Close Menu
środa, 3 grudnia
Prawo i bezpieczeństwo

E-commerce a RODO – kiedy notariusz jest niezbędny

Magdalena Kockiewicz0
E-commerce a RODO – kiedy notariusz jest niezbędny
3.7/5

E-commerce a RODO – kiedy notariusz jest niezbędny przy przekazaniu bazy klientów

Sprzedaż sklepu internetowego to jedna z bardziej skomplikowanych transakcji biznesowych. Dlaczego? Odpowiedź brzmi – baza klientów. To właśnie ona stanowi jedną z największych wartości biznesowych, ale jednocześnie jest obarczona rygorystycznymi wymogami prawnymi wynikającymi z Rozporządzenia o Ochronie Danych Osobowych (RODO).

Jeśli planujesz sprzedać swój sklep e-commerce, przenosisz tym samym odpowiedzialność za dane milionów osób – od imion i nazwisk po adresy email, adresy dostawy oraz historię zakupów. Pytanie, które powinno sobie postawić każdy właściciel e-commerce to: kiedy notariusz jest niezbędny przy tym procesie?

Artykuł ten wyjaśnia złożoną problematykę przekazywania baz danych klientów w świetle RODO, wskazując na sytuacje, w których interwencja notariusza nie tylko jest pożądana, ale wręcz niezbędna dla bezpieczeństwa prawnego transakcji. Dowiesz się również, jakie dokumenty przygotować, jakie obowiązki ciążą na obu stronach transakcji, oraz jak uniknąć potencjalnych kar i sporów.

Regulamin RODO e-commerce – podstawowe wymogi dla właścicieli sklepów

Każdy sklep internetowy, które zbiera dane osobowe klientów, musi działać w zgodzie z RODO. To nie jest opcja – to obowiązek wynikający z prawa Unii Europejskiej, obowiązujący bezpośrednio w Polsce od maja 2018 roku.

Regulamin sklepu internetowego musi jasno określać:

  • Jakie dane zbieramy – od imienia i nazwiska, przez adres email, aż po dane płatnicze i historię zakupów
  • Cel zbierania danych – realizacja zamówienia, marketing, analityka
  • Podstawę prawną przetwarzania – zgoda, umowa, obowiązek prawny czy uzasadniony interes biznesowy
  • Okres przechowywania – jak długo przechowujemy dane każdej osoby
  • Prawa osób – prawo dostępu, sprostowania, usunięcia, ograniczenia przetwarzania i przenoszenia danych

Niedostosowanie się do tych wymogów grozi karami sięgającymi nawet 4% rocznego obrotu firmy na poziomie globalnym – dla największych e-commerce’ów to miliony złotych. Dlatego właśnie przy transakcji sprzedaży bazy klientów absolutnie konieczne jest wsparcie eksperta prawnego, a w wielu przypadkach – notariusza.

Zgoda na przetwarzanie danych – co klient e-commerce musi wiedzieć

Zgoda to jedna z siedmiu podstaw prawnych przetwarzania danych w RODO. Jednak w e-commerce jej rola jest bardziej ograniczona niż mogłoby się wydawać.

Zgoda jest konieczna do:

  • Wysyłania newslettera marketingowego
  • Profilowania ofert (personalizacji na podstawie historii zakupów)
  • Udostępniania danych partnerom marketingowym
  • Stosowania cookies w celach analitycznych i marketingowych

Zgoda NIE jest konieczna do:

  • Realizacji zamówienia (tutaj podstawą jest umowa sprzedaży)
  • Obsługi zwrotów i reklamacji (obowiązek prawny)
  • Wyniku procedur KYC/AML (obowiązek prawny)
  • Zabezpieczenia przed oszustwami (uzasadniony interes biznesowy)

Kluczowe słowa w regulaminie e-commerce to: dobrowolność, świadomość i jednoznaczność zgody. Zgoda nie może być domyślna ani wymuszona. Klient musi aktywnie zaznaczeniu checkbox, a nie pasywnie przyjąć domyślne ustawienia.

Art. 20 RODO prawo do przenoszenia danych – praktyczne zastosowanie w e-commerce

Artykuł 20 RODO wprowadził jedno z największych udogodnień dla konsumentów – prawo do przenoszenia danych. To prawo umożliwia osobie uzyskanie swoich danych osobowych w formacie maszynowo czytelnym i przesłanie ich innemu administratorowi bez przeszkód.

Zgodnie z Artykułem 20 RODO: „Osoba, której dane dotyczą, ma prawo otrzymać dane osobowe w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego oraz ma prawo przesłać te dane osobowe innemu administratorowi bez przeszkód, jeżeli przetwarzanie odbywa się na podstawie zgody lub umowy w sposób zautomatyzowany.”

