Do zmiany administratora danych osobowych może dojść w wyniku szeregu działań opartych na różnych podstawach prawnych. Może to być udostępnienie na podstawie obowiązku prawnego, realizacji umowy, żądania podmiotu danych, działania w interesie podmiotu danych, sprzedaż bazy danych osobowych i wielu innych. Szczególnym przypadkiem jest zmiana administratora spowodowana przekształceniami własnościowymi, zmianami formy prawnej, łączeniem się lub podziałem spółek, bądź sprzedaży przedsiębiorstw lub jego zorganizowanej części. 

Procesy te są często skomplikowane i długotrwałe. Do uregulowania jest wiele problemów relacji własnościowych, praw materialnych czy niematerialnych, w tym praw własności intelektualnej, licencji, know-how przedsiębiorstwa itp.  

Przeniesienie praw niematerialnych przy przekształceniach 

To do praw niematerialnych należą właśnie zbiory i bazy danych, w tym danych osobowych. Bazy te często mają fundamentalne znaczenie dla funkcjonowania firmy. Bez ich przekazania działanie firmy może być utrudnione lub uniemożliwione. Szczególnie ucierpieć mogą szeroko pojęte działania handlowe w tym marketingowe. 

Możliwe są różne rozwiązania przekształceń własnościowych, jak przekształcenia JDG w spółkę prawa handlowego. Spółki mogą zmieniać formę prawną, tworzyć spółki osobowe itp. Spółki mogą się łączyć przez przejęcie lub utworzenie nowej spółki, mogą się też dzielić. JDG po śmierci właściciela może działać jako przedsiębiorstwo w spadku, a sukcesorzy kontynuować działalność po zakończeniu postępowania spadkowego itd. Przedsiębiorstwo lub jego zorganizowana część mogą być sprzedane lub darowane. 

Zmiany te po ich przeprowadzeniu prowadzą do powstania całkowicie nowego układu własnościowego lub będącego jedynie jego kontynuacją, w zmodyfikowanej formie prawnej. 

Przejęcie praw niematerialnych przez przekształcony, nowo powstały podmiot lub kupującego przedsiębiorstwo jest stosunkowo łatwo uregulować w umowach lub może to wynikać wprost z przepisów prawa.  

Sukcesja uniwersalna i singularna 

Z punktu widzenia praw do własności niematerialnych, w tym zbiorów danych osobowych, istotne jest, czy w wyniku przeprowadzonego przekształcenia nastąpi: 

  • sukcesja uniwersalna praw i obowiązków przekształcanego podmiotu, czyli wejście nowego podmiotu we wszystkie prawa i obowiązku podmiotu przekształcanego (np. połączenie osób prawnych, włączenie przedsiębiorstwa przejmowanego, przekształcenie, w tym JDG w spółkę prawa handlowego, dziedziczenie przedsiębiorstwa), czy też
  • sukcesja singularna, gdy przeniesieniu podlegają poszczególne składniki składające się na przedsiębiorstwo lub jego zorganizowaną część (sprzedaż, darowizna przedsiębiorstwa lub jego zorganizowanej części, aport przedsiębiorstwa) 

Sprzedaż przedsiębiorstwa lub jego zorganizowanej części oznacza szereg sukcesji singularnych, przenoszących poszczególne prawa składające się na przedsiębiorstwo. Ma to istotne znaczenie w przypadku zbiorów danych osobowych. 

Niezależnie od tego, czy zbiory i bazy danych zostaną przeniesione w drodze sukcesji uniwersalnej, czy singularnej, składniki te przechodzą na podmiot przejmujący lub powstały w wyniku przekształcenia. 

Dosyć powszechnie uważa się, że taki „nowy” podmiot, w wyniku przejęcia baz danych, jako jednego ze składników niematerialnych przedsiębiorstwa, może używać baz danych na tych samych zasadach co podmiot przekazujący.  

Jednak, czy jest tak zawsze, czy wszelkie dane osobowe zawarte w tych bazach można wykorzystywać w działalności firmy, która je przejmuje?  

Baza danych składa się, metaforycznie ujmując, z pudełka, kart do wpisywania rekordów według zaplanowanego wzorca oraz informacji zapisanych atramentem na tych kartach. Obecnie będzie to program bazodanowy, struktura bazy i zapis informatyczny. Sama struktura bazy danych również podlega ochronie prawno – autorskiej.

