Z tego artykułu dowiesz się między innymi:

  1. Czy sprzedaż danych osobowych jest legalna?
  2. O czym musisz wiedzieć sprzedając sklep internetowy i w jaki sposób można to zrobić?
  3. Czy pozyskanie zgód Klientów na przekazanie ich danych nabywcy sklepu jest konieczne?

Od razu jednak musimy zaznaczyć, że sprzedaż sklepu internetowego (czy odpowiednio serwisu internetowego lub aplikacji) jest skomplikowaną operacją prawną. Jest kilka sposobów takiej sprzedaży – każdy ma swoje plusy i minusy i należy go dostosować do danej sytuacji. Szczególnie ma to znaczenie w kontekście danych osobowych, które są pod specjalną ochroną.

Uprzedzamy – ten artykuł nie da gotowego rozwiązania, bo takiego nie ma – jeżeli zamierzasz sprzedać lub kupić sklep, to zdecydowanie rekomendujemy skorzystać z konsultacji z prawnikiem, który oceni sytuację i dopasuje możliwie najlepsze rozwiązanie – w tym wypadku nie warto oszczędzać. Warto wiedzieć, co faktycznie sprzedajemy i co faktycznie kupujemy oraz jakie są możliwe konsekwencje z tym związane.

 

Czy mogę sprzedać dane osobowe?

 

Obecnie dane osobowe (czyli np. baza odbiorców Newslettera, czy użytkowników sklepu) często stanowią jedną z największych wartości biznesowych. Sklep posiadający rozbudowaną bazę klientów powracających, odbiorców Newslettera, zaufanych kontrahentów czy obserwujących w social media, będzie miał o wiele większą wartość niż „gołe” oprogramowanie, ponieważ będzie generował przychód zaraz po jego przejęciu. Czy jednak w czasie obowiązywania RODO można swobodnie sprzedać dane osobowe?

Niestety na to pytanie nie ma jednoznacznej odpowiedzi, gdyż w zasadzie RODO milczy na ten temat. Musimy wziąć pod uwagę kilka czynników uwzględnianych przy badaniu legalności sprzedaży danych osobowych, a najważniejszymi z nich jest podstawa prawna przetwarzania danych oraz cel przetwarzania. Dochodzimy tutaj do najistotniejszej kwestii – legalne udostępnienie danych innemu podmiotowi będzie możliwe zasadniczo tylko wtedy, gdy będzie on przetwarzał dane w tych samych celach i w oparciu o własną, prawidłową podstawę prawną.

Zapraszamy do dalszej lektury by poznać szczegóły.

 

O czym musisz wiedzieć sprzedając sklep internetowy?

 

Sprzedaż sklepu internetowego lub też inna forma przeniesienia jego własności (sprzedaż w kontekście prawnym jest pojęciem zbyt ogólnym) może wydawać się prosta. Ustalamy cenę, podpisujemy umowę i przekazujemy hasło dostępowe do oprogramowania. W praktyce jednak każdy sklep składa się z wielu elementów, które muszą być rozpatrzone oddzielnie. Mowa tutaj między innymi o:

  • prawach autorskich lub licencji na oprogramowanie sklepu,
  • umowach z pracownikami, współpracownikami
  • stanie magazynowym,
  • przyszłych reklamacjach, zwrotach,
  • prawach autorskich do zdjęć czy opisów
  • prawach do nazwy, do znaku towarowego
  • prawach do domeny, hostingu
  • prawach do kont w serwisach sprzedażowych typu Allegro
  • prawach do kont i stron w serwisach społecznościowych
  • wypracowana renoma, opinie
  • know-how
  • umowach z dostawcami i kontrahentami
  • danych osobowych klientów i użytkowników zarejestrowanych w sklepie
  • oraz wiele innych elementów, które mogą, ale nie muszą się pojawić w kontekście sprzedaży

Co istotne każdy sklep będzie inny i będzie zawierał inne elementy, stąd tak ważne jest dopasowanie formy prawnej sprzedaży do konkretnej sytuacji. 

O ile w przypadku licencji czy umów z kontrahentami wystarczy dobrze skonstruowana umowa, to już w przypadku danych osobowych musimy pochylić się nieco bardziej nad prawidłowym i zgodnym z prawem udostępnieniem ich innemu podmiotowi.

Skoro wiemy, co tak naprawdę kryje się pod pojęciem sklepu internetowego, to zastanówmy się jak można go sprzedać.

