5 rzeczy, które agencja marketingowa powinna wiedzieć o RODO
Agencja marketingowa i RODO. Nierozłączna para.
Myślę, że dla Ciebie jest oczywiste, że agencja marketingowa przetwarza dane osobowe swoich pracowników, współpracowników, zleceniobiorców, kontrahentów. I pracowników kontrahentów też.
Ale opór pojawia się przy danych, do których agencja ma dostęp przy realizacji projektu dla klienta. No bo, jak to? Przecież nawet nie widzisz danych osób, do których kierujesz reklamy w socjalach. Ale jednak…
Czy agencja marketingowa przetwarza dane osobowe?
„Moja agencja nie przetwarza danych osobowych”. Jakże często to słyszę od pracowników agencji marketingowych przy różnych projektach. Przy prowadzeniu fanpejdża, przy mailingu, przy konkursie organizowanym przez klienta.
I jakże często jest to nieprawda.
Nie ma znaczenia to, że danych osobowych nie widać i to, że agencję mało obchodzą te konkretne dane.
Możesz nie być zainteresowany, do jakich konkretnie osób (z imienia i nazwiska) targetujesz reklamy na Fejsie czy Insta. Możesz nie być zainteresowany tym, czyje dane są we Freshmailu klienta.
Ale według RODO i tak możesz te dane przetwarzać. I podpadać pod RODO. Co, na szczęście, samo w sobie straszne nie jest.
Czas na trochę teorii.
Zgodnie z RODO ,,przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak:
- zbieranie,
- utrwalanie,
- organizowanie,
- porządkowanie,
- przechowywanie,
- adaptowanie,
- modyfikowanie,
- pobieranie,
- przeglądanie,
- wykorzystywanie,
- ujawnianie poprzez przesłanie,
- rozpowszechnianie,
- innego rodzaju udostępnianie,
- dopasowywanie,
- łączenie,
- ograniczanie,
- usuwanie,
- niszczenie.
Dość szeroki katalog, prawda? I to nie jest katalog zamknięty.
Z danych osobowych korzystasz, targetując reklamy (a tak przynajmniej podchodzą do tego urzędy). Z danych osobowych korzystasz też, wysyłając mailing. Również administrując fanpejdżem, przechowujesz dane osób, które lajkują posty lub piszą na Messengerze.
Możesz więc spokojnie przyjąć jedno założenie: realizując dla klienta projekt, Twoja agencja prawie na pewno przetwarza dane osobowe.
I to nie tylko pracowników, kontrahentów itp.
Czy agencja marketingowa jest administratorem danych osobowych?
I tu dochodzimy do drugiego problemu. Agencja przetwarza dane osobowe. Ale czy jest administratorem?
To zależy. To bardzo prawnicze stwierdzenie. Ale już mówię, od czego to zależy.
RODO bardzo ładnie mówi, że administratorem jest osoba, która samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.
Agencja na pewno jest administratorem danych swoich pracowników, współpracowników czy zleceniobiorców. Choćby w celu wykonania umowy o pracę czy innej umowy, wypłaty wynagrodzenia itp. Celów jest sporo. I są to cele agencji.
Podobnie jest z kontrahentami. Nawet jeśli po drugiej stronie mamy spółkę, to jednak umowę podpisuje jakaś konkretna osoba. Prezes, członek zarządu, prokurent. I już mamy osobę, której dane przetwarzamy. I to we własnych celach (np. w celu podpisania umowy, weryfikacji, czy umowa jest ważnie zawarta przez osobę uprawnioną do reprezentowania klienta).
Ale bardziej interesujące są kwestie danych osób, do których kierowana jest komunikacja. Danych adresatów mailingu, osób wchodzących w interakcje z fanpejdżem, uczestników konkursu.
Z reguły tu administratorem będzie klient. Ale nie zawsze.
Bo przecież zdarza się, że to agencja jest organizatorem konkursu. I zdarza się, że agencja prowadzi mailing do osób ze swojej własnej bazy, a nie bazy klienta. A czasami jest tak, że to klient chce (nieudolnie) przerzucić na agencję odpowiedzialność za stosowanie RODO.
W takich sytuacjach to agencja będzie administratorem. Albo co najmniej współadministratorem (razem z klientem).
O tym, czy agencja marketingowa jest administratorem danych osobowych, pisałem kiedyś szerzej na blogu.
Uff, rozpisałem się. Teraz chwila wytchnienia i jedziemy dalej. Tym razem odpowiedzi będą już krótsze.
Czy agencja musi podpisać z klientem umowę powierzenia przetwarzania danych?
Teraz załóżmy, że w konkretnym projekcie realizowanym dla klienta to klient jest administratorem danych osobowych. W takiej sytuacji agencja jest tzw. podmiotem przetwarzającym. Czyli osobą, która przetwarza dane osobowe w imieniu administratora.
W takiej sytuacji RODO przewiduje przede wszystkim jeden główny obowiązek. Jest to obowiązek podpisania umowy powierzenia przetwarzania.
Więc odpowiadając krótko na to pytanie: tak, agencja jako podmiot przetwarzający musi podpisać umowę powierzenia przetwarzania danych.
Zresztą coraz częściej spotykam się z sytuacją, gdy to klienci agencji podrzucają własną umowę powierzenia przetwarzania. I oczekują od agencji, że taka umowa zostanie podpisana. A dane osobowe będą należycie chronione.
Czy agencja marketingowa powierza przetwarzanie danych osobowych?
Ale relacja agencja – klient to tylko jedna strona medalu. Przecież agencja też korzysta z podwykonawców. Ale też korzysta z zewnętrznych narzędzi, na przykład z hostingu.
Kiedyś zresztą na blogu pisałem szerzej, że z powierzeniem przetwarzania danych mamy do czynienia również w przypadku skorzystania z zewnętrznego hostingu.
A skoro agencja korzysta z pomocy takich osób czy narzędzi, to również może powierzać im dane osobowe.
Więc obowiązek podpisania umowy powierzenia przetwarzania danych osobowych dotyczy nie tylko agencji i jej klienta. Ale też agencji i jej zleceniobiorców czy dostawców zewnętrznych narzędzi.
I zdaję sobie sprawę z tego, że nie zawsze jest to możliwe. No ale to już życie a nie przepisy.
Czy agencja marketingowa powinna się bać RODO?
Mimo że RODO jest już stosowane od ponad 5 lat, to nadal wywołuje nieuzasadniony strach. Nikt nie chce być administratorem danych, bo to zło w najczystszej postaci.
Tyle że RODO może uprzykrzać życie, jeśli nie będziemy stosować się do jego postanowień. Bo wtedy może przyjść straszny urząd i nałożyć karę.
Przy stosowaniu RODO jest trochę papierologii. I trzeba pamiętać o zabezpieczeniu danych. Ale to nie są jakieś kosmiczne obowiązki. Szczególnie jeśli wprowadzimy określone procedury, to w przypadku kolejnych projektów będzie dużo łatwiej. Bo rzeczywiście na samym początku może być sporo pracy.
Trzeba przyjrzeć się temu, co agencja robi dla klientów. Kiedy, jakie i czyje dane przetwarza. I w jakim celu. A później dostosować pod to odpowiednie obowiązki z RODO.
I pamiętaj, że to nie jest tak, że RODO wszystkiego zabrania.