logo
WIEDZA

RODO: kto odpowie za błędy w ochronie danych? Klient czy agencja PR?

Mateusz Zawiślak  PR 10.04.2018, przeczytano 543 razy
ilustracjastrzałka

Rozmowa Aliny Stahl, rzecznika prasowego Biura Informacji Kredytowej, z dr. Maciejem Kaweckim, koordynatorem prac nad reformą ochrony danych osobowych, dyrektorem Departamentu Zarządzania Danymi w Ministerstwie Cyfryzacji, na temat stosowania przepisów RODO.


Artykuł pochodzi z portalu Signs.pl: https://www.signs.pl/rodo:-kto-odpowie-za-bledy-w-ochronie-danych-klient-czy-agencja-pr,36113,artykul.html

Alina Stahl: Dzień dobry, Panie doktorze. Chciałabym zapytać się o rzecz następującą: czy wchodzi w grę model współpracy pomiędzy agencją i klientem, w którym modelu zbiera ona dane osobowe w biurze prasowym klienta jako administrator danych osobowych?

Dr Maciej Kawecki: W takim modelu zakładałbym, że klient jest administratorem danych osobowych, a agencja, która stworzyła jakiś instrument, jakieś narzędzie, które ma wspierać działanie klienta, działa jako jego podwykonawca. W związku z tym nie dopatrywałbym się tutaj po stronie agencji roli administratora danych osobowych. Ponieważ rozumiem, że wykorzystuje ona te dane nie we własnym celu, tylko cały czas w celu klienta. To jest typowy model podwykonawstwa, który oczywiście jest w pełni możliwy, dopuszczalny w przypadku RODO. Rzecz jasna pod warunkiem zawarcia umowy powierzenia przetwarzania danych osobowych – takiej umowy podwykonawstwa w zakresie przetwarzania danych osobowych, która musi odpowiadać wymogom przewidzianym w art. 28 RODO, czyli być dokumentem dużo bardziej rozbudowanym niż umowy zawierane przed 25 maja 2018 r.

AS: Czy podobna sytuacja dotyczy takich modeli współpracy, w których np. na rzecz klienta wykonywany jest e-learning albo prowadzona jest jakaś grywalizacja?

MK: Tak. Jeżeli agencja organizuje konkurs dla klienta – tak naprawdę robi cokolwiek z danymi osobowymi w jego imieniu – sytuacja jest absolutnie identyczna. Może zdarzyć się, że agencja stanie się administratorem danych osobowych, po to żeby wykazać, w jaki sposób wykonała umowę zawartą z klientem. Czasami jest to konieczne – nie da się tego zrobić bez przetwarzania danych osobowych. Agencja będzie miała wtedy swój własny interes, swój własny prawnie usprawiedliwiony cel i na tym malutkim poletku będzie administratorem danych osobowych, np. archiwizując sposoby wykonania umowy. I to jest ten wyjątek. Dopatrzyłbym się tylko w tym obszarze ewentualnie działań jako administrator danych.

AS: Czy zaniechania agencji PR w przetwarzaniu danych, które powierzył jej klient, mogą narazić go na sankcje?

MK: Zdecydowanie tak. Administrator odpowiada za dochowanie należytej staranności w wyborze swojego podwykonawcy, w tym przypadku agencji PR. Przysługują mu pewne instrumenty kontrolne. Ma możliwość skontrolowania, w jaki sposób dane są przetwarzane przez agencję. Jeżeli jako podwykonawca klienta będzie chciała ona skorzystać z usług jeszcze innego podwykonawcy, np. swojego, bo przykładowo korzysta z serwerów zlokalizowanych w siedzibie innego podmiotu, będzie potrzebowała na to zgody klienta. Inaczej przekazać danych nie może. A dlaczego te wszystkie instrumenty? Właśnie dlatego, że za naruszenia, wycieki danych klient będzie ponosił pełną odpowiedzialność. To oczywiście nie zwalnia z niej agencji PR, ona również będzie ponosiła odpowiedzialność.

AS: Czyli ta odpowiedzialność będzie po obu stronach.

MK: Odpowiedzialność będzie po obu stronach, natomiast ogrom obowiązków ciąży wyłącznie na administratorze, np. wszystkie obowiązki informacyjne. On jest w największym stopniu obciążony ryzykiem.

AS: Często zdarza się tak, że zbieramy wizytówki dziennikarzy na konferencjach prasowych czy konferencjach branżowych. Czy dane pozyskane w ten sposób możemy przetwarzać i czy musimy spełniać wobec tych osób obowiązek informacyjny?