Przenosząc prawo własności sklepu lub inne prawa składające się na sklep na inny podmiot można to zrobić na wiele sposobów. Jednak każdy z nich będzie się wiązał z odrębnymi wymogami, w tym odnoszącymi się do bazy danych osobowych. Nowy właściciel może wstąpić w ogół praw i obowiązków swojego poprzednika bądź tylko w ich część, co nazywane jest odpowiednio sukcesją uniwersalną i singularną.

Z pierwszym typem sukcesji mamy do czynienia m.in. w przypadku przekształcenia lub łączenia spółek lub przekształcenia jednoosobowej działalności gospodarczej w spółkę. Spółka, która powstała w wyniku przekształcenia lub spółka przejmująca, z dniem przekształcenia/połączenia wstępuje we wszystkie prawa i obowiązki dotychczasowej spółki. W ramach jednej czynności prawnej spółka ta przejmuje w szczególności koncesje, licencje, zezwolenia.

Dla przykładu załóżmy, że prowadząca sklep internetowy spółka A ma być przejęta przez spółkę B. Po dokonaniu wszystkich formalności spółka B staje się „nowym starym” podmiotem praw i obowiązków przejętej spółki A. Spółka B przejęła od spółki A cały sklep internetowy – stronę internetową, know-how, bazę kontrahentów, licencje, prawa autorskie, ale także łączące się z nim zobowiązania – m.in. roszczenia Klientów. Następca prawny przejmuje także zgody i oświadczenia Klientów dotyczące przetwarzania danych osobowych i może je traktować tak jakby były jemu udzielone i złożone.

Natomiast w przypadku, gdy chcemy przenieść własność sklepu internetowego w innej niż w opisanej wyżej formie (czyli np. dokonując zwykłej sprzedaży przedsiębiorstwa podmiotowi, który nie będzie powiązany z dotychczasowym właścicielem) mówimy o sukcesji singularnej, która ma zgoła odmienne skutki od wcześniej przedstawionej. Przedsiębiorstwo nie przekształca się w nowy byt ani nie łączy z inny. Każdy składnik przedsiębiorstwa w tym baza danych osobowych klientów sklepu internetowego stanowi de facto przedmiot odrębnej umowy. Wszelkie zgody dotyczące danych osobowych zasadniczą nie przechodzą automatycznie na nabywcę i nie staje się on ich stroną.

W obu przypadkach dojdzie do zmiany administratora danych osobowych (podmiotu, który decyduje o celach i środkach przetwarzania danych osobowych):

  • w razie sukcesji uniwersalnej, czyli wstąpienia w ogół praw i obowiązków dotychczasowego właściciela, np. poprzez przekształcenia lub przejęcia spółki, wystarczające wydaje się być poinformowanie osób, których dane posiadamy o zmianie administratora. Czynimy zatem zadość wymaganiom wynikającym z art. 14 RODO. Raz jeszcze należy przypomnieć, że przejmując lub przekształcając spółkę posiadamy już zgody i oświadczenia potrzebne do przetwarzania danych osobowych. Dlatego w tym momencie wystarczy poinformować o zmianie administratora;
  • natomiast w przypadku sprzedaży przedsiębiorstwa – sklepu internetowego (sukcesji singularnej) nie przechodzą na nas zgody i oświadczenia dotyczące danych osobowych, gdyż zostały one udzielone innemu, niezależnemu od nas podmiotowi. Poinformowanie wyłącznie o zmianie administratora może być niewystarczające i konieczne będzie pozyskanie nowych zgód od Klientów. W drodze wyjątku trzeba też wspomnieć o sytuacji, w której Klient udzielając zgodę dotychczasowemu właścicielowi, udzielił jednocześnie zgodę nowemu nabywcy. Wtedy wydaje się, że samo poinformowanie o zmianie administratora jest wystarczające. Jednak tak niecodzienne jak opisana sytuacje praktycznie się nie zdarzają, gdyż w momencie uruchamiania sklepu i zdobywania zgód właściciel musiałby znać swojego następcę.

Są to dwa główne, choć niejedyne podejścia do tematu danych osobowych w przypadku “sprzedaży” sklepu internetowego. W praktyce sposoby te są mieszane lub tworzone są jeszcze inne konstrukcje prawne mające na celu zabezpieczyć zarówno strony transakcji, jak i prawa osób, których dane dotyczą.

