrobky/služby (soft opt-in)
  • Souhlas je vázán na konkrétního odesílatele

Doporučený postup při asset deal

  1. Prodávající odešle poslední e-mail s informací o převodu
  2. Kupující odešle uvítací e-mail s možností opt-out
  3. Pro aktivní marketing spusťte re-consent kampaň
  4. Kontakty bez re-consentu přesuňte do „suppression list"

DPA (Data Processing Agreement)

Během přechodného období, kdy prodávající ještě zpracovává data jménem kupujícího, je nutná smlouva o zpracování osobních údajů dle čl. 28 GDPR:

  • Předmět a doba zpracování
  • Povaha a účel zpracování
  • Kategorie osobních údajů a subjektů
  • Práva a povinnosti správce (kupující)
  • Zabezpečení dat
  • Sub-zpracovatelé

Přeshraniční převod dat

Pokud kupující sídlí mimo EU/EEA, je nutné zajistit adekvátní úroveň ochrany:

  • Rozhodnutí o adekvátnosti — UK, Švýcarsko, Japonsko, Kanada aj.
  • Standardní smluvní doložky (SCC) — pro ostatní země
  • Výjimky čl. 49 GDPR — souhlas, plnění smlouvy, veřejný zájem

GDPR checklist pro M&A

  1. Identifikujte všechny osobní údaje v scope transakce
  2. Zmapujte právní základy zpracování
  3. Proveďte data mapping a záznamy o zpracování
  4. Ověřte platnost souhlasů pro marketing
  5. Připravte informační sdělení pro zákazníky
  6. Uzavřete DPA pro přechodné období
  7. Aktualizujte privacy policy
  8. Naplánujte re-consent kampaň (asset deal)
  9. Zabezpečte data během DD (anonymizace)
  10. Ověřte požadavky na přeshraniční převod
💡 Tip od Exituj.cz: GDPR compliance je integrální součástí transakčního procesu na Exituj.cz. Pomůžeme vám s GDPR auditem a bezpečným převodem zákaznických dat. Zaregistrujte se.
Štítky: #data protection #DPA #GDPR #M&A #oprávněný zájem #osobní údaje #převod dat
Karolína Nováková
O autorovi

Karolína Nováková

Advokátka specializovaná na M&A

Karolína je advokátka s 12letou praxí v obchodním právu a M&A transakcích. Absolvovala Právnickou fakultu UK. Specializuje se na smlouvy o převodu obchodních podílů, due diligence a ochranu duševního vlastnictví. Zastupovala klienty v transakcích v hodnotě přes 500 mil. Kč.

obchodní právo M&A smlouvy IP due diligence

💼 Prodáváte web nebo firmu?

Exituj.cz nabízí kompletní nástroje pro prodej webů a malých firem — jednoduchý inzerát, Data Room pro dokumenty a Q&A modul pro komunikaci s kupujícími.

Registrovat se zdarma Prohlédnout nabídky

Mohlo by vás zajímat