Sprzedaż baz danych

Stworzenie bazy danych z danymi firm

Z Pana wyjaśnień wynika, że ma Pan zamiar stworzyć bazę danych firm z danych ogólnodostępnych.

Po pierwsze, za dane osobowe uznaje się wszystkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (art. 6 ustawy o ochronie danych osobowych – dalej u.o.d.o.).

Od 31 grudnia 2011 r. stracił moc obowiązującą art. 7a ust. 2 ustawy z dnia 19 listopada 1999 r. Prawo działalności gospodarczej, który stanowił, że dane osób fizycznych prowadzących działalność gospodarczą nie podlegały ustawie o ochronie danych osobowych. Od 1 stycznia 2012 r. przepisy u.o.d.o. dotyczą danych osób fizycznych prowadzących działalność gospodarczą.

Dane osób fizycznych prowadzących działalność gospodarczą od 1 stycznia 2012 r. są udostępnione w Centralnej Ewidencji i Informacji o Działalności Gospodarczej (CEIDG) i zgodnie z przepisem art. 38 ust. 1 ustawy z dnia 2 lipca 2004 o swobodzie działalności gospodarczej są jawne. Jawność danych zamieszczonych w CEIDG nie stanowi jednak zwolnienia z obowiązku rejestracji określonego w art. 43 ust. 1 pkt 9 u.o.d.o. Zgodnie z tym art. z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych powszechnie dostępnych.

Należy bowiem mieć na uwadze, że na podstawie danych z CEIDG przedsiębiorcy tworzą różne zbiory, zawierające nie tylko dane z CEIDG. Z chwilą zestawienia różnych danych – bez względu na źródło ich uzyskania – tworzy się nowy zbiór, który w świetle obecnych przepisów podlega rejestracji.

Rejestracja bazy danych firm w GIODO

Obecnie więc baza firm, np. katalog, składa się między innymi z wpisów osób fizycznych prowadzących działalność gospodarczą. Jeżeli wpisy takie zawierają dane udostępniane przez CEIDG, nie będą one podlegały rejestracji. Jeżeli jednak są one wzbogacone o dodatkowe dane (np. numer telefonu), to w świetle obecnych przepisów podlegają one ochronie prawnej i stworzenie zbioru je zawierającego wymaga rejestracji w GIODO.

Na administratorach danych osobowych spoczywa obowiązek informacyjny. Jest to obowiązek poinformowania osoby, której dane dotyczą, o: adresie siedziby i pełnej nazwie, celu zbierania danych, prawie dostępu do treści swoich danych oraz ich poprawiania, dobrowolności albo obowiązku podania danych (jeśli istnieje – wskazanie podstawy prawnej tegoż obowiązku). Istnieje również tzw. wtórny obowiązek informacyjny, który ma zastosowanie w sytuacji, kiedy administrator danych zbiera dane osobowe nie od osoby, której one dotyczą (art. 25 u.o.d.o.). Jest to typowy przykład pozyskiwania danych z baz danych, CEIDG itd.

Pozyskiwanie i przekazywanie danych innemu administratorowi danych

Administrator danych w takim przypadku informuje osobę również o źródle danych oraz prawie wniesienia sprzeciwu lub pisemnego żądania wobec przetwarzania jego danych w celach marketingowych lub wobec przekazania danych innemu administratorowi danych. Niezbędne jest również zbieranie przez administratorów danych zgód na przetwarzanie podanych im danych osobowych, czyli stworzenie odpowiednich klauzul w dokumentacji, na podstawie których administratorzy pozyskują dane.

Ponadto administratorzy danych zobowiązani są zadośćuczynić przepisom określonym w rozdziale 5 u.o.d.o. Główne obowiązki wynikające z przepisów tego rozdziału to: zastosowanie odpowiednich środków technicznych zapewniających ochronę danych, wyznaczenie administratora bezpieczeństwa informacji (ABI), prowadzenie ewidencji osób uprawnionych do przetwarzania danych. Nie należy również zapominać, że administratorzy danych muszą spełniać wymogi określone w rozporządzeniu z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024).

