Lähes kaikki yritykset käsittelevät asiakkaiden ja työntekijöiden tietoja ja siten myös henkilötietoja. Uuden EU:n tietosuoja-asetuksen myötä henkilötietojen käsittelyä koskevat säännöt muuttuvat ja rangaistukset asetuksen vaatimusten noudattamatta jättämisestä voivat nousta jopa kymmeniin miljooniin euroihin. On siis tärkeää, että viimeistään nyt henkilötietojen käsittelyn asianmukaisuuteen ryhdytään kiinnittämään erityistä huomiota myös yrityskauppojen yhteydessä.
8.9.2016
Näin huomioit tietosuojan yrityskaupassa – 6 vinkkiä
Annamari Friskopf
Palvelut
Yrityskauppatilanteessa on tarkoin harkittava, millä hetkellä ja millä perusteilla henkilötietojen luovuttaminen on sallittua. Ostajan kannalta on tärkeää saada tarpeelliset tiedot kaupan kohteesta, kun taas myyjän täytyy huolehtia, että henkilötietoja luovutetaan vain lain sallimissa rajoissa.
Koostimme alle kuusi vinkkiä, joiden avulla huomioit tietosuojan yrityskaupan jokaisessa vaiheessa.
1) Sovi tietosuojasta jo salassapitosopimuksessa
Yrityskaupan osapuolet solmivat usein salassapitosopimuksen, jossa määritellään muun muassa se, miten kaupan kohteesta prosessin aikana luovutettavia luottamuksellisia tietoja saa käsitellä. Jo tässä yhteydessä kannattaa harkita, miten ostajalle voidaan toimittaa tarvittavat tiedot kaupan kohteesta ilman, että henkilötietoja luovutetaan lain vastaisesti. Kun tietosuoja-asioista sovitaan jo yrityskauppaprojektin alkuvaiheessa, osapuolten on helppo jälkikäteen osoittaa toimineensa asianmukaisesti lain puitteissa.
2) Huomioi henkilötietojen luovuttamisen rajoitukset
Pääsääntönä henkilötietojen käsittelyssä on, että rekisterinpitäjä eli henkilötietojen käsittelystä vastaava taho ei saa luovuttaa henkilötietoja kolmannelle osapuolelle. Säännön mukaan myyjä ei siis saisi luovuttaa henkilötietoja yrityskaupan yhteydessä ostajalle ennen kaupan toteutumista.
Kohdeyhtiön työntekijöiden tai asiakkaiden henkilötietoja voi luovuttaa ostajalle ainoastaan henkilön suostumuksella tai mikäli henkilön voidaan olettaa olevan tietoinen asiasta. Koska yrityskaupat ovat luonteeltaan usein korostetun luottamuksellisia, ei suostumus tai luovutuksesta tiedottaminen usein tule kyseeseen. Poikkeuksena ovat esimerkiksi tilanteet, joissa myydään erityisesti avainhenkilöiden osaamista ja avainhenkilöt ovat tietoisia kaupasta. Lisäksi julkisesti saatavilla olevat henkilötiedot, kuten yrityksen johdon henkilötiedot, voidaan luovuttaa.
3) Mieti vaihtoehtoja henkilötietojen luovuttamiselle
Myyjä voi välttää jakamasta tietoja lainvastaisesti anonymisoimalla henkilötiedot esimerkiksi mustaamalla ne ostajalle toimitettavista asiakirjoista tai toimittamalla ostajalle oikeiden työ- ja asiakassopimusten sijaan ainoastaan mallisopimuksia. Myös erilaiset yhteenvedot, tilastot ja profiilit ovat sallittuja, mikäli niiden sisällöstä ei voi tunnistaa yksittäistä henkilöä.
Tietojen luovuttamisessa tulee muistaa tarpeellisuusvaatimus: vain yrityskaupan toteuttamiseksi tarpeellisia tietoja saa luovuttaa, ja niitäkin pääsääntöisesti vasta yrityskaupan toteutuksen yhteydessä. Ostaja harvoin tarvitsee arvonmääritystään tai riskien identifioimista varten yksilötason tietoa, jolloin vaihtoehto on yleensä löydettävissä.
