Sprzedaż bazy danych na przykładzie sklepu internetowego

Przy sprzedaży sklepu internetowego jednym z największych wyzwań są dane osobowe znajdujące się w bazie sklepu. Dlaczego i jak poradzić sobie z tym wyzwaniem? Tutaj znajdziesz odpowiedź.

Materiał przydatny również, gdy chodzi o sprzedaż innych baz danych.

Spis treści

Dla twojej wygody przygotowałem spis treści, który ułatwi ci poruszanie się po tej stronie.

Podcast na temat sprzedaży bazy danych

Jeżeli wolisz słuchać niż czytać, oddaję do twojej dyspozycji 63 odcinek podcastu o prawie dla kreatywnych.

Niestety, ale wybrałeś/aś brak obsługi Soundcloud w menu cookies. Zmień to ustawienie, żeby zobaczyć w tym miejscu odtwarzacz.

Wszystkie odcinki podcastu znajdziesz na podstronie dedykowanej podcastowi.

Baza danych sklepu internetowego – kluczowy problem

W bazie danych sklepu internetowego znajdują się najczęściej następujące informacje:

konta użytkowników,
zamówienia,
subskrybenci newslettera / list marketingowych,
komentarze / opinie o produktach.

Pośród tych informacji znajdują się dane osobowe takie jak:

imię i nazwisko,
adres zamieszkania / siedziby,
adres e-mail,
numer telefonu,
numer NIP,
adres IP.

Administratorem danych osobowych jesteś ty jako dotychczasowy właściciel sklepu.

Nabywca chce przejąć sklep razem z całą bazą danych. Czy możesz mu ją tak po prostu przekazać? Niekoniecznie, sytuacja jest bardziej skomplikowana.

Podstawy prawne przetwarzania danych osobowych

Dane osobowe muszą być przetwarzane w oparciu o właściwą podstawę prawną.

Kluczowym słowem jest w tym przypadku „przetwarzanie”. To właśnie dla przetwarzania danych osobowych musimy poszukiwać podstawy prawnej.

Czym jest przetwarzanie danych osobowych? Definicję odnajdujemy w RODO.

Art. 4 RODO

Na użytek niniejszego rozporządzenia:

[…]

2) ,,przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;

[…]

Jak widzisz, w zacytowanym powyżej przepisie pogrubiłem słowo „udostępnianie”.

Jeżeli uznamy, że sprzedaż sklepu internetowego wiąże się z udostępnieniem danych osobowych znajdujących się w bazie sklepu, to musimy znaleźć dla takiej czynności przetwarzania podstawę prawną.

Podstawy prawne przetwarzania danych uregulowane zostały w RODO.

Art. 6 RODO

1. Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:

a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;

b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;

c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;

d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;

e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;

f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

W przytoczonym powyżej przepisy wytłuściłem trzy podstawy prawne, które możemy rozważać przy operacji przekazania danych osobowych nabywcy sklepu internetowego:

umowa,
uzasadniony interes administratora (UIA),
zgoda.

Umowa jako podstawa przetwarzania

W pierwszym odruchu mogłoby się wydawać, że najbardziej właściwa jest umowa, skoro sprzedaż sklepu następuje właśnie na podstawie umowy. Nic bardziej mylnego.

Zdjęcie autorstwa George Becker z Pexels

Umowa jest podstawą do przetwarzania danych, ale tylko w odniesieniu do danych osoby, która jest stroną umowy. Dotychczasowi użytkownicy i klienci sklepu internetowego nie są stroną umowy sprzedaży sklepu. Stroną tej umowy jesteś ty jako sprzedawca oraz nabywca sklepu internetowego.

W związku z tym, nie możesz oprzeć przekazania danych osobowych nabywcy o umowę sprzedaży sklepu.

UIA jako podstawa prawa przetwarzania

Tam, gdzie zawodzi umowa lub zgoda, administratorzy posiłkują się swoim prawnie uzasadnionym interesem, wskazując go jako podstawę prawną przetwarzania danych.

Pytanie, czy sprzedaż sklepu internetowego można uznać za uzasadniony interes administratora? Niby tak, ale pamiętaj o fragmencie przepisu precyzującym przesłankę UIA.

Przetwarzanie jest zgodne z prawem, gdy przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych.

W mojej ocenie, oparcie przekazania danych o prawnie uzasadniony interes administratora nie przejdzie w ramach testu równowagi, jaki trzeba wykonać, by móc skorzystać z tej podstawy. Uważam, że w tej sytuacji prymat należy przyznać interesum oraz podstawowym prawom i wolnościom dotychczasowych użytkowników i klientów sklepu internetowego.

Kara za udostępnienie danych na podstawie UIA

Nie jest to tylko moja ocena. Podobne stanowisko zajął holenderski organ nadzorczy (odpowiednik polskiego Prezesa Urzędu Ochrony Danych Osobowych), który ukarał podmiot za sprzedaż bazy danych z powołaniem się na prawnie uzasadniony interes realizowany przez administratora.

Rozpatrywał on sprawę sprzedaży baz danych osobowych przez holenderskie stowarzyszenie tenisowe.

Organ doszedł do wniosku, że udostępnienie danych osobowych nabywcom baz danych było działaniem bezprawnym, w związku z czym na holenderskie stowarzyszenie tenisowe została nałożona administracyjna kara pieniężna w wysokości 525.000 euro. Ze szczegółami możesz zapoznać się tutaj.

