czwartek, 26 grudnia, 2024
Strona głównaArtykułyJak wdrożyć RODO w agencji PR – najważniejsze kroki

Jak wdrożyć RODO w agencji PR – najważniejsze kroki

25 maja 2018 roku zacznie w Polsce – i we wszystkich pozostałych krajach Unii Europejskiej – obowiązywać RODO, czyli rozporządzenie Parlamentu Europejskiego w sprawie ochrony danych osobowych. Oznacza to, że każde przedsiębiorstwo, które zajmuje się danymi osobowymi w jakikolwiek sposób (np. zbiera, przechowuje, usuwa, opracowuje czy udostępnia), musi dostosować swoje procedury do nowych wymogów.

Do grona przedsiębiorstw, które muszą przygotować się na RODO, należą też agencje public relations, które sporą część swoich działań opierają na pracy z danymi osobowymi. Prawnicy zauważają, że w tym kontekście rola wspomnianych firm jest dwojaka: mogą być zarówno ich administratorami, jak i procesorami, czyli po prostu podmiotami, które je przetwarzają. Karol Orzechowski, wspólnik w Kancelarii Kaczmarczyk Orzechowski Legal Services (KOLS), zarysowuje podstawowe różnice między tymi funkcjami: agencja-jako-administrator gromadzi dane swoich pracowników, współpracowników i „kontaktów” (czyli np. dziennikarzy), z kolei agencja-jako-procesor przetwarza dane osobowe powierzone jej przez klientów na potrzeby wykonywanej działalności.

Adwokat komentuje, że tak czy inaczej agencja „musi wypełniać obowiązki przypisane do każdej z tych funkcji i zabezpieczyć zarówno swoje dane, jak i dane powierzone przez klientów. Zmiana przepisów w zakresie ochrony danych osobowych, co oczywiste, będzie miała największy wpływ na te aspekty działalności agencji PR, w ramach których agencja PR przetwarza dane osobowe”.

Jak pisaliśmy na PRoto.pl, RODO wprowadza szereg zmian oznaczających większą ochronę osób fizycznych, np. prawo do bycia zapomnianym (usunięcia wszystkich danych użytkownika z baz portalu czy instytycji) czy sprzeciwu (wstrzymania przetwarzania danych będących dostępnych procesorowi, ale bez ich usuwania). Rozporządzenie nakłada też na firmy m.in. obowiązek zgłaszania w ciągu 72 godzin wszelkich naruszeń baz danych.

Czytaj więcej:
Jak wdrożyć RODO zgodnie z prawem

Co grozi agencji PR, która do 25 maja 2018 roku nie dostosuje swoich procedur do RODO?

Karol Orzechowski zwraca przede wszystkim uwagę na odpowiedzialność prawną, którą agencja może ponieść, jeśli ewentualna kontrola wykaże jej nieprzystosowanie do nowych przepisów. „Zakres tej odpowiedzialności nie ogranicza się jedynie do ewentualnych kar, w tym finansowych, ale obejmuje również ewentualne odszkodowanie dla osób fizycznych, w przypadku przetwarzania ich danych osobowych w sposób niezgodny z przepisami” – mówi Orzechowski. Jak wynika z rozporządzenia, podmiotom, które nie dopilnują obowiązków związanych z RODO, będą grozić kary pieniężne w wysokości do 20 mln euro lub 4 proc. rocznego obrotu.

Karol Orzechowski z kancelarii KOLS zwraca jeszcze uwagę na aspekt wizerunkowy ewentualnego nieprzystosowania się agencji PR do nowych przepisów. „Niespełnianie wymogów RODO czy zaistnienie ewentualnych incydentów związanych z naruszeniem danych osobowych przez agencję PR może doprowadzić do zmniejszenia się liczby klientów korzystających z jej usług czy wręcz ich całkowitego odpływu. Z tego względu warto, aby agencje PR podjęły albo zintensyfikowały wysiłek związany z wdrożeniem RODO w swojej organizacji, bowiem w najczarniejszym scenariuszu może to przesądzić o ich dalszym istnieniu na rynku” – komentuje wspólnik w KOLS.

Nie jest jednak powiedziane, że agencje PR będą kontrolowane natychmiast po 25 maja 2018 roku – w końcu urzędy również muszą przejść reorganizację, by przygotować się na stosowanie przepisów RODO. Dr Bogdan Fischer, partner w Kancelarii Prawnej Chałas i Wspólnicy, uspokaja: „Wygląda na to, że pierwsze tygodnie po wspomnianej dacie związane będą z przeorganizowaniem biura Prezesa Urzędu Ochrony Danych Osobowych, a kontrole po tym okresie będą uwzględniały złożoność wymagań i możliwość niejednorodnego spełniania warunku rozliczalności”.

