logo
WIEDZA
Polska reklama i poligrafiaWIEDZA

RODO: kto odpowie za błędy w ochronie danych? Klient czy agencja PR?

  PR 10.04.2018, przeczytano 668 razy
ilustracjastrzałka

Rozmowa Aliny Stahl, rzecznika prasowego Biura Informacji Kredytowej, z dr. Maciejem Kaweckim, koordynatorem prac nad reformą ochrony danych osobowych, dyrektorem Departamentu Zarządzania Danymi w Ministerstwie Cyfryzacji, na temat stosowania przepisów RODO.


Artykuł pochodzi z portalu Signs.pl: https://www.signs.pl/rodo%3A-kto-odpowie-za-bledy-w-ochronie-danych-klient-czy-agencja-pr,36113,artykul.html

Alina Stahl: Dzień dobry, Panie doktorze. Chciałabym zapytać się o rzecz następującą: czy wchodzi w grę model współpracy pomiędzy agencją i klientem, w którym modelu zbiera ona dane osobowe w biurze prasowym klienta jako administrator danych osobowych?

Dr Maciej Kawecki: W takim modelu zakładałbym, że klient jest administratorem danych osobowych, a agencja, która stworzyła jakiś instrument, jakieś narzędzie, które ma wspierać działanie klienta, działa jako jego podwykonawca. W związku z tym nie dopatrywałbym się tutaj po stronie agencji roli administratora danych osobowych. Ponieważ rozumiem, że wykorzystuje ona te dane nie we własnym celu, tylko cały czas w celu klienta. To jest typowy model podwykonawstwa, który oczywiście jest w pełni możliwy, dopuszczalny w przypadku RODO. Rzecz jasna pod warunkiem zawarcia umowy powierzenia przetwarzania danych osobowych – takiej umowy podwykonawstwa w zakresie przetwarzania danych osobowych, która musi odpowiadać wymogom przewidzianym w art. 28 RODO, czyli być dokumentem dużo bardziej rozbudowanym niż umowy zawierane przed 25 maja 2018 r.

AS: Czy podobna sytuacja dotyczy takich modeli współpracy, w których np. na rzecz klienta wykonywany jest e-learning albo prowadzona jest jakaś grywalizacja?

MK: Tak. Jeżeli agencja organizuje konkurs dla klienta – tak naprawdę robi cokolwiek z danymi osobowymi w jego imieniu – sytuacja jest absolutnie identyczna. Może zdarzyć się, że agencja stanie się administratorem danych osobowych, po to żeby wykazać, w jaki sposób wykonała umowę zawartą z klientem. Czasami jest to konieczne – nie da się tego zrobić bez przetwarzania danych osobowych. Agencja będzie miała wtedy swój własny interes, swój własny prawnie usprawiedliwiony cel i na tym malutkim poletku będzie administratorem danych osobowych, np. archiwizując sposoby wykonania umowy. I to jest ten wyjątek. Dopatrzyłbym się tylko w tym obszarze ewentualnie działań jako administrator danych.

AS: Czy zaniechania agencji PR w przetwarzaniu danych, które powierzył jej klient, mogą narazić go na sankcje?

MK: Zdecydowanie tak. Administrator odpowiada za dochowanie należytej staranności w wyborze swojego podwykonawcy, w tym przypadku agencji PR. Przysługują mu pewne instrumenty kontrolne. Ma możliwość skontrolowania, w jaki sposób dane są przetwarzane przez agencję. Jeżeli jako podwykonawca klienta będzie chciała ona skorzystać z usług jeszcze innego podwykonawcy, np. swojego, bo przykładowo korzysta z serwerów zlokalizowanych w siedzibie innego podmiotu, będzie potrzebowała na to zgody klienta. Inaczej przekazać danych nie może. A dlaczego te wszystkie instrumenty? Właśnie dlatego, że za naruszenia, wycieki danych klient będzie ponosił pełną odpowiedzialność. To oczywiście nie zwalnia z niej agencji PR, ona również będzie ponosiła odpowiedzialność.

AS: Czyli ta odpowiedzialność będzie po obu stronach.

MK: Odpowiedzialność będzie po obu stronach, natomiast ogrom obowiązków ciąży wyłącznie na administratorze, np. wszystkie obowiązki informacyjne. On jest w największym stopniu obciążony ryzykiem.

AS: Często zdarza się tak, że zbieramy wizytówki dziennikarzy na konferencjach prasowych czy konferencjach branżowych. Czy dane pozyskane w ten sposób możemy przetwarzać i czy musimy spełniać wobec tych osób obowiązek informacyjny?

