AGENCJA VS RODO
„Koniec żartów” – tak można podsumować konsekwencje, jakie dla agencji marketingowych i eventowych przeniesie Ogólne Rozporządzenie o Ochronie Danych (RODO). Przepisy o ochronie danych obowiązują już bowiem od dawna, lecz – ze względu na brak dotkliwych sankcji dla podmiotów naruszających – nie były dotąd zawsze traktowane z wymaganą dbałością i powagą. wsze traktowane z wymaganą dbałością i powagą.
Wraz z RODO sprawa zmienia się diametralnie. Nie chodzi jedynie o możliwość nałożenia na agencję wysokiej kary. Sankcje będą grozić głównie samym klientom. Podstawową konsekwencją RODO będzie zatem to, że z czasem spora część zleceniodawców zrezygnuje z usług tych agencji, które nie będą dawać gwarancji przestrzegania standardów w zakresie ochrony danych. Jakie zatem są najważniejsze wymagania do spełnienia, aby nie narazić się na utratę klientów przejętych konsekwencjami RODO?
Bez wątpienia podstawowym zadaniem jest zapewnienie, aby zbieranie danych po rozpoczęciu obowiązywania RODO (25 maja 2018 r.) następowało zgodnie z nowymi zasadami. W odniesieniu do wszystkich zbieranych baz (w szczególności marketingowych) trzeba zatem wdrożyć nowe zasady udzielania zgód na przetwarzanie danych, a także stosownie rozszerzyć treść informacji (tzw. obowiązku informacyjnego) przekazywanej podczas zbierania danych. Dotyczy to w szczególności wszelkich ankiet czy formularzy, za pomocą których dane są zbierane, w tym także na stronach internetowych.
W stosunku do baz już posiadanych należy przede wszystkim sprawdzić, czy zostały zebrane zgodnie z prawem i czy jesteśmy w stanie ten fakt udowodnić. W przypadku zidentyfikowania drobnych nieprawidłowości, należy rozważyć przesłanie (wraz z wejściem nowych przepisów) informacji do osób z bazy, zawierającej sprostowanie lub uzupełnienie obowiązku informacyjnego lub ewentualnie prośbę o potwierdzenie chęci pozo- stawania w marketingowym zbiorze danych. Jeżeli natomiast stwierdzone w starych bazach błędy są kardynalne, należy poważnie pomyśleć o usunięciu bazy i rozpoczęciu jej zbierania na nowo. Dotyczy to w szczególności danych osobowych zebranych bez podstawy prawnej lub danych osobowych zbieranych nadmiarowo, ponad rzeczywistą i uzasadnioną potrzebę.
Na tym jednak nie koniec formalnych obowiązków. Agencja, korzystająca przy swoich usługach z danych osobowych, powinna zaktualizować swoją wewnętrzną dokumentację dotyczącą zasad przetwarzania danych, gdyż na tym polu zaszły istotne zmiany. W niektórych przypadkach RODO wymaga sporządzenia tzw. oceny skutków przetwarzania danych, rejestru czynności przetwarzania danych czy też ustanowienia inspektora ochrony danych. Zakres i sposób spełnienia tych dodatkowych obowiązków zależy od konkretnego przypadku, w szczególności skali przetwarzania oraz stopnia wrażliwości danych zawartych w poszczególnych zbiorach.
Oprócz spełnienia formalności konieczne są również faktyczne działania zapewniające bezpieczeństwo danych. Co istotne, przepisy RODO nie wskazują konkretnych rozwiązań i środków zabezpieczenia, a jedynie ogólne wytyczne, pozostawiając decyzje (i odpowiedzialność) po stronie administratora danych. Pod kątem działalności agencji marketingowych i eventowych szczególnie ważne jest zabezpieczenie serwerów i komputerów (szczególnie tych wynoszonych poza własną siedzibę), a także odpowiednie zabezpieczenie danych zbieranych i wykorzystywanych „w terenie”, np. w trakcie konferencji, targów i imprez rozrywkowych. Przy wdrażaniu zabezpieczeń należy pamiętać szczególnie o tym, aby umożliwiały one jednoczesną weryfikację, kto i kiedy wykonywał jakiekolwiek operacje na danych osobowych.
Nie ulega wątpliwości, że wdrożenie RODO w działalności agencji marketingowej i eventowej stanowi nie lada wyzwanie. W końcu dane osobowe stanowią podstawowe narzędzie, w szczególności w zakresie działań interaktywnych i BTL, i nie sposób przyjąć, że zmiany w zasadach ochrony danych osobowych można pominąć w przypadku prowadzenia takiej aktywności. Podmioty, które intensywnie wykorzystują dane, powinny w ramach planu minimum wykonać wewnętrzny audyt w wyżej wymienionym zakresie i wdrożyć wnioski z niego wynikające. Z kolei podmioty, które pragną zdobyć uznanie klienta i wyróżnić się wśród konkurencji, mogą pójść dalej i ubiegać się o certyfikaty potwierdzające spełnianie standardów, a także tworzyć lub przystępować do branżowych kodeksów postępowania z zakresu ochrony danych osobowych. Takie działania należy mieć na uwadze, gdyż już niedługo mogą okazać się istotnym narzędziem budowania przewagi konkurencyjnej.
Bartosz Mysiak
LSW Leśnodorski, Ślusarek i Wspólnicy
Radca prawny w firmie prawniczej
www.lsw.com.pl
www.lswipblog.pl