Bazy danych klientów: Korzystanie z danych osobowych w celach marketingowych. Co powinna zawierać umowa pozyskania bazy danych aby właściwie zabezpieczyć transakcję

Płaszczyzna cywilnoprawna

Na płaszczyźnie cywilnoprawnej mamy do czynienia z pewnym przedmiotem (bazą danych), podobnie jak z rzeczą ruchomą, którą możemy sprzedać (czyli przenieść prawo własności na nabywcę) lub w jakiś sposób udostępnić do użytkowania nie tracąc prawa własności, a stosując inną umowę cywilnoprawną, np. użyczenia, najmu, dzierżawy (umowę, która wpisuje się w katalog umów o korzystania z rzeczy). Na płaszczyźnie cywilnoprawej skutek będzie taki, że zawierając odpowiednią umowę albo nabędziemy prawo własności do bazy danych, albo prawo do czasowego korzystania z bazy danych. Umowa może też określić zobowiązanie zapłaty pewnego wynagrodzenia lub też wskazać, że świadczenie jest bezpłatne (ze względu na prawo podatkowe z góry załóżmy, że będzie ustalone wynagrodzenie). W tym miejscu właśnie należy podkreślić, że przeniesienie własności lub udzielenie prawa do korzystania z bazy danych nie możemy łączyć ze statusem Administratora danych lub Podmiotu przetwarzającego. To jest właśnie moment kiedy nie możemy łączyć płaszczyzny prawa cywilnego z administracyjnym.

Przygotowując umowę na korzystanie z bazy danych, czy też ją weryfikując na płaszczyźnie cywilnoprawnej powinniśmy w przedmiocie umowy określić jaki skutek chcą osiągnąć strony umowy oraz za jakim wynagrodzeniem. Umowę taką uzupełniamy o standardowe postanowienia umowne regulujące w szczególności odpowiedzialność, techniczny sposób udostępniania danych, terminy, poufność informacji, itp.

Płaszczyzna przepisów, które są przepisami administracyjnymi lub mają taki charakter.

Z pewnością przepisami administracyjnymi są przepisy prawa telekomunikacyjnego i przepisy o ochronie danych osobowych, ale taki charakter mają też przepisy o prawie autorskim i prawach pokrewnych, czy też o ochronie baz danych. Ze względów dydaktycznych omówmy w pierwszej kolejności przepisy o prawie autorskim i ochronie baz danych, a następnie przepisy prawa telekomunikacyjnego i przepisy o ochronie danych osobowych.

Ustawa o prawie autorskim i prawach pokrewnych koncentruje się na ochronie autorskich praw, w tym też co nas interesuje praw majątkowych do utworu, a utwór jest rozumiany jako każdego przejawu twórczej działalności o indywidualnym charakterze. Może to być także baza danych, jednak w praktyce bazy danych wykorzystywane do marketingu są to typowe, o powtarzalnej strukturze bazy danych zawierające dane teleadresowe i dane o preferencjach konsumpcyjnych. Nie ma w nich elementu twórczego, który by wpisywał bazę danych w zakres regulacji tejże ustawy. Często w stosowanych umowach o korzystanie z baz danych pojawia się zagadnienie „licencji” do bazy danych (licencja może być definiowana jako umowa o korzystanie z utworu – jako upoważnienie udzielone przez podmiot posiadający majątkowe prawa autorskie do korzystania z utworu). Jednak odwołanie się do instytucji licencji prowadzi nas do konieczności określenia tzw. pól eksploatacji (czyli określenia możliwych sposobów wykorzystania utworu) i innych wymogów wynikających z tych regulacji. Wydaje się to w ogóle nieuzasadnione, jeżeli mamy do czynienia z typową bazą marketingową. Wystarczyłoby w umowie wpisać, że baza danych będąca przedmiotem umowy nie stanowi utworu w myśli przepisów o prawie autorskim i prawach pokrewnych, co potwierdzają obie strony umowy i wszelkie późniejsze roszczenia są w tym zakresie niezasadne.