MK: To wszystko zależy od tego, jako kto zbieramy wizytówki i w jakim celu. Jeżeli zbieramy je jako osoba prywatna, w celach prywatnych, wtedy jest to tzw. cel domowy i Rozporządzenie nie znajduje zastosowania, więc obowiązku informacyjnego realizować nie musimy. Natomiast jeżeli działamy jako pracownik firmy i następnie oddajemy tę wizytówkę np. do naszego sekretariatu, który tworzy wizytownik, czyli zbiór danych osobowych – bardzo często usystematyzowanych pod względem daty, bo przecież porządkujemy je w kolejności zebrania – wtedy jest to oczywiście zbiór danych osobowych i obowiązek informacyjny powinien być wobec takiego dziennikarza zrealizowany, np. poprzez wysłanie mu zwrotnej informacji. Czasami poszukuje się rozwiązania tego problemu poprzez zamieszczanie odpowiednich klauzul w stopkach maili. Czyli obowiązek informacyjny realizujemy za ich pomocą za pierwszym razem, jeżeli kontaktujemy się z kimś z wykorzystaniem danych zawartych na wizytówce. Problem polega tylko na tym, że obowiązek informacyjny powinniśmy zrealizować w momencie rozpoczęcia przetwarzania danych osobowych. Czasami jest tak, że wizytówka u nas leży miesiącami czy latami, zanim do niej sięgniemy, ale te dane cały czas przetwarzamy. To jest ten obszar problematyczny. Myślę, że w praktyce wypracowane zostaną jakieś rozwiązania, które pokażą nam, jak łatwo realizować obowiązek informacyjny. Bo też ciężko sobie wyobrazić, żebyśmy robili to od razu w momencie, kiedy wymieniamy się wizytówkami.

AS: Na jakiej zasadzie możemy przetwarzać dane kontaktujących się z nami dziennikarzy, którzy zostawiają nam imię, nazwisko, e-mail i telefon. Czy przetwarzanie takich danych podlega obowiązkowi informacyjnemu RODO?

MK: Podlega obowiązkowi informacyjnemu, natomiast trzeba pamiętać o jednej rzeczy: kiedy taki obowiązek informacyjny nie musi być zrealizowany albo musi, ale w bardzo ograniczonym zakresie. Jeżeli osoba, której dane dotyczą, zna treści objęte obowiązkiem informacyjnym oraz wie, komu i w jakim celu przekazuje dane, to ten obowiązek w tej części nie musi być realizowany. Musimy zawsze pamiętać o tym, żeby odpowiedzieć sobie na pytanie, czy osoba, która nam dane przekazuje, rzeczywiście wie, po co i jak są one wykorzystywane oraz kto jest administratorem.

AS: A czy w sytuacjach komunikacji wewnętrznej pracownicy są traktowani podobnie?

MK: Przekazywanie danych wewnątrz organizacji dokonywane jest na podstawie zawartej umowy, umowy o pracę czy umowy cywilnoprawnej, więc obowiązek informacyjny realizujemy raz – na etapie zawierania takiej umowy. I jest on dopełniony na cały czas trwania stosunku pracy czy umowy cywilnoprawnej.

AS: Dziękuję bardzo.

MK: Dziękuję bardzo.

Źródło: fundacja internetPR.pl

www.internetpr.pl

PR - Tekst opublikowany bezpłatnie na podstawie promocyjnych materiałów prasowych. Redakcja nie odpowiada za jego treść.

REKLAMA

Komentarze

Zaloguj się i dodaj komentarz

Najnowsze w tym dziale

RODO, Whatsapp, RCS - za nami ciekawy rok w komunikacji mobilnej
Za nami 2018 rok, który dla komunikacji mobilnej był bardzo ciekawy. Do najważniejszych wydarzeń mijających 12 miesięcy z pewnością należy wprowadzenie RODO, czyli ogólnego rozporządzenia o ochronie danych, a także udostępnienie WhatsApp API. Komunikacja mobilna zdecydowanie zmienia się i ewoluuje, dlatego spodziewam się, że w 2019 roku będziemy świadkami dalszego...
Najciekawsze kampanie w branży inwestycji luksusowych w 2018 roku
Kampania promocyjna inwestycji Mennica Residence opierająca się na geotrappingu. Działania targetowane były na wybrane eventy, skupiające biznesmenów z Europy Środkowej. Osobom uczestniczącym w wyselekcjonowanych przez ClickAd wydarzeniach, na urządzeniach mobilnych wyświetlała się reklama display, zachęcająca do zapoznania się ze szczegółami projektu. Efektem...
Rozmawiamy z chatbotami i kupujemy w apkach wirtualne akcesoria za prawdziwe pieniądze. Zaczęliśmy też zwracać uwagę na nasze dane osobowe, w których ochronie najlepiej sprawdza się prosty i niezawodny SMS. Ostatnie miesiące w świecie mobilnym to zdecydowanie czas łączenia starego z nowymi trendami. Oto czego miniony rok nauczył marketerów i użytkowników.
Rok 2018 w social media
Podsumowanie roku w mediach społecznościowych przygotował Rafał Sobierajski, Head of Social Media w ClickAd Interactive.
Black Friday zwiększa obroty sklepów o nawet kilkaset procent
Święto wyprzedaży, czyli Black Friday, obchodzone tradycyjnie w ostatni piątek listopada, to amerykański zwyczaj, który cieszy się w Polsce coraz większą popularnością. Z roku na rok do akcji wyprzedażowych przyłącza się coraz więcej marek, ale i klientów. Obroty sklepów rosną w tym czasie od kilkudziesięciu do nawet kilkuset procent, z kolei klienci mają...
 
Signs.pl - Polska Reklama i Poligrafia
© 1997-2019 ICOS
Wszystkie prawa zastrzeżone