GDPR при M&A сделки и корпоративен due diligence
Кратък отговор: GDPR се прилага пълноценно при M&A сделки — от due diligence фазата до постинтеграцията. Споделянето на данни на служители и клиенти в data room изисква правно основание (обикновено легитимен интерес), поетапно разкриване и DPA с доставчика на data room. Купувачът наследява GDPR отговорността на целевото дружество, включително за минали нарушения. 55% от M&A специалистите в Европа са виждали сделки да се провалят заради проблеми с данните.
Съдържание
- Трите фази на M&A и GDPR
- Фаза 1: Due diligence — споделяне на данни
- Data room — GDPR-съвместим подход
- Правно основание за споделяне при due diligence
- Фаза 2: Изпълнение на сделката
- Фаза 3: Постинтеграция
- Наследена GDPR отговорност
- GDPR due diligence checklist
- Най-честите грешки
- Често задавани въпроси
Сливанията и придобиванията (M&A) са сред най-сложните бизнес транзакции — и GDPR добавя допълнителен пласт на сложност. При всяка M&A сделка се обменят и обработват значителни обеми лични данни: на служители, клиенти, доставчици, контрагенти. Без правилно планиране и GDPR-съвместим процес, рискувате не само глоби, но и провал на самата сделка. В тази статия представяме практическо ръководство за всяка фаза на M&A от гледна точка на защитата на личните данни.
Трите фази на M&A и GDPR
От GDPR перспектива, M&A процесът се разделя на три фази, всяка с различни правни основания, задължения и рискове:
| Фаза | Основно правно основание | Ключов GDPR риск |
|---|---|---|
| Due Diligence | Легитимен интерес (чл. 6(1)(f)) | Прекомерно разкриване на лични данни в data room |
| Изпълнение | Договор (чл. 6(1)(b)) + законово задължение (чл. 6(1)(c)) | Неинформиране на субектите (служители, клиенти) |
| Постинтеграция | Различни — зависи от конкретната обработка | Наследена отговорност + несъвместими системи |
Фаза 1: Due diligence — споделяне на данни
При due diligence купувачът (или неговите консултанти) получава достъп до информация за целевото дружество, за да оцени рисковете и стойността. Тази информация неизбежно включва лични данни:
Какви лични данни се обменят при due diligence
| Категория | Примери | Риск за GDPR |
|---|---|---|
| Данни на служители | Имена, длъжности, заплати, стаж, бонуси, оценки | Висок — чувствителна HR информация |
| Данни на ключови лица | Управители, прокуристи, членове на борда | Среден — публично достъпна част от тях |
| Данни на клиенти | Клиентски бази, договори, контакти | Висок — търговска тайна + лични данни |
| Данни на доставчици | Договори, контакти на ФЛ-доставчици | Среден |
| Правни спорове | Данни за страни по дела, жалби пред КЗЛД | Висок — може да съдържа чувствителна информация |
| GDPR документация | ROPA, DPA, DPIA, записи за течове | Нисък — не съдържа данни на субекти |
Data room — GDPR-съвместим подход
Поетапното разкриване на информация в data room е единственият подход, съвместим с принципа за минимизация на данните (чл. 5(1)(c) GDPR). Разкриването трябва да е пропорционално на етапа на сделката:
Поетапно разкриване (staged disclosure)
Етап 1: Ранна фаза (предварителен интерес)
Какво да разкриете:
- Агрегирани/анонимизирани данни: брой служители, разпределение по отдели, средни заплати по длъжност
- Финансови показатели без лични данни
- Структурна информация за GDPR съответствие (дали имат DPO, ROPA, брой обработващи)
НЕ разкривайте: имена, ЕГН, индивидуални заплати, клиентски списъци
Етап 2: Среден етап (след Letter of Intent)
Какво да разкриете:
- Псевдонимизирани данни: длъжности и заплати без имена
- Обобщени клиентски данни (брой, сектор, оборот без имена)
- Правни спорове (анонимизирани)
- DPA и договори (с редактирани лични данни)
Изисквания: NDA подписано от купувача
Етап 3: Финален етап (пред closing)
Какво може да се разкрие:
- Индивидуални данни на ключови лица (управители, топ мениджмънт)
- Ограничен достъп до клиентски договори (с NDA + DPA)
- Пълна GDPR документация за оценка на рисковете
Изисквания: NDA + DPA с доставчика на data room + обоснованост на всеки достъп
Критично: NDA (споразумение за неразкриване) не е достатъчен заместител на DPA. Ако data room се предоставя от трета страна (Intralinks, Datasite, Ansarada и др.), тази страна е обработващ лични данни и трябва да има DPA по чл. 28 GDPR. NDA и DPA имат различни функции и двата са необходими.