Natomiast ustawa o ochronie baz danych, której ranga jest podnoszona w trakcie negocjacji warunków umów o korzystanie z baz danych jest bardzo zwięzłą regulacją chroniącą Producenta bazy danych (czyli podmiotu, który wytworzył bazę danych). Ochrona producenta jest analogiczna jak ochrona właściciela rzeczy, bez zgody którego nie można korzystać z rzeczy. Podobnie jest z bazą danych, której właścicielem jest Producent, a bez zgody Producenta nie można pobierać bazy danych, ani wtórnie jej wykorzystywać. W tym światle, jeżeli mamy zawartą umowę cywilnoprawną z Producentem to w pełni realizujemy wymogi ustawy o ochronie baz danych i dalsze dywagacje w tym zakresie są nieuzasadnione.

Zdarza się też, że przy negocjacjach warunków umowy o korzystanie z bazy danych pojawia się pytanie czy umowa jest zgodna z przepisami prawa telekomunikacyjnego, tak doniosłej regulacji prawnej w polskim porządku prawnym. Należy jednak zauważyć, że przepisy prawa telekomunikacyjnego zasadniczo nie odnoszą się do sposobu konstruowania umów o korzystanie z baz danych. Głównym celem tych przepisów jest uregulowanie świadczenia usług telekomunikacyjnych i wszystkiego, co się z tym wiąże, także przesyłania danych w sieci telekomunikacyjnej, ale rygorem tych przepisów są objęci operatorzy telekomunikacyjni (chodzi o podmioty świadczące usługi telekomunikacyjne tj. usługi polegające na przekazywaniu sygnałów w sieci telekomunikacyjnej oraz usług dodatkowych polegających na umożliwieniu przekazywania sygnałów).

Głównym punktem zbieżnym z działalnością marketingową podmiotów nieświadczących usług telekomunikacyjnych jest ochrona abonenta (podmiotu będącego stroną umowy o świadczenie usługi telekomunikacyjnej) oraz użytkownika telekomunikacyjnego urządzenia końcowego (np. użytkownika komputera przenośnego, tabletu, telefonu) przed marketingiem bezpośrednim w przypadku braku ich zgody. Jednak, ten zakres regulacji, czyli prawo dające możliwość wykorzystywania danych do celów marketingowych należy rozpatrywać jako postanowienie uzupełniające w umowie o korzystanie z baz danych i nie wpływa ono w żadnym stopniu na konstrukcję omawianej umowy. Zagadnienie zgód, czyli prawo do wykorzystania danych osobowych jakie Administrator nabył zostało zasygnalizowane w artykule pt. „Bezpieczne korzystanie z baz konsumenckich” (link). Podsumowując, prawo telekomunikacyjne nie wpływa na typ umowy jaki zostanie zawarty o korzystanie z bazy danych, a jedynie może wymuszać potrzebę wprowadzenia postanowień opisujących atrybuty bazy danych, czyli inaczej pisząc wprowadzenia postanowień wskazujących treść pozyskanych zgód, od osób których dane dotyczą i tym samym wskazujących jakie zostały nabyte prawa do przetwarzania danych osobowych w celach marketingowych.