Tak więc u.o.d.o. nie zakazuje pozyskiwania danych ze źródeł powszechnie dostępnych, nie jest też na to potrzebna zgoda GIODO. Zatem każdy może korzystać z danych umieszczonych np. w książce telefonicznej, Internecie czy prasie. Jednak jeśli staje się ich administratorem, musi spełnić pewne wymagania z u.o.d.o.

Tworzenie bazy danych z powszechnie dostępnych źródeł

Podmiot, który gromadzi dane pozyskane ze źródeł powszechnie dostępnych, tworząc w ten sposób swoją bazę danych (tzw. zbiór danych), staje się ich administratorem i jest zobowiązany stosować przepisy u.o.d.o. Nakazują one administratorom danych osobowych (czyli podmiotom decydującym o celach i środkach przetwarzania) wywiązanie się z kilku obowiązków, takich jak:

• wykazanie się podstawą prawną uprawniającą do wykonywania jakichkolwiek działań na zawartych w takim zbiorze danych osobowych,

• dopełnienie obowiązku informacyjnego,

• zgłoszenie do rejestracji GIODO utworzonego zbioru danych osobowych.

Spełnienie obowiązku informacyjnego jest o tyle istotne, że dzięki niemu osoba, której dane dotyczą, ma świadomość, że są one wykorzystywane. W związku z tym, jeśli osoba, której dane zostały pozyskane przez określony podmiot ze źródeł powszechnie dostępnych, nie chce, aby były one przez ten podmiot wykorzystywane, może skorzystać z przysługujących jej uprawnień i np. zażądać usunięcia jej danych osobowych.

Sprzedaż i kupno bazy danych osobowych

Samo nabycie baz danych osobowych nie jest nielegalne. Warto jednak pamiętać o kilku niezbędnych elementach towarzyszących takiemu nabyciu.

Kupno bazy danych osobowych będzie traktowane jako przetwarzanie danych osobowych. W ustawie bowiem bardzo szeroko definiuje się pojęcie przetwarzania danych, w orzeczeniach sądowych zaś możemy znaleźć stwierdzenie, że nabycie danych w drodze umowy jest także sposobem uzyskiwania czy wydostawania ich, co prowadzi do konkluzji, iż zakup bazy jest tożsamy z procesem zbierania i pozyskiwania danych.

Z punktu widzenia prawa najprostsza i najbardziej klarowna sytuacja jest taka, kiedy podmiot sprzedający dane osobowe ma zgodę zarówno na przetwarzanie tych danych, jak i na ich sprzedaż. Zgoda taka może przybrać postać oświadczenia woli, w którym osoba zainteresowana zgadza się na przetwarzanie i sprzedaż jej danych osobowych innym podmiotom (osobom trzecim). Jeśli owe podmioty nie będą wymienione z nazwy, wówczas przyjmuje się, że zgoda na sprzedaż danych osobowych jest uzależniona od tego, czy dane te zostały przetworzone w takim samym celu, w jakim zostały zebrane.

Zgoda na sprzedaż danych osobowych

W przypadku posiadania zgody na sprzedaż danych osobowych podmiot sprzedający bazę takich danych nie musi zwracać się do osoby zainteresowanej o ponowne wyrażenie na to zgody. Nawet mimo znacznego upływu czasu od udzielenia takiej zgody nie ma potrzeby, by uzyskiwać ją ponownie. Zgoda taka może być bowiem w każdym momencie odwołana.

Zgodnie bowiem z art. 25 ust. 1-2 u.o.d.o.:

„1. W przypadku zbierania danych osobowych nie od osoby, której one dotyczą (czyli np. uzyskania danych z CEIDG – przyp. aut.), administrator danych jest zobowiązany poinformować tę osobę, bezpośrednio po utrwaleniu zebranych danych, o:

1) adresie swojej siedziby i jej pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna – o miejscu swojego zamieszkania oraz o swoim imieniu i nazwisku;

2) celu i zakresie zbierania danych, a w szczególności o odbiorcach lub kategoriach odbiorców danych;

3) źródle danych;

4) prawie dostępu do treści swoich danych oraz ich poprawiania;

5) uprawnieniach wynikających z art. 32 ust. 1 pkt 7 i 8 (prawie żądania zaprzestania przetwarzania danych osobowych z uwagi na szczególną sytuację lub prawie wniesienia sprzeciwu – przyp. aut.).

