Z powodu wymogów RODO agencje marketingowe oraz ich klienci bardzo często mają obowiązek zawarcia specjalnej umowy określającej to, na jakich zasadach agencja ma przetwarzać dane w imieniu klienta. Takie umowy w praktyce stanowią najczęściej załącznik do umów biznesowych (np. umów ramowych albo umów/zleceń dotyczących konkretnego projektu). Z uwagi na różną pozycję biznesową klienta oraz agencji, umowa dotycząca przetwarzania danych zawierana jest przeważnie na wzorze przygotowanym przez klienta.
Najgorsze, co agencja może w takiej sytuacji zrobić, to potraktować tzw. „umowę RODO” jak standardowy załącznik i bezrefleksyjnie ją podpisać. Może w ten sposób ściągnąć na siebie zupełnie nieuzasadnione ryzyko prawne. Dlatego w naszym artykule pokażemy kluczowe elementy, na które agencje powinny zwracać uwagę, aby uniknąć pułapek i zbędnych ryzyk.
Po co w ogóle taka umowa pomiędzy klientem a agencją?
Agencje marketingowe oraz ich klienci w zdecydowanej większości przypadków mają następujące role w procesie przetwarzania danych osobowych: klient jest administratorem danych, a agencja podmiotem przetwarzającym dane w imieniu klienta, czyli tzw. procesorem. Typowe sytuacje, w których agencja i klient wchodzą w takie role to m.in.:
- kampanie e-mail marketingowe i lead generation,
- obsługa profilu w social mediach,
- organizacja akcji marketingowej (np. konkursu lub loterii).
RODO wymaga, aby administrator danych oraz procesor zawarli pomiędzy sobą specjalną umowę określającą zasady, na jakich procesor ma przetwarzać dane w imieniu administratora. Ale wymogi te są dość ogólne, dlatego w praktyce diabeł tkwi w szczegółach. W umowach dotyczących przetwarzania danych kilka kluczowych kwestii może być ustalone w bardzo różny sposób.
Dlatego agencja nie może do takich umów pochodzić w sposób bezrefleksyjny. Tzw. „umowa RODO” z klientem nie jest tylko papierkiem do „odhaczenia”. Każda taka umowa powinna być dostosowana do specyfiki projektu, który agencja ma realizować. Oznacza to, że trzeba dokładnie przeanalizować kluczowe postanowienia, które mogą generować dla agencji ryzyko i negocjować warunki.
Jeśli agencja nie ma żadnych uwag do umowy ws. przetwarzania danych, to w 99% przypadków oznacza to, że nie traktuje tych spraw poważnie. A to z kolei wysyła klientowi bardzo zły sygnał. Trzeba pamiętać, że zgodnie z RODO klient może angażować w projekty tylko takie agencje, które dają realne gwarancje przestrzegania przepisów o ochronie danych osobowych. Podpisywane w ciemno dokumenty nie dają takich gwarancji – wręcz przeciwnie.
Współpraca z podwykonawcami i dostawcami usług
W praktyce każdy projekt, jaki agencja miałaby realizować dla klienta wymaga zaangażowania podwykonawców lub dostawców usług. Obejmuje to przykładowo tak codzienne sytuacje, jak:
- usługi hostingu, poczty e-mail
- usługi web developerskie
- usługi chmurowe – przechowywanie danych, ale też narzędzia do tworzenia dokumentów czy baz danych
- narzędzia do wysyłki kampanii e-mailowych
Standardowe wzory umów dotyczących przetwarzania danych zakładają, że klient musi się zgodzić na korzystanie przez agencję z podwykonawców i dostawców usług, którzy mogą mieć dostęp do danych.
Optymalna jest jednak sytuacja, w której agencja może samodzielnie angażować w projekt określone kategorie podmiotów, ale nie musi pytać klienta o indywidualną zgodę. Wystarczy, aby informowała klienta o zaangażowaniu nowego podmiotu, a klient ewentualnie mógł wnieść uzasadniony sprzeciw wobec konkretnego dostawcy. RODO jak najbardziej pozwala na taki wariant współpracy.
Istotne jest również to, aby umowa nie nakładała na agencję obowiązku, by w umowach z zewnętrznymi dostawcami obowiązywały 1:1 te same warunki, jak w umowie pomiędzy klientem a agencją. W większości przypadków, zwłaszcza dużych dostawców usług cyfrowych, będzie to w praktyce niemożliwe do spełnienia.
Realistyczne środki bezpieczeństwa
Umowa dotycząca przetwarzania danych powinna zawierać listę środków bezpieczeństwa, które agencja powinna stosować, aby odpowiednio zabezpieczać dane. Ale muszą to być środki adekwatne do poziomu ryzyka. Agencje nie powinny godzić się na oderwane od rzeczywistości wymagania, które dodatkowo przekraczają ich możliwości operacyjne lub finansowe. Należy zwrócić uwagę, aby środki te były praktyczne, efektywne i nie stwarzały zbędnych obciążeń.