MK: To wszystko zależy od tego, jako kto zbieramy wizytówki i w jakim celu. Jeżeli zbieramy je jako osoba prywatna, w celach prywatnych, wtedy jest to tzw. cel domowy i Rozporządzenie nie znajduje zastosowania, więc obowiązku informacyjnego realizować nie musimy. Natomiast jeżeli działamy jako pracownik firmy i następnie oddajemy tę wizytówkę np. do naszego sekretariatu, który tworzy wizytownik, czyli zbiór danych osobowych – bardzo często usystematyzowanych pod względem daty, bo przecież porządkujemy je w kolejności zebrania – wtedy jest to oczywiście zbiór danych osobowych i obowiązek informacyjny powinien być wobec takiego dziennikarza zrealizowany, np. poprzez wysłanie mu zwrotnej informacji. Czasami poszukuje się rozwiązania tego problemu poprzez zamieszczanie odpowiednich klauzul w stopkach maili. Czyli obowiązek informacyjny realizujemy za ich pomocą za pierwszym razem, jeżeli kontaktujemy się z kimś z wykorzystaniem danych zawartych na wizytówce. Problem polega tylko na tym, że obowiązek informacyjny powinniśmy zrealizować w momencie rozpoczęcia przetwarzania danych osobowych. Czasami jest tak, że wizytówka u nas leży miesiącami czy latami, zanim do niej sięgniemy, ale te dane cały czas przetwarzamy. To jest ten obszar problematyczny. Myślę, że w praktyce wypracowane zostaną jakieś rozwiązania, które pokażą nam, jak łatwo realizować obowiązek informacyjny. Bo też ciężko sobie wyobrazić, żebyśmy robili to od razu w momencie, kiedy wymieniamy się wizytówkami.

AS: Na jakiej zasadzie możemy przetwarzać dane kontaktujących się z nami dziennikarzy, którzy zostawiają nam imię, nazwisko, e-mail i telefon. Czy przetwarzanie takich danych podlega obowiązkowi informacyjnemu RODO?

MK: Podlega obowiązkowi informacyjnemu, natomiast trzeba pamiętać o jednej rzeczy: kiedy taki obowiązek informacyjny nie musi być zrealizowany albo musi, ale w bardzo ograniczonym zakresie. Jeżeli osoba, której dane dotyczą, zna treści objęte obowiązkiem informacyjnym oraz wie, komu i w jakim celu przekazuje dane, to ten obowiązek w tej części nie musi być realizowany. Musimy zawsze pamiętać o tym, żeby odpowiedzieć sobie na pytanie, czy osoba, która nam dane przekazuje, rzeczywiście wie, po co i jak są one wykorzystywane oraz kto jest administratorem.

AS: A czy w sytuacjach komunikacji wewnętrznej pracownicy są traktowani podobnie?

MK: Przekazywanie danych wewnątrz organizacji dokonywane jest na podstawie zawartej umowy, umowy o pracę czy umowy cywilnoprawnej, więc obowiązek informacyjny realizujemy raz – na etapie zawierania takiej umowy. I jest on dopełniony na cały czas trwania stosunku pracy czy umowy cywilnoprawnej.

AS: Dziękuję bardzo.

MK: Dziękuję bardzo.

Źródło: fundacja internetPR.pl

www.internetpr.pl

PR - Tekst opublikowany bezpłatnie na podstawie promocyjnych materiałów prasowych. Redakcja nie odpowiada za jego treść.

REKLAMA

Komentarze

Zaloguj się i dodaj komentarz

Najnowsze w tym dziale:

Digital i luksus – gwarancja sukcesu
Reklama luksusowa na dobre przeniosła się do mediów cyfrowych. Zgodnie z danymi opublikowanymi przez Zenith, w tym roku w Internecie pojawi się o 33% więcej reklam segmentu premium w stosunku do 2017. Prognozy na kolejne lata napawają optymizmem. Jak będzie wyglądać luksus online w przyszłości? O tym w artykule Marcina Rupińskiego, CEO Royal Ad.
Obserwatorzy rynku nowych technologii przywykli już do tego, że największym rozgłosem cieszą się one we wczesnym okresie dojrzewania, kiedy ze świeczką w ręku należy szukać udanych implementacji i przemyślanych zastosowań. Podobny los spotkał analitykę Big Data, która doczekawszy się wielu udanych projektów zniknęła z nagłówków gazet, jednak w...
Przyszłość modelu programmatic po RODO
Podstawą zakupu mediów w modelu programmatic jest precyzyjne targetowanie. Demografia, geolokalizacja, zainteresowania, zachowania zakupowe – to wszystko pozwala reklamodawcom dotrzeć z przekazem do właściwej grupy odbiorców. Jednak nowe przepisy, które narzuca RODO powodują szerokie ograniczenie dostępu do danych użytkowników. To z kolei zmusza...
Drukarnie zwiększają zyski dzięki nowoczesnym urządzeniom
Pojawiają się nowe źródła przychodów dla drukarni inwestujących w urządzenia drukujące, które mogą zrobić więcej, za mniej - mówi Pamela Ghosal, General Manager, Marketing Communications EMEA, OKI Europe Ltd
Czy RODO wymusi aneksy do umów z agencjami PR?
Rozmowa Piotra Ślusarczyka, eksperta netPR.pl, z Pawłem Soproniukiem, partnerem w agencji PR Neuron, na temat współpracy agencji PR z klientami w kontekście RODO oraz przetwarzania i ochrony danych osobowych.
 
niedziela 22.07.2018, 97 gości [ lista ]
Signs.pl - Portal polskiej reklamy wizualnej © 1997-2018 ICOS. Wszystkie prawa zastrzeżone