Takaisin blogiin

Salaisuudet yrityskaupassa – Mitä työntekijän pitää kertoa?

Yrityskaupan loppusuoralla tunnelma tiivistyy. Due diligence -tarkastuksessa ostaja syventyy yhtiön syvinpiin saloihin, etsien piileviä riskejä. Entä jos sinä työntekijänä tiedät jotain olennaista – vaikkapa vakavan tietoturvaongelman – josta johto on valinnut vaieta? Uskallatko puhua, vai oletko hiljaa joutuen mahdollisesti osalliseksi petokseen? Vastaamon tapaus osoitti karulla tavalla, että salaisuudet voivat maksaa miljoonia ja yhtiön maineen. Lue mikä on rivityöntekijän vastuu tässä pelissä.
Päiväys
Aiheet Asianajo, Riidanratkaisu, Rikosoikeus, Tietoturva
Kirjoittanut Herkko Hietanen

Yrityskauppojen yhteydessä tehtävä due diligence (DD) -tarkastus on ostajan tai sijoittajan tekemä kuntokartoitus, jossa ennen kaupan viimeistelyä ostaja tai sijoittaja arvioi kaupan kohteen asiakirjojen ja haastattelujen perusteella. Tarkastuksessa käydään läpi yrityksen taloudellista, juridista ja usein myös teknistä tilaa. Tarkastuksen tarkoituksena on varmistaa, ettei kohteeseen liity olennaisia riskejä tai virheitä, jotka voisivat vaikuttaa kauppahintaan tai jopa estää kaupan syntymisen.

Mutta mitä tapahtuu, jos yrityksen työntekijöillä on tietoa, jota ei paljasteta ostajalle? Mikä on työntekijän vastuu annetuista tai antamatta jätetyistä tiedoista? Tämä kysymys on noussut esiin useissa yhteyksissä, ja tunnetusti Vastaamon tapaus on esimerkki siitä, miten vakaviin seurauksiin puutteelliset tiedot voivat johtaa. Vastaamoon yrityskaupassa sijoittaja tuskin olisi maksanut osakkeista hintaa, jos olisi tiennyt yrityksen tietoturvan tosiasiallisen tilan. 

Johdon osalta tiedetään tässä vaiheessa, että käräjäoikeus tuomitsi sittemmin entisen toimitusjohtajan tietosuojarikoksesta (ei lainvoimainen). Muilta osin julkista tietoa johdon vastuun arvioimisesta ei ainakaan vielä ole. Vaikka julkisuudessa keskustelu ja oikeudellinen vastuu ovat perustellusti keskittyneet johtoon, on tärkeää pohtia myös työntekijöiden asemaa ja velvollisuuksia DD-prosessin aikana.

Due Diligence käytännössä

DD-prosessi voi sisältää useita osa-alueita, kuten taloudellisen, juridisen (LDD) ja teknisen (ITDD) tarkastuksen. Ostajan neuvonantajat esittävät kohdeyritykselle laajoja tietopyyntöjä ja järjestävät haastatteluja johdon ja avainhenkilöiden kanssa. Tavoitteena on saada kattava ja totuudenmukainen kuva yrityksen tilasta. Tietopyynnöt heijastelevat kokemusta asioista, jotka kaupoissa voivat mennä pieleen tai joilla voi olla vaikutusta kauppahintaan.

Työntekijän dilemma DD-prosessissa

Työntekijät, erityisesti teknisissä tai asiantuntijarooleissa, saattavat olla tietoisia yrityksen toimintaan liittyvistä ongelmista tai riskeistä, kuten tietoturvapuutteista. DD-prosessin aikana heitä voidaan pyytää toimittamaan tietoja tai osallistumaan haastatteluihin.  

Tilanne saattaa muuttua monimutkaiseksi, jos yrityksen johto tai omistajat ohjeistavat työntekijöitä siitä, mitä tietoja saa tai ei saa kertoa. Johto saattaa kontrolloida tiukasti kaikkea ostajalle annettavaa tietoa ja dokumentaatiota. Työntekijä voi joutua ristiriitaiseen tilanteeseen: hänellä on velvollisuus antaa oikeaa tietoa, mutta samalla velvollisuus toimia lojaalisti työnantajansa ohjeistuksen alaisuudessa.

Kysymykseksi muodostuu toisaalta se, tuleeko työntekijän itsenäisesti kertoa asioista, vaikka niistä ei kysyttäisikään ja toisaalta, voiko työntekijä kertoa asian, vaikka yritysjohto olisi nimenomaisesti kieltänyt siitä kertomisen.

Vastuukysymykset – Rikosoikeudellinen ja vahingonkorvausvastuu

Jos ostajalle annetaan virheellistä tai puutteellista tietoa tarkoituksellisesti, ja tämä aiheuttaa ostajalle taloudellista vahinkoa, kyseeseen voi tulla petosrikos. Työntekijän osalta voidaan arvioida tilanteesta riippuen mm. avunantoa tällaiseen rikokseen.

