Podsumowanie na start
Wdrożenie RODO w Agencji marketingowej składa się z kilku etapów:
- szczegółowy audyt procesów przetwarzania danych osobowych przez Twoją organizację;
- określenie procesów przetwarzania danych osobowych;
- jeżeli jest to konieczne, przeprowadzenie analizy ryzyka dla osób, których dane będą będziesz przetwarzał/przetwarzała;
- dobranie odpowiednich środków bezpieczeństwa;
- przygotowanie dokumentacji RODO na wewnętrzne potrzeby Twojej Agencji;
- przygotowanie dokumentacji RODO wykorzystywanej przy relacjach z klientami i Twoimi partnerami biznesowymi.
Przeczytaj także:
Dlaczego RODO jest istotne dla agencji marketingowej?
Tyle się mówi o tym, że każda branża powinna wziąć pod uwagę ochronę danych osobowych. Czy Ty jako organizacja zajmująca się marketingiem również? Nie musisz nic robić, jeżeli:
- lubisz, gdy Twoi kontrahenci wracają do Ciebie z zastrzeżeniami do umów, na przykład dopytują o konkretne klauzule, proszą o wyjaśnienia Waszego statusu (czy jesteście podmiotami przetwarzającymi czy współadministratorami) lub chcą zawierać dodatkowe umowy dotyczące dancyh osobowych albo wymagają oświadczeń o wdrożeniu RODO,
- Twoim marzeniem jest zobaczyć nazwę swojej Agencji w całym Internecie w towarzystwie słów: „wyciek danych osobowych”, „niedołożenie należytej staranności” a także „naruszenie przepisów”.
- chcesz być ciągany/ciągana po sądach przez osoby, których prawa zostały naruszone i płacić wysokie odszkodowania,
- jesteś gotowy/gotowa zapłacić karę w wysokości do 20 milionów euro lub do 4 % całkowitego rocznego światowego obrotu za poprzedni rok obrotowy.
Jeżeli jednak nie chcesz, aby spotkały Cię powyższe sytuacje upewnij się, że w Twojej agencji są wdrożone zasady przetwarzania danych osobowych zgodnie z unijnym rozporządzeniem nr 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (ogólne rozporządzenie o ochronie danych osobowych), dalej „RODO”. Od 25 maja 2018 r., czyli od wejścia w życie rozporządzenia minęło już kilka lat, więc organy ochrony danych osobowych nie będą przewidywać taryfy ulgowej w przypadku naruszeń.
Pamiętaj, że jako Agencja reklamowa przetwarzasz dane osobowe nie tylko swoich klientów czy podwykonawców (np. influencerów), ale też dane osobowe swoich pracowników i współpracowników. W niektórych przypadkach może również nastąpić powierzenie przetwarzania danych osobowych przez klienta, np. w zakresie w jakim Agencja będzie prowadzić wysyłki newsletterów lub zbierać dane w imieniu i na rzecz swojego klienta.
Czy w każdej Agencji wdrożenie RODO będzie wyglądać tak samo?
Mimo że część dokumentów będzie obowiązywać w każdej agencji, to w zależności od zakresu działalności każdej agencji ich treść i ilość będzie się zmieniać. Przykładowo, niewielka Agencja brandingowa, która współpracuje z kilkoma podwykonawcami, będzie potrzebowała nieco innych dokumentów, niż Agencja digitalowa zatrudniająca dużą grupę pracowników a także wynajmująca biuro z monitoringiem.
Wdrożenie RODO to nie jest proces, który jest taki sam dla każdej Agencji, dlatego konieczne jest indywidualne podejście do każdego przypadku. Najlepsze dokumenty to takie, które dopasowane są pod specyfikę działalności konkretnej organizacji i występujących w niej procesów przetwarzania danych. Z tego względu warto rozważyć indywidualne przygotowanie dokumentów dla Twojej Agencji, a nie korzystanie z dostępnych na rynku pełnych pakietów dokumentów, które mogą nie odpowiadać specyfice działalności Agencji.
Jeżeli potrzebujesz wsparcia przy wdrożeniu RODO, nasza kancelaria może Ci w tym pomóc! Wypełnij formularz i umów się z nami na 15 minutową bezpłatną konsultację. Porozmawiamy o tym, jak możemy Ci pomóc i jak nasi eksperci mogą przeprowadzić Cię przez proces wypełniania dokumentów i procedur.