Dzięki rozwojowi informatyki pojawiły się możliwości wykonywania rozmaitych działań na danych, zestawień, wykresów, kwerend, integracji z innymi systemami, udostępnień itd. Wszystko to stanowi jeden ze składników własności niematerialnej przedsiębiorstwa, którym prawie dowolnie przedsiębiorstwo może dysponować. Tak przynajmniej jest, gdy danymi są np. informacje ekonomiczne, techniczne, fizyczne, geologiczne, geograficzne itp.  

Jednak, czy taka sama sytuacja występuje, gdy w bazie zebrane są dane osób fizycznych? 

Ochrona praw i wolności osobistych 

Każdy ma prawo do szeroko rozumianej ochrony sfery życia prywatnego. Te podstawowe prawa człowieka kształtowały się i ewoluowały na przestrzeni stuleci. Obecnie są określone w aktach prawnych międzynarodowych, europejskich i krajowych. Do najważniejszych należy zaliczyć:  

  • artykuł 12 Powszechnej Deklaracji Praw Człowieka,
  • artykuł 17 Międzynarodowego Paktu Praw Obywatelskich i Politycznych,
  • Artykuł 8 Europejskiej Konwencji Praw Człowieka,

które gwarantują prawo do poszanowania życia prywatnego i rodzinnego, mieszkania, korespondencji. Ograniczają one możliwość ingerencji władzy publicznej w korzystanie z tego prawa. 

Konstytucja RP w art. 47. gwarantuje prawo do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym. 

Z kolei w art. 51. zakazuje nakładania obowiązku ujawniania informacji dotyczących swojej osoby w zakresie większym niż określonym w ustawach, zgodnie z zasadami i trybem udostępniania informacji w nich określonym. Wprowadza prawo dostępu do dokumentów i zbiorów danych, żądania sprostowania i usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą. 

Otwarty katalog dóbr osobistych podaje art. 23 kodeksu cywilnego: „zdrowie, wolność, cześć, swoboda sumienia, nazwisko lub pseudonim, wizerunek, tajemnica korespondencji, nietykalność mieszkania, twórczość naukowa, artystyczna, wynalazcza i racjonalizatorska, pozostają pod ochroną prawa cywilnego niezależnie od ochrony przewidzianej w innych przepisach”. 

W prawie europejskim ramy ochrony danych osób fizycznych i zasad przetwarzania ustanowiła Konwencja nr 108 z 28 stycznia 1981 r. dotycząca ochrony osób w związku z automatycznym (i częściowo automatycznym) przetwarzaniem danych osobowych. Określono w niej podstawowe zasady przetwarzania i ochrony danych osobowych oraz praw podmiotów danych. Dane muszą być pozyskiwane w sposób legalny, gromadzone dla realizacji jasno określonego, zgodnego z prawem celu, a ich wykorzystanie musi w pełni odpowiadać temu celowi.  

Pozycja RODO w dziedzinie ochrony danych 

Rozwinięciem i uszczegółowieniem tych zasad była Dyrektywa 95/46/WE oraz zastępujące ją Ogólne rozporządzenie 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO). Już sam tytuł rozporządzenia wskazuje, że jego głównym celem jest ochrona praw osób fizycznych, zaś jego regulacje są środkami zapewnienia tej ochrony.  

Wśród podstawowych zasad przetwarzania danych uregulowanych przez RODO, szczególnie istotnych w kontekście tego rozważania, są legalność pozyskania danych osobowych (legalność źródła i sposobu pozyskania), pozyskanie ich do konkretnych celów przetwarzania, posiadanie podstawy prawnej przetwarzania konkretnych danych w tym celu, minimalizacja celu przetwarzania (wyłącznie dla realizacji celu, dla którego zostały pozyskane), przejrzystość, rzetelność, minimalizacja zakresu przetwarzania (tylko niezbędny zakres, proporcjonalność przetwarzania) i jego czasu 

Osoby, których dane dotyczą posiadają prawa związane z przetwarzaniem, w tym do bycia poinformowanym o tożsamości administratora, dokonywanym i przez niego przetwarzaniu.  

