Sprzedaż firmy a RODO — jak zgodnie z prawem przekazać bazę klientów i dane osobowe

10 min czytania·2026-06-23

Sprzedaż przedsiębiorstwa wiąże się z przekazaniem danych osobowych klientów, pracowników i kontrahentów. Dowiedz się, jak przeprowadzić ten proces zgodnie z RODO, uniknąć kar UODO i zabezpieczyć interesy obu stron transakcji.

Dane osobowe jako element wartości firmy — i największe ryzyko transakcji

Przy sprzedaży firmy baza klientów bywa jednym z kluczowych aktywów, za który kupujący płaci premię. Zawarte w niej dane kontaktowe, historia zakupów, preferencje, numery telefonów — wszystko to buduje wartość przedsiębiorstwa i napędza przyszłe przychody. Problem w tym, że to nie są zwykłe aktywa materialne. Każdy rekord w bazie to dane osobowe w rozumieniu RODO, a ich przekazanie bez odpowiedniego przygotowania prawnego może skończyć się postępowaniem przed Urzędem Ochrony Danych Osobowych i dotkliwą karą finansową dla obu stron transakcji.

W polskiej praktyce transakcyjnej kwestia danych osobowych wciąż bywa traktowana marginalnie — dopinana na ostatnią chwilę, gdzieś między przeniesieniem umów leasingowych a przerejestrowaniem kas fiskalnych. To błąd. Zgodność z RODO powinna być integralną częścią due diligence i warunkiem skuteczności transakcji, a nie pozycją na liście „do zrobienia po podpisaniu umowy”. Niewłaściwie przeprowadzone przekazanie bazy potrafi obniżyć wycenę firmy, opóźnić zamknięcie transakcji, a w skrajnych przypadkach zmusić nowego właściciela do usunięcia części danych, za które przed chwilą zapłacił. Poniższy artykuł wyjaśnia, jak podejść do tego zagadnienia krok po kroku — od ustalenia formy transakcji, przez wybór podstawy prawnej, aż po obowiązki informacyjne i zapisy umowne.

> Ważna uwaga: Niniejszy artykuł ma charakter informacyjny i nie stanowi porady prawnej. Konkretna sytuacja może wymagać indywidualnej analizy prawnika specjalizującego się w prawie ochrony danych osobowych lub prawie handlowym.


Dwa scenariusze transakcji — dwa różne reżimy RODO

Zanim przejdziesz do działań operacyjnych, musisz ustalić, jaka forma transakcji ma miejsce. To punkt wyjścia całej analizy i to od niego zależy, czy w ogóle dochodzi do przekazania danych innemu podmiotowi.

Sprzedaż udziałów lub akcji (share deal)

W modelu share deal kupujący nabywa udziały lub akcje w spółce. Sama spółka — jako podmiot prawny — nie zmienia się. Pozostaje ona administratorem danych osobowych, zmieniają się jedynie właściciele kapitału. Z perspektywy RODO nie dochodzi do przekazania danych innemu administratorowi, bo to wciąż ten sam administrator.

To upraszcza sytuację prawną, ale nie eliminuje obowiązków:

  • Nowy właściciel powinien przeprowadzić audyt polityk prywatności i procesów przetwarzania danych w nabywanej spółce.
  • Istniejące zgody, klauzule informacyjne i umowy powierzenia pozostają w mocy, ale należy je zweryfikować pod kątem aktualności.
  • W ramach due diligence warto ocenić, czy spółka faktycznie przetwarza dane zgodnie z tym, co deklaruje w dokumentacji — rozjazd między „papierem” a praktyką to częste źródło ukrytego ryzyka.

Sprzedaż przedsiębiorstwa lub jego zorganizowanej części (asset deal)

Tutaj sytuacja jest bardziej złożona. Przy sprzedaży przedsiębiorstwa jako zbioru aktywów dochodzi do faktycznej zmiany administratora danych. Baza klientów przechodzi od sprzedającego do kupującego, który staje się nowym administratorem. To wymaga spełnienia konkretnych wymogów RODO: ustalenia podstawy prawnej przekazania, dopełnienia obowiązku informacyjnego i odpowiedniego udokumentowania całego procesu. Większość praktycznych pułapek opisanych w tym artykule dotyczy właśnie scenariusza asset deal.


Podstawa prawna przekazania danych — co ją uzasadnia?