Jeżeli chodzi o przepisy o ochronie danych osobowych, gdzie obecnie podstawowym aktem prawnym jest Rozporządzenie Parlamentu Europejskiego iRady (UE) 2016/679 zdnia 27 kwietnia 2016 r. wsprawie ochrony osób fizycznych wzwiązku zprzetwarzaniem danych osobowych iw sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie oochronie danych - RODO), należy wskazać, że w zakresie konstruowania umów o korzystanie z baz danych kluczowe znaczenie ma podział na dwa podmioty związane z przetwarzaniem danych osobowych, są nimi Administrator danych osobowych oraz Podmiot przetwarzający (co zostało zasygnalizowane przy okazji omawiania płaszczyzny cywilnoprawnej powyżej). Ten pierwszy, czyli Administrator posiada pełne władztwo nad danymi uwzględniając ograniczenia wynikające z przepisów prawa oraz drugi, Podmiot przetwarzający jest podmiotem pełniącym rolę służebną w stosunku do Administratora i wykonujący na jego zlecenie usługę związaną z przetwarzaniem danych osobowych. Na płaszczyźnie przepisów o ochronie danych osobowych pomiędzy podmiotami, między którymi dochodzi do wymiany danych osobowych może zachodzić dwojakiego rodzaju relacja tj. Administrator-Administrator lub Administrator-Podmiot przetwarzający. Należy jednak pamiętać, że Administrator to podmiot decydujący o celach i sposobach przetwarzana, a Podmiot przetwarzający pełni rolę służebną i przetwarza dane na zlecenie Administratora. Ta regulacja ma istotne znacznie przy właściwym uregulowaniu istniejącego stanu faktycznego w umowach o korzystanie z baz danych, dlatego jest punktem odniesienia do dalszych rozstrzygnięć.

Udostępnienie czasowe, a bezterminowe

Wymogi przepisów o ochronie danych osobowych należy uzupełnić zagadnieniem czasowego i bezterminowego udostępnienia danych osobowych, ponieważ w praktyce na rynku mamy do czynienia z takimi dwoma typami umów, dlatego istotnym elementem jest zastosowanie właściwej konstrukcji prawnej w umowie o korzystanie z bazy danych.

Bezterminowe udostępnienie danych na płaszczyźnie cywilnoprawnej skutkuje koniecznością przeniesienia własności do bazy danych, natomiast czasowe udostępnienia będzie wpisywało się w którąś z umów cywilnoprawnych dających prawo do korzystania z rzeczy. Na tej płaszczyźnie zagadnienie to mamy rozstrzygnięte, co też wpisuje się regulację przepisów o ochronie baz danych.

Natomiast na płaszczyźnie prawa administracyjnego, dokładnie przepisów o ochronie danych osobowych zagadnienie czasowości lub bezterminowości udostępnienia danych osobowych już będzie skutkowało przyjęciem rozstrzygnięcia bardziej złożonego. Ograniczając się do prostego modelu, należy rozstrzygnąć, czy będziemy mieli do czynienia z relacją Administrator-Administrator, czy też Administrator-Podmiot przetwarzający.

Jeżeli więc mamy do czynienia z bezterminowym udostępnieniem danych, to na płaszczyźnie przepisów o ochronie danych osobowych mamy do czynienia z relacją Administrator-Administrator, czyli podmiot udostępniający dane posiada status Administratora oraz podmiot wchodzący w posiadanie danych („Odbiorca”), będzie posiadał status Administratora. Tenże Odbiorca danych sam decyduje o celach i sposobach przetwarzania, ponieważ przetwarza dane we własnym celu marketingowym i nie jest ograniczony w czasie (na okoliczność tej analizy ze względów dydaktycznych pomijamy modele bardziej złożone, gdzie podmiot udostępniający może działać na zlecenia innego Administratora lub też podmiot udostępniający może gromadzić dane na zlecenie Obiorcy – są to szczególne sytuacje).

W przypadku czasowego korzystania z danych osobowych zaczynamy rozważać, czy warunek czasowości nie jest powodem do uznania Odbiorcy za podmiot przetwarzający, ponieważ Administrator posiadający pełne władztwo nie może być ograniczony czasem przetwarzania, jako że sam powinien o tym decydować. Otóż, przepisy o ochronie danych osobowych w podstawowym modelu przywidują tylko dwa przypadki, Odbiorca może być albo Administratorem, albo Podmiotem przetwarzający. Nie ma rozwiązania pośredniego. Przy badaniu stanu faktycznego, który z konieczności musimy wpisać w stan prawny, powinniśmy ustalić, którym z wyżej wymienionych podmiotów jest Odbiorca. W tym przypadku decydujący jest cel przetwarzania. Gdyby Odbiorca przetwarzał dane w celach marketingowych na rzecz podmiotu udostępniającego, np. promował jego towary i usługi można by było Odbiorcy przypisać rolę Podmiotu przetwarzającego, jednak w przypadku gdy realizuje on własne cele, nawet czasowo będzie on uznany za nowego Administratora danych osobowych.

