Бази даних: чи можна законно продавати дані?

У сучасному світі майже неможливо користуватися інформаційними технологіями без того, щоб не передавати комусь свої дані. Безліч сервісів використовують дані користувачів, а для деяких збір даних – це основа бізнес діяльності. В цьому контексті важливо розуміти, що навіть незважаючи на суворі правила щодо захисту даних, які знайшли своє відображення у відповідних національних та міжнародних законах – договори з продажу даних можуть мати місце. 

Юридична природа продажу даних. 

Звісно, продати базу даних – це складний процес, який не йде у порівняння з продажом більш звичних речей, по типу мобільного телефону. Однак, ще складнішим є проведення таких операцій законним шляхом. Саме для цього потрібно вивчати і розуміти юридичну природу таких правочинів. 

 

Перш за все, існує два види договорів, за допомогою яких можна узаконити продаж даних: 

• Ліцензійний договір;
• Договір купівлі-продажу. 

 

Якщо ми говоримо про те, який договір краще обрати, то ліцензійний договір буде більш вигідним для продавця, адже продавець матиме змогу прописати правила використання, повернення бази даних, а також залишає за собою право власності на неї, що робить такий договір гарним майданчиком для бізнесу, адже ліцензію можна надати багатьом користувачам одночасно. Такий механізм можна втілити, наприклад, за допомогою платформи, яка буде надавати доступ до бази даних після оплати з боку користувача. Сторонами цього договору будуть виступати “Ліцензіат” та “Ліцензіар” відповідно. 

 

В свою чергу договір купівлі-продажу має більш приємні умови для покупця, адже база даних повністю переходить в його власність та він не має жодних обмежень щодо її використання. 

 

В незалежності від обраного виду договору, для продавця важливо передбачити, щоб покупець спочатку сплачував передоплату за доступ до бази даних, адже отримуючи доступ перед оплатою, покупець може просто скопіювати потрібні дані та відмовитись за неї платити, що, звісно, є неприпустимим для продавця. Гарним механізмом оплати вбачається модель підписки, за якою користувач буде обмежений у доступі до бази даних, доки він не сплатить свій регулярний (місячний чи щотижневий) платіж за користування, адже таким чином продавець повною мірою убезпечує себе від зловживань.

 

Що з відповідальністю сторін за договором? У вищезазначених договорах часто прописується обмеження по відповідальності ліцензіата/ліцензіара за прямі та непрямі збитки у зв’язку із угодою та самою базою даних, наприклад, у наступному форматі: 

 

LIMITATION OF LIABILITY. TO THE EXTENT PERMITTED BY APPLICABLE LAW COMPANY’S TOTAL LIABILITY TO LICENSEE FOR ANY REASON AND UPON ANY CAUSE OF ACTION INCLUDING WITHOUT LIMITATION, INFRINGEMENT, BREACH OF CONTRACT, NEGLIGENCE, STRICT LIABILITY, MISREPRESENTATIONS, AND OTHER TORTS, SHALL BE LIMITED TO ALL FEES PAID TO COMPANY BY THE LICENSEE DURING THE TWELVE MONTH PERIOD PRECEDING THE DATE ON WHICH SUCH CAUSE OF ACTION FIRST AROSE. COMPANY SHALL HAVE NO LIABILITY WITH RESPECT TO ITS OBLIGATIONS UNDER THIS AGREEMENT OR OTHERWISE FOR CONSEQUENTIAL, EXEMPLARY, SPECIAL, INCIDENTAL, OR PUNITIVE DAMAGES EVEN IF COMPANY HAS BEEN ADVISED OF THE POSSIBILITY OF SUCH DAMAGES. FURTHERMORE, COMPANY SHALL HAVE NO LIABILITY WHATSOEVER FOR ANY CLAIM RELATING IN ANY WAY TO ANY DECISION MADE OR ACTION TAKEN BY LICENSEE IN RELIANCE UPON THE LICENSED MATERIAL.