Kluczowe pytanie brzmi: na jakiej podstawie prawnej z art. 6 RODO sprzedający może przekazać dane klientów nowemu właścicielowi? Masz do wyboru kilka opcji, ale żadna nie jest wolna od ryzyka i każdą trzeba dobrać do konkretnej kategorii danych.

Prawnie uzasadniony interes administratora (art. 6 ust. 1 lit. f RODO)

Najczęściej stosowana podstawa w transakcjach M&A. Przekazanie danych w ramach sprzedaży przedsiębiorstwa można uzasadnić prawnie uzasadnionym interesem obu stron — sprzedającego (realizacja transakcji) i kupującego (kontynuacja działalności i obsługa przejętych klientów).

Warunek: konieczne jest przeprowadzenie testu równowagi interesów (tzw. balancing test). Uzasadniony interes nie może przeważać nad podstawowymi prawami i wolnościami osób, których dane dotyczą. W praktyce test ten zwykle wypada pozytywnie przy przekazaniu typowej bazy B2B lub B2C, ale powinien być udokumentowany na piśmie jeszcze przed przekazaniem danych — nie odtwarzany po fakcie, gdy pojawi się pytanie ze strony UODO.

Wykonanie umowy lub podjęcie działań przed jej zawarciem (art. 6 ust. 1 lit. b RODO)

Może mieć zastosowanie, gdy przekazanie danych jest niezbędne, by kupujący mógł kontynuować realizację umów z klientami (np. dokończyć dostawy, świadczyć usługi abonamentowe, obsłużyć gwarancje). W praktyce ta podstawa często współistnieje z przesłanką uzasadnionego interesu i bywa stosowana wobec aktywnych klientów, podczas gdy uzasadniony interes obejmuje szerszą bazę.

Zgoda (art. 6 ust. 1 lit. a RODO)

Teoretycznie najpewniejsza, praktycznie — najtrudniejsza do pozyskania. Zbieranie zgód od wszystkich klientów przed zamknięciem transakcji jest czasochłonne, kosztowne i w wielu przypadkach niemożliwe do zrealizowania w rozsądnym terminie. Niska zwrotność takich akcji potrafi „wyciąć” znaczną część bazy. Poza tym — brak zgody ze strony klientów nie musi blokować transakcji, jeśli inne przesłanki są spełnione. Zgoda pozostaje natomiast niezbędna tam, gdzie wymagają jej przepisy szczególne, na przykład przy dalszym wysyłaniu komunikacji marketingowej drogą elektroniczną.


Obowiązek informacyjny wobec osób, których dane dotyczą

Art. 13 i 14 RODO nakładają na administratora obowiązek informowania osób, których dane dotyczą, o przetwarzaniu ich danych. Gdy zmienia się administrator — a tak jest przy asset deal — nowy administrator (kupujący) ma obowiązek poinformować klientów o przejęciu ich danych.

Co powinna zawierać informacja?

  • Tożsamość i dane kontaktowe nowego administratora.
  • Cel i podstawa prawna przetwarzania danych przez nowego administratora.
  • Kategorie przetwarzanych danych oraz źródło ich pozyskania (przejęcie przedsiębiorstwa).
  • Czas, przez jaki dane będą przetwarzane (lub kryteria jego ustalenia).
  • Informacja o prawach przysługujących osobom (dostęp, sprostowanie, usunięcie, ograniczenie, sprzeciw, przenoszenie danych).
  • Dane inspektora ochrony danych (jeśli został powołany).

Kiedy i jak to zrobić?

Zgodnie z RODO, jeżeli dane nie zostały zebrane bezpośrednio od osoby (a tak jest przy przejęciu bazy), informację należy przekazać w rozsądnym terminie po pozyskaniu danych, najpóźniej w ciągu miesiąca. W praktyce transakcyjnej oznacza to, że kupujący powinien wysłać komunikat do klientów przejętej bazy niezwłocznie po zamknięciu transakcji.

Forma jest elastyczna: e-mail, korespondencja tradycyjna, komunikat w aplikacji lub panelu klienta. Ważne, by była udokumentowana — zrzuty ekranu, logi wysyłki, kopie wiadomości. W razie kontroli to administrator musi wykazać, że obowiązek został dopełniony (zasada rozliczalności z art. 5 ust. 2 RODO).