2. Przepisu ust. 1 nie stosuje się, jeżeli:

1) przepis innej ustawy przewiduje lub dopuszcza zbieranie danych osobowych bez wiedzy osoby, której dane dotyczą,

2) (uchylony),

3) dane te są niezbędne do badań naukowych, dydaktycznych, historycznych, statystycznych lub badania opinii publicznej, ich przetwarzanie nie narusza praw lub wolności osoby, której dane dotyczą, a spełnienie wymagań określonych w ust. 1 wymagałoby nadmiernych nakładów lub zagrażałoby realizacji celu badania,

4) (uchylony),

5) dane są przetwarzane przez administratora, o którym mowa w art. 3 ust. 1 i ust. 2 pkt 1, na podstawie przepisów prawa,

6) osoba, której dane dotyczą, posiada informacje, o których mowa w ust. 1”.

Komentowany przepis stanowi, że wyznaczony w nim obowiązek należy spełnić bezpośrednio po utrwaleniu zebranych danych. Przez „utrwalenie” należy rozumieć nadanie czemuś trwałości, zarejestrowanie, zachowanie w pamięci. Należy bowiem przyjąć, że zakresem zastosowania art. 25 ust. 1 u.o.d.o. objęty jest każdy przypadek zbierania danych osobowych (J. Barta, R. Markiewicz, Ochrona danych osobowych. Komentarz, s. 397).

Natomiast jeżeli dane zostały utrwalone już przez poprzedniego administratora danych, to obowiązek powiadomienia aktualizuje się bezpośrednio po zebraniu danych. Do zaktualizowania się omawianego obowiązku wystarczające jest utrwalenie (ewentualnie zebranie już utrwalonej) choćby informacji dotyczących jednej osoby. Zakresem zastosowania komentowanego przepisu objęte są w szczególności przypadki umownego obrotu bazami danych osobowych, a także następstwa prawnego, np. w drodze dziedziczenia albo przejścia zakładu pracy na innego pracodawcę. W rezultacie obowiązek powiadomienia ciąży na administratorze danych także w razie zbierania danych ogólnie dostępnych oraz zbierania danych do jednorazowego wykorzystania.

Problematyczna natomiast może okazać się sytuacja, gdy podmiot sprzedający bazy danych nie ma zgody na sprzedaż. Kwestia legalności takiej transakcji nie została jednoznacznie rozstrzygnięta w doktrynie.

Sprzedaż bazy danych zbieranych bez zgody osoby której te dane dotyczą

Zdaniem niektórych ekspertów art. 26 u.o.d.o. uniemożliwia sprzedaż bazy danych zbieranych bez zgody osoby, której te dane dotyczą. Zgodnie z tym przepisem administrator danych przetwarzający je powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których owe dane dotyczą. W szczególności jest zobowiązany zapewnić, aby dane te były zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami. Dlatego też – zdaniem niektórych prawników – można uznać, że z powyższego obowiązku administratora danych należy wyprowadzić zakaz przetwarzania tych danych dla tego samego celu, lecz przez innego administratora.

Wydaje się jednak, że możliwa jest też inna argumentacja, tj. uznanie, że możliwa jest sprzedaż bazy danych osobowych bez zgody osoby, której te dane dotyczą, a jedynie za późniejszym poinformowaniem tej osoby o sprzedaży jej danych osobowych (tj. realizowaniem obowiązku informacyjnego wskazanego w art. 25 ust. 1 u.o.d.o.).

Wydaje się więc, że wobec brzmienia art. 32 ust. 1 pkt 8 u.o.d.o. administrator danych może przekazać bazę danych osobowych innemu administratorowi, jeśli zostaną spełnione następujące warunki:

• osoba zainteresowana otrzyma wszystkie informacje wskazane w art. 25 ust. 1 u.o.d.o.;

• osoba zainteresowana nie wniesie sprzeciwu wobec przekazywania jej danych;

• zmianie nie ulegnie cel przetwarzania danych osobowych.