4) Huolehdi tietoturvasta kokonaisvaltaisesti
Kun kaupan kohteen tietoja luovutetaan ostajalle osana ns. due diligence ‑tarkastusta, myyjän on huomioitava tietoturva myös suhteessa yrityskaupan muihin osapuoliin. Jos myyjä esimerkiksi käyttää virtuaalisia datahuonepalveluita, on hyvä sopia salassapidosta, tietoturvasta ja tietojen palauttamisesta myös palveluntarjoajan kanssa.
On tärkeää, että yrityskaupan päättymisen jälkeen luottamukselliset tiedot saadaan palautettua eikä niitä jää vääriin käsiin. Älä siis lähetä yrityskaupan kannalta salassa pidettäviä tietoja tai henkilötietoja sisältäviä materiaaleja esimerkiksi sähköpostilla.
5) Hallitse tietosuojariskit kauppakirjassa
Se, miten kohdeyhtiö on käsitellyt henkilötietoja ja dokumentoinut henkilötietojen käsittelyvaiheet, on ostajalle arvokasta tietoa. Due diligence ‑vaihe tarjoaa ostajalle mahdollisuuden havaita mahdolliset tietoturvauhat tai puutteet tietojen käsittelyssä. Havaintojensa pohjalta ostaja pystyy varautumaan mahdollisiin jälkikäteisiin sanktioihin sopimalla vastuista myyjän kanssa kirjallisesti.
Myös myyjän näkökulmasta hyvin hoidettu henkilötietojen käsittely kannattaa, sillä se saattaa nostaa myytävän kohteen arvoa. Tämä korostuu terveydenhuolto- ja hyvinvointipalveluiden sekä digitaalisten kuluttajapalveluiden kaltaisilla toimialoilla, joilla henkilötietoja käsitellään hyvin laajasti.
6) Muista yrityskaupan toteutumisen jälkeiset velvoitteet
Kun yrityskauppa toteutuu, esimerkiksi työntekijöiden henkilötiedot saa vihdoinkin luovuttaa ostajalle. Liiketoimintakaupassa ostajasta tulee lisäksi henkilötietojen osalta uusi vastuullinen osapuoli, eikä myyjällä ole enää oikeutta käsitellä työntekijä- tai asiakastietoja. Ostajan tulee huolehtia henkilötietojen lainmukaisesta käsittelystä ja päivittää muun muassa rekisteriselosteet.
Todellisuudessa myyjällä saattaa kuitenkin olla yhä pääsy ostajan hallussa oleviin henkilötietoihin vielä kaupan toteutumisen jälkeen. Näin voi olla, jos myyjä tarjoaa kohdeyhtiölle esimerkiksi palkka- tai henkilöstöhallintoon liittyviä palveluita. Tällaisia palveluita tarjotaan usein tietyn siirtymäajan kaupan toteutuksen jälkeen siihen saakka, että ostaja itse voi tai ehtii näitä palveluita järjestää. Silloin ostajan tai kohdeyhtiön tulee kuitenkin sopia myyjän kanssa kirjallisesti henkilötietojen käsittelyyn liittyvistä vastuista siltä ajalta, kun myyjä toimii henkilötietojen käsittelijänä ostajan tai kohdeyhtiön lukuun.
