Zbiór danych a baza danych. Obrót bazami i Due Diligence.

Zbiór danych stanowi uporządkowany zestaw danych który można przeszukać i odnaleźć dane według jakiegoś kryterium, definicja znajduje się w rodo, natomiast definicję bazy danych znajdziemy w ustawie z dnia 27 lipca 2001 r. o ochronie baz danych (dalej: uobd) stanowiącej implementację Dyrektywy 96/9/WE Parlamentu Europejskiego i Rady z dnia 11 marca 1996 r. w sprawie ochrony prawnej baz danych.

Zbiór a baza – cecha wspólna: indywidualna dostępność

Zbiór danych – oznacza uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie;

Baza danych – oznacza zbiór danych lub jakichkolwiek innych materiałów i elementów zgromadzonych według określonej systematyki lub metody, indywidualnie dostępnych w jakikolwiek sposób, w tym środkami elektronicznymi, wymagający istotnego, co do jakości lub ilości, nakładu inwestycyjnego w celu sporządzenia, weryfikacji lub prezentacji jego zawartości,

Porównując definicje można dojść do wniosku, że baza danych osobowych zawsze będzie stanowiła zbór danych, ale nie każdy zbór danych będzie stanowił bazę danych ponieważ nie każdy zbiór wymaga istotnego nakładu inwestycyjnego do jego powstania. Najważniejszą wspólną cechą bazy i zbioru jest to, że dane są indywidualnie dostępne czyli nie trzeba przeszukiwać całej bazy żeby dotrzeć do interesującej informacji, tylko można ją wyszukać według określonego kryterium.

Przykład:

  • Baza danych nieosobowych: baza danych samochodów
  • Baza danych osobowych: subskrybenci newslettera

Due diligence

Pojęcie bazy danych jest istotne w kontekście działalności marketingowej oraz aktywów i sprzedaży przedsiębiorstwa. Prawidłowo (legalnie) sporządzona baza danych stanowi cenny składnik przedsiębiorstwa i może być główną motywacją dla kupującego. Kupujący zwykle przed nabyciem przedsiębiorstwa przeprowadza tzw. due diligence, czyli sprawdzenie stanu przedsiębiorstwa co wiąże się z odpowiedzialnością kupującego za długi nabytego przedsiębiorstwa:

Art. 55(4). [Odpowiedzialność nabywcy przedsiębiorstwa lub gospodarstwa]

Nabywca przedsiębiorstwa lub gospodarstwa rolnego jest odpowiedzialny solidarnie ze zbywcą za jego zobowiązania związane z prowadzeniem przedsiębiorstwa lub gospodarstwa, chyba że w chwili nabycia nie wiedział o tych zobowiązaniach, mimo zachowania należytej staranności. Odpowiedzialność nabywcy ogranicza się do wartości nabytego przedsiębiorstwa lub gospodarstwa według stanu w chwili nabycia, a według cen w chwili zaspokojenia wierzyciela. Odpowiedzialności tej nie można bez zgody wierzyciela wyłączyć ani ograniczyć.

Due diligence to właśnie należyta staranność, stąd nazwa tego badania (audytu), które obejmuje zwykle wszystkie aspekty prowadzenia działalności od finansów przez prawa na dobrach niematerialnych po nieruchomości przedsiębiorstwa, przykładowe składniki wymienia art. 55(1) k.c. Zwykle będzie też tego żądał bank finansujący transakcję czy ubezpieczyciel, bowiem są zainteresowani stanem przedsiębiorstwa.

Producent – administrator

Na gruncie uobd występuje pojęcie producenta bazy danych jest to osoba, która ponosi ryzyko nakładu inwestycyjnego przy tworzeniu bazy danych. Producent będzie administratorem, ponieważ nawet jeśli samodzielnie nie zbiera danych, tylko zleca to agencji marketingowej (procesorowi) jego cel jest realizowany i finansuje inwestycję.

Do bazy danych przysługuje zbywalne uprawnienie tzw. prawo sui generis (art. 6 uobd) – producent może pobierać i wtórnie wykorzystywać dane:

  • pobieranie danych oznacza stałe lub czasowe przejęcie lub przeniesienie całości lub istotnej, co do jakości lub ilości, części zawartości bazy danych na inny nośnik, bez względu na sposób lub formę tego przejęcia lub przeniesienia,
  • wtórne wykorzystanie oznacza publiczne udostępnienie bazy danych w dowolnej formie, a w szczególności poprzez rozpowszechnianie, bezpośrednie przekazywanie lub najem,

Z zastrzeżeniem, że wypożyczenie baz danych nie stanowi pobierania danych lub wtórnego ich wykorzystania.