Audyt przy wdrożeniu RODO w Agencji
Prawidłowo przeprowadzony audyt jest fundamentem całego wdrożenia RODO. Jego wyniki rzutują na to, jakie czynności i jakie dokumenty będą konieczne do wdrożenia w Twojej organizacji. W ramach audytu RODO, konieczne jest poznanie procesów przetwarzania danych w Agencji. Na kompleksowy audyt składa się ustalenie: jakie dane przetwarzasz i w jaki sposób to robisz.
Podczas audytu RODO w Agencji, weryfikowane są takie kwestie jak:
- zakres przetwarzania danych osobowych – jest to weryfikacja nie tylko czyje dane przetwarzasz, ale też jakie. Zwróć uwagę, że zasada minimalizacji zbieranych danych jest fundamentalną zasadą RODO – jeżeli niektóre dane nie są dla Ciebie potrzebne, np. numer buta Influencera to może nie warto ich zbierać?
- cel przetwarzania danych osobowych – nierozerwalnie związany z zakresem przetwarzanych danych. W ramach tego etapu należy ustalić, dlaczego przetwarzasz te dane. Jeżeli nie znajdziesz celu dla ich przetwarzania, masz możliwość optymalizacji w tym zakresie;
- podstawa przetwarzania – skoro już wiesz, jakie dane przetwarzasz i dlaczego, ustalenie prawnej podstawy ich przetwarzania zgodnie z RODO nie powinno być problemem, skoro np. wiesz, że przetwarzania tego rodzaju danych wymaga od Ciebie prawo, lub jest to dla Ciebie niezbędne z innych względów;
- stosowane zabezpieczenia – konieczne jest sprawdzenie czy dane są odpowiednio zabezpieczone. Nie są to wyłącznie zabezpieczenia techniczne tj. szyfrowanie dysków, czy zamykane na klucz szafki, ale również zabezpieczenia organizacyjne – odpowiednie polityki i procedury zabezpieczania danych. Nie zapominaj również o tym, że nawet najlepsze polityki i procedury na nic się zdadzą, jeżeli nie są stosowane! Dlatego sprawdź, czy Twoi pracownicy i współpracownicy rzeczywiście się do nich stosują;
- kto przetwarza dane osobowe – należy przeanalizować kto może mieć dostęp do danych osobowych i na jakiej podstawie, np. czy jest to pracownik, współpracownik czy podwykonawca? Po ustaleniu tego, konieczne będzie podjęcie odpowiednich czynności, w celu ograniczenia zakresu odpowiedzialności Agencji za ewentualne błędy popełnione przez te osoby. Zweryfikuj również poziom wiedzy i świadomości Twojego zespołu w zakresie ochrony danych osobowych oraz w razie potrzeby przygotuj szkolenia z ochrony danych osobowych.
Określenie procesów przetwarzania danych osobowych przez agencję
Ustalenie takiego procesu, to nic innego jak zestawienie zebranych w procesie audytu informacji oraz jeżeli jest to konieczne, dostosowanie do wymagań stawianych przez przepisy prawa.
W podstawowym zakresie powinieneś/powinnaś zdefiniować:
- jaka jest Twoja rola w procesie przetwarzania – czy sam ustalasz co robisz z danymi czy ktoś inny zleca Ci ich przetwarzanie, a więc czy jesteś administratorem, czy podmiotem przetwarzającym dane osobowe,
- jakie dane przetwarzasz,
- kto będzie miał do nich dostęp,
- jak będziesz przetwarzać dane, czyli co będziesz z nimi robił/robiła,
- jak powinnaś/powinieneś zabezpieczyć dane.
Odpowiedzi na powyższe pytania pozwolą na uzupełnienie rejestru przetwarzania danych (tam gdzie, pełnisz rolę administratora danych) lub rejestru czynności przetwarzania (w stosunku do danych, których jesteś jedynie podmiotem przetwarzającym). Dokumenty te są wymagane na podstawie art. 30 RODO i są niezbędnymi elementami wewnętrznej dokumentacji każdej Agencji.
Jak określić ryzyka przy wdrożeniu RODO w agencji
Wdrożenie RODO w działalności Agencji wiąże się również z koniecznością ustalenia potencjalnych ryzyk, które mogą być związane z przetwarzaniem przez Ciebie jako Agencję danych osobowych.
Jednym z największych ryzyk jest zagrożenie wyciekiem danych lub ich przypadkowym usunięciem. Przyczyną jest często błąd ludzki, ale nie oznacza to, że nie da się zminimalizować tego niebezpieczeństwa.
Na tym etapie wdrożenia RODO, zastanów się gdzie może dojść do wycieku, nieuprawnionej modyfikacji lub utraty danych oraz jakie zasoby powinny być w związku z tym przez ciebie szczególnie chronione i określ rodzaj i poziom zagrożeń.