Rozwiązaniem, które byłoby najbardziej bezpieczne i przejrzyste z punktu widzenia legalności przetwarzania danych osobowych – oraz zachowania ciągłości prawnej między aktualnym a nowym właścicielem sklepu – byłoby formalne przekształcenie lub połączenie podmiotów zgodnie z przepisami np. ksh. Przekształcenie tego typu jest jednak bardziej czasochłonnym i kosztownym przedsięwzięciem, a poza tym prowadzi to do likwidacji jednego podmiotu i powstania nowego podmiotu, dlatego nie jest ono możliwe w przypadku, gdy spółka już funkcjonuje. Nie jest to też pożądane rozwiązanie, gdy osoba fizyczna prowadząca jednoosobową działalność gospodarczą nie chce rezygnować całkowicie z tej formy prowadzenia działalności, a jedynie pragnie przenieść część przedsiębiorstwa do spółki.

Inne rozwiązanie, to zbycie sklepu internetowego jako zorganizowanej części przedsiębiorstwa. Zorganizowana część przedsiębiorstwa nie ma swojej definicji w Kodeksie cywilnym (Kodeks przewiduje jedynie definicję „przedsiębiorstwa” jako całości), jednakże na gruncie ustaw podatkowych przez ZCP rozumie się organizacyjnie i finansowo wyodrębniony w istniejącym przedsiębiorstwie zespół składników materialnych i niematerialnych, w tym zobowiązania, przeznaczonych do realizacji określonych zadań gospodarczych, który zarazem mógłby stanowić niezależne przedsiębiorstwo samodzielnie realizujące te zadania. Innymi słowy, sklep internetowy może stanowić zorganizowaną część przedsiębiorstwa, jeżeli jest to dostatecznie wyodrębniona w sensie organizacyjnym i majątkowym „część” całego przedsiębiorstwa, w takim stopniu, że działalność w zakresie sklepu internetowego mogłaby stanowić samodzielną działalność gospodarczą.

Ważne! Umowa zbycia przedsiębiorstwa (lub jego zorganizowanej części) musi zostać zawarta pod rygorem nieważności z podpisami notarialnie poświadczonymi. Oznacza to, że umowę podpisuje się przed notariuszem, a za tę czynność notariusz pobiera taksę notarialną zgodnie z obowiązującymi stawkami. Należy podkreślić, że zbycie sklepu internetowego (czy też aplikacji lub serwisu) jako ZCP nie będzie wiązało się z automatycznym przeniesieniem długów (zobowiązań) na nabywcę związanych z prowadzeniem sklepu. Co do zasady – przeniesienie długów wymaga zawsze zgody wierzyciela. W tym zakresie zastosowanie znajduje art. 55[4] Kodeksu cywilnego, zgodnie z którym nabywca ZCP będzie odpowiedzialny za te zobowiązania solidarnie ze zbywcą. Wspólna odpowiedzialność oznacza, że zbywca (poprzedni właściciel sklepu) nadal będzie mógł zostać pociągnięty do odpowiedzialności względem np. użytkowników sklepu za te zobowiązania, które powstały przed zbyciem sklepu na nabywcę. Pewnym zabezpieczeniem może być jednak zawarcie dodatkowej klauzuli w umowie zbycia sklepu, która zobowiąże spółkę, by zwalniała zbywcę od konieczności zaspokajania jakichkolwiek roszczeń użytkowników – zastrzeżenie to wywołuje skutki prawne tylko między stronami tej umowy.

Jeszcze inne rozwiązanie to sprzedaż (czy też przeniesienie praw, udzielenie licencji tam gdzie jedyna możliwość) poszczególnych elementów składających się na sklep internetowy. W tym wypadku mamy do czynienia z wieloma umowami dotyczącymi poszczególnych składników – choć formalnie może to być jedna umowa. Umowa taka wymaga szczegółowego opisania, co faktycznie jest przedmiotem umowy, czy i jakie prawa przenosimy. Dodatkowo zawarcie takiej umowy często jest uwarunkowane od zgód kontrachentów na np. cesję praw na nabywcę.

Od razu warto wskazać, że w praktyce najczęściej mamy jednak do czynienia z sukcesją singularną – sklep jest sprzedawany jako np. zorganizowana część przedsiębiorstwa lub jako suma poszczególnych składników na podstawie jednej lub kilku umów. 

 

Czy pozyskanie zgody Klientów w przypadku zwykłej sprzedaży sklepu jest jedynym rozwiązaniem?

 

Zgoda jest jedną z sześciu wynikających z RODO podstaw prawnych uzasadniających przetwarzanie danych osobowych. Zostały one wymienione w art. 6 RODO i dotyczą np. konieczności realizacji umowy, której stroną jest osoba, której dane dotyczą (art. 6 ust. 1 lit. B RODO), wspomniana już wyrażona zgoda (art. 6 ust.1 lit. A), czy realizacja tzw. prawnie uzasadnionego interesu administratora (art. 6 ust. 1 lit. F RODO).