Baza danych może ponadto stanowić utwór (art. 3 upa), w takim wypadku będzie także podlegała reżimowi prawa autorskiego.

Uzyskanie prawa do bazy danych

Podmiot może uzyskać prawo do bazy danych:

  • przez nabycie (przeniesienie) prawa, w drodze um sprzedaży
  • w drodze licencji wyłącznej lub niewyłącznej
  • przez nabycie przedsiębiorstwa w którego skład wchodzi baza danych
  • przez przejęcie przedsiębiorcy i tym samym wejście w jego sytuację prawną

Może być tak, że dojdzie do zbycia prawa sui generis lub prawa autorskiego (jeśli baza ma charakter twórczy), a nabywca nie będzie mógł z bazy korzystać ponieważ baza danych osobowych będzie wadliwa na gruncie rodo (brak podstawy legalizacyjnej nawet dla samej operacji ujawnienia danych). Wydaje się, że w takiej sytuacji czynność prawna (umowa) jako sprzeczna z ustawą (tu rodo) będzie nieważna (art. 58 par. 1 k.c.).

W przypadku marketingu bezpośredniego elektronicznego (mail, tel) przetwarzanie danych jest możliwe wyłącznie na podstawie uprzedniej zgody. Zgoda musi być wyrażona na konkretnego administratora (odbiorcę), który tutaj jest nabywcą, przy okazji kontaktu innego niż marketing bezpośredni (nie można dzwonić czy pisać maila z pytaniem o zgodę w relacji B2C, w relacji B2B jest to ryzykowne prawnie ale w dużo mniejszym stopniu), zwykle trzeba do tego wykorzystać akcję marketingową (promocyjną) jak np. konkurs.

Zgoda skuteczna wobec nabywcy

Jeśli mamy do czynienia ze sprzedażą przedsiębiorstwa, można uznać że zgoda wyrażona zbywającemu przedsiębiorstwo jest nadal skuteczna wobec nabywcy. Przemawia za tym wykładnia funkcjonalna, funkcją wymogu konkretności zgody jest m. in. ochrona osoby przed wykorzystywaniem jej danych przez dowolną liczbę reklamodawców na których marketing się nie godziła, ale marketing dotyczy nie tyle przedsiębiorcy co jego przedsiębiorstwa (przedmiotu jego działalności), skoro przedsiębiorstwo zostaje zbyte tę zgodę przejmuje nabywca, przy czym traci ją zbywca. Dodatkowo przemawia za tym okoliczność, że według z art. 6 ust. 1 lit. a rodo zgoda nie musi być wyrażona administratorowi, żeby mógł się na nią powoływać, podobnie jak stosownie do art. 6 ust. 1 lit. b rodo stroną umowy musi być podmiot danych, ale nie administrator który powołuje się na tę przesłankę legalizacyjną – czyli przedsiębiorca A może powołać się na przesłankę niezbędności do wykonania umowy w kontakcie z pracownikiem przedsiębiorcy B, bo stroną um o pracę jest podmiot danych, zwykle jednak w klauzulach wskazywana jest podstawa (f). Moim zdaniem też można ale jest to mniej poprawne – jeśli istnieje podstawa z lit. b to tym bardziej istnieje z lit. f, ale wskazywana powinna być przesłanka wprost wynikająca z okoliczności. Zarówno zgoda jak i umowa opiera się na wolności woli osoby, której dane dotyczą, dlatego stroną każdej z tych czynności prawnych (zgoda jest jednostronna, umowa dwustronna) musi być osoba, której dane dotyczą, a nie administrator, który się na tę przesłankę powołuje. Przed transakcję zbycia przedsiębiorstwa należy zawsze zbadać treść zgód osób znajdujących się w bazie danych.

W przypadku przejęcia przedsiębiorcy (spółki), czyli sukcesji uniwersalnej, mamy do czynienia z kontynuacją administratora, wobec tego tym bardziej zgoda jest skuteczna wobec spółki przejmującej.