Правно основание за споделяне при due diligence
Продавачът (seller), който разкрива лични данни в data room, трябва да има правно основание за това споделяне:
| Правно основание | Приложимост при M&A | Бележки |
|---|---|---|
| Легитимен интерес (чл. 6(1)(f)) | Основното основание за due diligence фазата | Продавачът има легитимен интерес да продаде бизнеса си; купувачът — да оцени рисковете |
| Договор (чл. 6(1)(b)) | След подписване на SPA — за изпълнение на договора | Само ако обработката е обективно необходима за изпълнение |
| Законово задължение (чл. 6(1)(c)) | Специфични регулаторни изисквания | Напр. уведомяване на КЗК при концентрация |
| Съгласие (чл. 6(1)(a)) | НЕ се препоръчва | Непрактично — невъзможно да се получи от хиляди клиенти и служители |
LIA при due diligence
При използване на легитимен интерес е необходима оценка на легитимния интерес (LIA). Тристепенният тест се прилага така:
- Легитимен интерес: Продавачът има легитимен интерес да продаде бизнеса си. Купувачът — да извърши информиран due diligence. CJEU е потвърдил, че комерсиалните интереси са легитимни.
- Необходимост: Споделянето на определени данни е обективно необходимо за оценка на стойността и рисковете. Поетапният подход гарантира минимизация.
- Балансиране: Интересите на субектите (служители, клиенти) се защитават чрез: NDA, ограничен кръг лица с достъп, поетапно разкриване, анонимизация/псевдонимизация в ранните фази.
Recital 48 GDPR: Предаването на лични данни в рамките на група от предприятия за вътрешни административни цели е признато за легитимен интерес. Това е приложимо и при M&A, когато сделката е достигнала достатъчно зряла фаза.
Планирате M&A сделка? Осигурете GDPR съответствие
- GDPR due diligence на целевото дружество
- Структуриране на data room в съответствие с GDPR
- LIA за споделяне на данни при due diligence
- Постинтеграционен GDPR план
Фаза 2: Изпълнение на сделката (signing → closing)
Между подписването на договора за покупко-продажба (SPA) и closing-а настъпват допълнителни GDPR задължения:
Информиране на субектите на данни
При промяна на администратора (от продавач към купувач) е необходимо уведомяване по чл. 14 GDPR:
- Служители: Информирайте ги, че данните им ще бъдат предадени на новия собственик. При преобразуване по чл. 123 КТ (прехвърляне на предприятие) трудовите правоотношения преминават автоматично, но информационните задължения по GDPR остават.
- Клиенти: Уведомете ги за промяната в администратора. Актуализирайте privacy notice-а.
- Доставчици и контрагенти: Информирайте ги за новия контролиращ субект.
Timing: Уведомяването на служителите преди closing може да създаде бизнес рискове (текучество, конкурентни действия). GDPR обаче изисква информирането да стане „в разумен срок“ след получаването на данните от новия администратор — обикновено до 1 месец (чл. 14(3)(a)). Балансирайте внимателно.
Преглед на DPA
Ако целевото дружество има DPA с обработващи (счетоводители, IT доставчици, облачни услуги), тези договори трябва да бъдат прегледани и потенциално предоговорени след промяната на собствеността.
Фаза 3: Постинтеграция
След приключване на сделката започва най-сложната GDPR фаза — интеграцията на две (или повече) организации с потенциално различни GDPR практики:
Ключови задачи при постинтеграция
| Задача | Какво включва | Срок |
|---|---|---|
| Актуализация на privacy notice | Нов администратор, нови цели, нови получатели | До 1 месец след closing |
| Обединяване на бази данни | Миграция на клиентски и HR данни; проверка на правните основания | 3-6 месеца |
| Преглед на ROPA | Обединяване на регистрите; нови дейности по обработване | До 3 месеца |
| Преглед и предоговаряне на DPA | Всички DPA с обработващи трябва да отразяват новия администратор | До 3 месеца |
| Хармонизиране на retention policy | Уеднаквяване на сроковете за съхранение | 3-6 месеца |
| Преглед на съгласия | Проверка дали съществуващите съгласия покриват новите цели | До 3 месеца |
| DPO назначаване | Дали обединената организация се нуждае от ДЛЗД | Незабавно |
Обединяване на клиентски бази данни
Едно от най-деликатните действия при постинтеграция е обединяването на клиентски бази данни. Ако и двете дружества имат клиенти, за които се разчита на различни правни основания (напр. съгласие при едното и легитимен интерес при другото), трябва внимателно да оцените:
- Дали правните основания остават валидни след промяната на администратора
- Дали съгласията обхващат обработката от нов администратор (обикновено — не)
- Дали има необходимост от ново съгласие или друго основание
- Дали обединената база създава нови рискове (профилиране, по-голям обем данни)
Маркетинг след M&A: Ако придобитата компания е имала маркетингови списъци на база съгласие, новият собственик не може автоматично да ги използва. Съгласието е дадено на конкретен администратор за конкретни цели. Необходимо е или ново съгласие, или друго правно основание.