Obowiązkiem administratora danych (czyli właściciela sklepu, który przetwarza dane osobowe) jest prowadzenie rejestru danych (rejestru czynności przetwarzania), w którym wskazano te podstawy.

Jeśli sklep nie posiada takiego rejestru w praktyce bardzo trudno będzie określić, jakie dane będą przedmiotem transakcji, a co za tym idzie – jakie obowiązki powinny zostać spełnione. Udostępnienie bazy danych w ramach transakcji innemu administratorowi jest możliwa tylko wtedy, jeśli przetwarzamy dane w sposób legalny (a więc z prawidłową podstawą prawną).

Formalną podstawą prawną przekazania danych osobowych jest też realizacja prawnie uzasadnionego interesu administratora, który teoretycznie może być alternatywą dla zgody. Interes ten oceniamy biorąc pod uwagę kilka elementów, jak np.:

  1. Czy nowy administrator zapewnia odpowiedni poziom bezpieczeństwa danych (co najmniej taki, jak poprzedni)?
  2. Czy nowy administrator gwarantuje dopełnienie obowiązków prawnych związanych z przetwarzaniem danych (np. prowadzenie dokumentacji, przetwarzanie danych zgodnie z przepisami i zasadami RODO, realizacji żądań osób, których dane dotyczą, wydania upoważnień pracownikom etc.)?
  3. Czy firma sprzedająca sklep ma w tym istotny interes? Czy można osiągnąć go bez danych osobowych (np. nowy podmiot chciałby uzyskać tylko oprogramowanie sklepu, bez danych osobowych)?
  4. Czy przekazanie danych nie wpływa negatywnie na interes osób, których dane dotyczą?
  5. Czy wdrożono mechanizmy gwarantujące zachowanie poufności, dostępności, integralności i rozliczalności danych w procesie przekazania danych (czyli np. zdefiniowano w jaki sposób przekazane zostaną dostępy do serwera, oprogramowania czy baz danych)?
  6. Inne kwestie, które mogą być niezbędne do prawidłowej oceny interesu administratora, osób których dane dotyczą i strony trzeciej.

W przypadku miejskiego monitoringu rejestrującego tysiące twarzy i kontrolującego ruch każdego z nas, trudno wyobrazić sobie, aby administrator pozyskiwanych na masową skalę danych osobowych za podstawę swojego działania przyjął zgody obserwowanych osób. Działanie takie byłoby wręcz niemożliwe do wykonania, stąd posłużono się przesłanką prawnie uzasadnionego interesu administratora, a interesem tym jest zapewnienie bezpieczeństwa publicznego.

Jednak czy sprzedając sklep internetowy wraz z danymi osobowymi, zamiast pozyskiwania nowych zgód można powołać się na prawnie uzasadniony interes? Argumentem za tym przemawiającym może być fakt, iż bazę klientów należałoby uznać za nieodłączny element sklepu – kupujemy przecież biznes, który od początku ma przynosić zyski, a bez Klientów i ich danych mogło to by być bardzo utrudnione. Z drugiej strony Klienci wyrażali zgody dotyczące danych osobowych konkretnemu podmiotowi, a nie każdoczesnemu, a przede wszystkim niepowiązanemu z dotychczasowym.

Rzetelne przeprowadzenie analizy prawnie uzasadnionego interesu nie jest proste, na co wskazuje np. wyrok holenderskiego odpowiednika Urzędu Ochrony Danych Osobowych (UODO), który nałożył karę w wysokości prawie 2 250 000 zł (525 000 euro) na stowarzyszenie tenisowe, które sprzedało dane swoich użytkowników (chodziło o blisko 300 tysięcy rekordów) dwóm firmom sponsorskim, które wykorzystały je następnie do celów marketingowych. Przypadek ten jest nieco odmienny od sprzedaży całego sklepu internetowego, a nie wyłącznie samej bazy, ale jasno pokazuje, że każda transakcja, której przedmiotem są dane osobowe musi odpowiadać rygorystycznym ideom RODO. Jeżeli posiadamy sklep internetowy i chcemy sprzedać tworzoną od lat bazę danych musimy liczyć się z koniecznością udowodnienia istnienia interesu prawnego w tej transakcji.

Podsumowując, za wysoce ryzykowne należy uznać twierdzenie, iż dokonując zwykłej sprzedaży sklepu internetowego można zastąpić zgody Klientów powołaniem się na prawnie uzasadniony interes.

