Kupnja
Dubinska analiza

Zaštita podataka u dubinskoj analizi: osobni podaci i GDPR kod kupnje poduzeća

Zaštita podataka u dubinskoj analizi: pravna osnova za podatkovnu sobu, minimizacija podataka, clean team, closing i GDPR usklađenost.

BRANDAUER Rechtsanwälte
Vaša kancelarija

BRANDAUER Rechtsanwälte

Salzburška kancelarija za gospodarsko, kompanijsko i transakcijsko pravo

Iza svake transakcije stoji uigran tim odvjetnika, pravnika i stručnjaka. Pitanja vezana za kupnju poduzeća zajedno gledamo kroz strukturu, ugovor, poreze i odgovornost.

26. lipnja 2026. · Mag. Bernhard Brandauer, Rechtsanwalt

Kod kupnje poduzeća postaju vidljivi brojni osobni podaci: kadrovski spisi, plaće, popisi kupaca i ugovori s privatnim osobama. Čim ti podaci dospiju u podatkovnu sobu ili kod zatvaranja prijeđu na kupca, primjenjuje se Opća uredba o zaštiti podataka. Zaštita podataka time nije sporedna tema transakcije, nego zaseban predmet provjere.

Ovaj članak pokazuje što je bitno kod zaštite podataka u dubinskoj analizi i kod zatvaranja. U središtu su pravna osnova za otkrivanje u podatkovnoj sobi, smanjenje količine podataka zacrnjenjem i clean teamom, prijenos podataka kod zatvaranja asset deala te usklađenost samog ciljanog poduzeća sa zaštitom podataka.

S odvjetničkog stajališta zaštita podataka zahtijeva dvostruki pogled: sama transakcija mora teći u skladu sa zaštitom podataka, a istodobno treba provjeriti zrelost ciljanog poduzeća u zaštiti podataka. Oboje ulazi u procjenu vrijednosti i u jamstva ugovora o kupnji.

Razvrstajte svoju zaštitu podataka u provjeri

Je li otkrivanje podataka u skladu sa zaštitom podataka?

Odgovorite na jedno do dva pitanja o pravnoj osnovi i zaštitnim mjerama. Dobit ćete prvu procjenu najvažnijih točaka zaštite podataka.

Već znate da želite poslati upit? Idite direktno na obrazac za upit.

01 Pitanje 1

Postoji li pravna osnova za otkrivanje osobnih podataka u podatkovnoj sobi?

Podaci zaposlenika i kupaca u podatkovnoj sobi su osobni podaci. Njihovo otkrivanje treba osnovu prema GDPR-u, obično legitiman interes.

Svi putevi na jednom mjestu

Pregled svih odgovora.

01

Bez pravne osnove otkrivanje podataka u podatkovnoj sobi je nedopušteno.

Tko stavi podatke zaposlenika ili kupaca u podatkovnu sobu bez pravne osnove, riskira povredu GDPR-a. Razjasnite osnovu otkrivanja prije otvaranja podatkovne sobe, u pravilu legitiman interes prema čl. 6. GDPR-a, i dokumentirajte za to potrebnu procjenu interesa. Tek tada podaci pripadaju u podatkovnu sobu. Kako se provjera gradi u cjelini pokazuje članak o kontrolnoj listi dubinske analize.

Tek uz urednu pravnu osnovu provjera podataka može započeti bez rizika za zaštitu podataka.

02

Osnova i zaštitne mjere postoje, sada je bitna uredna provedba.

Ako pravna osnova i zaštitne mjere postoje, strana zaštite podataka je dobro postavljena. Pazite dodatno na prijenos podataka kod zatvaranja, na eventualne izvršitelje obrade i na obveze informiranja prema zaposlenicima i kupcima. Kako se zaštita podataka uklapa u jamstva pokazuje članak o katalogu jamstava.

Kratka odvjetnička provjera osigurava da se otkrivanje i kasniji prijenos podataka provedu u skladu sa zaštitom podataka.

03

Zaštitne mjere su nepotpune, preporučuje se izoštravanje.

