GDPR при M&A сделки и корпоративен due diligence
Кратък отговор: GDPR се прилага пълноценно при M&A сделки — от due diligence фазата до постинтеграцията. Споделянето на данни на служители и клиенти в виртуална стая за данни изисква правно основание (обикновено легитимен интерес), поетапно разкриване и DPA с доставчика на виртуална стая за данни. Купувачът наследява GDPR отговорността на целевото дружество, включително за минали нарушения. 55% от M&A специалистите в Европа сочат, че са ставали свидетели на провалени сделки заради проблеми с данните.
Съдържание
- Трите фази на M&A и GDPR
- Фаза 1: Due diligence — споделяне на данни
- Data room — GDPR-съвместим подход
- Правно основание за споделяне при due diligence
- Фаза 2: Изпълнение на сделката
- Фаза 3: Постинтеграция
- Наследена GDPR отговорност
- GDPR due diligence контролен списък
- Най-честите грешки
- Често задавани въпроси
Сливанията и придобиванията (M&A) са сред най-сложните бизнес транзакции — и GDPR усложнява процеса допълнително. При всяка M&A сделка се обменят и обработват значителни обеми лични данни: на служители, клиенти, доставчици, контрагенти. Без правилно планиране и GDPR-съвместим процес, рискувате не само глоби, но и провал на самата сделка. По-долу разглеждаме всяка фаза на M&A през призмата на защитата на личните данни.
Трите фази на M&A и GDPR
От GDPR перспектива, M&A процесът се разделя на три фази, всяка с различни правни основания, задължения и рискове:
| Фаза | Основно правно основание | Ключов GDPR риск |
|---|---|---|
| Due Diligence | Легитимен интерес (чл. 6(1)(е)) | Прекомерно разкриване на лични данни в виртуална стая за данни |
| Изпълнение | Договор (чл. 6(1)(б)) + законово задължение (чл. 6(1)(в)) | Неинформиране на субектите (служители, клиенти) |
| Постинтеграция | Различни — зависи от конкретната обработка | Наследена отговорност + несъвместими системи |
Фаза 1: Due diligence — споделяне на данни
При due diligence купувачът (или неговите консултанти) получава достъп до информация за целевото дружество, за да оцени рисковете и стойността. Тази информация неизбежно включва лични данни:
Какви лични данни се обменят при due diligence
| Категория | Примери | Риск за GDPR |
|---|---|---|
| Данни на служители | Имена, длъжности, заплати, стаж, бонуси, оценки | Висок — чувствителна HR информация |
| Данни на ключови лица | Управители, прокуристи, членове на борда | Среден — публично достъпна част от тях |
| Данни на клиенти | Клиентски бази, договори, контакти | Висок — търговска тайна + лични данни |
| Данни на доставчици | Договори, контакти на ФЛ-доставчици | Среден |
| Правни спорове | Данни за страни по дела, жалби пред КЗЛД | Висок — може да съдържа чувствителна информация |
| GDPR документация | ROPA, DPA, DPIA, записи за течове | Нисък — не съдържа данни на субекти |
Data room — GDPR-съвместим подход
Само поетапното разкриване във виртуалната стая за данни е съвместимо с принципа за минимизация (чл. 5(1)(в) GDPR) (чл. 5(1)(в) GDPR). Разкриването трябва да е пропорционално на етапа на сделката:
Поетапно разкриване по фази
Етап 1: Ранна фаза (предварителен интерес)
Какво да разкриете:
- Агрегирани/анонимизирани данни: брой служители, разпределение по отдели, средни заплати по длъжност
- Финансови показатели без лични данни
- Структурна информация за GDPR съответствие (дали имат DPO, ROPA, брой обработващи)
НЕ разкривайте: имена, ЕГН, индивидуални заплати, клиентски списъци
Етап 2: Среден етап (след писмо за намерения (Letter of Intent))
Какво да разкриете:
- Псевдонимизирани данни: длъжности и заплати без имена
- Обобщени клиентски данни (брой, сектор, оборот без имена)
- Правни спорове (анонимизирани)
- DPA и договори (с редактирани лични данни)
Изисквания: NDA подписано от купувача
Етап 3: Финален етап (пред closing)
Какво може да се разкрие:
- Индивидуални данни на ключови лица (управители, висш ръководен персонал)
- Ограничен достъп до клиентски договори (с NDA + DPA)
- Пълна GDPR документация за оценка на рисковете
Изисквания: NDA + DPA с доставчика на виртуална стая за данни + обоснованост на всеки достъп
Критично: NDA (споразумение за неразкриване) не е достатъчен заместител на DPA. Ако виртуална стая за данни се предоставя от трета страна (Intralinks, Datasite, Ansarada и др.), тази страна е обработващ лични данни и трябва да има DPA по чл. 28 GDPR. NDA и DPA изпълняват различни функции — необходими са и двата документа.
