9.04.2018 Prawo w mediach
RODO w agencjach public relations
Paweł Soproniuk
Rozmowa z dr. Maciejem Kaweckim, koordynatorem prac nad reformą ochrony danych osobowych, dyrektorem Departamentu Zarządzania Danymi w Ministerstwie Cyfryzacji, na temat stosowania przepisów RODO przez agencje PR. Nowe regulacje wchodzą w życie 25 maja.
Paweł Soproniuk, partner w agencji PR Neuron: Panie doktorze, zwykle firmy PR-owskie są małe. Mają kilkanaście, kilkadziesiąt osób. Największa firma PR-owska w Polsce też liczy kilkadziesiąt osób. Czy takie firmy, kiedy przystępują do przetargu i chcą złożyć ofertę dużej firmie, muszą przestrzegać dokładnie takich samych zasad w zakresie RODO jak duża firma, dla której chcą pracować?
Dr Maciej Kawecki: Taka firma musi przestrzegać dokładnie takich samych zasad, z jednym może wyjątkiem, związanym z tzw. rejestrem czynności przetwarzania danych osobowych. Jeżeli firma, która zatrudnia do 250 osób (czyli jest małym bądź średnim przedsiębiorstwem), nie gromadzi danych wrażliwych i gromadzi dane w stosunkowo małych zasobach – nie mamy definicji małego, dużego zasobu, więc sami musimy ocenić, czy ten nasz zasób jest duży, czy mały – nie musi prowadzić takiego rejestru czynności. Natomiast w pozostałym zakresie podlega takim samym zasadom. To jest jeden z mitów związanych z reformą, że małe przedsiębiorstwa, zakłady fryzjerskie, taksówkarze czy – tak jak powiedział Pan sekundę temu – agencje PR nie muszą przestrzegać zasad ochrony danych osobowych czy jest im dużo łatwiej. Tak to nie funkcjonuje.
Panie doktorze, wspomniał Pan o tym, że nie istnieje definicja dużego i małego zbioru danych, ale czy agencja PR, która przetwarza dane osobowe, ma obowiązek posiadania inspektora danych osobowych?
Inspektora ochrony danych. To też zależy. Agencje PR nie są podmiotami publicznymi. Obowiązek powołania inspektora ochrony danych ciąży zawsze na organach publicznych i na podmiotach, które przetwarzają dane osobowe w dużych zasobach. Więc musimy sobie odpowiedzieć na pytanie, co to znaczy duży zasób. Zawsze musi być to proporcjonalne do liczby obywateli w danym kraju. Jeżeli w Polsce mamy 36 mln obywateli, to liczba, powiedzmy, tysiąca rekordów nie powinna być uznana za zbiór duży. Ale więcej – już pewnie tak. Natomiast musimy zwrócić uwagę na to, czy przetwarzamy dane wrażliwe, czy nie, jak długo gromadzimy tę bazę – to wszystko powinniśmy uwzględnić.
Ale też musimy pamiętać o tym, że nawet jeżeli nie mamy obowiązku powołania inspektora ochrony danych, po pierwsze warto, bo to jest zawsze pewne zminimalizowanie ryzyka, a po drugie samo Rozporządzenie przewiduje bardzo dużo różnych form zatrudnienia takiego inspektora ochrony danych. To nie musi być wyodrębniony etat. Jest ogrom stanowisk, z którymi można łączyć funkcję inspektora ochrony danych. Możemy korzystać z usług podmiotu zewnętrznego, możemy powołać jednego inspektora ochrony danych dla kilku podmiotów, czyli może być tak, że kilka agencji, ponieważ mają ten sam przedmiot działalności, tak właśnie zrobi. Tych form jest bardzo dużo i tutaj jesteśmy bardzo „fleksyjni”. Warto na pewno zachęcać, żeby korzystać z usług takich osób.
Specyfika działalności agencji PR polega na tym, że może wystąpić przepływ danych dziennikarzy pomiędzy klientem a agencją. Czy każdy taki przepływ bazy danych – np. listy dziennikarzy, z którymi dotychczas klient się kontaktował i których chce nadal obsługiwać informacyjnie, ale za pośrednictwem agencji – wiąże się z obowiązkiem zawarcia stosownej umowy pomiędzy klientem a agencją?
Odpowiem jak typowy prawnik: to zależy. Jeżeli transfer danych, czyli udostępnienie danych, związany jest ze stworzeniem jakiegoś materiału prasowego, to wtedy nie. Ponieważ przepisy krajowe, które w tym momencie projektuje Minister Cyfryzacji i które czekają na przyjęcie przez Radę Ministrów, bardzo wyraźnie ograniczają, wyłączają zastosowanie części z przepisów RODO do działań związanych z tworzeniem, przygotowywaniem, publikowaniem, udostępnianiem materiałów prasowych z punktu widzenia prawa prasowego. Więc na pewno wtedy taka umowa czy zgoda nie byłyby potrzebne. Natomiast w przypadku gdy jest to związane stricte z działalnością komercyjną agencji i nie do końca z tworzeniem materiałów prasowych, wtedy podstawą powinna być albo zgoda, albo umowa zawarta pomiędzy dziennikarzem a określonym podmiotem.
A co w sytuacji, jeśli przedmiotem komercyjnej działalności agencji jest tworzenie materiałów dla prasy? Z tej perspektywy dziennikarz jest odbiorcą naszego materiału, my jako agencja go przygotowujemy, w związku z czym to jest coś, na czym zarabiamy.