Dok podaci u podatkovnoj sobi nisu zaštićeni zacrnjenjem, pseudonimizacijom i načelom nužnog pristupa, prijeti prekomjerno otkrivanje osobnih podataka. Ograničite otkrivanje na ono što je nužno za provjeru, dogovorite clean team za osobito osjetljive podatke i odredite krug ovlaštenih osoba. Kako se usklađenost ciljanog poduzeća sa zaštitom podataka provjerava dalje obrađuje članak o IP-u i IT-u u dubinskoj analizi.

Dajte zaštitne mjere dovršiti prije otvaranja podatkovne sobe. Jednom otkriveni podaci ne mogu se vratiti.

Pravna osnova za otkrivanje u podatkovnoj sobi

Podaci koje prodavatelj otkriva u podatkovnoj sobi redovito sadrže osobne informacije: imena zaposlenika i kupaca, plaće, ugovore i ponekad zdravstvene ili druge osjetljive podatke. Svaka obrada takvih podataka treba prema GDPR-u pravnu osnovu. Za otkrivanje u okviru transakcije praksa se obično oslanja na legitiman interes prema čl. 6. GDPR-a.

Legitiman interes zahtijeva procjenu između interesa stranaka za provjerom i interesa ispitanika. Ta se procjena treba dokumentirati kako bi se u slučaju spora mogla dokazati. Kod osobito osjetljivih podataka legitiman interes često nije dovoljan, ovdje je potrebno dodatno osiguranje.

Važno je razjasniti pravnu osnovu prije otvaranja podatkovne sobe. Tko prvo otkrije podatke, a osnovu traži tek kasnije, već je proveo obradu. Kako se to pitanje uklapa u ukupnu provjeru pokazuje članak o kontrolnoj listi dubinske analize.

Smanjenje podataka, nužan pristup i clean team

I uz pravnu osnovu vrijedi načelo smanjenja količine podataka. Otkriti treba samo ono što provjera doista zahtijeva. U praksi to znači zacrnjenje i pseudonimizaciju: imena se uklanjaju, plaće objedinjuju, pojedine osobe više nisu izravno prepoznatljive. Tako se može provjeriti gospodarski sadržaj informacije bez nepotrebnog otkrivanja ispitanika.

Dodatno vrijedi načelo nužnog pristupa: pristup dobiva samo onaj kome podaci trebaju za njegovu zadaću. Za osobito osjetljive informacije, primjerice konkurentske podatke ili pojedine plaće, dokazao se clean team. Pritom usko ograničen, često vanjski krug vidi sirove podatke i prosljeđuje strankama samo objedinjene rezultate.

Te mjere štite ne samo ispitanike, nego i same stranke, primjerice od bojazni u pravu tržišnog natjecanja kod razmjene osjetljivih konkurentskih podataka. Pojam dubinske analize produbljujemo na našoj tematskoj stranici o dubinskoj analizi.

Prijenos podataka kod zatvaranja

Kod zatvaranja transakcije pitanje zaštite podataka postavlja se ponovno. U asset dealu podaci prelaze na kupca zajedno s pogonom, taj je prijelaz zasebna obrada s vlastitom pravnom osnovom i vlastitim obvezama informiranja. Zaposlenike i kupce treba obavijestiti o novom voditelju obrade čim pogon prijeđe.

U share dealu podaci pak ostaju kod društva jer se mijenja samo imatelj udjela. Prijenos na novog voditelja obrade ne događa se, obveze informiranja ravnaju se prema konkretnoj situaciji. To razlikovanje slijedi opću strukturu koju članak o katalogu jamstava preuzima za ugovorno osiguranje.

Treba uzeti u obzir i postojeće ugovore o izvršenju obrade. Ako poduzeće koristi pružatelje usluga, primjerice za obračun plaća ili cloud, odgovarajući se ugovori moraju nastaviti ili sklopiti iznova. Gdje IT i cloud obrađuju osobne podatke, zaštita podataka se isprepliće s IT-ugovorima, kako pokazuje članak o IP-u i IT-u u dubinskoj analizi.

Najvažnije točke provjere

Što je bitno kod zaštite podataka u transakciji

Te točke odlučuju o provedbi u skladu sa zaštitom podataka. Provjerite svaku zasebno.