Due diligence RODO — co sprawdzić przed podpisaniem umowy

Audyt zgodności z RODO powinien być standardowym elementem due diligence przy każdej transakcji M&A, niezależnie od wielkości firmy. Szczególnie kupujący narażony jest na ryzyko przejęcia bazy z „bagażem” historycznych naruszeń — odpowiedzialność za nieprawidłowo zebrane dane potrafi przejść wraz z aktywem.

Co weryfikować po stronie kupującego?

  • Rejestry czynności przetwarzania (art. 30 RODO) — czy istnieją i są aktualne?
  • Podstawy prawne przetwarzania dla poszczególnych kategorii danych — czy są udokumentowane?
  • Klauzule informacyjne na stronie www, w formularzach, umowach — czy są zgodne z aktualnymi wymaganiami?
  • Umowy powierzenia przetwarzania danych z podwykonawcami (hosting, CRM, marketing automation) — czy są zawarte i obejmują właściwy zakres?
  • Polityka bezpieczeństwa i środki techniczne — szyfrowanie, zarządzanie dostępem, kopie zapasowe.
  • Historia incydentów — czy doszło do naruszeń ochrony danych? Czy były zgłaszane do UODO?
  • Przekazywanie danych poza EOG — jeśli firma korzysta z narzędzi amerykańskich (np. Google Workspace, AWS, Salesforce), sprawdź mechanizmy transferu i podstawy (np. standardowe klauzule umowne).

Czerwone flagi, które powinny wzbudzić niepokój

  • Brak jakiejkolwiek dokumentacji RODO mimo obowiązku jej posiadania.
  • Klauzule informacyjne niezmieniane od momentu wejścia RODO w życie.
  • Brak umów powierzenia z kluczowymi dostawcami IT.
  • Nierejestrowane incydenty bezpieczeństwa lub przesłanki ich ukrywania.
  • Bazy zawierające dane szczególnych kategorii (zdrowie, przekonania) bez udokumentowanej podstawy ich przetwarzania.

Umowa sprzedaży a klauzule RODO — co powinno znaleźć się w dokumentacji transakcji

Sama umowa sprzedaży przedsiębiorstwa powinna wprost regulować kwestię danych osobowych. Pominięcie tego elementu to gotowy przepis na spór po zamknięciu transakcji.

Kluczowe postanowienia umowne

  1. Oświadczenie sprzedającego o zgodnym z prawem zebraniu i przetwarzaniu przekazywanych danych.
  2. Wykaz kategorii danych wchodzących w skład przekazywanej bazy (np. dane kontaktowe klientów B2C, dane kontrahentów B2B, dane pracowników).
  3. Zakres uprawnień kupującego do dalszego przetwarzania danych po przejęciu.
  4. Zobowiązanie kupującego do dopełnienia obowiązku informacyjnego wobec osób, których dane dotyczą.
  5. Okres przejściowy — co dzieje się z danymi, gdy transakcja jest rozłożona w czasie.
  6. Postanowienia o odpowiedzialności za naruszenia RODO zaistniałe przed datą zamknięcia transakcji (odpowiada sprzedający) i po niej (odpowiada kupujący).
  7. Klauzula indemnifikacyjna — zabezpieczenie kupującego przed roszczeniami wynikającymi z historycznych naruszeń po stronie sprzedającego.

Przygotowując się do wystawienia ogłoszenia sprzedaży, warto uwzględnić te elementy już w fazie przygotowania dokumentacji przedtransakcyjnej — uporządkowana dokumentacja danych osobowych to jeden z sygnałów dojrzałości firmy, który zauważają doświadczeni kupujący.


Dane pracowników — osobna, równie ważna kwestia

Przy przejęciu przedsiębiorstwa przekazywane są nie tylko dane klientów, ale również dane osobowe pracowników. To oddzielna kategoria o szczególnym reżimie prawnym, ponieważ dane pracownicze obejmują informacje wrażliwe: wysokość wynagrodzenia, zwolnienia chorobowe, dane członków rodziny, orzeczenia o niepełnosprawności.

Co dzieje się z pracownikami przy sprzedaży firmy?

Przy przejściu zakładu pracy w trybie art. 23(1) Kodeksu pracy kupujący wstępuje w prawa i obowiązki dotychczasowego pracodawcy. Oznacza to, że:

  • Pracownicy nie muszą podpisywać nowych umów o pracę — stosunek pracy trwa nieprzerwanie.
  • Kupujący przejmuje akta pracownicze wraz z zawartymi w nich danymi osobowymi.
  • Obowiązek informacyjny RODO dotyczy również pracowników — nowy pracodawca (kupujący) powinien przekazać im zaktualizowane klauzule informacyjne.

