RODO: kto odpowie za błędy w ochronie danych? Klient czy agencja PR?

Alina Stahl: Dzień dobry, Panie doktorze. Chciałabym zapytać się o rzecz następującą: czy wchodzi w grę model współpracy pomiędzy agencją i klientem, w którym modelu zbiera ona dane osobowe w biurze prasowym klienta jako administrator danych osobowych?

Dr Maciej Kawecki: W takim modelu zakładałbym, że klient jest administratorem danych osobowych, a agencja, która stworzyła jakiś instrument, jakieś narzędzie, które ma wspierać działanie klienta, działa jako jego podwykonawca. W związku z tym nie dopatrywałbym się tutaj po stronie agencji roli administratora danych osobowych. Ponieważ rozumiem, że wykorzystuje ona te dane nie we własnym celu, tylko cały czas w celu klienta. To jest typowy model podwykonawstwa, który oczywiście jest w pełni możliwy, dopuszczalny w przypadku RODO. Rzecz jasna pod warunkiem zawarcia umowy powierzenia przetwarzania danych osobowych – takiej umowy podwykonawstwa w zakresie przetwarzania danych osobowych, która musi odpowiadać wymogom przewidzianym w art. 28 RODO, czyli być dokumentem dużo bardziej rozbudowanym niż umowy zawierane przed 25 maja 2018 r.

AS: Czy podobna sytuacja dotyczy takich modeli współpracy, w których np. na rzecz klienta wykonywany jest e-learning albo prowadzona jest jakaś grywalizacja?

MK: Tak. Jeżeli agencja organizuje konkurs dla klienta – tak naprawdę robi cokolwiek z danymi osobowymi w jego imieniu – sytuacja jest absolutnie identyczna. Może zdarzyć się, że agencja stanie się administratorem danych osobowych, po to żeby wykazać, w jaki sposób wykonała umowę zawartą z klientem. Czasami jest to konieczne – nie da się tego zrobić bez przetwarzania danych osobowych. Agencja będzie miała wtedy swój własny interes, swój własny prawnie usprawiedliwiony cel i na tym malutkim poletku będzie administratorem danych osobowych, np. archiwizując sposoby wykonania umowy. I to jest ten wyjątek. Dopatrzyłbym się tylko w tym obszarze ewentualnie działań jako administrator danych.

AS: Czy zaniechania agencji PR w przetwarzaniu danych, które powierzył jej klient, mogą narazić go na sankcje?

MK: Zdecydowanie tak. Administrator odpowiada za dochowanie należytej staranności w wyborze swojego podwykonawcy, w tym przypadku agencji PR. Przysługują mu pewne instrumenty kontrolne. Ma możliwość skontrolowania, w jaki sposób dane są przetwarzane przez agencję. Jeżeli jako podwykonawca klienta będzie chciała ona skorzystać z usług jeszcze innego podwykonawcy, np. swojego, bo przykładowo korzysta z serwerów zlokalizowanych w siedzibie innego podmiotu, będzie potrzebowała na to zgody klienta. Inaczej przekazać danych nie może. A dlaczego te wszystkie instrumenty? Właśnie dlatego, że za naruszenia, wycieki danych klient będzie ponosił pełną odpowiedzialność. To oczywiście nie zwalnia z niej agencji PR, ona również będzie ponosiła odpowiedzialność.

AS: Czyli ta odpowiedzialność będzie po obu stronach.

MK: Odpowiedzialność będzie po obu stronach, natomiast ogrom obowiązków ciąży wyłącznie na administratorze, np. wszystkie obowiązki informacyjne. On jest w największym stopniu obciążony ryzykiem.

AS: Często zdarza się tak, że zbieramy wizytówki dziennikarzy na konferencjach prasowych czy konferencjach branżowych. Czy dane pozyskane w ten sposób możemy przetwarzać i czy musimy spełniać wobec tych osób obowiązek informacyjny?

MK: To wszystko zależy od tego, jako kto zbieramy wizytówki i w jakim celu. Jeżeli zbieramy je jako osoba prywatna, w celach prywatnych, wtedy jest to tzw. cel domowy i Rozporządzenie nie znajduje zastosowania, więc obowiązku informacyjnego realizować nie musimy. Natomiast jeżeli działamy jako pracownik firmy i następnie oddajemy tę wizytówkę np. do naszego sekretariatu, który tworzy wizytownik, czyli zbiór danych osobowych – bardzo często usystematyzowanych pod względem daty, bo przecież porządkujemy je w kolejności zebrania – wtedy jest to oczywiście zbiór danych osobowych i obowiązek informacyjny powinien być wobec takiego dziennikarza zrealizowany, np. poprzez wysłanie mu zwrotnej informacji. Czasami poszukuje się rozwiązania tego problemu poprzez zamieszczanie odpowiednich klauzul w stopkach maili. Czyli obowiązek informacyjny realizujemy za ich pomocą za pierwszym razem, jeżeli kontaktujemy się z kimś z wykorzystaniem danych zawartych na wizytówce. Problem polega tylko na tym, że obowiązek informacyjny powinniśmy zrealizować w momencie rozpoczęcia przetwarzania danych osobowych. Czasami jest tak, że wizytówka u nas leży miesiącami czy latami, zanim do niej sięgniemy, ale te dane cały czas przetwarzamy. To jest ten obszar problematyczny. Myślę, że w praktyce wypracowane zostaną jakieś rozwiązania, które pokażą nam, jak łatwo realizować obowiązek informacyjny. Bo też ciężko sobie wyobrazić, żebyśmy robili to od razu w momencie, kiedy wymieniamy się wizytówkami.

AS: Na jakiej zasadzie możemy przetwarzać dane kontaktujących się z nami dziennikarzy, którzy zostawiają nam imię, nazwisko, e-mail i telefon. Czy przetwarzanie takich danych podlega obowiązkowi informacyjnemu RODO?

MK: Podlega obowiązkowi informacyjnemu, natomiast trzeba pamiętać o jednej rzeczy: kiedy taki obowiązek informacyjny nie musi być zrealizowany albo musi, ale w bardzo ograniczonym zakresie. Jeżeli osoba, której dane dotyczą, zna treści objęte obowiązkiem informacyjnym oraz wie, komu i w jakim celu przekazuje dane, to ten obowiązek w tej części nie musi być realizowany. Musimy zawsze pamiętać o tym, żeby odpowiedzieć sobie na pytanie, czy osoba, która nam dane przekazuje, rzeczywiście wie, po co i jak są one wykorzystywane oraz kto jest administratorem.

AS: A czy w sytuacjach komunikacji wewnętrznej pracownicy są traktowani podobnie?

MK: Przekazywanie danych wewnątrz organizacji dokonywane jest na podstawie zawartej umowy, umowy o pracę czy umowy cywilnoprawnej, więc obowiązek informacyjny realizujemy raz – na etapie zawierania takiej umowy. I jest on dopełniony na cały czas trwania stosunku pracy czy umowy cywilnoprawnej.

AS: Dziękuję bardzo.

MK: Dziękuję bardzo.