Wraz ze zbyciem sklepu przenosimy też własność kont zarejestrowanych użytkowników, które zostały utworzone na podstawie umowy o świadczenie usług drogą elektroniczną. W przypadku sukcesji uniwersalnej (np. połączenie lub przekształcenie spółki lub przekształcenie jednoosbowej działalności gospodarczej w spółkę) wszelkie prawa i obowiązki wynikające z umowy przechodzą na nabywcę. Natomiast w razie sukcesji singularnej (np. sprzedaży przedsiębiorstwa) wydaje się, że nie jest możliwe pominięcie w tym procesie usługobiorców. Zgodnie z orzeczeniem Sądu Apelacyjnego w Warszawie z dnia 26 kwietnia 2005 r. sygn. I ACa 558/04 w przypadku umów wzajemnych (a umowa o świadczenie usług zalicza się do tego grona) zmiana podmiotowa w tym stosunku i przejście praw powinno nastąpić w drodze odrębnych umów cesji wierzytelności i przejęcia długu.

 

Podsumowanie

 

Temat nie jest prosty i wymaga każdorazowo głębokiej analizy stanu faktyczneg, potrzeb i możliwości sprzedającego oraz kupującego sklep. Poniżej zamieszczamy najistotniejsze kwestie, na które warto zwrócić uwagę:

  1. Sprzedaż danych osobowych jest legalna pod warunkiem tożsamości celów ich przetwarzania przez zbywcę i nabywcę oraz istnienie interesu prawnego (m.in. zgoda, prawnie uzasadniony interes).
  2. W przypadku sukcesji uniwersalnej (np. łączenia lub przekształcenia spółki prowadzącej sklep lub przekształcenia jednoosobowej działalności gospodarczej w spółkę) nabywca wstępuje w ogół praw i obowiązków zbywcy, dlatego nie musi przedstawiać własnej podstawy prawnej przetwarzania danych osobowych. Wystarczająca jest zgoda Klientów udzielona dotychczasowemu administratorowi danych osobowych. Nowy administrator zgodnie z art. 14 RODO musi poinformować o zmianie administratora.
  3. W przypadku sukcesji singularnej (sprzedaż sklepu, jako zbioru wielu składników przedsiębiorstwa w tym bazy danych), nabywca musi wykazać podstawę prawną legitymizującą przetwarzanie danych osobowych. Powinien uprzednio pozyskać zgody Klientów, w przeciwnym razie jego działania będą nielegalne.
  4. Zamiast zgody można powołać się na inną podstawę prawną, taką jak uzasadniony prawnie interes, natomiast udowodnienie jego posiadania jest niezwykle trudne i wprowadza ryzyko braku legalności przetwarzania danych.
  5. Dane osobowe mogą być częścią transakcji sprzedaży sklepu internetowego tylko jeśli nowy administrator gwarantuje ich odpowiednie zabezpieczenie i spełnienie obowiązków prawnych, jak również nieprzetwarzanie ich do celów innych, niż te do których zostały pozyskane.
  6. W umowie sprzedaży sklepu należy możliwe najprecyzyjniej określić: formę przekazania dostępów do baz danych, oprogramowania, serwerów etc. oraz zobowiązać nowego administratora do dopełnienia obowiązków prawnych (przede wszystkim – poinformowania o swoich danych, celach przetwarzania etc., ale również pozyskania zgód na przetwarzanie danych osobowych na swoją rzecz).
  7. Dodatkowo – jeśli dane osobowe zawarte są w bazie danych stanowiącej utwór w rozumieniu prawa autorskiego należy dodatkowo określić kwestie związane z przekazaniem praw do tej bazy.
  8. Jeśli dane osobowe są niezbędne na etapie negocjacji sprzedaży sklepu (np. udostępnienie statystyk) rekomendujemy w takim wypadku podpisać umowę o zachowaniu poufności oraz do rozważenia w zależności od zakresu jest także umowa powierzenia przetwarzania danych osobowych.

Chcesz sprzedać sklep internetowy z danymi osobowymi? Skorzystaj z profesjonalne pomocy.

Jeśli nie wiesz, czy w Twoim przypadku sprzedaż sklepu będzie legalna, szukasz wsparcia w przeprowadzeniu oceny interesów lub skonstruowaniu umowy zabezpieczającej Cię przed ewentualnymi konsekwencjami napisz do nas.

 

5.00 avg. rating (97% score) - 1 vote

Czy prowadzisz sklep internetowy?

 

Czy sprzedajesz produkty online lub na Allegro?

Zapisz się na newsletter prawny!

 

Otrzymasz bezpłatnie poradniki, porady prawne

i będziesz na bieżąco ze zmianami w prawie.

Dziękujemy :)