—Rozporządzenie (UE) 2016/679 z dnia 27 kwietnia 2016 r., Artykuł 20 RODO. „Prawo do przenoszenia danych”, Dz. Urz. UE L 119 z 4.5.2016, s. 1

W praktyce e-commerce oznacza to, że Twoi klienci mogą w każdej chwili żądać:

  1. Pobrania swoich danych w formacie CSV, JSON lub XML
  2. Bezpośredniego przesłania danych nowemu administratorowi (jeśli jest to technicznie możliwe)
  3. Dokumentu potwierdzającego integralność i prawidłowość przesyłu danych

Ograniczenia prawa do przenoszenia:

Prawo do przenoszenia nie jest absolutne. Stosuje się wyłącznie, gdy:

  • Dane są przetwarzane na podstawie zgody lub umowy
  • Przetwarzanie odbywa się w sposób zautomatyzowany
  • Nie narusza to praw i wolności osób trzecich

Prawo do przenoszenia nie obejmuje:

  • Danych wytworzone przez administratora w wyniku analizy (profile ryzyka, wyniki profilowania)
  • Zbiorów papierowych (notariusz nie ma obowiązku digitalizować danych ręcznie sporządzonych)
  • Danych zbieranych przede implementacją RODO (jeśli nie spełniały wymogów regulaminu RODO)

Notariusz w procesie sprzedaży bazy klientów – kiedy jest niezbędny

Rola notariusza w procesie sprzedaży bazy klientów jest bardziej subtelna niż w przypadku transakcji nieruchomości. Mimo to, w wielu sytuacjach jego udział jest kluczowy dla bezpieczeństwa prawnego transakcji.

Kiedy notariusz jest wymagany:

  1. Sprzedaż zorganizowanej części przedsiębiorstwa – jeśli sprzedajesz sklep internetowy jako całość (z bazą klientów, oprogramowaniem, systemami), notariusz sporządza akt notarialny. W tym przypadku notariusz pełni również funkcję płatnika podatku od czynności cywilnoprawnych (PCC) w wysokości 2% wartości transakcji.
  2. Transfer następuje w formie umowy zasadniczej – jeśli transakcja obejmuje przeniesienie własności zorganizowanej części przedsiębiorstwa, wymaga formy aktu notarialnego.
  3. Powiązane czynności notarialne – np. gdy razem z bazą klientów przechodzą również umowy z dostawcami, licencje czy inne aktywa wymagające formy notarialnej.

Kiedy notariusz jest wymagany tylko dla bezpieczeństwa:

  1. Złożone struktury transakcji – jeśli sprzedajesz tylko bazę danych (bez całego przedsiębiorstwa), notariusz może poświadczyć zgodę stron, że data transferu i ilość danych są prawidłowe.
  2. Oświadczenie sprzedawcy – notariusz może poświadczyć oświadczenie, że sprzedawca jest administratorem danych i ma prawo ich przenieść.
  3. Protokół przekazania – dokument notarialnie poświadczony, zawierający spis bazy danych, liczbę rekordów, format, datę transferu.

Kiedy notariusz może nie być wymagany:

  1. Zmiana administratora w ramach imigracji technicznej – jeśli baza klientów zostaje przeniesiona jako element zorganizowanej części przedsiębiorstwa w ramach umowy zawartej w formie pisemnej (z podpisami poświadczonymi przez notariusza, ale nie aktem notarialnym), to – zgodnie z przepisami – to sam nabywca rozlicza podatek PCC w terminie 14 dni.
  2. Transfer w ramach transakcji na platformie e-commerce – niektóre platformy (np. Sellingo, Allegro) oferują gotowe struktury sprzedaży, gdzie notariusz może nie być wymagany, jeśli umowa pozostaje w formie elektronicznej.

Przejęcie bazy 50 000 klientów – jak to zrobić legalnie

Sytuacja wyjściowa

Patryk prowadzi sklep internetowy z akcesoriami dla fotografów przez 8 lat. Zgromadził bazę 50 000 aktywnych klientów, wśród których 35 000 wyraziło zgodę na otrzymywanie komunikacji marketingowej. Postanawia sprzedać sklep, ale chce być pewny, że baza klientów przejdzie legalnie do nowego właściciela.

Problem

Patryk napotkał kilka wyzwań:

  1. Zgody marketingowe – czy mogą być przenoszone na nowego właściciela?
  2. Dane osób bez zgody – co zrobić z 15 000 osób, które nie wyraziły zgody na marketing?
  3. Prawo do przenoszenia – czy klienci mogą żądać swoich danych od nowego właściciela?
  4. Podatek PCC – ile wyniesie i kto go płaci?