To wszystko zależy od tego, czy udostępnienie danych następuje w ramach tworzenia konkretnego materiału prasowego. Jeżeli tak, to przyjąłbym, że RODO znajdzie ograniczone zastosowanie. Natomiast jeżeli nie jest to związane z tworzeniem materiału prasowego, jego redagowaniem, przygotowywaniem, udostępnianiem, wtedy traktowałbym to jako normalny obrót danymi pracownika, współpracownika, osoby fizycznej. I wtedy musimy mieć jakąś podstawę w postaci albo zgody, albo umowy. Raczej przepisu prawnego tutaj nie będziemy mieli, więc właśnie to wskazywałbym jako podstawę.
Panie doktorze, czy w przypadku publicznie dostępnych danych dziennikarzy, np. e-maili, które widzimy w stopce pod artykułem prasowym, możemy wysłać do takiego dziennikarza mail, który spełniałby obowiązek informacyjny o przetwarzaniu danych?
Tak, natomiast pytanie, po co mamy taki mail wysłać. Rozumiem, że chcemy ten adres mailowy wykorzystywać w jakichś celach.
Na przykład do tego, żeby w przyszłości wysłać do dziennikarza informację prasową w tematyce podobnej do tego, czym najwyraźniej się on interesuje, skoro pisze na ten temat materiał.
To jest informacja publicznie dostępna, czyli – rozumiem, że – przekazana przez osobę, której dane dotyczą, więc taki mail możemy wykorzystać w celu skontaktowania się z określonym dziennikarzem. Ale musimy pamiętać o tym, że jeżeli kierujemy do niego informację marketingową drogą elektroniczną, to cały czas będziemy musieli odebrać od niego zgodę i zrealizować obowiązek informacyjny, o który Pan pyta. Natomiast też nie możemy wpadać w skrajność. Jeżeli ktoś udostępnia swój adres mailowy pod artykułem, który publikuje, to oznacza, że oczekuje od nas kontaktu. Więc jeżeli będziemy chcieli zadać pytanie związane konkretnie z tym artykułem, nie ma absolutnie żadnego problemu, żeby taki adres mailowy wykorzystać.
A co jeśli artykuł dotyczy nowego modelu telefonu, a my pracujemy dla producenta, który również produkuje telefony, i chcemy wysłać informację o tym, że mamy bardzo podobny telefon?
To jest informacja marketingowa, to jest typowa informacja marketingowa. Jeżeli wysyłka będzie następowała drogą elektroniczną, to powiedziałbym, że cały czas potrzebne będzie uzyskanie zgody tej osoby, której adresem mailowym dysponujemy. W związku z tym najpierw musimy zapytać o zgodę, a potem możemy wykorzystywać ten adres e-mail w celach marketingowych.
Materiał przygotowany przez Fundację internetPR.pl
PRZERWA NA REKLAMĘ
Zobacz artykuły na podobny temat:
Podatek od donejtów. Anonimowa wpłata od widza to NIE darowizna
Monika Piątkowska
Streamerzy, influencerzy czerpią swoje dochody z sieci na wiele sposobów. Szczególne kontrowersje w tym temacie stanowią jednak donejty, czyli dobrowolne, anonimowe wpłaty przekazywane twórcom. I właśnie o tę anonimowość rozbijają się interpretacje podatkowe. Na niekorzyść internetowych twórców.
Plagiat w internecie. Oto, jak go uniknąć
infoWire.pl
Coraz więcej internautów prowadzi blogi czy kanały wideo, na których publikuje swoje treści. No właśnie, czy aby na pewno są one zawsze „swoje”? Nieznajomość prawa i zwykła ignorancja łatwo mogą doprowadzić do popełnienia plagiatu.
Pandora Gate. Największa afera na polskim YouTube
PSMM
Sylwester Wardęga wstrząsnął polskim YouTubem. Wszystko za sprawą publikacji filmu będącego wynikiem śledztwa w sprawie niewłaściwych zachowań internetowych twórców wobec niepełnoletnich. Film bije rekordy popularności.
Piractwo telewizyjne w internecie. 3,2 miliarda złotych strat rocznie
Dorota Zawadzka
2,4 mln osób zapłaciło w ostatnim roku za treści oglądane online, nie wiedząc, że korzystały z nielegalnej usługi. Ponad 75 procent internautów korzysta z serwisów nielegalnych.
Prywatność w sieci to oksymoron. "Ktoś Cię namierzył"
Dawid Michnik
„Ktoś Cię namierzył/You’ve been tracked!” To hasło kampanii organizowanej przez Fundację Panoptykon wspólnie z holenderską organizacją Bits of Freedom i belgradzkim d:mode studio. Jej celem jest uświadomienie internautom, że prywatność w sieci to mit i propozycja zmiany zasad reklamowej gry w internecie.
Legal Design w praktyce. Tak powinny wyglądać ustawy dla wzrokowców
Katarzyna Ploetzing
Od dawna wiadomo, że ludzie dzielą się na tych, którzy wolą czytać, i na tych, do których bardziej dociera obraz. Są wśród nas także ci, którzy w codziennym życiu napotykają ograniczenia - słabo widzą, wolniej przetwarzają informacje, odbierają świat innymi zmysłami. Przez długi czas potrzeby takich osób były ignorowane. Żyjemy jednak w epoce zmian.
Prawo obywatela do informacji
Centrum Monitoringu Wolności Prasy
Schemat oraz przepisy regulujące pojęcie i zakres prawa obywatela do informacji w polskim prawie.