Rozmowa Pawła Soproniuka, partnera w agencji PR Neuron, z dr. Maciejem Kaweckim, koordynatorem prac nad reformą ochrony danych osobowych, dyrektorem Departamentu Zarządzania Danymi w Ministerstwie Cyfryzacji, na temat stosowania przepisów RODO przez agencje PR.
Paweł Soproniuk: Panie doktorze, zwykle firmy PR-owskie są małe. Mają kilkanaście, kilkadziesiąt osób. Największa firma PR-owska w Polsce też liczy kilkadziesiąt osób. Czy takie firmy, kiedy przystępują do przetargu i chcą złożyć ofertę dużej firmie, muszą przestrzegać dokładnie takich samych zasad w zakresie RODO jak duża firma, dla której chcą pracować?
Dr Maciej Kawecki: Taka firma musi przestrzegać dokładnie takich samych zasad, z jednym może wyjątkiem, związanym z tzw. rejestrem czynności przetwarzania danych osobowych. Jeżeli firma, która zatrudnia do 250 osób (czyli jest małym bądź średnim przedsiębiorstwem), nie gromadzi danych wrażliwych i gromadzi dane w stosunkowo małych zasobach – nie mamy definicji małego, dużego zasobu, więc sami musimy ocenić, czy ten nasz zasób jest duży, czy mały – nie musi prowadzić takiego rejestru czynności. Natomiast w pozostałym zakresie podlega takim samym zasadom. To jest jeden z mitów związanych z reformą, że małe przedsiębiorstwa, zakłady fryzjerskie, taksówkarze czy – tak jak powiedział Pan sekundę temu – agencje PR nie muszą przestrzegać zasad ochrony danych osobowych czy jest im dużo łatwiej. Tak to nie funkcjonuje.
PS: Panie doktorze, wspomniał Pan o tym, że nie istnieje definicja dużego i małego zbioru danych, ale czy agencja PR, która przetwarza dane osobowe, ma obowiązek posiadania inspektora danych osobowych?
MK: Inspektora ochrony danych. To też zależy. Agencje PR nie są podmiotami publicznymi. Obowiązek powołania inspektora ochrony danych ciąży zawsze na organach publicznych i na podmiotach, które przetwarzają dane osobowe w dużych zasobach. Więc musimy sobie odpowiedzieć na pytanie, co to znaczy duży zasób. Zawsze musi być to proporcjonalne do liczby obywateli w danym kraju. Jeżeli w Polsce mamy 36 mln obywateli, to liczba, powiedzmy, tysiąca rekordów nie powinna być uznana za zbiór duży. Ale więcej – już pewnie tak. Natomiast musimy zwrócić uwagę na to, czy przetwarzamy dane wrażliwe, czy nie, jak długo gromadzimy tę bazę – to wszystko powinniśmy uwzględnić. Ale też musimy pamiętać o tym, że nawet jeżeli nie mamy obowiązku powołania inspektora ochrony danych, po pierwsze warto, bo to jest zawsze pewne zminimalizowanie ryzyka, a po drugie samo Rozporządzenie przewiduje bardzo dużo różnych form zatrudnienia takiego inspektora ochrony danych. To nie musi być wyodrębniony etat. Jest ogrom stanowisk, z którymi można łączyć funkcję inspektora ochrony danych. Możemy korzystać z usług podmiotu zewnętrznego, możemy powołać jednego inspektora ochrony danych dla kilku podmiotów, czyli może być tak, że kilka agencji, ponieważ mają ten sam przedmiot działalności, tak właśnie zrobi. Tych form jest bardzo dużo i tutaj jesteśmy bardzo „fleksyjni”. Warto na pewno zachęcać, żeby korzystać z usług takich osób.
PS: Specyfika działalności agencji PR polega na tym, że może wystąpić przepływ danych dziennikarzy pomiędzy klientem a agencją. Czy każdy taki przepływ bazy danych – np. listy dziennikarzy, z którymi dotychczas klient się kontaktował i których chce nadal obsługiwać informacyjnie, ale za pośrednictwem agencji – wiąże się z obowiązkiem zawarcia stosownej umowy pomiędzy klientem a agencją?