ОБМЕЖЕННЯ ВІДПОВІДАЛЬНОСТІ. У ОБСЯЗІ ДОЗВОЛЕНОМУ ЧИННИМ ЗАКОНОДАВСТВОМ, ПОВНА ВІДПОВІДАЛЬНІСТЬ КОМПАНІЇ ПЕРЕД ЛІЦЕНЗІАТОМ ЗА БУДЬ-ЯКОЇ ПРИЧИНИ ТА ЗА БУДЬ-ЯКИХ ДІЙ, ВКЛЮЧАЮЧИ, АЛЕ НЕ ОБМЕЖУЮЧИСЬ, ПОРУШЕННЯМ ПРАВ, ПОРУШЕННЯМ ДОГОВОРУ, НЕДБАЛІСТЮ, СУВОРОЮ ВІДПОВІДАЛЬНІСТЮ, НЕПРАВИЛЬНИМ ВИСВІТЛЕННЯМ ТА ІНШИМИ ДЕЛІКТАМИ, ПОВИННІ БУТИ ОБМЕЖЕНІ СУМОЮ УСІХ ВИПЛАТ СПЛАЧЕНИХ ЛІЦЕНЗІАТОМ НА КОРИСТЬ КОМПАНІЇ ПРОТЯГОМ ПЕРІОДУ У ДВАНАДЦЯТЬ МІСЯЦІВ, ПОЧИНАЮЧИ З ДАТИ, ЩО ПЕРЕДУВАЛА ПЕРШОМУ ВИНИКНЕННЮ ТАКОЇ ЗАЯВИ. КОМПАНІЯ НЕ НЕСЕ ЖОДНОЇ ВІДПОВІДАЛЬНОСТІ ЩОДО СВОЇХ ЗОБОВ’ЯЗАНЬ ЗА ЦІЄЮ УГОДОЮ АБО В ІНШОМУ МІРІ ЗА ПОБІЧНУ, ТИПОВУ, СПЕЦІАЛЬНУ, ВИПАДКОВУ АБО ШТРАФНУ ШКОДУ, НАВІТЬ ЯКЩО КОМПАНІЮ ПОВІДОМИЛИ ПРО МОЖЛИВІСТЬ ТАКОЇ ШКОДИ. КРІМ ТОГО, КОМПАНІЯ НЕ НЕСЕ ЖОДНОЇ ВІДПОВІДАЛЬНОСТІ ЗА БУДЬ-ЯКУ ПРЕТЕНЗІЮ, ЩО БУДЬ-ЯКИМ СПОСІБОМ ПОВ’ЯЗАНА З БУДЬ-ЯКИМ РІШЕННЯМ АБО ДІЯМИ, ВЖИТИМИ ЛІЦЕНЗІАТОМ НА ОСНОВІ ЛІЦЕНЗІЙНОГО МАТЕРІАЛУ.

 

Також, в договорах зазвичай передбачаються типові положення щодо того, що база даних передається “AS-IS” і покупець погоджується з тим, що продавець не несе жодних гарантій щодо безперебійності роботи бази даних, її якості, її користі для покупця тощо. 

 

Продаж персональних даних: GDPR, CCPA.

Постає логічне питання: а що ж робити, якщо деякі дані з баз даних можуть вважатися персональними за GDPR, CCPA чи іншими законами про захист персональних даних? 

 

Розберемо основні застереження з точки зору одних з найбільш популярних юрисдикцій, а саме ЄС та США. Проте, варто пам’ятати про те, що збираючи дані людей з інших юрисдикцій, або у випадку, якщо ваша компанія підпадає під дію інших законів про захист персональних даних – ви маєте дослідити закони конкретної юрисдикції, щоб зробити правовий висновок щодо законного продажу даних в такій ситуації. 

GDPR. Європейський Регламент про захист персональних даних передбачає вичерпний перелік підстав, за яких ви можете обробляти (передача/продаж – це також обробка!) персональні дані. Враховуючи специфіку обробки, що розглядається, варто звернути увагу на згоду користувача (Art. 6(1)(a) GDPR) та легітимний інтерес (Art. 6(1)(f) GDPR). 

 

Згода користувача може розглядатися як релевантна правова підстава для обробки, якщо у вас є фізична змога технічно реалізувати збір такої згоди у користувача, адже до згоди також висувається ряд вимог. В той же час, легітимний інтерес хоч і є достатньо гнучкою підставою для обробки даних, ви маєте провести оцінку легітимного інтересу (Legitimate Interest Assessment), щоб зрозуміти наскільки пропорційним, необхідним та збалансованим є ваша обробка даних. Більше того, в незалежності від того, в якій ролі ви будете виступати (контролер чи процесор даних), ви повинні встановити строк збереження та видалення таких даних, а також забезпечити додаткові засоби їхнього захисту. Також, у випадку, якщо ви будете виступати контролером, на вас можуть покладатися додаткові зобов’язання, як наприклад – повідомлення суб’єктів даних про обробку у відповідності до ст. 14 GDPR, що теж може бути важко реалізувати, у випадку якщо ви збираєте дані у великої кількості користувачів.  

 

CCPA. Якщо на вас розповсюджується дія Каліфорнійського закону про захист персональних даних, то варто звернути увагу на наступне. 

ССРА прямо передбачає можливість продажу даних, але висуває до такої операції наступні умови: 

• Можливість відмови суб’єкта даних від продажу його даних (opt-out rule). Людина має право відмовитись від продажу своїх даних і ви це можете забезпечити за допомогою, наприклад, чіткого та помітного посилання внизу головної сторінки веб-сайту компанії під назвою “Do Not Sell My Personal Information”. Також ви можете додати посилання на цю сторінку у свою Privacy Policy, а у випадку запиту користувача – задовольнити його вимоги щодо заборони продажу його даних; 
• Дотримання обмежень щодо продажу персональної інформації щодо неповнолітніх. Ви можете продавати дані щодо осіб молодше 16 років тільки якщо отримали згоду такої особи (для дітей від 13 до 16 років) або отримали згоду батьків дитини (для дітей до 13 років). 

 

Висновки 

 

В цілому, продаж даних може здаватись чимось дуже складним або навіть забороненим, враховуючи те, що до приватності прикуто дуже багато уваги в останні роки. Проте, беручи до уваги усі наявні правила та практичні поради, ви можете розширити ваш бізнес, долучивши до нього операції з продажу даних. Це може бути особливо актуально для тих компаній, що працюють з великою кількістю даних, збирають чи групують їх. Якщо у вас саме така компанія – ви можете звернутись до нас за порадою і команда Legal IT Group з радістю допоможе вам як і з договорами щодо такої продажі, так і з консультуванням щодо проблемних питань укладання таких договорів ☺