Vastaamon tapaukseen liittyneessä syyttämättäjättämispäätöksessä (jossa tämän blogin kirjoittaja edusti toista epäillyistä työntekijöistä) syyttäjä arvioi kahden IT-asiantuntijan rikosoikeudellista vastuuta tilanteessa, jossa merkittävä tietoturvatapahtuma ei ainakaan heidän toimesta ollut tullut kerrotuksi ostajalle DD-prosessissa. Syyttäjä päätyi jättämään työntekijöitä koskevat syytteet nostamatta seuraavilla perusteilla:

  1. Toimiminen johdon alaisuudessa: Työntekijät toimivat toimitusjohtajan suorassa alaisuudessa.  
  2. Kontrolloitu tiedonkulku: Työntekijät eivät itse kontrolloineet tai päättäneet lopullisesti, mitä tietoja ostajalle annettiin DD-prosessissa. 
  3. Puuttuva itsenäinen rooli: Työntekijöillä ei ollut yrityskaupassa sellaista itsenäistä roolia tai asemaa, joka olisi perustanut heille suoran velvollisuuden ilmoittaa havaitsemistaan puutteista ostajataholle.
  4. Käytännön toisintomimismahdollisuuden puute: Työntekijöillä ei katsottu olleen käytännön mahdollisuutta ilmoittaa tietoturvapoikkeamista itsenäisesti ostajalle ohi johdon.
  5. Tahallisuuden puuttuminen: Avunantorikoksen edellyttämä tahallisuus auttaa toista rikoksen tekemisessä ei täyttynyt.

Syyttäjän ratkaisusta näkyy työntekijöiden voimaton rooli tilanteessa. Työntekijät eivät olleet asemassa, jossa heillä olisi ollut mahdollisuus tai edes tilaisuutta kertoa havainnoistaan ja puutteista. He eivät olleet aloitteellisia yrityskaupan valmistelussa tai tietoisia siitä, että mistä kaupoissa oli kyse. Näin ollen heillä ei ollut kykyä tehdä ratkaisuja siitä mitä heidän olisi tullut kertoa.

On mahdollista, että DD-haastatteluissa kysymyslistojen lopuksi sijoittajat kysyvät jatkossa: ”onko jotain mitä meidän olisi hyvä tietää”. Poliisikuulusteluissa tällaiset kysymykset ovat omiaan tuomaan esille tietoja joita poliisit eivät ole osanneet edes kysyä. Vielä on vaikea arvioida mikä tällaisten kysymysten ja niihin saatujen vastausten oikeudellinen merkitys oli vastuiden osalta. Vaikka tähän ei vielä saatu vastausta, on Vastaamon jutusta löydettävissä muita oppeja.

Keskeiset opit

Työntekijöiden asema eroaa tärkeällä tavalla johdon vastuusta. Johto (hallitus ja toimitusjohtaja) on ensisijaisesti vastuussa riittävien resurssien ja prosessien järjestämisestä tietosuojan ja -turvan toteuttamiseksi. Johdon laiminlyönnit voivat johtaa paitsi hallinnollisiin seuraamusmaksuihin, myös henkilökohtaiseen rikos- ja vahingonkorvausvastuuseen. 

Vaikka houkutus kaunistella yrityksen tilaa DD-prosessissa voi olla suuri, rehellisyys on pitkässä juoksussa kestävämpi tie. Vilpillisten tietojen antaminen voi johtaa kaupan purkuun, hinnanalennuksiin ja vahingonkorvauksiin, joihin sopimuksissa yleensä varaudutaan.

Vastuukysymykset due diligence -prosessissa ovat monimutkaisia, mutta Vastaamon tapauksesta ja siihen liittyvistä selvityksistä voidaan nostaa esiin useita tärkeitä oppeja yrityksille ja niiden työntekijöille. Ensiksikin yrityksen on tärkeää rakentaa jatkuvasti valmiuttaan osallistua DD-tarkastuksiin, sillä viime hetken korjailuyritykset näkyvät usein läpi ja voivat pahimmillaan johtaa vakaviin seuraamuksiin, mikäli olennaisia puutteita yritetään peitellä. Rehellisyys prosessissa on valttia; vaikka myyjä saattaa haluta antaa itsestään todellisuutta kauniimman kuvan, vilpillisyys voi johtaa kaupan purkuun tai hinnanalennuksiin, joihin sopimuksissa tyypillisesti varaudutaan.

Tietoturvan ja yleisemmin yrityksen prosessien johtamisen tulisi olla järjestelmällistä ja riskiperusteista, ei vain yksittäisten teknisten paikkausten varassa. ISO 27001 -standardin kaltaiset mallit voivat auttaa rakentamaan kestävää johtamiskulttuuria. 

Isoissa järjestelyissä voi olla perusteltua laajentaa haastatteluja johdon lisäksi myös suorittavaan portaaseen, jotta saadaan kattavampi kuva todellisuudesta. Lisäksi toimivat sisäiset ilmoituskanavat voivat paitsi auttaa paljastamaan epäkohtia, myös rakentaa sijoittajien luottamusta yrityksen toiminnan läpinäkyvyyteen. On myös hyvä muistaa, että asioiden selvittely ja oikeusprosessit voivat viedä vuosia, kuten Vastaamon tapaus osoittaa.

Kirjoittaja toimi oikeuden määräämänä puolustajana ja avustajana Vastaamon työntekijän eri rikosprosesseissa ja välitystuomioistuimessa. Työntekijän ei katsottu syyllistyneen rikokseen jutussa.