Točke provjere zaštite podataka u dubinskoj analizi i kod zatvaranja s preporučenim oblikovanjem i mogućim rizikom
Točka Preporučeno Mogući rizik
Pravna osnova Legitiman interes dokumentiran Procjena prije otvaranja podatkovne sobe Otkrivanje bez održive osnove
Smanjenje podataka Zacrnjenje i pseudonimizacija Otkriveno samo nužno za provjeru Svi podaci otvoreno dostupni
Clean team Osjetljivi podaci zatvoreni Strankama samo objedinjeni rezultati Konkurentski podaci razmijenjeni nefiltrirano
Prijenos Zasebna osnova kod zatvaranja Obveze informiranja prema ispitanicima ispunjene Prijenos podataka bez informiranja ispitanika
Usklađenost Zrelost ciljanog poduzeća provjerena Evidencija obrade i tehničke mjere postoje Otvorene povrede podataka i mjere koje nedostaju

Konkretno oblikovanje mjera ovisi o osjetljivosti podataka. Posebne kategorije osobnih podataka zahtijevaju stroži zaštitu nego opći poslovni kontakti.

Oprez kod nezaštićenog otkrivanja: Tko stavi osobne podatke u podatkovnu sobu bez pravne osnove ili podatke kod zatvaranja prenese bez informiranja ispitanika, riskira povredu GDPR-a i ozbiljne posljedice. Dajte zaštitu podataka transakcije provjeriti prije otvaranja podatkovne sobe. Dogovorite prvi razgovor (72 eura) može ovdje brzo stvoriti jasnoću.

Usklađenost ciljanog poduzeća sa zaštitom podataka

Uz samu transakciju, zrelost ciljanog poduzeća u zaštiti podataka zaseban je predmet provjere. Provjeravaju se evidencija aktivnosti obrade, tehničke i organizacijske mjere, postupanje s povredama podataka i ispunjenje prava ispitanika poput pristupa i brisanja. Poduzeće s nepotpunom usklađenošću nosi latentan rizik.

Takvi nalazi utječu na procjenu vrijednosti i na jamstva. Uobičajena su jamstva o usklađenosti s GDPR-om, o postojanju evidencija obrade i o nepostojanju otvorenih postupaka zaštite podataka. Prepoznati rizici, primjerice tekuća nadzorna provjera, mogu se osigurati ciljanim oslobođenjem od odgovornosti.

U praksi se isplati zaštitu podataka rano uključiti u provjeru jer dotiče otkrivanje, zatvaranje i procjenu vrijednosti istodobno. Prvu procjenu ukupnih rizika daje naš M&A profil rizika transakcije.

Česta pitanja

Zaštita podataka u dubinskoj analizi kod kupnje poduzeća.

Trebam li za podatkovnu sobu osnovu prema zaštiti podataka? +

Da, čim podatkovna soba sadrži osobne podatke, otkrivanje treba pravnu osnovu prema GDPR-u. U praksi se otkrivanje obično oslanja na legitiman interes prema čl. 6. GDPR-a, povezan s dokumentiranom procjenom interesa. Ta bi osnova trebala biti razjašnjena prije otvaranja podatkovne sobe.

Što je clean team u dubinskoj analizi? +

Clean team je usko ograničen, često vanjski krug osoba koji smije vidjeti osobito osjetljive podatke i strankama prosljeđuje samo objedinjene rezultate. Služi smanjenju količine podataka i istodobno štiti od bojazni u pravu tržišnog natjecanja kod razmjene osjetljivih konkurentskih podataka, primjerice pojedinih cijena ili plaća.

Je li prijenos podataka kod zatvaranja relevantan za zaštitu podataka? +

U asset dealu podaci prelaze na kupca zajedno s pogonom, taj je prijelaz zasebna obrada s vlastitom osnovom i obvezama informiranja prema zaposlenicima i kupcima. U share dealu podaci pak ostaju kod društva jer se mijenja samo imatelj udjela. Obveze informiranja tada se ravnaju prema konkretnoj situaciji.

Teme
Zaštita podatakaGDPRPodatkovna sobaClean teamDubinska analiza

Strukturirati transakciju, provjeriti ugovor, osigurati rizike?

Kod kupnje poduzeća odlučuju struktura, provjera i ugovor. Nazovite nas direktno ili nam pišite, povratni poziv u roku od jednog radnog dana.

Kontakt

Direktna linija do kancelarije.

Adresa

BRANDAUER Rechtsanwälte GmbH Giselakai 51 5020 Salzburg