Ekspert przestrzega jednak, by nie liczyć na zbytnią pobłażliwość organów kontrolujących i mogącego nakładać kary, czyli Prezesa Urzędu Ochrony Danych Osobowych (PUODO). „Ochrona danych osobowych nie jest zagadnieniem nowym, biorąc pod uwagę, że przepisy o ochronie danych osobowych obowiązują w Polsce już od końca ubiegłego wieku” – przypomina dr Fischer. RODO zastąpi obowiązującą od 29 sierpnia 1997 roku ustawę o ochronie danych osobowych.

Ekspert z Kancelarii Prawnej Chałas i Wspólnicy dodaje, że prawidłowe przystosowanie się do przepisów RODO – przy sprawnej współpracy agencji z kancelarią prawniczą – powinno zająć około dwóch do trzech miesięcy.  

JAK WDROŻYĆ RODO – NAJWAŻNIEJSZE KROKI

Jeśli agencja PR jeszcze nie rozpoczęła lub nie zakończyła procesu przygotowawczego, eksperci przypominają o kilku najważniejszych działaniach, które powinna wykonać. Podkreślają jednak, że skoro prawodawca nie ustalił żadnego sztywnego modelu wdrożenia RODO, który można byłoby skopiować we wszystkich agencjach PR, to kolejne kroki poszczególnych firm mogą mniej lub bardziej się od siebie różnić.

Zaplanuj działania i rozpocznij audyt – jakie dane osobowe przetwarza agencja?

„Wyróżniając podstawowe kroki, trzeba zacząć od ich zaplanowania w czasie, wyznaczenia osób odpowiedzialnych za koordynowanie działań oraz skontaktowania się z kancelarią prawną przygotowującą dokumentację i przeprowadzającą wdrożenie” – zaleca na początek dr Fischer z Kancelarii Prawnej Chałas i Wspólnicy. Ekspert mówi, że agencja powinna najpierw przygotować audyt zgodności własnych procedur z RODO.

Karol Orzechowski kojarzy ten proces przygotowawczy z „samobadaniem”. Zaleca wprost, jak je przeprowadzić: „Agencja PR powinna ustalić, jakie dane osobowe posiada, na jakiej podstawie je pozyskała lub pozyskuje, w jaki sposób i z pomocą jakich środków technicznych i organizacyjnych je przetwarza”. Orzechowski dodaje, że agencja powinna też później ocenić, czy rzeczywiście potrzebuje wszystkich zgromadzonych danych osobowych. Jeśli nie, powinna je prędzej czy później usunąć przy wcześniejszym powiadomieniu o tym ich właścicieli.

Zderz stan faktyczny danych z wymogami RODO – czy agencja przechowuje dane osobowe zgodnie z wymogami rozporządzenia?

Wspólnik w kancelarii KOLS radzi, by po zidentyfikowaniu wszystkich danych będących w posiadaniu agencji dokonać oceny, jak ich stan odnosi się do wymogów RODO. Orzechowski zauważa, że niezbędne będzie na przykład przejrzenie dotychczas uzyskanych zgód na przetwarzanie danych osobowych – czy po wejściu w życie przepisów rozporządzenia będą nadal ważne? Jeśli nie, należy zmienić ich treść i poprosić o ponowną akceptację.

Firma zajmująca się wizerunkiem musi też zidentyfikować wszelkie procesy, w których dochodzi do powierzania danych, czyli przekazywanie ich przez agencje osobom trzecim lub odwrotnie. „Agencja PR powinna mieć ustalone procedury weryfikacji, czy osoba trzecia, której powierza dane, jest »zgodna z RODO«, ale także sama być »zgodna z RODO«” – radzi wspólnik w kancelarii KOLS. Dodaje, że warto zawsze określić poziom ryzyka związanego z procesami przetwarzania danych osobowych, by wdrożyć później odpowiednie środki zapobiegawcze.

Podsumuj audyt, stwórz dokumentację – jak agencja może dostosować się do RODO?

Dr Fischer twierdzi, że audyt wewnętrzny powinien zakończyć się przygotowaniem dokumentacji wdrażania RODO, w której znajdą się planowane rozwiązania organizacyjne i techniczne. „To, ile dokumentów będzie faktycznie potrzebne w konkretnej agencji PR, jest zależne od wyniku audytu. Zakładanie z góry »pełnej listy« dokumentów potrzebnych nie jest dobrym rozwiązaniem, gdyż wskazywałoby to na sztywne ramy, których de facto nie ma i być nie powinno” – podkreśla partner w Kancelarii Prawnej Chałas i Wspólnicy.

