logo
WIEDZA

RODO: kto odpowie za błędy w ochronie danych? Klient czy agencja PR?

  PR 10.04.2018, przeczytano 614 razy
ilustracjastrzałka

Rozmowa Aliny Stahl, rzecznika prasowego Biura Informacji Kredytowej, z dr. Maciejem Kaweckim, koordynatorem prac nad reformą ochrony danych osobowych, dyrektorem Departamentu Zarządzania Danymi w Ministerstwie Cyfryzacji, na temat stosowania przepisów RODO.


Artykuł pochodzi z portalu Signs.pl: https://www.signs.pl/rodo%3A-kto-odpowie-za-bledy-w-ochronie-danych-klient-czy-agencja-pr,36113,artykul.html

Alina Stahl: Dzień dobry, Panie doktorze. Chciałabym zapytać się o rzecz następującą: czy wchodzi w grę model współpracy pomiędzy agencją i klientem, w którym modelu zbiera ona dane osobowe w biurze prasowym klienta jako administrator danych osobowych?

Dr Maciej Kawecki: W takim modelu zakładałbym, że klient jest administratorem danych osobowych, a agencja, która stworzyła jakiś instrument, jakieś narzędzie, które ma wspierać działanie klienta, działa jako jego podwykonawca. W związku z tym nie dopatrywałbym się tutaj po stronie agencji roli administratora danych osobowych. Ponieważ rozumiem, że wykorzystuje ona te dane nie we własnym celu, tylko cały czas w celu klienta. To jest typowy model podwykonawstwa, który oczywiście jest w pełni możliwy, dopuszczalny w przypadku RODO. Rzecz jasna pod warunkiem zawarcia umowy powierzenia przetwarzania danych osobowych – takiej umowy podwykonawstwa w zakresie przetwarzania danych osobowych, która musi odpowiadać wymogom przewidzianym w art. 28 RODO, czyli być dokumentem dużo bardziej rozbudowanym niż umowy zawierane przed 25 maja 2018 r.

AS: Czy podobna sytuacja dotyczy takich modeli współpracy, w których np. na rzecz klienta wykonywany jest e-learning albo prowadzona jest jakaś grywalizacja?

MK: Tak. Jeżeli agencja organizuje konkurs dla klienta – tak naprawdę robi cokolwiek z danymi osobowymi w jego imieniu – sytuacja jest absolutnie identyczna. Może zdarzyć się, że agencja stanie się administratorem danych osobowych, po to żeby wykazać, w jaki sposób wykonała umowę zawartą z klientem. Czasami jest to konieczne – nie da się tego zrobić bez przetwarzania danych osobowych. Agencja będzie miała wtedy swój własny interes, swój własny prawnie usprawiedliwiony cel i na tym malutkim poletku będzie administratorem danych osobowych, np. archiwizując sposoby wykonania umowy. I to jest ten wyjątek. Dopatrzyłbym się tylko w tym obszarze ewentualnie działań jako administrator danych.

AS: Czy zaniechania agencji PR w przetwarzaniu danych, które powierzył jej klient, mogą narazić go na sankcje?

MK: Zdecydowanie tak. Administrator odpowiada za dochowanie należytej staranności w wyborze swojego podwykonawcy, w tym przypadku agencji PR. Przysługują mu pewne instrumenty kontrolne. Ma możliwość skontrolowania, w jaki sposób dane są przetwarzane przez agencję. Jeżeli jako podwykonawca klienta będzie chciała ona skorzystać z usług jeszcze innego podwykonawcy, np. swojego, bo przykładowo korzysta z serwerów zlokalizowanych w siedzibie innego podmiotu, będzie potrzebowała na to zgody klienta. Inaczej przekazać danych nie może. A dlaczego te wszystkie instrumenty? Właśnie dlatego, że za naruszenia, wycieki danych klient będzie ponosił pełną odpowiedzialność. To oczywiście nie zwalnia z niej agencji PR, ona również będzie ponosiła odpowiedzialność.

AS: Czyli ta odpowiedzialność będzie po obu stronach.

MK: Odpowiedzialność będzie po obu stronach, natomiast ogrom obowiązków ciąży wyłącznie na administratorze, np. wszystkie obowiązki informacyjne. On jest w największym stopniu obciążony ryzykiem.

AS: Często zdarza się tak, że zbieramy wizytówki dziennikarzy na konferencjach prasowych czy konferencjach branżowych. Czy dane pozyskane w ten sposób możemy przetwarzać i czy musimy spełniać wobec tych osób obowiązek informacyjny?