Organ zakwestionował udostępnienie danych osobowych na podstawie prawnie uzasadnionego interesu administratora danych osobowych.

Tym samym jakakolwiek sprzedaż bazy danych będącej równocześnie zbiorem danych osobowych staje się bardzo ryzykowna: decyzja holenderskiego organu nadzorczego rzecz jasna nie ustanawia prawa, ale pokazuje, że np. polski Prezes Urzędu Ochrony Danych Osobowych może dojść do zbliżonych wniosków.

I stwierdzić, że samo zawarcie umowy sprzedaży bazy danych to stanowczo za mało, by przetwarzanie danych osobowych przez nowego administratora danych osobowych było legalne.

Zgoda jako podstawa przetwarzania

Najprostszą podstawą przetwarzania danych jest zgoda. Ktoś się na coś godzi, więc można to zrobić.

Uwaga, ważne – zgodę powinniśmy rozważać dopiero wtedy, gdy nie jesteśmy w stanie znaleźć inne podstawy prawnej przetwarzania.

Wszystko super, tylko że w kontekście sprzedaży sklepu internetowego nie jest to takie proste. Wyobraź sobie, że wysyłasz do dotychczasowych użytkowników i klientów wiadomość z pytaniem czy możesz przekazać ich dane osobowe nabywcy sklepu. Ile osób kliknie, że tak? No właśnie, w tym problem.

W związku z tym, przekazanie danych osobowych nabywcy sklepu internetowego można byłoby oprzeć o zgodę, ale w praktyce jest to niewykonalne.

Sprzedaż przedsiębiorstwa to nie udostępnienie danych

Wiesz już, że znalezienie właściwej podstawy prawnej dla udostępnienia danych osobowych nowemu właścicielowi sklepu jest trudne, jeżeli nie chcesz odbierać zgody od użytkowników.

Czy to oznacza, że nie możesz legalnie sprzedać sklepu?

Możesz, jeżeli skorzystasz ze sprzedaży sklepu jako przedsiębiorstwa albo jego zorganizowanej części. W takim przypadku bazę danych traktujemy jako składnik przedsiębiorstwa. Nie dochodzi tutaj do udostępnienia danych, a jedynie do zmiany tożsamości administratora – w twoje miejsce wchodzi nabywca sklepu.

Nie zmieniają się cele ani podstawy przetwarzania danych osobowych, a jedynie ich administrator. Nie trzeba odbierać zgody na udostępnienie danych nowemu właścicielowi sklepu, a jedynie poinformować o sprzedaży przedsiębiorstwa osoby, których dane znajdują się w bazie wchodzącej w jego skład.

Jak ogarnąć sprzedaż przedsiębiorstwa?

Ten artykuł poświęcony jest wyłącznie tematyce danych osobowych w związku ze sprzedażą sklepu internetowego.

Zagadnienie jest na tyle złożone, że dla przejrzystości i czytelności, zostało wydzielone z ogólnego poradnika poświęconego sprzedaży sklepu internetowego.

Z poradnikiem na temat sprzedaży sklepu internetowego możesz zapoznać się tutaj: Umowa sprzedaży sklepu internetowego. Jak ją przygotować?

Przeczytaj również: podatki przy sprzedaży sklepu internetowego.

Pomoc przy sprzedaży bazie danych

Potrzebujesz pomocy prawnej przy sprzedaży bazy danych?

Wyślij wiadomość na adres wojciech.wawrzak@prakreacja.pl i porozmawiajmy o możliwej współpracy.

BONUS dla stałych czytelników

Tam, gdzie pojawiają się dane, tam występują również naruszenia ochrony danych.

Przygotowałem krótkie i praktyczne opracowanie na temat najczęściej występujących naruszeń ochrony danych osobowych, które pozwoli ci przygotować się na najczęściej występujące scenariusze.

Opracowanie jest dostępne dla stałych czytelników, którzy subskrybują newsletter. Jeżeli jeszcze nie należysz do tego grona, zapisz się teraz, a w prezencie powitalnym otrzymasz wspomniane opracowanie.

Cookie	Duration	Description
cookielawinfo-checkbox-analytics	11 months	Ten plik cookie jest ustawiany przez wtyczkę RODO Cookie Consent. Plik cookie służy do przechowywania zgody użytkownika na pliki cookie w kategorii „Analityka”.
cookielawinfo-checkbox-functional	11 months	Plik cookie jest ustawiany przez zgodę na pliki cookie RODO, aby rejestrować zgodę użytkownika na pliki cookie w kategorii „Funkcjonalne”.
cookielawinfo-checkbox-necessary	11 months	Ten plik cookie jest ustawiany przez wtyczkę RODO Cookie Consent. Pliki cookie służą do przechowywania zgody użytkownika na pliki cookie w kategorii „Niezbędne”.
cookielawinfo-checkbox-others	11 months	Ten plik cookie jest ustawiany przez wtyczkę RODO Cookie Consent. Plik cookie służy do przechowywania zgody użytkownika na pliki cookie w kategorii „Inne”.
cookielawinfo-checkbox-performance	11 months	Ten plik cookie jest ustawiany przez wtyczkę RODO Cookie Consent. Plik cookie służy do przechowywania zgody użytkownika na pliki cookie w kategorii „Wydajność”.
viewed_cookie_policy	11 months	Plik cookie jest ustawiany przez wtyczkę RODO Cookie Consent i służy do przechowywania informacji, czy użytkownik wyraził zgodę na korzystanie z plików cookie. Nie przechowuje żadnych danych osobowych.