Następnie określ w jaki sposób możesz przeciwdziałać powyższym zagrożeniom. Pozwoli Ci to zdefiniować najważniejsze działania, jakie powinny zostać podjęte w celu zabezpieczenia danych w Twojej Agencji.
Pamiętaj, że wybrane przez Ciebie środki bezpieczeństwa powinny być adekwatne, tzn. powinny:
- odpowiadać poziomowi i zakresowi ryzyka związanego z przetwarzaniem,
- być zgodne ze stanem wiedzy technicznej,
- zapewniać odpowiedni stopień bezpieczeństwa względem naruszenia praw i wolności osób fizycznych, uwzględniając cechy przetwarzania (jego charakter, zakres, kontekst i cele).
Z czego składa się dokumentacja RODO w agencji?
Dokumentacja RODO dla Agencji składa się z dwóch części.
Pierwsza, tzw. dokumentacja wewnętrzna opisuje wewnętrzne procesy przetwarzania danych osobowych a także odpowiednie polityki i regulaminy, które są wymagane przepisami prawa.
Druga, to tzw. dokumentacja zewnętrzna, czyli wzory dokumentów, które są przekazywane Twoim kontrahentom: odpowiednie klauzule informacyjne a także wzory umów, stosowane przy współpracy z innymi podmiotami.
Co powinna zawierać wewnętrzna dokumentacja RODO w agencji?
Wewnętrzna dokumentacja RODO to podsumowanie Twoich poprzednich kroków w ramach wdrożenia RODO. Opisuje ona w jaki sposób Ty jako Agencja przetwarzasz dane osobowe, w jaki sposób je chronisz i jakie obowiązują u Ciebie procedury z ochroną danych osobowych związane.
Na dokumentację wewnętrzną składają się takie dokumenty jak:
- Polityka ochrony danych osobowych, opisująca zasady przetwarzania danych osobowych w Twojej Agencji;
- Rejestr czynności przetwarzania danych osobowych – obowiązkowy wykaz działań, które prowadzisz na danych osobowych (jego zawartość wynika z art. 30 ust. 1 RODO);
- Rejestr kategorii czynności przetwarzania danych osobowych, który musisz prowadzić, jeżeli Twój klient zlecił Ci przetwarzanie danych w jego imieniu;
- Procedura realizacji uprawnień osób fizycznych – procedura, która określa sposób postępowania w przypadku wniesienia przez daną osobę żądania realizacji jej uprawnień wynikających z RODO;
- Procedura postępowania w przypadku naruszeń ochrony danych osobowych – procedura określająca sposób postępowania w przypadku naruszenia ochrony danych osobowych (np. wycieku danych);
- Rejestr naruszeń ochrony danych osobowych – rejestr zawierający informacje o zaistniałych naruszeniach oraz działaniach podjętych w celu ich usunięcia;
- Procedura usuwania i niszczenia danych osobowych – procedura określająca sposób postępowania w przypadku konieczności zniszczenia lub usunięcia danych osobowych;
- Analiza ryzyka wiążącego się z przetwarzaniem danych osobowych;
- Ocena skutków przetwarzania danych osobowych dla osób, których dane dotyczą (prowadzona w sytuacjach wymaganych zgodnie z RODO i polskimi przepisami).
Konieczne jest również zatroszczenie się o dokumenty dla Twoich współpracowników. Są to nie tylko klauzule informacyjne, które uwzględniają zasady przetwarzania danych zarówno Twoich pracowników jak i osób zatrudnionych na umowach cywilnoprawnych, ale również upoważnienia do przetwarzania danych osobowych czy regulaminy bezpieczeństwa danych, z którymi muszą się zapoznać.
Brak wdrożenia tych dokumentów i procedur to brak wymaganej przez prawo (i często klientów) kontroli nad danymi osobowymi, np.:
- brak minimalnych standardów bezpieczeństwa przy pracy z prywatnych urządzeń,
- brak opracowanych wymogów bezpieczeństwa wobec podwykonawców (dostawców),
- brak bieżącego monitorowania ryzyka w tym obszarze,
- brak procedur umożliwiających wykrycie i szybką reakcję na ewentualny incydent bezpieczeństwa (a większość z nich należy raportować do Urzędu Ochrony Danych Osobowych).
Jakie dokumenty zewnętrzne musi mieć każda Agencja?