Rozwiązanie

  1. Notariusz sporządził akt notarialny sprzedaży zorganizowanej części przedsiębiorstwa, w którym wyszczególniono bazę klientów jako składnik majątku firmy.
  2. Zgody marketingowe zostały automatycznie przeniesione na nowego administratora, ponieważ nie doszło do udostępnienia danych, ale do zmiany tożsamości administratora w ramach sprzedaży przedsiębiorstwa.
  3. Obowiązek informacyjny – nowy właściciel wysłał do wszystkich 50 000 osób klauzulę informacyjną RODO, wyjaśniającą zmianę administratora, nowe cele przetwarzania oraz prawa osób, których dane dotyczą.
  4. Podatek PCC – notariusz obliczył i pobrał 2% od wartości transakcji (ok. 100 000 zł wartości biznesu = 2 000 zł podatku), którą następnie wpłacił do urzędu skarbowego w terminie 7 dni od miesiąca podpisania umowy.
  5. Protokół przekazania – sporządzono dokument zawierający:
    • Dokładną liczbę rekordów (50 000)
    • Format pliku (CSV)
    • Data transferu
    • Weryfikacja integralności danych (checksum)
    • Potwierdzenie otrzymania przez nowego administratora

Wynik

Transakcja przebiegła sprawnie, bez sporów z klientami ani organami podatkowymi. Nowy właściciel przejął całkowicie sprawdzalną, legalną bazę klientów i mógł natychmiast wznowić działalność marketingową bez obawy przed karami RODO. Koszt usług notarialnych wyniósł 500 zł, a podatek PCC 2 000 zł – inwestycja mała w porównaniu z ryzykiem, które została zminimalizowana.

Podstawy prawne przetwarzania danych – ile rodzajów i które obowiązują w e-commerce

RODO definiuje siedem podstaw prawnych przetwarzania danych. W e-commerce najczęściej stosuje się cztery:

Podstawa prawnaDefinicjaWymóg zgodyPrzykład w e-commerce
Zgoda (art. 6 ust. 1 lit. a)Dobrowolna, świadoma i jednoznaczna zgoda osobyTAKNewsletter marketingowy, cookies analityczne
Umowa (art. 6 ust. 1 lit. b)Przetwarzanie niezbędne do wykonania umowyNIERealizacja zamówienia, wysyłka, faktura
Obowiązek prawny (art. 6 ust. 1 lit. c)Wynika z przepisów prawaNIEPodatki, procedury KYC/AML, przechowywanie faktur
Uzasadniony interes (art. 6 ust. 1 lit. f)Interes administratora lub strony trzeciejNIE*Zapobieganie oszustwom, bezpieczeństwo IT, windykacja

*Uwaga: Przy uzasadnionym interesie konieczne jest wyważenie interesów stron. Jeśli interes osoby, której dane dotyczą, jest silniejszy, administrator nie może przetwarzać danych.

Błędna praktyka w e-commerce: Wiele sklepów żąda zgody na przetwarzanie danych w celu realizacji zamówienia. To błąd! Podstawą jest umowa sprzedaży, nie zgoda. Żądanie zgody w takim przypadku narusza wytyczne RODO i może być interpretowane jako niedozwolona klauzula umowna.

Dokumentacja RODO przy sprzedaży bazy klientów – co musi mieć prawie każdy sklep

Przy sprzedaży bazy klientów niezbędne są następujące dokumenty RODO:

Dokumenty obowiązkowe:

  1. Rejestr czynności przetwarzania (RCP) – zawiera opis wszystkich operacji na danych klientów (zbieranie, przechowywanie, usuwanie). Notariusz może żądać tego dokumentu, aby sprawdzić, czy sprzedawca faktycznie ma prawo przenosić dane.
  2. Polityka prywatności – dokument opisujący cele przetwarzania i prawa osób, których dane dotyczą. Nowy administrator musi przekazać swoją politykę klientom w terminie do 30 dni od przejęcia.
  3. Dokumentacja zgód – jeśli dane były zbierane na podstawie zgody, konieczne są dowody, że zgoda została wyrażona w sposób prawidłowy. To może być plik CSV ze znacznikami czasowymi i IP adresami.
  4. Procedura zgłaszania naruszeń – dokument opisujący, jak procedura radzi sobie w przypadku wycieków danych.
  5. Dokumentacja transferu – po przejęciu nowy administrator musi udokumentować przychodzenie danych, weryfikację integralności, datę transferu.

Dokumenty zalecane:

  1. Ocena ryzyka DPIA – jeśli przetwarzanie danych wiąże się z wysokim ryzykiem (np. profilowanie osób), warto przeprowadzić ocenę skutków dla ochrony danych.
  2. Umowy powierzenia danych – jeśli administrator korzysta z usług podwykonawców (np. dostawcy hostingu), umowy te muszą być zgodne z art. 28 RODO.
  3. Dokumentacja bezpieczeństwa – informacje o szyfrowaniu danych, kontrolach dostępu, kopii zapasowych.