Yritysjärjestelyn aikajana tietosuojan näkökulmasta
Uusimmat uutiset
Julkaistu 7.5.2026 – FDI-sääntelyneuvonta
Suomen laajentuva FDI-seuranta ei saa muodostua investointien hidasteeksi
Julkaistu 2.4.2026 – Data ja teknologia
AI-agentit muuttavat pelisäännöt ja alkavat määrittää yritysten arvoa
Julkaistu 30.1.2026 – Pääomasijoittaminen
Suomen transaktiomarkkinassa resilienssin ja kasvurahoituksen vuosi
Julkaistu 25.9.2025 – Immateriaalioikeudet
Ovatko immateriaalioikeutesi suojassa? Kahdeksan tositapahtumiin perustuvaa neuvoa, joilla vältät kalliit virheet
Kiti Karvinen, Wille Järvelä & Jussi Nieminen
Topi Lusenius, Valentin Golovanov & Wille Järvelä
Karlo Siirala & Benjamin Bade
Lauri Laatunen & Janne Koivisto
Uusimmat referenssit
G&W Electric – Safegridin osto
Avustimme G&W Electriciä sen ostaessa suomalaisen Safegrid Oy:n, johtavan älykkäiden sähköverkon valvontaratkaisujen tarjoajan. Yrityskauppa nopeuttaa G&W Electricin pitkäaikaista strategiaa integroida älykäs verkonvalvonta ja ennakoiva analytiikka sähkönjakeluportfolioonsa sekä vahvistaa sen tarjontaa sähköyhtiöasiakkaille maailmanlaajuisesti. Vuonna 1905 perustettu G&W Electric on Illinoisin Bolingbrookissa pääkonttoriaan pitävä globaali johtaja innovatiivisissa sähköverkkojärjestelmissä, jolla on toimintaa yli 100 maassa. Yhtiö tunnetaan kehittyneiden kytkentälaitteiden, jälleenkytkinten, antureiden, järjestelmänsuojauslaitteiden sekä sähköverkon automaatioratkaisujen suunnittelusta ja valmistuksesta. Safegrid on suomalainen teknologiayritys, jonka pääkonttori sijaitsee Espoossa. Yhtiö kehittää Intelligent Grid System® -sähköverkon valvontaratkaisua, joka yhdistää langattomia antureita ja kehittynyttä analytiikkaa reaaliaikaisen tiedon tuottamiseksi verkon tilasta. Ratkaisu mahdollistaa sähköyhtiöille syntyvien ongelmien tunnistamisen, vikojen ennakoinnin sekä häiriöaikojen lyhentämisen keski- ja suurjännitteisillä jakelu- ja siirtoverkoilla.
Julkaistu 8.5.2026
Kiwa – Sertion osto
Avustimme Kiwaa Sertio Oy:n hankinnassa. Sertio on suomalainen ilmoitettu laitos, jonka viranomainen on nimennyt in vitro -diagnostiikkaan tarkoitetuista lääkinnällisistä laitteista annetun EU-asetuksen (IVDR) nojalla. Yhtiö tarjoaa IVDR:n mukaisia vaatimustenmukaisuuden arviointipalveluita. Kiwa on yksi maailman johtavista testaus-, tarkastus- ja sertifiointiyrityksistä, joka toimii yli 35 maassa.
Julkaistu 7.5.2026
Metsäkonepalvelu – Junnonen Forestin osakekannan ja Lameritin liiketoiminnan osto
Avustimme Metsäkonepalvelu Oy:tä sen ostaessa puunkorjuupalveluliiketoimintaa harjoittavan Junnonen Forest Oy:n koko osakekannan sekä Lamerit Oy:n puunkorjuupalveluliiketoiminnan. Yrityskauppa tukee Metsäkonepalvelu Oy:n kasvustrategiaa ja vahvistaa yhtiön asemaa erityisesti Kaakkois-Suomessa. Metsäkonepalvelu on suomalaisen perheomisteisen teollisen omistajan A. Ahlström Oy:n portfolioyhtiö. Yhtiö tuottaa koneellisen puunkorjuun palveluita metsäalan yrityksille, suurille yksityisille metsänomistajille ja julkiselle sektorille Suomessa ja Ruotsissa. Metsäkonepalvelu-konsernin palveluksessa on lähes kaksisataa metsäalan ammattilaista.
Julkaistu 6.5.2026
Scanreco – CrossControlin osto
Toimimme Scanrecon suomalaisena neuvonantajana sen hankkiessa CrossControlin. Ruotsalainen asianajotoimisto Mannheimer Swartling toimi Scanrecon pääneuvonantajana. CrossControl on Ruotsissa perustettu huipputeknologian toimittaja, joka tarjoaa edistyksellisiä näyttötietokoneita ja ajoneuvojen keskusohjausratkaisuja teollisuusajoneuvoihin ja -koneisiin. Scanreco on maailman johtava ammattikäyttöön tarkoitettujen radio-ohjausjärjestelmien toimittaja kansainvälisille kone-, raskaan kaluston ja nosturivalmistajille. Konsernin palveluksessa on noin 600 työntekijää, ja sen vuotuinen liikevaihto on noin 1,4 miljardia Ruotsin kruunua.
Julkaistu 5.5.2026