Ustawa o ochronie danych osobowych, (dyrektywa UE z 95 roku a także RODO) w ogóle nie posługuje się takim pojęciem jak „baza danych” – jest to sformułowanie używane w ustawie o ochronie baz danych, natomiast przepisy o ochronie danych osobowych mają charakter szczególny w stosunku do tej ustawy.
Z art. 1 ustawy o ochronie baz danych wynika, że baza danych może posiadać cechy „utworu” i na tej podstawie podlegać pod ochronę wynikającą z ustawy o prawie autorskim i prawach pokrewnych – jak zakładam stąd stosowanie do obrotu bazami danych „licencji”, o której stanowi art. 41 ustawy o prawie autorskim i prawach pokrewnych – jednak w żaden sposób nie ogranicza to ochrony wynikającej z przepisów o ochronie danych osobowych, które mają charakter szczególny w stosunku do wyżej przytoczonych regulacji.
W rozumieniu przepisów o ochronie danych osobowych można mówić o administratorze danych osobowych, a nie o administratorze bazy danych (która może być uznana za jedno z narzędzi służące do przetwarzania konkretnego zbioru danych osobowych).
W kontekście przepisów o ochronie danych osobowych drugorzędne znaczenie ma nazwa samej umowy, na podstawie której przekazywane są autorskie prawa majątkowe do bazy jako utworu – liczy się natomiast przede wszystkim to, czy Pana firma działa jako odrębny administrator danych osobowych, czy jako podmiot przetwarzający dane osobowe w rozumieniu art 31 uodo (art. 28 RODO) – jak zakładam, spółka będzie jednak odrębnym administratorem danych osobowych (kupno danych osobowych w celu ich odsprzedaży też jest ich przetwarzaniem przez odrębnego administratora danych). Inaczej mówiąc, przy takim modelu działalności w sferę ryzyka wkraczają wszystkie trzy podmioty: pierwotnie udostępniający dane, kupujący dane w celu ich sprzedaży oraz kupujący dane od pośrednika w celu ich wykorzystania w celu marketingowym.
Czym innym jest jednak obrót bazami danych bez zmiany administratora danych osobowych w sensie formalnym – np. poprzez zakup spółki będącej administratorem bazy danych (np. kupowanie bazy danych poprzez przejecie spółki) – przy takiej formie znaczna część ryzyka byłaby wyeliminowana.
Oczywiście czym innym jest stosowana obecnie praktyka – sankcje karne z powodu naruszenia przepisów o ochronie danych osobowych są w praktyce rzadko stosowane, proszę jednak wziąć pod uwagę, że jeżeli po przyjęciu RODO do stosowania zostaną przyjęte standardy zachodnioeuropejskie, można spodziewać się kwestionowania takiego modelu działalności w sposób podobny, jak to ostatnio uczynił brytyjski organ w bardzo podobnej sprawie: https://ico.org.uk/media/action-weve-taken/mpns/1625862/mpn-data-supply-company-20170130.pdf
Osobiście uważam taki kierunek interpretacji nowego polskiego organu za najbardziej prawdopodobny – choć niewykluczone, że w naszych realiach ta wykładnia będzie bardziej liberalna.
W wyżej przytaczanej sprawie brytyjski odpowiednik GIODO nałożył karę finansową właśnie na podmiot dokonujący obrotu danymi osobowymi (jej klient dostał odrębną karę finansową za samo wykorzystanie danych w celu marketingowym).
Co do sposobu sformułowania umów powierzenia, obecnie polskie przepisy są sformułowane w tym zakresie bardzo lakonicznie – natomiast im więcej w takiej umowie będzie mechanizmów zabezpieczeń, kontroli – tym mniejsze ryzyko jej podważenia.