Правно основание за споделяне при due diligence
Продавачът (seller), който разкрива лични данни в виртуална стая за данни, трябва да има правно основание за това споделяне:
| Правно основание | Приложимост при M&A | Бележки |
|---|---|---|
| Легитимен интерес (чл. 6(1)(е)) | Основното основание за due diligence фазата | Продавачът има легитимен интерес от продажбата на бизнеса си, а купувачът — от оценката на рисковете |
| Договор (чл. 6(1)(б)) | След подписване на SPA — за изпълнение на договора | Само ако обработката е обективно необходима за изпълнение |
| Законово задължение (чл. 6(1)(в)) | Специфични регулаторни изисквания | Напр. уведомяване на КЗК при концентрация |
| Съгласие (чл. 6(1)(а)) | НЕ се препоръчва | Непрактично — невъзможно да се получи от хиляди клиенти и служители |
LIA при due diligence
При използване на легитимен интерес е необходима оценка на легитимния интерес (LIA). Тристепенният тест се прилага така:
- Легитимен интерес: Продавачът има легитимен интерес да продаде бизнеса си. Купувачът има интерес да извърши задълбочена проверка преди сделката. CJEU е потвърдил, че комерсиалните интереси са легитимни.
- Необходимост: Споделянето на определени данни е обективно необходимо за оценка на стойността и рисковете. Поетапният подход гарантира минимизация.
- Балансиране: Интересите на субектите (служители, клиенти) се защитават с NDA, ограничен кръг получатели на достъп, поетапно разкриване и анонимизация или псевдонимизация в ранните фази.
Recital 48 GDPR: Предаването на лични данни в рамките на група от предприятия за вътрешни административни цели е признато за легитимен интерес. Това е приложимо и при M&A, когато сделката е достигнала достатъчно зряла фаза.
Планирате M&A сделка? Осигурете GDPR съответствие
- GDPR due diligence на целевото дружество
- Структуриране на виртуална стая за данни в съответствие с GDPR
- LIA за споделяне на данни при due diligence
- Постинтеграционен GDPR план
Фаза 2: Изпълнение на сделката (signing → closing)
Между подписването на договора за покупко-продажба (SPA) и closing-а настъпват допълнителни GDPR задължения:
Информиране на субектите на данни
При промяна на администратора (от продавач към купувач) е необходимо уведомяване по чл. 14 GDPR:
- Служители: Информирайте ги, че данните им ще бъдат предадени на новия собственик. При промяна на работодателя по чл. 123 КТ (прехвърляне на предприятие или част от него) трудовите правоотношения преминават автоматично, но информационните задължения по GDPR остават.
- Клиенти: Уведомете ги за промяната в администратора. Актуализирайте privacy notice-а.
- Доставчици и контрагенти: Информирайте ги за новия контролиращ субект.
Timing: Уведомяването на служителите преди closing може да създаде бизнес рискове (текучество, конкурентни действия). GDPR обаче изисква информирането да стане „в разумен срок“ след получаването на данните от новия администратор — обикновено до 1 месец (чл. 14(3)(а)). Преценете внимателно момента според конкретните рискове за бизнеса и нормативните срокове.
Преглед на DPA
Ако целевото дружество има DPA с обработващи (счетоводители, IT доставчици, облачни услуги), тези договори трябва да бъдат прегледани и потенциално предоговорени след промяната на собствеността.
Фаза 3: Постинтеграция
След приключване на сделката започва най-сложната GDPR фаза — интеграцията на две (или повече) организации с потенциално различни GDPR практики:
Ключови задачи при постинтеграция
| Задача | Какво включва | Срок |
|---|---|---|
| Актуализация на privacy notice | Нов администратор, нови цели, нови получатели | До 1 месец след closing |
| Обединяване на бази данни | Миграция на клиентски и HR данни; проверка на правните основания | 3-6 месеца |
| Преглед на ROPA | Обединяване на регистрите; нови дейности по обработване | До 3 месеца |
| Преглед и предоговаряне на DPA | Всички DPA с обработващи трябва да отразяват новия администратор | До 3 месеца |
| Хармонизиране на политика за съхранение | Уеднаквяване на сроковете за съхранение | 3-6 месеца |
| Преглед на съгласия | Проверка дали съществуващите съгласия покриват новите цели | До 3 месеца |
| DPO назначаване | Дали обединената организация се нуждае от ДЛЗД | Незабавно |
Обединяване на клиентски бази данни
Един от най-чувствителните етапи при постинтеграция е обединяването на клиентските бази данни. Ако и двете дружества имат клиенти, за които се разчита на различни правни основания (напр. съгласие при едното и легитимен интерес при другото), трябва внимателно да оцените:
- Дали правните основания остават валидни след промяната на администратора
- Дали съгласията обхващат обработката от нов администратор (обикновено — не)
- Дали има необходимост от ново съгласие или друго основание
- Дали обединената база създава нови рискове (профилиране, по-голям обем данни)
Маркетинг след M&A: Ако придобитата компания е имала маркетингови списъци на база съгласие, новият собственик не може автоматично да ги използва. Съгласието е дадено на конкретен администратор за конкретни цели. Необходимо е или ново съгласие, или друго правно основание.