Podejmując decyzję, czy chcemy korzystać z baz danych czasowo czy bezterminowo powinniśmy się bardziej skoncentrować się na tym, czy zależy nam na długotrwałym, wielokrotnym wykorzystywaniu bazy do marketingu, czy też wystarczy nam przeprowadzenie jednej lub kilkukrotnej kampanii marketingowej, w ograniczonym z góry terminie. Kluczowym czynnikiem zapewne będzie cena jaką należy zapłacić za korzystanie z bazy danych. Należy jednak pamiętać, że korzystanie czasowe z bazy danych także wywołuje skutek nawiązania trwałej relacji z osobami, których dane znajdują się bazie danych. Ma to miejsce w przypadku gdy osoba, z którą się kontaktujemy wrazi swoje zainteresowanie ofertą Obiorcy. W momencie takiego oświadczania w stosunku do danych osobowych tej osoby Odbiorca staje się pełnoprawnym Administratorem danych i dane te może już przetwarzać bez terminowo.

Główne ramy prawne umowy na korzystanie z baz danych

Uwzględniając wyżej wskazane zależności umowę na korzystanie z baz danych regulującą prowadzenie czynności marketingowych przez Odbiorcę należałoby uregulować w relacji Administrator-Administrator (tę relację determinuje cel przetwarzania danych). Kwestią decyzji biznesowej jest określenie czy wykorzystywanie bazy danych będzie ograniczone czasowo, czy też będzie przejęta bezterminowo.

Stan prawny wskazany powyżej pozwala nam stwierdzić, że umowa o korzystanie z baz danych jest umową prostą, o charakterze typowej umowy cywilnoprawnej, w której zagadnienia przepisów administracyjnych sprowadzają się głównie do rozstrzygnięć opartych na podstawie przepisów o ochronie danych osobowych. Przy tego typu umowach przepisy o prawie autorskim i prawach pokrewnych można wykluczyć, przepisy o ochronie baz danych są regulowane przez samo zawarcie umowy, a przepisy prawa telekomunikacyjnego dotyczą tylko dokładnego opisania przedmiotu umowy. Do właściwego zastosowania pozostają tylko przepisy o ochronie danych osobowych, a ich zastosowanie redukuje się tylko do określenia właściwej relacji pomiędzy podmiotem udostępniającym dane, a Odbiorcą.

Dla tego typu umów oprócz właściwie uregulowanej konstrukcji prawnej istotne jest to, aby dobrze był opisany przedmiot umowy. W przypadku, gdy przedmiotem umowy jest baza danych należy dokładnie opisać atrybuty tej bazy, czyli jakie prawa przysługują Odbiorcy (Administratorowi) do dalszego przetwarzania danych osobowych. Atrybuty te opisuje się przez dokładne wskazanie treści zgód wyrażonych przez osobę której dane dotyczą, a której dane znajdują się w bazie danych. W umowie na korzystanie z bazy danych należy także zobowiązać podmiot udostępniający dane do wykazania na każde żądanie Odbiorcy, jakiej treści zgody i kiedy wyraziła osoba, której dane znajdują się w bazie danych pod rygorem pełniej odpowiedzialności za ewentualne szkody poniesione przez Odbiorcę.

Mimo, że w większości wzorców umów o korzystanie z bazy danych funkcjonują różnorodne postanowienia, często znoszące się wzajemnie, a wielu specjalistów posiada odmienne stanowiska, co przy negocjowaniu umów nastręcza dużo trudności organizacyjnych i proces ten wydłuża się w czasie, to wskazane proste wytyczne powinny pozbawić nas niepewności w ocenie zagadnień kluczowych i wyposażyć nas w narzędzia pozwalające na oddzielenie postanowień istotnych od drugorzędnych, czy nawet wymuszonych przez kontrahenta.