Наследена GDPR отговорност
Един от най-сериозните рискове при M&A е наследяването на GDPR отговорност за нарушения, извършени преди сделката.
Случай: Marriott / Starwood (2020)
Факти: Marriott придоби Starwood Hotels през 2016 г. През 2018 г. се установи, че хакери са имали достъп до базата данни на Starwood от 2014 г., засягайки 339 милиона записа.
Резултат: ICO наложи глоба от 18,4 млн. GBP на Marriott — въпреки че пробивът е започнал преди придобиването.
Извод: GDPR due diligence е от критично значение — купувачът трябва да установи дали целевото дружество има известни или потенциални нарушения преди closing.
GDPR due diligence checklist
При оценка на целевото дружество, включете следните GDPR проверки:
Червени флагове (red flags)
- Липса на ROPA
- Липса на DPA с обработващи (счетоводител, хостинг, SaaS)
- Неуредени жалби или производства пред КЗЛД
- Липса на ДЛЗД (DPO), когато е задължителен
- Международни трансфери без законен механизъм (DPF, SCCs)
- История на течове на данни без правилно уведомяване
- Липса на документирани правни основания за обработването
- Липса на privacy notice или неактуален такъв
- Маркетингови списъци без доказателство за съгласие
- Данни, съхранявани отвъд законовите срокове
Зелени сигнали
- Актуален ROPA, покриващ всички дейности по обработване
- DPA с всички обработващи, включително облачни услуги
- Назначен ДЛЗД (когато е необходим)
- Документирани правни основания за всяка обработка
- Актуален privacy notice, достъпен онлайн
- Процедура за уведомяване при теч на данни
- Чиста история пред КЗЛД (без глоби или неуредени жалби)
- DPIA за високорискови обработки
- Обучения на персонала по GDPR
Как GDPR рисковете влияят на цената
GDPR рисковете все по-често се отразяват в ценообразуването на M&A сделки:
- Цена на GDPR remediation: Разходите за привеждане в съответствие след сделката (ROPA, DPA, privacy notice, обучения) могат да бъдат значителни и трябва да се калкулират
- Потенциални глоби: Ако due diligence разкрие минали нарушения, потенциалната глоба трябва да бъде отчетена в цената или покрита с warranty/indemnity клаузи в SPA
- Стойност на клиентските данни: Ако клиентските данни са основна причина за придобиването (напр. база за маркетинг), но са събрани без валидно правно основание — стойността им е нула
GDPR due diligence за Вашата M&A сделка
- Пълна GDPR оценка на целевото дружество
- Структуриране на data room съобразно GDPR
- GDPR warranty и indemnity клаузи в SPA
- Постинтеграционен план за GDPR съответствие
Най-честите грешки при M&A и GDPR
- Разкриване на индивидуални данни на служители в ранна фаза на due diligence
- Липса на DPA с доставчика на виртуален data room
- Приемане, че NDA е достатъчен (NDA ≠ DPA)
- Неизвършване на GDPR due diligence (само финансов и правен)
- Неуведомяване на служителите след closing
- Обединяване на бази данни без проверка на правните основания
- Автоматично използване на маркетинговите списъци на придобитото дружество
- Липса на GDPR warranty/indemnity клаузи в SPA
- Пренебрегване на вътрешногруповите трансфери след интеграция
- Поетапно разкриване: анонимизирано → псевдонимизирано → индивидуално
- DPA с data room доставчика (Intralinks, Datasite и др.)