FAQ – najczęściej zadawane pytania o RODO i sprzedaż bazy klientów

P1: Czy mogę po prostu sprzedać bazę klientów bez wiedzy samych klientów?

O: Formalnie baza klientów stanowi składnik przedsiębiorstwa i może być przesłana bez uprzedniej zgody osób, jeśli transakcja dotyczy zorganizowanej części przedsiębiorstwa. Jednak nowy administrator musi zawiadomić klientów o zmianie administratora najpóźniej w ciągu 30 dni (lub zaraz po przejęciu, w praktyce dobrych praktyk). Brak powiadomienia może prowadzić do kar UODO.

P2: Czy notariusz musi być zawsze zaangażowany?

O: Nie zawsze. Notariusz jest wymagany, gdy transakcja dotyczy zorganizowanej części przedsiębiorstwa w formie aktu notarialnego. W przypadku sprzedaży wyłącznie bazy danych (bez całego biznesu) notariusz może nie być wymagany, ale jest zdecydowanie zalecany dla bezpieczeństwa prawnego.

P3: Ile kosztuje podatek PCC od sprzedaży bazy klientów?

O: Podatek PCC wynosi 2% od wartości rynkowej mienia (bazy klientów). Jeśli umowa jest aktem notarialnym, notariusz oblicza i pobiera podatek. Jeśli umowa nie ma formy aktu notarialnego, nabywca sam musi rozliczyć podatek w terminie 14 dni od zawarcia umowy.

P4: Czy klienci mogą żądać, aby ich dane nie były przenoszone?

O: Tak, jeśli dane były przetwarzane na podstawie zgody lub umowy i w sposób zautomatyzowany, mogą skorzystać z prawa do przenoszenia danych i żądać, aby dane zostały przesłane do konkurencyjnego administratora zamiast do nowego właściciela sklepu. To prawo wynika z art. 20 RODO.

P5: Co zrobić, jeśli okaże się, że sprzedawca nie miał prawa do przekazania niektórych danych?

O: To potencjalnie duży problem prawny. Jeśli sprzedawca przetwarzał dane bez podstawy prawnej, a Ty je przyjąłeś, możesz zostać pociągnięty do odpowiedzialności. Dlatego właśnie akt notarialny i protokół przekazania są ważne – zawierają oświadczenie sprzedawcy, że jest administratorem i ma prawo do przenoszenia danych.

P6: Czy muszę aktualizować politykę prywatności po przejęciu bazy klientów?

O: Tak, bezwzględnie. Jeśli zmienia się administrator danych, nowy administrator musi zawiadomić osoby, których dane dotyczą, o zmianie. Powinien także wyjaśnić, czy cele przetwarzania lub bezpieczeństwo danych uległy zmianie.

P7: Jakie kary grożą za nieprzestrzeganie RODO przy sprzedaży bazy danych?

O: UODO może nałożyć kary od 100 000 zł do 4% rocznego obrotu firmy (dla dużych firm może to być miliony złotych). Najczęstsze naruszenia to brak powiadomienia klientów o zmianie administratora, nieudzielenie dostępu do danych, gdy tego zażąda klient, lub przetwarzanie danych bez prawidłowej podstawy prawnej.

Podsumowanie – praktyczne kroki do bezpiecznej sprzedaży bazy klientów

Sprzedaż bazy klientów e-commerce to skomplikowany proces, ale jeśli będziesz postępować zgodnie z wytycznymi RODO i zaangażujesz notariusza w odpowiednich momentach, możesz znacznie zminimalizować ryzyko prawne.

Praktyczna ścieżka:

  1. Przygotuj dokumentację RODO – rejestr czynności przetwarzania, politykę prywatności, dokumentację zgód
  2. Zbierz dowody – weryfikuj, które dane zostały zebrane legalnie i na jakiej podstawie
  3. Kontaktuj notariusza – uzgodnij formę transakcji (akt notarialny czy poświadczenie podpisów)
  4. Przygotuj umowę sprzedaży – jasno opisz bazę klientów jako składnik majątku
  5. Oblicz podatek PCC – 2% od wartości rynkowej
  6. Sporządź protokół przekazania – zawierający szczegóły techniczne transferu
  7. Powiadom klientów – wyślij klauzulę informacyjną nowego administratora w terminie do 30 dni
  8. Zarchiwizuj wszystko – przechowuj dokumenty przez co najmniej 6 lat

Pamiętaj: koszty notariusza i konsultacji prawnych to inwestycja, która chroni Cię przed potencjalnymi karami UODO i sporami z nowym właścicielem sklepu.

Leave A Reply

Spis Treści

Spis treści