RODO jest aktem obowiązującym bezpośrednio na terenie Europejskiego Obszaru Gospodarczego. Od zakresu stosowania występują określone w RODO wyjątki (np. sprawy bezpieczeństwa narodowego) W pewnym zakresie zasady ochrony danych mogą być regulowane w ustawach krajowych. W uproszczeniu można przyjąć, że w zakresie ochrony danych osobowych, RODO jest aktem nadrzędnym w stosunku do przepisów krajowych. 

Dane osobowe – do kogo należą? 

Stąd też dane osobowe nie są takimi samymi danymi, jak dane innego charakteru i dlatego nie można ich dowolnie gromadzić, czy w inny sposób przetwarzać lub sprzedawać. Konieczne do tego jest posiadanie właściwej podstawy prawnej, wynikającej ze zgody podmiotu danych lub z przepisu prawa. Podstawa ta powinna mieć (bezpośrednio lub pośrednio) źródło w ustawach lub aktach wyższego rzędu.  

Dane osobowe to w uproszczeniu własność osoby fizycznej, której dotyczą (podmiotu danych osobowych). Ta „własność” nie ma źródła w konkretnym przepisie prawa, wynika z wielu zasad prawnych, w tym wymienionych wyżej. Każdy ma pełne prawa do swoich danych, choć nie ma nad nimi pełnej władzy. Niepełna władza wynika właśnie z praw innych podmiotów do uprawnionego korzystania z tych danych. Podmiotami tymi mogą być władze publiczne w zakresie określonym ustawami. Ale będą to też przedsiębiorstwa, stowarzyszenia i inne podmioty, potrzebujące przetwarzania danych do swojej uprawnionej działalności gospodarczej, kulturalnej, sportowej, politycznej itd. Muszą jednak posiadać konkretną podstawę prawną ich przetwarzania. 

Czy można swobodnie przekazywać bazy danych osobowych? 

Prawo ochrony danych osobowych jest dosyć skomplikowaną i niejednoznaczną materią. Mamy niezliczoną liczbę kombinacji celów przetwarzania, podstaw prawnych przetwarzania, sposobów dokonywania przetwarzania, zaangażowanych podmiotów, powiązań i kontekstów w jakich ono następuje. Właśnie ten „kontekst przetwarzania” powoduje, że każdy przypadek przetwarzania danych osobowych należy rozważać indywidualnie. Często można wzorować się na innych, podobnych przypadkach własnych lub innych administratorów. Jednak zastosowanie jakiegoś rozwiązania sposobu przetwarzania, „bo kolega tak to robi” może być zdradliwe. Czasem drobne różnice tego „kontekstu przetwarzania” mogą powodować, że danego przetwarzania nie będziemy mogli dokonywać lub trzeba będzie zastosować inne rozwiązania, dodatkowe zabezpieczenia itp. 

Właśnie te prawa osób fizycznych do ochrony dóbr osobistych i zasady ochrony danych osobowych powodują, że praw przedsiębiorcy do własności niematerialnych w zakresie baz danych osobowych nie można traktować identycznie, jak np. praw do znaków towarowych, licencji, zezwoleń itp.  

Bezsprzecznie można zbyć lub przenieść prawa do baz danych, jako takich, ich koncepcji, organizacji, budowy, wszelkich funkcji analitycznych, interfejsów itd. Jednakże już możliwość przekazania zawartości baz, zawierających dane osobowe, nie jest już tak oczywista. Do tego, aby konkretne dane osobowe otrzymać, „nowy” administrator musi posiadać konkretne podstawy prawne ich przetwarzania. A to zależy od rodzaju planowanego przekształcenia, sposobu jego przeprowadzenia, celów przetwarzania danych, wszystkiego, co składa się na „kontekst przetwarzania”. 

 

O tych kwestiach napiszę w kolejnej części tej publikacji. 

Zostaw komentarz

dwa + 18 =

Informacja o Administratorze i treść Polityki prywatności znajduje się tutaj: (link)

Zapisz się na newsletter

Z naszą kancelarią nie zbłądzisz w świecie prawa IT.

Informacja o Administratorze i przetwarzaniu danych w celu wysyłki Newslettera znajduje się tutaj

Pełna treść Polityki prywatności znajduje się tutaj