- LIA за споделянето на данни при due diligence
- GDPR due diligence checklist като стандартна част от процеса
- Уведомяване на субектите в разумен срок след closing
- Постинтеграционен GDPR план с конкретни срокове
- GDPR representations и indemnities в SPA
Практически timeline
| Период | Действие | Отговорно лице |
|---|---|---|
| Преди LoI | Анонимизирани данни в data room; NDA | Продавач + M&A консултант |
| След LoI | Псевдонимизирани данни; LIA; DPA с data room | Продавач + GDPR консултант |
| Пред signing | GDPR due diligence на целевото дружество; GDPR клаузи в SPA | Купувач + адвокат |
| Signing → Closing | Подготовка на уведомления; преглед на DPA | Двете страни |
| 0-1 месец след closing | Уведомяване на субекти (чл. 14); актуализация на privacy notice | Купувач (нов администратор) |
| 1-3 месеца след closing | Обединяване на ROPA; предоговаряне на DPA | Купувач + DPO |
| 3-6 месеца след closing | Миграция на бази данни; хармонизиране на retention policy | Купувач + IT + DPO |
Често задавани въпроси
Какво правно основание се използва за споделяне на данни при due diligence?
Основното правно основание е легитимен интерес (чл. 6(1)(f) GDPR). Продавачът има легитимен интерес да продаде бизнеса, купувачът — да оцени рисковете. Необходима е документирана LIA, която отчита поетапното разкриване и мерките за защита (NDA, ограничен достъп, анонимизация).
Как да организирам data room в съответствие с GDPR?
Прилагайте поетапно разкриване: ранна фаза — само агрегирани/анонимизирани данни; средна фаза — псевдонимизирани (без имена); финална — индивидуални данни само за ключови лица. Сключете DPA с доставчика на data room. Ограничете достъпа до минималния необходим кръг лица. Документирайте всеки достъп.
Наследявам ли GDPR глоби при придобиване на дружество?
Да. При придобиване на дялове/акции юридическото лице остава същото и новият собственик наследява всички задължения, включително GDPR отговорността. Случаят Marriott/Starwood показа, че купувачът може да бъде глобен за нарушения, започнали преди придобиването. Затова GDPR due diligence е от съществено значение.
Кога трябва да информирам служителите на целевата компания?
По чл. 14(3)(a) GDPR — в „разумен срок“ след получаване на данните, но не повече от 1 месец. На практика уведомяването обикновено става непосредствено след closing, за да не се компрометира конфиденциалността на сделката. Уведомлението трябва да съдържа всички елементи по чл. 14.
Трябва ли DPA с доставчика на виртуален data room?
Да, задължително. Доставчикът на data room (Intralinks, Datasite, Ansarada и др.) е обработващ лични данни по чл. 28 GDPR. Необходим е DPA с всички задължителни елементи. Повечето доставчици предлагат готов DPA — проверете дали покрива чл. 28(3). Вижте статията за DPA с облачни доставчици.
Как да обработвам клиентски данни на придобитото дружество след сделката?
Проверете на какво правно основание са събрани данните. Ако е съгласие — вероятно трябва ново, защото съгласието е дадено на конкретен администратор. Ако е договор или легитимен интерес — основанието може да остане валидно, но актуализирайте privacy notice-а. Никога не обединявайте бази данни без предварителен GDPR анализ.
Какво е GDPR due diligence и какво трябва да проверя?
GDPR due diligence е оценка на GDPR съответствието на целевото дружество. Проверете: наличие на ROPA, DPA с обработващи, privacy notice, ДЛЗД, DPIA за високорискови обработки, история на течове и жалби, международни трансфери, retention policy и документирани правни основания. Всяка липса е потенциален финансов риск.
Може ли GDPR нарушение да намали цената на M&A сделка?
Да, и това е все по-честа практика. Потенциалните GDPR глоби, разходите за remediation и рискът от наследена отговорност се калкулират в цената. При сериозни нарушения (липса на ROPA, незаконни трансфери, неуредени жалби) купувачите обикновено искат ценово намаление или специални indemnity клаузи.
Комплексна GDPR услуга при M&A сделки
- GDPR due diligence на целевото дружество
- Структуриране на GDPR-съвместим data room
- Изготвяне на GDPR representations и warranties за SPA
- Постинтеграционен GDPR план с timeline
- Обучение на екипа по интеграция
Тази статия отразява правното положение към 26 март 2026 г. Информацията е с информативен характер и не представлява правна консултация. M&A сделките изискват индивидуален подход и комплексна правна оценка. За конкретни въпроси относно Вашата сделка се обърнете към квалифициран специалист по защита на личните данни и корпоративно право.
Получавайте нови статии директно в пощата си
Практически анализи по GDPR и киберсигурност. Без спам.
Можете да се отпишете по всяко време. Политика за поверителност
Адв. Димитрова е CIPP/E сертифициран специалист по защита на лични данни с дългогодишен опит в правото на ЕС. Адв. Чолаков е експерт по GDPR съответствие, международни трансфери на данни и whistleblowing. Заедно консултират над 90 компании за пълно GDPR съответствие.