Dokumentacja zewnętrzna wymagana dla każdej Agencji składa się z:
- klauzuli informacyjnej dla Twoich kontrahentów, dzięki której samodzielnie wywiążesz się z obowiązków związanych z przetwarzaniem danych osobowych Twoich klientom i przekażesz im na jakich zasadach to przetwarzanie następuje oraz poinformujesz o przysługujących im prawach, np. prawie do wycofania zgody czy wniesienia sprzeciwu; pamiętaj, że może się okazać, że konieczny jest więcej niż jeden wzór klauzuli, np. gdy oprócz obsługi klientów współpracujesz również influencerami i podwykonawcami,
- polityki prywatności oraz polityki cookies, stanowiące podstawę dokumentacji landing page Twojej Agencji. Jeżeli zastanawiasz się jak przygotować dokumentację na landing page, zapoznaj się z naszymi artykułami: Jak napisać politykę prywatności i cookies zgodnie z RODO oraz Pliki cookies zgodne z prawem – jak je wdrożyć?
- wzoru umowy powierzenia przetwarzania.
Gdy:
- Klient zleca Ci przetwarzanie danych w jego imieniu, np. poprzez zlecenie wysyłki newslettera do jego bazy czy zebrania danych kontaktowych osób uczestniczących w akcji promocyjnej,lub
- Ty jako Agencja zlecasz przetwarzanie danych innym podmiotom w Twoim imieniu, np. Twoim podwykonawcom,
może pojawić się obowiązek podpisania umowy powierzenia przetwarzania danych osobowych. Po więcej informacji na temat powierzania i udostępniania danych zapraszamy tutaj: Umowy powierzenia pod RODO – gdy udostępniasz dane osobowe
W niektórych szczególnych sytuacjach, powinieneś/powinnaś również musieć pod ręką wzór umowy o współadministrowaniu danymi osobowymi. Taka sytuacja następuje, kiedy ustalasz cele i sposoby przetwarzania wspólnie z innym podmiotem. Na przykład, gdy jako Agencja wspólnie z Klientem wybierasz odpowiednich influencerów do współpracy przy konkretnym projekcie.
Czy Agencja musi powołać IODO?
Pewnie zastanawiasz się, czy jako Agencja musisz posiadać inspektora ochrony danych osobowych. Zgodnie z art. 37 RODO jest to wymagane w sytuacji, w której:
- Twoja główna działalność polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;
lub
- Twoja główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, takich jak dane dotyczące wyroków skazujących czy dane medyczne.
W większości Agencji zatem powołanie IOD nie będzie konieczne, chociaż oczywiście można to zrobić.
Jeżeli chcesz się dowiedzieć więcej na temat statusu inspektora ochrony danych osobowych, zapraszam do zapoznania się z naszym artykułem: Inspektor Ochrony Danych pod RODO – kim jest i czy trzeba go wyznaczyć?
Jak przetwarzać dane w celach marketingowych zgodnie z prawem?
Podstawą działalności każdej z Agencji jest przetwarzanie danych w celu prowadzenia działań marketingowych czy kampanii reklamowych. Może to polegać na zbieraniu osób do bazy danych newslettera klienta Agencji czy przetwarzaniu danych osób wchodzących w interakcje w social mediach klienta.
W każdym z tych przypadków, konieczne jest ustalenie odpowiedniej podstawy przetwarzania danych osobowych i poinformowanie osób, których dane dotyczą o celu przetwarzania danych. W większości sytuacji prowadzenia marketingu dane osobowe będą przetwarzane na podstawie zgody na przetwarzanie danych, ale dla niektórych działań z zakresu marketingu bezpośredniego przepisy RODO jej nie wymagają. W tych przypadkach, gdy dane są zbierane w celu marketingu bezpośredniego wystarczającą podstawą może być uzasadniony interes administratora. Nie oznacza to jednak, że inne przepisy nie zawierają dodatkowych wymogów. Na przykład ustawa o świadczeniu usług droga elektroniczną lub prawo telekomunikacyjne, które wymagają odpowiedniej zgody na wysyłanie informacji handlowych.
Jeżeli chcesz dowiedzieć się więcej o tym, w jaki sposób legalnie wysyłać newsletter z lead magnetem, przeczytasz o tym tutaj: Legalny newsletter krok po kroku.
Teraz już wiesz, jak wdrożyć RODO w swojej Agencji marketingowej. Jeżeli potrzebowałbyś/potrzebowałabyś pomocy z przygotowaniem odpowiednich dokumentów, na ratunek kreatywnym klientom śpieszą eksperci z naszej kancelarii – Twoi partnerzy: adwokaci i radcowie prawni. Wystarczy, abyś skontaktował/skontaktowała się ze mną przez formularz kontaktowy a zadzwonimy do Ciebie z pytaniem, jak możemy Ci pomóc!
Zdjęcie dodane przez Anete Lusina.