Spotykaliśmy się z umowami, w których na agencje obsługującą program lojalnościowy (przetwarzanie danych kontaktowych oraz informacji o przyznanych nagrodach) próbowano nałożyć obowiązek, aby specjalnie pod projekt klienta stworzyła odrębną sieć wewnętrzną i wyposażyła zespół w odrębny sprzęt (komputery, telefony), a także posiadała specjalną drukarkę (!) tylko dla dokumentów związanych z projektem. To typowy przykład środków bezpieczeństwa, które są całkowicie oderwane od rzeczywistości. Agencja powinna się temu wyraźnie sprzeciwiać i konkretnie argumentować, dlaczego poziom ryzyka związany z projektem nie uzasadnia tak daleko idących środków bezpieczeństwa.
Terminy raportowania incydentów
Jeśli dojdzie do naruszenia ochrony danych osobowych (incydentu bezpieczeństwa), to agencja jako procesor ma obowiązek zawiadomić o tym swojego klienta jako administratora. Zgodnie z RODO musi to zrobić „niezwłocznie”. Interpretacja tego słowa „niezwłocznie” może być bardzo szeroka, dlatego świadomi klienci będą dążyć do wskazania konkretnego terminu na powiadomienie ich o incydencie.
I tu agencja musi zachować ostrożność, aby nie narazić się na ryzyko, że termin raportowania incydentu będzie kompletnie nierealny. Niejednokrotnie doradzaliśmy agencjom przy negocjowaniu umów, które w pierwotnej wersji przewidywały 12 (!) godzin na zaraportowanie incydentu do klienta. Taki wymóg jest nierealny, szczególnie dla mniejszych agencji. Wymagałoby to bowiem, aby agencja zatrudniała na stałe zespół ds. bezpieczeństwa, który byłby w stanie 24h na dobę monitorować systemy agencyjne, ponieważ w razie przykładowego incydentu o godzinie 18:00 w piątek agencja miałaby obowiązek powiadomić o tym klienta do godziny 6:00 rano w sobotę.
Dlatego, jeśli konieczne jest określenie terminu raportowania incydentu w godzinach, optymalnym dla agencji rozwiązaniem jest ustalenie takiego terminu, jaki klient będzie miał na dalsze zgłoszenie incydentu Urzędowi Ochrony Danych Osobowych. Czyli 72 godziny.
Warunki audytu
Umowa dotycząca przetwarzania danych musi dawać klientowi prawo do audytowania agencji. Od tego nie da się uciec. Ale warunki audytu muszą być realistyczne i nie mogą paraliżować działania agencji. Nie można godzić się na warunki, które wymagają nadmiernego zaangażowania zasobów czy generują duże koszty. Audyt powinien być przeprowadzany w sposób, który umożliwia agencji kontynuację normalnej działalności. Przykładowe warunki, na które agencja powinna być wyczulona:
- krótki termin powiadomienia o audycie – np. zaledwie kilka dni roboczych;
- brak ograniczeń odnośnie czasu trwania audytu;
- brak obowiązku powiadomienia agencji o tym, czego dokładnie ma dotyczyć audyt i co klient chce zweryfikować;
- brak możliwości kwestionowania raportu z audytu i obowiązek wdrożenia wynikających z niego zaleceń w bardzo krótkim terminie (np. 7 dni).
Więcej o audytach RODO w agencji przeczytasz w innym naszym tekście na prawomarketingu.pl.
Odpowiedzialność za błędy, w tym kary umowne
Ważne jest, aby umowa RODO jasno określała granice odpowiedzialności agencji. Praktyka podpowiada, że prędzej czy później agencja popełni błąd, np. dojdzie do incydentu (może to być nawet wysłanie maila do niewłaściwego adresata). Jeśli za takie zdarzenie odpowiedzialność na zewnątrz miałby ponosić klient i otrzymać za nie karę finansową od Urzędu Ochrony Danych Osobowych, to taka kara będzie uzależniona od obrotów klienta, a nie agencji. Agencja musi mieć tego świadomość.
Optymalnym rozwiązaniem dla agencji jest ograniczenie jej odpowiedzialności finansowej do określonej kwoty (może to być równie dobrze krotność jej wynagrodzenia za projekt), a absolutnym minimum jest ograniczenie odpowiedzialności do szkody rzeczywistej. To, czego agencja bardzo powinna unikać to wszelkie kary umowne.
Podpisywanie umów dotyczących przetwarzania danych osobowych wymaga od agencji marketingowych szczególnej uwagi i ostrożności. Kluczowe jest, aby umowy te były realistyczne, adekwatne do działalności agencji i nie narzucały nadmiernych obciążeń. Tylko w ten sposób można zapewnić ochronę danych, jednocześnie zachowując operacyjną sprawność i stabilność firmy. Osoby odpowiedzialne w agencjach za proces zawierania umów muszą zadbać w umowach RODO w szczególności o:
- racjonalne warunki angażowania w projekt zewnętrznych dostawców usług;
- adekwatne do ryzyka (i możliwości agencji) środki bezpieczeństwa;
- termin zgłoszenia incydentu – tak, aby był on możliwy do zrealizowania;
- warunki przeprowadzenia audytu – aby czasem nie były bardziej restrtykcyjne niż przy kontrolach ze strony urzędów państwowych;
- zdrowe warunki odpowiedzialności za błędy – w tym zwłaszcza unikać wszelkich postanowień o karach umownych.