Dostęp do dokumentacji pracowniczej podczas due diligence powinien być ograniczony i — tam, gdzie to możliwe — oparty na danych zanonimizowanych lub zagregowanych. Kupujący potrzebuje wiedzy o strukturze zatrudnienia, stawkach i zakresach obowiązków, ale na etapie oceny firmy nie musi znać tożsamości poszczególnych osób.


Praktyczna checklista dla sprzedającego

Przed przystąpieniem do transakcji przygotuj lub zaktualizuj:

  • [ ] Rejestr czynności przetwarzania danych osobowych
  • [ ] Dokumentację podstaw prawnych przetwarzania dla każdej kategorii danych
  • [ ] Aktualną politykę prywatności i klauzule informacyjne
  • [ ] Umowy powierzenia przetwarzania ze wszystkimi podmiotami przetwarzającymi
  • [ ] Dokumentację techniczną środków bezpieczeństwa
  • [ ] Rejestr incydentów (nawet wpis „brak incydentów” musi istnieć)
  • [ ] Zgodność zgód marketingowych z wymogami RODO (jeśli baza opiera się na zgodach)
  • [ ] Ocenę, czy baza nie zawiera danych szczególnych kategorii wymagających dodatkowej ochrony

Praktyczna checklista dla kupującego

Po zamknięciu transakcji lub w jej trakcie:

  • [ ] Przeprowadź audyt RODO przejętej dokumentacji
  • [ ] Wyślij klauzule informacyjne do klientów z przejętej bazy (termin: do miesiąca od przejęcia)
  • [ ] Zaktualizuj politykę prywatności na stronie internetowej
  • [ ] Zawrzyj nowe umowy powierzenia z własnymi podwykonawcami IT
  • [ ] Oceń, czy dotychczasowe zgody marketingowe są wystarczające, czy wymagają odnowienia
  • [ ] Wprowadź przejętą bazę do własnych rejestrów czynności przetwarzania
  • [ ] Poinformuj pracowników o nowym administratorze danych

Więcej praktycznych wskazówek dotyczących procesu transakcyjnego znajdziesz w dziale poradniki.


Najczęstsze błędy i jak ich unikać

Błąd 1: Zignorowanie RODO w fazie due diligence. Kupujący skupia się na finansach i aktywach materialnych, a dopiero po zamknięciu transakcji odkrywa, że przejęta baza nie ma udokumentowanych podstaw prawnych przetwarzania. Skutek: ryzyko konieczności usunięcia bazy lub kosztownej rekonstrukcji zgód.

Błąd 2: Przekazanie danych „na próbę” przed zamknięciem transakcji. Sprzedający udostępnia próbkę bazy klientów potencjalnemu kupującemu na etapie negocjacji, bez żadnych zabezpieczeń. To naruszenie RODO po stronie sprzedającego. Właściwe rozwiązanie: anonimizacja lub pseudonimizacja próbek oraz umowa NDA z klauzulami o ochronie danych osobowych.

Błąd 3: Brak obowiązku informacyjnego po przejęciu. Nowy właściciel zapomina lub celowo pomija poinformowanie klientów o zmianie administratora. Osoby, których dane dotyczą, mają prawo wiedzieć, kto i na jakiej podstawie przetwarza ich dane. Brak informacji to naruszenie art. 14 RODO.

Błąd 4: Przeniesienie baz danych bez protokołu zdawczo-odbiorczego. Przekazanie danych powinno być udokumentowane — kiedy, jakie kategorie danych, w jakiej formie i do kogo. Brak dokumentacji utrudnia ustalenie odpowiedzialności w razie incydentu i podważa rozliczalność obu stron.


Podsumowanie

Sprzedaż firmy i zgodne z RODO przekazanie danych osobowych to nie jest wybór między biznesem a prawem — to warunek skuteczności transakcji. Baza klientów z niejasnym statusem prawnym to aktywo, które łatwo zamienia się w pasywo: ryzyko kar UODO, roszczenia osób fizycznych, konieczność kosztownego oczyszczenia danych.

