Yrityskaupoissa ostajan vastuu kasvaa

Vastuuseen voi joutua, vaikka luopuisi omistuksestaan

Kyselyraportin esipuhe muistuttaa varoittavasta esimerkistä. Kansainvälinen investointipankki oli aikoinaan sijoittanut kaapeleita valmistavaan yhtiöön, joka oli osallisena Euroopan komissiolle paljastetussa kartellissa. Komissio määräsi kaapeliyhtiölle 100 miljoonan euron sakot, josta 37 miljoonaa tuli yhtiön ja investointipankin ­– yhtiön aiemman omistajan – yhteisvastuullisesti maksettavaksi. Komissio katsoi pankin käyttäneen kaapeliyhtiössä sellaista vaikutusvaltaa, että se voitiin panna yhtiön lisäksi vastuuseen kartellista, vaikka näyttöä pankin edustajien tietoisuudesta tai osallistumisesta kartellin suunnitteluun tai täytäntöönpanoon ei ollut. Euroopan unionin tuomioistuin vahvisti komission kannan.

Ostajalla ei ole varaa unohtaa tietosuojaa

Britanniassa tietosuojaviranomainen ICO päätti heinäkuussa esittää suurelle ravintola- ja matkailualan konsernille 110 miljoonan euron sakkoa tietosuojavelvoitteiden rikkomisesta. Konsernissa sattui suuri tietomurto, joka oli yrityskaupan peruja: konserni oli ostanut vuonna 2016 toisen yhtiön, jonka tietojärjestelmien suojaus oli pettänyt. ICO päätteli, ettei ostaja tehnyt yrityskaupassa riittävän huolellista due diligence ‑tarkastusta. Viraston johtaja Elizabeth Denham totesi tiedotteessa:

”Tietosuoja-asetus sanoo selkeästi, että toimijoilla on vastuu säilyttämistään henkilötiedoista. Vastuu voi tarkoittaa esimerkiksi sitä, että yrityskaupassa ostajan on tehtävä huolellinen due diligence ‑tarkastus. Ostajan pitää selvittää riittävästi, mitä henkilötietoja sille siirtyy kaupassa, mutta myös se, miten henkilötiedot on suojattu.”

”Henkilötiedot ovat arvokasta omaisuutta, ja toimijoilla on lakisääteinen velvollisuus huolehtia niiden suojaamisesta siinä missä muunkin varallisuuden. Puutumme laiminlyönteihin epäröimättä ja määrätietoisesti, sillä kysymys on yleisön oikeuksien suojaamisesta.”

Vaikka ICO:n päätös ei ole vielä lopullinen, se antaa yrityskauppaa harkitseville vahvan signaalin. Ostajan on syytä tarkastaa kohdeyrityksen tietosuoja-asiat huolellisesti. Tavanomainen asiakirja-analyysi johdon haastatteluineen ei välttämättä enää riitä huolellisuusvelvollisuuden täyttämiseksi, vaan EU:n tietosuojaviranomaiset saattavat edellyttää, että kohdeyrityksen tietojärjestelmien tekninen turvallisuus ja riittävyys on selvitetty syvällisemmin. Nyt, reilu vuosi tietosuoja-asetuksen voimaantulon jälkeen, tietosuojaviranomaiset ovat tarttuneet toimeen, ja sääntöjen vastaisesta henkilötietojen käsittelystä on määrätty jo kymmeniä sakkoja.

Tieto ehkäisee tuskaa

Compliance-riski voi käydä yrityskaupoissa erittäin kalliiksi. Sääntelyrikkomukset saattavat romuttaa yrityskaupan kannattavuuden ja tahria ostajayrityksen maineen pysyvästi. Viranomaiset myös puuttuvat väärinkäytösepäilyihin entistä hanakammin.

Perusteellinen compliance-tarkastus auttaa välttämään riskit. Kirjallisen tiedon lisäksi ostajan kannattaa haastatella myyjän tai kohdeyrityksen compliance-vastuuhenkilöitä. Keskustelu antaa usein papereita paremman kuvan siitä, miten hyvin kohdeyritys on hoitanut asiansa ja mihin toimintoihin kannattaa perehtyä tarkemmin.