RODO (Ogólne Rozporządzenie o Ochronie Danych) to rozporządzenie Parlamentu Europejskiego i Rady Unii Europejskiej z 27 kwietnia 2016 roku. Weszło w życie w maju 2016 roku, a w krajach unijnych zacznie obowiązywać od 25 maja 2018 roku. Nowe prawo dotyczyć będzie wszystkich firm, które w ramach swojej działalności przetwarzają dane osobowe. To największa zmiana w przepisach dotyczących tej tematyki od dwudziestu lat.
W Polsce Ministerstwo Cyfryzacji 12 września 2017 roku opublikowało projekt nowej ustawy o ochronie danych osobowych, który jest obecnie konsultowany społecznie. Następnie zajmie się nim Rada Ministrów. Ustawa będzie funkcjonować obok unijnych przepisów.
RODO wprowadza szereg zmian oznaczających większą ochronę internautów, np. prawo do bycia zapomnianym (usunięcia wszystkich danych użytkownika z baz portalu czy instytycji), zabroniony będzie również handel danymi osobowymi. Firmy będą bezpośrednio odpowiedzialne za złamanie przepisów RODO, a ich obowiązkiem będzie m.in. zgłaszanie w ciągu 72 godzin wszelkich naruszeń bazy danych. Podmiotom, które nie dopilnują obowiązków związanych z RODO, będą grozić wysokie kary pieniężne – do 20 mln euro lub 4 proc. rocznego obrotu.
Zapytaliśmy przedstawicieli branży PR, w jaki sposób RODO wpłynie na pracę PR-owców oraz jakie działania podjęli lub zamierzają podjąć w związku z wprowadzeniem nowych przepisów.
Emilia Zakrzewska-Koszel, wiceprezes zarządu Polskiego Stowarzyszenia Public Relations
O rozporządzeniu bardzo często mówi się jako o rewolucji. I faktycznie, w wielu przypadkach zaskoczenie PR-owców w zakresie wymagań prawnych, jest duże. Dopiero w trakcie zapoznawania się z nowymi przepisami okazuje się, że część rozwiązań jest już dosyć znana – jak chociażby kwestia podstaw przetwarzania danych osobowych. Nowe przepisy wprowadzają pewne udogodnienia w postaci zniesienia obowiązku rejestracji baz danych zawierających kontakty medialne oraz rejestracji baz danych subskrybentów newsletterów. Zapewne wyzwaniem dla branży mogą być wymogi dotyczące „prawa do bycia zapomnianym”, „prawa do przenoszenia danych” oraz raportowaniem i badaniem naruszeń, które należy zgłosić Prezesowi Urzędu Ochrony Danych Osobowych w ciągu 72 godzin.
PSPR przygotowania do wdrożenia obowiązujących przepisów zaczęło od przeglądu swoich zbiorów danych i ich weryfikacji pod kątem zgodności z nowym ustawodawstwem. Wdrażamy także procedury gwarantujące realizację praw osób, których dane są przetwarzane.
Aleksander Rzepecki, Junior PR Manager Mercedes-Benz Cars
Kwestia ochrony danych osobowych jest w wielu firmach nadal traktowana po macoszemu – zwłaszcza jeżeli mówimy o danych osobowych dziennikarzy. Dane te są teoretycznie ogólnodostępne, więc w świadomości wielu osób zajmujących się współpracą z mediami, ich przetwarzanie nie wymaga szczególnych procedur, zgłoszeń ani należytego zabezpieczenia. Takie podejście jest błędne już dziś, a w dobie nadchodzącego RODO zdecydowania wymaga zmiany toku myślenia.
Obecne przepisy dość szczegółowo określają, jakie należy spełnić wymogi, aby zgodnie z prawem móc przetwarzać dane osobowe ludzi mediów. Nie ma znaczenia, czy mail do danego redaktora jest podany na ogólnodostępnej stronie internetowej. W momencie, gdy tworzymy zbiór takich adresów, niezależnie od ich przeznaczenia, mamy obowiązek go zgłosić do Generalnego Inspektoratu Ochrony Danych Osobowych i odpowiednio zabezpieczyć. Co więcej, wprowadzenie danych wymaga zgody zainteresowanego w formie pisemnej lub elektronicznej. Dziś wiele firm nie dysponuje takimi zgodami, nie zgłasza baz danych do GIODO i przechowuje je w sposób nienależyty. Wprowadzenie RODO spowoduje, że odpowiedzialność za przetwarzane dane zostanie w całości przekierowana na dysponujący nimi podmiot. Z jednej strony oznacza to, że nie będziemy musieli już zgłaszać powstania nowej bazy do urzędu. Z drugiej – firma będzie musiała zmienić swoje wewnętrzne procedury i stworzyć bazy danych w zasadzie na nowo. Bez tego, PR-owiec nie będzie mógł rozsyłać informacji prasowych czy zapraszać dziennikarzy na wydarzenia.
Nasza firma podchodzi bardzo rzetelnie do wypełniania obowiązków prawnych, więc nie musimy przeprowadzać wewnętrznej rewolucji. Niemniej, nowe przepisy są dobrą okazją, żeby zweryfikować procedury, a także odświeżyć listę swoich kontaktów. Dlatego też jesteśmy w trakcie budowy nowej bazy, spełniającej już przyszłe wymogi prawne. Wielu dziennikarzy pytało mnie, po co zbieramy od nich zgody, wnoszę po tym, że większość naszych konkurentów jeszcze się za to nie zabrała. Niemniej, dostosowanie się do wypełniania nowych procedur będzie obowiązkowe dla wszystkich, dlatego przewiduję, że pod koniec pierwszego kwartału 2018 będziemy obserwować prawdziwy wysyp akcji zbierania danych osobowych i zgód.
Paweł Bylicki, CEO Public Dialog
Po wejściu RODO trzy kategorie administratorów oraz podmiotów przetwarzających dane będą musiały powoływać inspektorów ochrony danych. Aktywności agencji PR wykonywane na danych osobowych, takie jak: zbieranie, utrwalanie, przechowywanie, udostępnianie czy nawet usuwanie będzie podlegało pod nowe prawo, czyli krótko mówiąc, obejmie ono wszystkie agencje.
RODO określiłbym raczej jako ewolucję, a nie rewolucję dla profesjonalnie działających podmiotów, na rynku PR, ponieważ część firm pracujących dla dużych korporacji ma już chociażby powołanego administratora bezpieczeństwa informacji tzw. ABI. Jednak zmieni się sporo, bo chociażby z perspektywy działań new businessowych, wysłanie profilu firmy wraz z case study będzie wymagało nawet do 10 klauzul informacyjnych, a także pozyskania kilku zgód. Nie będzie zaznaczania automatycznego tzw. checkboxów, czyli klienci najpierw świadomie będą musieli się zgodzić na przesłanie określonych informacji o charakterze komercyjnym, a ich posiadacz w przypadku kontroli będzie musiał udowodnić, że je ma. Dla marketerów skończy się czas zakupu baz danych klientów w celu wysłania masowych oferty. Profesjonalnie działające podmioty na rynku PR z pewnością już są przygotowane na te zmiany.
Opracowanie: Joanna Jałowiec