Наследена GDPR отговорност
Един от най-сериозните рискове при M&A е наследяването на GDPR отговорност за нарушения, извършени преди сделката.
Случай: Marriott / Starwood (2020)
Факти: Marriott придоби Starwood Hotels през 2016 г. През 2018 г. се установи, че хакери са имали достъп до базата данни на Starwood от 2014 г., засягайки 339 милиона записа.
Резултат: ICO наложи глоба от 18,4 млн. GBP на Marriott — въпреки че пробивът е започнал преди придобиването.
Извод: GDPR due diligence е от критично значение — купувачът трябва да установи дали целевото дружество има известни или потенциални нарушения преди closing.
GDPR due diligence контролен списък
При оценка на целевото дружество, включете следните GDPR проверки:
Червени флагове (red flags)
- Липса на ROPA
- Липса на DPA с обработващи (счетоводител, хостинг, SaaS)
- Неуредени жалби или производства пред КЗЛД
- Липса на ДЛЗД (DPO), когато е задължителен
- Международни трансфери без законен механизъм (DPF, SCCs)
- История на течове на данни без правилно уведомяване
- Липса на документирани правни основания за обработването
- Липса на privacy notice или неактуален такъв
- Маркетингови списъци без доказателство за съгласие
- Данни, съхранявани отвъд законовите срокове
Зелени сигнали
- Актуален ROPA, покриващ всички дейности по обработване
- DPA с всички обработващи, включително облачни услуги
- Назначен ДЛЗД (когато е необходим)
- Документирани правни основания за всяка обработка
- Актуален privacy notice, достъпен онлайн
- Процедура за уведомяване при теч на данни
- Чиста история пред КЗЛД (без глоби или неуредени жалби)
- DPIA за високорискови обработки
- Обучения на персонала по GDPR
Как GDPR рисковете влияят на цената
GDPR рисковете все по-често се отразяват в ценообразуването на M&A сделки:
- Цена на GDPR привеждане в съответствие: Разходите за привеждане в съответствие след сделката (ROPA, DPA, privacy notice, обучения) могат да бъдат значителни и трябва да се калкулират
- Потенциални глоби: Ако due diligence разкрие минали нарушения, потенциалната глоба трябва да бъде отчетена в цената или покрита с гаранции и обезщетения клаузи в SPA
- Стойност на клиентските данни: Ако клиентските данни са основна причина за придобиването (напр. база за маркетинг), но са събрани без валидно правно основание — стойността им за купувача е практически нулева
GDPR due diligence за Вашата M&A сделка
- Пълна GDPR оценка на целевото дружество
- Структуриране на виртуална стая за данни съобразно GDPR
- GDPR warranty и indemnity клаузи в SPA
- Постинтеграционен план за GDPR съответствие
Най-честите грешки при M&A и GDPR
- Разкриване на индивидуални данни на служители в ранна фаза на due diligence
- Липса на DPA с доставчика на виртуален виртуална стая за данни
- Приемане, че NDA е достатъчен (NDA ≠ DPA)
- Неизвършване на GDPR due diligence (само финансов и правен)
- Неуведомяване на служителите след closing
- Обединяване на бази данни без проверка на правните основания
- Автоматично използване на маркетинговите списъци на придобитото дружество
- Липса на GDPR гаранции и обезщетения клаузи в SPA
- Пренебрегване на вътрешногруповите трансфери след интеграция
- Поетапно разкриване: анонимизирано → псевдонимизирано → индивидуално
- DPA с виртуална стая за данни доставчика (Intralinks, Datasite и др.)
