21.8.2019

Yrityskaupoissa ostajan vastuu kasvaa

Marriott-hotelliketjun johto sai heinäkuussa huonoja uutisia, kun Britannian tietosuojaviranomainen ICO päätti heinäkuussa esittää Marriottille 110 miljoonan euron sakkoa tietosuojavelvoitteiden rikkomisesta. Syynä oli vuonna 2018 havaittu tietomurto, jonka seurauksena yli 300 miljoonan hotellivaraajan henkilötietoja päätyi vääriin käsiin. Tietomurron kohteena olivat 30 miljoonan eurooppalaisen tiedot. Heistä seitsemän miljoonaa oli Britannian kansalaisia. 

Tietomurto on yrityskaupan peruja. Marriott osti vuonna 2016 Starwood-nimisen hotelliyhtiön, jonka tietojärjestelmien suojaus oli pettänyt jo vuonna 2014. Tämä tietoturva-aukko oli ilmeisesti jättimurron taustalla. Virhe paljastui ostajalle karusti vasta yrityskaupan jälkeen, ja viime marraskuussa Marriott ilmoitti tietomurrosta ICO:lle.

 

Perinteinen DD-tarkastus täydentyy compliance-riskiarviolla

Tietomurrot, kartellit, rahanpesu, lahjonta… Perinteinen kirjalliseen aineistoon perustuva due diligence ‑tarkastus saattaa jättää katveeseen monenlaisia riskitekijöitä. Sen rinnalla onkin viime vuosien aikana ollut vahvasti yleistymässä laajempi riskiarvio, niin sanottu compliance due diligence. Saksalainen asianajotoimisto Hengeler & Mueller ja Frankfurtin Goethe-Universität kysyivät hiljattain saksalaisilta yritysjohtajilta ja sijoittajilta, miten yleisiä laajat riskiarviot ovat. Kyselytulosten mukaan 95 prosenttia vastaajista oli sitä mieltä, että ostajat kiinnittävät entistä enemmän huomiota compliance-riskeihin. Noin kolme neljännestä piti laajaa riskiarviota tärkeänä osana yrityskauppaa, ja 85 prosenttia arvioi sen merkityksen kasvaneen viime vuosina. Erityisen tärkeä compliance-tarkastus oli vastaajien mukaan muun muassa silloin, jos kohdeyrityksen taustasta löytyy rikkomuksia, kohdeyritys toimii riskimaissa tai sillä on paljon asiakkaita julkisella sektorilla.

Kyselyraportin esipuhe muistuttaa toisesta varoittavasta esimerkistä. Investointipankki Goldman Sachs oli aikoinaan sijoittanut kaapelinvalmistaja Prysmianiin, joka oli osallisena Euroopan komissiolle paljastetussa kartellissa. Komissio määräsi Prysmianille 100 miljoonan euron sakot, josta 37 miljoonaa tuli Prysmianin ja edellisen omistajan Goldman Sachsin yhteisvastuullisesti maksettavaksi. Komissio katsoi Goldman Sachsin käyttäneen yhtiössä sellaista vaikutusvaltaa, että se voitiin panna yhtiön lisäksi vastuuseen kartellista, vaikka näyttöä Goldman Sachsin edustajien tietoisuudesta tai osallistumisesta kartellin suunnitteluun tai täytäntöönpanoon ei ollut. Euroopan unionin tuomioistuin vahvisti komission kannan.

Ostajalla ei ole varaa unohtaa tietosuojaa

Marriottin tapauksessa tietosuojaviranomainen ICO päätteli, ettei Marriott tehnyt Starwood-hotelleja ostaessaan riittävän huolellista due diligence -tarkastusta. Viraston johtaja Elizabeth Denham totesi tiedotteessa:

”Tietosuoja-asetus sanoo selkeästi, että toimijoilla on vastuu säilyttämistään henkilötiedoista. Vastuu voi tarkoittaa esimerkiksi sitä, että yrityskaupassa ostajan on tehtävä huolellinen due diligence ‑tarkastus. Ostajan pitää selvittää riittävästi, mitä henkilötietoja sille siirtyy kaupassa, mutta myös se, miten henkilötiedot on suojattu.”

”Henkilötiedot ovat arvokasta omaisuutta, ja toimijoilla on lakisääteinen velvollisuus huolehtia niiden suojaamisesta siinä missä muunkin varallisuuden. Puutumme laiminlyönteihin epäröimättä ja määrätietoisesti, sillä kysymys on yleisön oikeuksien suojaamisesta.”

Vaikka ICO:n päätös ei ole vielä lopullinen, se antaa yrityskauppaa harkitseville vahvan signaalin. Ostajan on syytä tarkastaa kohdeyrityksen tietosuoja-asiat huolellisesti. Tavanomainen asiakirja-analyysi johdon haastatteluineen ei välttämättä enää riitä huolellisuusvelvollisuuden täyttämiseksi, vaan EU:n tietosuojaviranomaiset saattavat edellyttää, että kohdeyrityksen tietojärjestelmien tekninen turvallisuus ja riittävyys on selvitetty syvällisemmin. Nyt, reilu vuosi tietosuoja-asetuksen voimaantulon jälkeen, tietosuojaviranomaiset ovat tarttuneet toimeen, ja sääntöjen vastaisesta henkilötietojen käsittelystä on määrätty jo kymmeniä sakkoja.

Tieto ehkäisee tuskaa

Compliance-riski voi käydä yrityskaupoissa erittäin kalliiksi. Sääntelyrikkomukset saattavat romuttaa yrityskaupan kannattavuuden ja tahria ostajayrityksen maineen pysyvästi. Viranomaiset myös puuttuvat väärinkäytösepäilyihin entistä hanakammin.

Perusteellinen compliance-tarkastus auttaa välttämään riskit. Kirjallisen tiedon lisäksi ostajan kannattaa haastatella myyjän tai kohdeyrityksen compliance-vastuuhenkilöitä. Keskustelu antaa usein papereita paremman kuvan siitä, miten hyvin kohdeyritys on hoitanut asiansa ja mihin toimintoihin kannattaa perehtyä tarkemmin.