MK: To wszystko zależy od tego, jako kto zbieramy wizytówki i w jakim celu. Jeżeli zbieramy je jako osoba prywatna, w celach prywatnych, wtedy jest to tzw. cel domowy i Rozporządzenie nie znajduje zastosowania, więc obowiązku informacyjnego realizować nie musimy. Natomiast jeżeli działamy jako pracownik firmy i następnie oddajemy tę wizytówkę np. do naszego sekretariatu, który tworzy wizytownik, czyli zbiór danych osobowych – bardzo często usystematyzowanych pod względem daty, bo przecież porządkujemy je w kolejności zebrania – wtedy jest to oczywiście zbiór danych osobowych i obowiązek informacyjny powinien być wobec takiego dziennikarza zrealizowany, np. poprzez wysłanie mu zwrotnej informacji. Czasami poszukuje się rozwiązania tego problemu poprzez zamieszczanie odpowiednich klauzul w stopkach maili. Czyli obowiązek informacyjny realizujemy za ich pomocą za pierwszym razem, jeżeli kontaktujemy się z kimś z wykorzystaniem danych zawartych na wizytówce. Problem polega tylko na tym, że obowiązek informacyjny powinniśmy zrealizować w momencie rozpoczęcia przetwarzania danych osobowych. Czasami jest tak, że wizytówka u nas leży miesiącami czy latami, zanim do niej sięgniemy, ale te dane cały czas przetwarzamy. To jest ten obszar problematyczny. Myślę, że w praktyce wypracowane zostaną jakieś rozwiązania, które pokażą nam, jak łatwo realizować obowiązek informacyjny. Bo też ciężko sobie wyobrazić, żebyśmy robili to od razu w momencie, kiedy wymieniamy się wizytówkami.

AS: Na jakiej zasadzie możemy przetwarzać dane kontaktujących się z nami dziennikarzy, którzy zostawiają nam imię, nazwisko, e-mail i telefon. Czy przetwarzanie takich danych podlega obowiązkowi informacyjnemu RODO?

MK: Podlega obowiązkowi informacyjnemu, natomiast trzeba pamiętać o jednej rzeczy: kiedy taki obowiązek informacyjny nie musi być zrealizowany albo musi, ale w bardzo ograniczonym zakresie. Jeżeli osoba, której dane dotyczą, zna treści objęte obowiązkiem informacyjnym oraz wie, komu i w jakim celu przekazuje dane, to ten obowiązek w tej części nie musi być realizowany. Musimy zawsze pamiętać o tym, żeby odpowiedzieć sobie na pytanie, czy osoba, która nam dane przekazuje, rzeczywiście wie, po co i jak są one wykorzystywane oraz kto jest administratorem.

AS: A czy w sytuacjach komunikacji wewnętrznej pracownicy są traktowani podobnie?

MK: Przekazywanie danych wewnątrz organizacji dokonywane jest na podstawie zawartej umowy, umowy o pracę czy umowy cywilnoprawnej, więc obowiązek informacyjny realizujemy raz – na etapie zawierania takiej umowy. I jest on dopełniony na cały czas trwania stosunku pracy czy umowy cywilnoprawnej.

AS: Dziękuję bardzo.

MK: Dziękuję bardzo.

Źródło: fundacja internetPR.pl

www.internetpr.pl

PR - Tekst opublikowany bezpłatnie na podstawie promocyjnych materiałów prasowych. Redakcja nie odpowiada za jego treść.

REKLAMA

Komentarze

Zaloguj się i dodaj komentarz

Najnowsze w tym dziale:

Atrium: Od 25 lat pracujemy na sukces naszych klientów
O początkach, pierwszej maszynie, długoletniej współpracy z marką Mutoh, znaczących momentach, wyróżnieniach oraz targach rozmawiamy z Maciejem Juchkiewiczem, prezesem firmy Atrium Centrum Ploterowe.
Blockchain – krok milowy ku przejrzystości reklam?
Skandale związane z danymi, chociażby te dotyczące Facebooka, coraz częściej dotykają branżę reklamową. Dlatego eksperci szukają złotego środka, by ich uniknąć. Jednak istotą problemu pozostaje brak przejrzystości danych i reklam. Czy istnieje  sposób, aby ją uzyskać?
Praca zdalna to przyszłość polskiego rynku pracy
Do 2020 roku w krajach rozwijających się pracować zdalnie będzie co drugi pracownik dużej firmy i 70% zatrudnionych w start-upach.[1] Ta forma pracy także w Polsce ma coraz więcej sympatyków, może przynieść korzyści zarówno pracownikom, jak i pracodawcom. Firmy wprowadzając możliwość pracy zdalnej – automatycznie generują oszczędności: zmniejszają swoje koszty...
Fundacja Panoptykon o „ACTA 2”: Artykuł 13 w pytaniach i odpowiedziach
W ostatnich dniach narasta szum informacyjny wokół unijnej dyrektywy o prawie autorskim. Sztuczną histerię rozkręcają szczególnie politycy, którzy mając w pamięci siłę, z jaką poprzednia sprawa ACTA zmobilizowała opinię publiczną, usiłują zbić własny kapitał podgrzewając emocje związane z „ACTA 2”. Rozpowszechniane są różnego rodzaju "apele"...
Polskie meble potrzebują silnej marki, by podbić świat
Jak wynika z raportu Polskiego Funduszu Rozwoju (PFR), polska branża meblarska zajmuje czwarte miejsce na świecie pod względem eksportu mebli[1]. Do 2020 r. możemy jednak być numerem jeden w Europie i wyprzedzić takie kraje, jak Niemcy czy Włochy. Już teraz eksportujemy więcej mebli niż, m.in. Stany Zjednoczone, Meksyk czy Wietnam. By dotrzeć do szerokiego grona europejskich...
 
Signs.pl - Portal polskiej reklamy wizualnej
© 1997-2018 ICOS
. Wszystkie prawa zastrzeżone