- LIA за споделянето на данни при due diligence
- GDPR due diligence контролен списък като стандартна част от процеса
- Уведомяване на субектите в разумен срок след closing
- Постинтеграционен GDPR план с конкретни срокове
- GDPR representations и indemnities в SPA
Практически timeline
| Период | Действие | Отговорно лице |
|---|---|---|
| Преди LoI | Анонимизирани данни в виртуална стая за данни; NDA | Продавач + M&A консултант |
| След LoI | Псевдонимизирани данни; LIA; DPA с виртуална стая за данни | Продавач + GDPR консултант |
| Пред signing | GDPR due diligence на целевото дружество; GDPR клаузи в SPA | Купувач + адвокат |
| Signing → Closing | Подготовка на уведомления; преглед на DPA | Двете страни |
| 0-1 месец след closing | Уведомяване на субекти (чл. 14); актуализация на privacy notice | Купувач (нов администратор) |
| 1-3 месеца след closing | Обединяване на ROPA; предоговаряне на DPA | Купувач + DPO |
| 3-6 месеца след closing | Миграция на бази данни; хармонизиране на политика за съхранение | Купувач + IT + DPO |
Често задавани въпроси
Какво правно основание се използва за споделяне на данни при due diligence?
Основното правно основание е легитимен интерес (чл. 6(1)(е) GDPR). Продавачът има легитимен интерес да продаде бизнеса, купувачът — да оцени рисковете. Необходима е документирана LIA, която отчита поетапното разкриване и мерките за защита (NDA, ограничен достъп, анонимизация).
Как да организирам виртуална стая за данни в съответствие с GDPR?
Прилагайте поетапно разкриване: ранна фаза — само агрегирани/анонимизирани данни; средна фаза — псевдонимизирани (без имена); финална — индивидуални данни само за ключови лица. Сключете DPA с доставчика на виртуална стая за данни. Ограничете достъпа до минималния необходим кръг лица. Документирайте всеки достъп.
Наследявам ли GDPR глоби при придобиване на дружество?
Да. При придобиване на дялове/акции юридическото лице остава същото и новият собственик наследява всички задължения, включително GDPR отговорността. Случаят Marriott/Starwood показа, че купувачът може да бъде глобен за нарушения, започнали преди придобиването. Затова GDPR due diligence е от съществено значение.
Кога трябва да информирам служителите на целевата компания?
По чл. 14(3)(а) GDPR — в „разумен срок“ след получаване на данните, но не повече от 1 месец. На практика уведомяването обикновено става непосредствено след closing, за да не се компрометира конфиденциалността на сделката. Уведомлението трябва да съдържа всички елементи по чл. 14.
Трябва ли DPA с доставчика на виртуален виртуална стая за данни?
Да, задължително. Доставчикът на виртуална стая за данни (Intralinks, Datasite, Ansarada и др.) е обработващ лични данни по чл. 28 GDPR. Необходим е DPA с всички задължителни елементи. Повечето доставчици предлагат готов DPA — проверете дали покрива чл. 28(3). Вижте статията за DPA с облачни доставчици.
Как да обработвам клиентски данни на придобитото дружество след сделката?
Проверете на какво правно основание са събрани данните. Ако е съгласие — вероятно трябва ново, защото съгласието е дадено на конкретен администратор. Ако е договор или легитимен интерес — основанието може да остане валидно, но актуализирайте privacy notice-а. Никога не обединявайте бази данни без предварителен GDPR анализ.
Какво е GDPR due diligence и какво трябва да проверя?
GDPR due diligence е оценка на GDPR съответствието на целевото дружество. Проверете: наличие на ROPA, DPA с обработващи, privacy notice, ДЛЗД, DPIA за високорискови обработки, история на течове и жалби, международни трансфери, политика за съхранение и документирани правни основания. Всяка липса е потенциален финансов риск.
Може ли GDPR нарушение да намали цената на M&A сделка?
Да, и това е все по-честа практика. Потенциалните GDPR глоби, разходите за привеждане в съответствие и рискът от наследена отговорност се калкулират в цената. При сериозни нарушения (липса на ROPA, незаконни трансфери, неуредени жалби) купувачите обикновено искат ценово намаление или специални indemnity клаузи.
Комплексна GDPR услуга при M&A сделки
- GDPR due diligence на целевото дружество
- Структуриране на GDPR-съвместим виртуална стая за данни
- Изготвяне на GDPR representations и warranties за SPA
- Постинтеграционен GDPR план с timeline
- Обучение на екипа по интеграция
Тази статия отразява правното положение към 26 март 2026 г. Информацията е с информативен характер и не представлява правна консултация. M&A сделките изискват индивидуален подход и комплексна правна оценка. За конкретни въпроси относно Вашата сделка се обърнете към квалифициран специалист по защита на личните данни и корпоративно право.
Получавайте нови статии директно в пощата си
Практически анализи по GDPR и киберсигурност. Без спам.
Можете да се отпишете по всяко време. Политика за поверителност
Адв. Димитрова е CIPP/E сертифициран специалист по защита на лични данни с дългогодишен опит в правото на ЕС. Адв. Чолаков е експерт по GDPR съответствие, международни трансфери на данни и whistleblowing. Заедно консултират над 90 компании за пълно GDPR съответствие.