Ekspert zwraca też uwagę, że dokument przygotowany na zakończenie audytu będzie ważny nie tylko w trakcie wdrażania przepisów RODO, lecz także w późniejszej działalności agencji. „Dokumentacja ma być tak przygotowana, (…) aby stanowiła narzędzie, którym agencja PR będzie mogła sprawnie się posługiwać (…). Dokumentacja będzie nam stale towarzyszyć, będziemy ją uzupełniać i często do niej sięgać. Pójście na skróty, w tym źle przygotowana, tj. nieskrojona na miarę dokumentacja, będzie dla agencji ciężarem i wcześniej czy później spowoduje konieczność zmian, a więc duplikację kosztów” – uczula dr Fischer.

Sprawdź, czy system IT nie sprawi problemów – jak agencja cyfrowo przetwarza dane osobowe?

Podczas „samobadania” agencji PR w kwestii zgodności z rozporządzeniem może się okazać, że modyfikacji wymagał będzie system IT, za pomocą którego zarządza ona danymi osobowymi.

Część najważniejszych funkcji, które elektroniczne narzędzia powinny posiadać, wylicza Karol Orzechowski: „Krótko mówiąc, agencja PR powinna być w stanie wykazać, kto i kiedy wprowadził, modyfikował i usunął dane osobowe w jej systemach. Ponadto, całe procesy przetwarzania danych w systemach IT wymagają od agencji PR zapewnienia im bezpieczeństwa m.in. poprzez pseudonimizację i szyfrowanie danych osobowych; zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania; zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego, a także regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania”.

Ekspert dodaje też, że najprawdopodobniej wiele agencji będzie musiało dodać do swoich systemów IT możliwości wykonywania praw osób fizycznych, które przyznaje im RODO. „W szczególności chodzi tu o prawo zgłoszenia sprzeciwu, prawo do bycia zapomnianym czy prawo do przenoszenia danych” – mówi Orzechowski.

Pomyśl o rejestrze przetwarzania danych osobowych – czy agencja musi go mieć?

Ze zmianami w systemach IT wiąże się jeszcze jedna kwestia – wymogu stworzenia rejestru czynności przetwarzania danych osobowych, który na przedsiębiorców nakłada RODO. Czy każda agencja PR, zarówno kilku-, jak i kilkudziesięcioosobowa, będzie musiała coś takiego przygotować?

W wielu przypadkach tak, choć eksperci mówią, że rozporządzenie przewiduje, że niektóre firmy mogą nie mieć takiego obowiązku. „Dla skorzystania z tego wyjątku, poza wymogiem zatrudniania mniej niż 250 osób, agencja nie może gromadzić danych szczególnych kategorii (wrażliwych) oraz powinna gromadzić dane w stosunkowo małych zasobach” – informuje dr Fischer. Dodaje jednak zastrzeżenia: po pierwsze, nie ma definicji, jaki zasób jest mały, a jaki duży. Po drugie, jego zdaniem „do powyższej kwalifikacji nie powinno się uwzględniać danych pracowniczych – gdyż wówczas tak naprawdę dane o stanie zdrowia pracownika (jako dane wrażliwe) dyskwalifikowałyby każdy podmiot”.

Orzechowski stwierdza na koniec, że decyzja, czy agencja PR może ze wspomnianego wyjątku skorzystać, powinna być każdorazowo poprzedzona wnikliwą analizą.

Więcej o tym, co powinno znaleźć się we wspomnianym rejestrze i dlaczego warto go prowadzić,
opowiedziała mec. Anna Węglowska, partner w CW Kancelarii Adwokackiej, w wywiadzie udzielonym dla PRoto.pl.

Przygotuj się na kontrole – nie tylko UODO

Eksperci w podsumowaniach radzą też, by przygotowując agencję PR na przepisy RODO, mieć na uwadze ewentualne kontrole Urzędu Ochrony Danych Osobowych. Warto przygotować sposoby, dzięki którym w łatwy sposób agencja pokaże, że przetwarza dane osobowe zgodnie z rozporządzeniem. Dla przykładu, mec. Orzechowski sugeruje, by nauczyć się szybko wykazywać sprawność systemu szyfrowania plików, dzięki któremu ma być realizowana zasada pseudonimizacji danych. Ponadto, firma powinna móc wykazać swojemu klientowi, że nie tylko sama jest „gotowa na RODO”, lecz także „gotowe” są współpracujące z nią podmioty – zwraca uwagę wspólnik w kancelarii KOLS.

Opracowali: Małgorzata Baran, Paulina Piotrowska, Maciej Przybylski

ZOSTAW KOMENTARZ

Proszę wpisać swój komentarz!
Proszę podać swoje imię tutaj