Kluczowe zasady:

  1. Rozróżnij share deal od asset deal — reżim RODO jest różny.
  2. Zidentyfikuj i udokumentuj właściwą podstawę prawną przekazania danych.
  3. Przeprowadź audyt RODO jako element due diligence.
  4. Zadbaj o klauzule RODO w umowie sprzedaży.
  5. Dopełnij obowiązku informacyjnego wobec klientów po zamknięciu transakcji.
  6. Oddzielnie zaadresuj kwestię danych pracowniczych.

Jeśli rozważasz wystawienie ogłoszenia sprzedaży swojej firmy, warto mieć te kwestie uregulowane jeszcze przed pierwszym spotkaniem z potencjalnym nabywcą — zwiększa to wiarygodność, przyspiesza due diligence i chroni przed ryzykiem prawnym. Aktualne oferty sprzedaży firm na Biznes Atlas obejmują przedsiębiorstwa z różnych branż i regionów Polski.

> Przypomnienie: Powyższy artykuł ma charakter edukacyjny i nie zastępuje porady prawnej ani podatkowej. Każda transakcja M&A powinna być konsultowana z prawnikiem specjalizującym się w prawie ochrony danych osobowych i prawie handlowym.

Najczęstsze pytania

Czy przy sprzedaży firmy muszę uzyskać zgodę klientów na przekazanie ich danych nowemu właścicielowi?

Nie zawsze. Przy sprzedaży przedsiębiorstwa (asset deal) najczęściej stosowaną podstawą prawną jest prawnie uzasadniony interes administratora (art. 6 ust. 1 lit. f RODO), który nie wymaga zgody klientów. Konieczne jest jednak przeprowadzenie i udokumentowanie testu równowagi interesów oraz dopełnienie obowiązku informacyjnego wobec klientów po zamknięciu transakcji. Zgoda pozostaje natomiast niezbędna tam, gdzie wymagają jej przepisy szczególne, np. przy marketingu elektronicznym. Konsultacja z prawnikiem pozwoli dobrać właściwą podstawę do konkretnej sytuacji.

Co to jest obowiązek informacyjny i kiedy nowy właściciel musi go spełnić?

Obowiązek informacyjny wynika z art. 14 RODO i polega na poinformowaniu klientów o zmianie administratora ich danych osobowych. Nowy właściciel powinien wysłać taką informację najpóźniej w ciągu miesiąca od przejęcia bazy. Komunikat powinien zawierać tożsamość nowego administratora, cel i podstawę przetwarzania danych, kategorie danych i ich źródło oraz pouczenie o prawach przysługujących klientom.

Jaka jest różnica między share deal a asset deal z perspektywy RODO?

Przy share deal kupujący nabywa udziały lub akcje w spółce — spółka pozostaje tym samym administratorem danych, więc nie dochodzi do zmiany administratora. Przy asset deal następuje przeniesienie aktywów, w tym bazy danych, do innego podmiotu — to faktyczna zmiana administratora, która wymaga spełnienia wymogów RODO dotyczących podstawy prawnej przekazania danych i obowiązku informacyjnego.

Jakie ryzyko niesie kupno firmy z nieuporządkowanym statusem RODO bazy klientów?

Kupujący przejmuje ryzyko historycznych naruszeń RODO — potencjalnych kar UODO, roszczeń osób fizycznych oraz konieczności kosztownego oczyszczenia bazy (np. usunięcia danych zebranych bez właściwej podstawy prawnej). Dlatego audyt RODO powinien być elementem due diligence, a umowa sprzedaży powinna zawierać klauzule indemnifikacyjne chroniące kupującego przed skutkami naruszeń zaistniałych przed datą przejęcia.

Czy dane pracowników też podlegają RODO przy sprzedaży firmy?

Tak. Akta pracownicze i dane osobowe pracowników przejęte przy transakcji podlegają RODO. Przy przejściu zakładu pracy w trybie art. 23(1) Kodeksu pracy nowy pracodawca wstępuje w prawa i obowiązki dotychczasowego i powinien przekazać pracownikom zaktualizowane klauzule informacyjne. Na etapie due diligence dostęp do dokumentacji pracowniczej powinien być ograniczony i obejmować dane zanonimizowane lub zagregowane — tożsamość poszczególnych pracowników nie jest potrzebna kupującemu na etapie oceny firmy.

Szukasz konkretnej oferty?

Przeglądaj aktualne ogłoszenia sprzedaży firm na Biznes Atlas.

Powiązane poradniki