MK: Odpowiem jak typowy prawnik: to zależy. Jeżeli transfer danych, czyli udostępnienie danych, związany jest ze stworzeniem jakiegoś materiału prasowego, to wtedy nie. Ponieważ przepisy krajowe, które w tym momencie projektuje Minister Cyfryzacji i które czekają na przyjęcie przez Radę Ministrów, bardzo wyraźnie ograniczają, wyłączają zastosowanie części z przepisów RODO do działań związanych z tworzeniem, przygotowywaniem, publikowaniem, udostępnianiem materiałów prasowych z punktu widzenia prawa prasowego. Więc na pewno wtedy taka umowa czy zgoda nie byłyby potrzebne. Natomiast w przypadku gdy jest to związane stricte z działalnością komercyjną agencji i nie do końca z tworzeniem materiałów prasowych, wtedy podstawą powinna być albo zgoda, albo umowa zawarta pomiędzy dziennikarzem a określonym podmiotem.
PS: A co w sytuacji, jeśli przedmiotem komercyjnej działalności agencji jest tworzenie materiałów dla prasy? Z tej perspektywy dziennikarz jest odbiorcą naszego materiału, my jako agencja go przygotowujemy, w związku z czym to jest coś, na czym zarabiamy.
MK: To wszystko zależy od tego, czy udostępnienie danych następuje w ramach tworzenia konkretnego materiału prasowego. Jeżeli tak, to przyjąłbym, że RODO znajdzie ograniczone zastosowanie. Natomiast jeżeli nie jest to związane z tworzeniem materiału prasowego, jego redagowaniem, przygotowywaniem, udostępnianiem, wtedy traktowałbym to jako normalny obrót danymi pracownika, współpracownika, osoby fizycznej. I wtedy musimy mieć jakąś podstawę w postaci albo zgody, albo umowy. Raczej przepisu prawnego tutaj nie będziemy mieli, więc właśnie to wskazywałbym jako podstawę.
PS: Panie doktorze, czy w przypadku publicznie dostępnych danych dziennikarzy, np. e-maili, które widzimy w stopce pod artykułem prasowym, możemy wysłać do takiego dziennikarza mail, który spełniałby obowiązek informacyjny o przetwarzaniu danych?
MK: Tak, natomiast pytanie, po co mamy taki mail wysłać. Rozumiem, że chcemy ten adres mailowy wykorzystywać w jakichś celach.
PS: Na przykład do tego, żeby w przyszłości wysłać do dziennikarza informację prasową w tematyce podobnej do tego, czym najwyraźniej się on interesuje, skoro pisze na ten temat materiał.
MK: To jest informacja publicznie dostępna, czyli – rozumiem, że – przekazana przez osobę, której dane dotyczą, więc taki mail możemy wykorzystać w celu skontaktowania się z określonym dziennikarzem. Ale musimy pamiętać o tym, że jeżeli kierujemy do niego informację marketingową drogą elektroniczną, to cały czas będziemy musieli odebrać od niego zgodę i zrealizować obowiązek informacyjny, o który Pan pyta. Natomiast też nie możemy wpadać w skrajność. Jeżeli ktoś udostępnia swój adres mailowy pod artykułem, który publikuje, to oznacza, że oczekuje od nas kontaktu. Więc jeżeli będziemy chcieli zadać pytanie związane konkretnie z tym artykułem, nie ma absolutnie żadnego problemu, żeby taki adres mailowy wykorzystać.
PS: A co jeśli artykuł dotyczy nowego modelu telefonu, a my pracujemy dla producenta, który również produkuje telefony, i chcemy wysłać informację o tym, że mamy bardzo podobny telefon?
MK: To jest informacja marketingowa, to jest typowa informacja marketingowa. Jeżeli wysyłka będzie następowała drogą elektroniczną, to powiedziałbym, że cały czas potrzebne będzie uzyskanie zgody tej osoby, której adresem mailowym dysponujemy. W związku z tym najpierw musimy zapytać o zgodę, a potem możemy wykorzystywać ten adres e-mail w celach marketingowych.
PS: Dziękuję.
dostarczył InfoWire.pl
Leave a Reply