Zmiana właściciela bazy danych osobowych

Trzeba podkreślić, że zdaniem GIODO firma marketingowa, która kupiła bazę danych od innego podmiotu, powinna powiadomić o tym każdą osobę, której dane znajdują się w tej bazie, że przetwarza informacje o niej. Przy tym GIODO uznał również, że na sprzedaż danych osobowych musi być udzielona wyraźna zgoda osoby zainteresowanej.

Podsumowując, należy stwierdzić, że sprzedaż baz danych nie jest jednoznacznie uregulowana. Nabycie takich baz, w tym baz danych osobowych, nie jest w Polsce zabronione i w obrocie gospodarczym występuje coraz częściej.

Nierozstrzygniętą kwestią jest możliwość sprzedaży bazy danych osobowych (i nabycia jej przez zbywcę) w sytuacji, gdy nabywca nie ma zgody osoby zainteresowanej. Wydaje się jednak, że przy spełnieniu takich przesłanek, jak zbieranie danych zgodnie z prawem (przesłanka legalizacyjna), poinformowanie osoby zainteresowanej o adresie, celach, odbiorcach jej danych itp., a także przetwarzanie ich w tym samym celu, w jakim robi to zbywca, nie będzie trzeba mieć zgody osoby, której dane są przetwarzane, podczas sprzedaży jej danych. Pogląd ten może jednak wydać się kontrowersyjny.

Najkorzystniejszą z punktu widzenia prawa sytuacją jest więc posiadanie zgody nie tylko na przetwarzanie danych osobowych, lecz także na ich sprzedaż.

Co do rejestracji i aktualizacji zbioru danych należy zaznaczyć, że zgodnie z art. 40 u.o.d.o.: „administrator danych jest obowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi, z wyjątkiem przypadków, o których mowa w art. 43 ust. 1”.

Art. 41 ust. 2 zd. 2 u.o.d.o. wprowadza zaś zasadę, zgodnie z którą do zgłaszania zmian stosuje się odpowiednio przepisy o rejestracji zbiorów danych.

Tak więc jeszcze raz zaznaczam, że zgodnie z art. 43 ust. 1 pkt 9 u.o.d.o. z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych powszechnie dostępnych, a za takie należy uznać bazy danych uzyskane z CEIDG jako rejestru jawnego dla wszystkich.

Jednak jeżeli do tych danych doda Pan dodatkowe dane, to – tak jak wspominałem na początku – należy taki zbiór zarejestrować.

Na marginesie jedynie dodam, że niewykonanie obowiązku powiadomienia ustanowionego w art. 25 u.o.d.o. podlega odpowiedzialności karnej. Na podstawie art. 54 u.o.d.o. osoba, która – administrując zbiorem danych – nie dopełnia obowiązku poinformowania osoby, której dane dotyczą, o jej prawach lub przekazania tej osobie informacji umożliwiających korzystanie z praw przyznanych jej w niniejszej ustawie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

Na marginesie dodam, że GIODO często zaznacza w swoich wystąpieniach, iż jeśli administrator zamierza przetwarzać dane osobowe osób fizycznych prowadzących działalność gospodarczą (jeszcze raz zaznaczam, że nie wszystkie dane w CEIDG są danymi osobowymi), powinien, zgodnie z ustawą, także wykazać podstawę prawną przetwarzania danych osobowych przedsiębiorców, niedopuszczalne jest bowiem swobodne pozyskiwanie i przetwarzanie takich danych w dowolnych celach.

Co do prawa autorskiego to informacje z CEIDG nie podlegają mu. Świadczy o tym m.in. art. 17¹ ustawy o prawie autorskim i prawach pokrewnych, zgodnie z którym: „Opracowanie lub zwielokrotnienie bazy danych spełniającej cechy utworu, dokonane przez legalnego użytkownika bazy danych lub jej kopii, nie wymaga zezwolenia autora bazy danych, jeśli jest ono konieczne dla dostępu do zawartości bazy danych i normalnego korzystania z jej zawartości. Jeżeli użytkownik jest upoważniony do korzystania tylko z części bazy danych, niniejsze postanowienie odnosi się tylko do tej części”.