Skip to main content
Po co w ogóle taka umowa pomiędzy klientem a agencją?

Agencje marketingowe oraz ich klienci w zdecydowanej większości przypadków mają następujące role w procesie przetwarzania danych osobowych: klient jest administratorem danych, a agencja podmiotem przetwarzającym dane w imieniu klienta, czyli tzw. procesorem. Typowe sytuacje, w których agencja i klient wchodzą w takie role to m.in.:

  1. kampanie e-mail marketingowe i lead generation,
  2. obsługa profilu w social mediach,
  3. organizacja akcji marketingowej (np. konkursu lub loterii).

RODO wymaga, aby administrator danych oraz procesor zawarli pomiędzy sobą specjalną umowę określającą zasady, na jakich procesor ma przetwarzać dane w imieniu administratora. Ale wymogi te są dość ogólne, dlatego w praktyce diabeł tkwi w szczegółach. W umowach dotyczących przetwarzania danych kilka kluczowych kwestii może być ustalone w bardzo różny sposób.

Dlatego agencja nie może do takich umów pochodzić w sposób bezrefleksyjny. Tzw. „umowa RODO” z klientem nie jest tylko papierkiem do „odhaczenia”. Każda taka umowa powinna być dostosowana do specyfiki projektu, który agencja ma realizować. Oznacza to, że trzeba dokładnie przeanalizować kluczowe postanowienia, które mogą generować dla agencji ryzyko i negocjować warunki.

Jeśli agencja nie ma żadnych uwag do umowy ws. przetwarzania danych, to w 99% przypadków oznacza to, że nie traktuje tych spraw poważnie. A to z kolei wysyła klientowi bardzo zły sygnał. Trzeba pamiętać, że zgodnie z RODO klient może angażować w projekty tylko takie agencje, które dają realne gwarancje przestrzegania przepisów o ochronie danych osobowych. Podpisywane w ciemno dokumenty nie dają takich gwarancji – wręcz przeciwnie.

Współpraca z podwykonawcami i dostawcami usług

W praktyce każdy projekt, jaki agencja miałaby realizować dla klienta wymaga zaangażowania podwykonawców lub dostawców usług. Obejmuje to przykładowo tak codzienne sytuacje, jak:

  • usługi hostingu, poczty e-mail
  • usługi web developerskie
  • usługi chmurowe – przechowywanie danych, ale też narzędzia do tworzenia dokumentów czy baz danych
  • narzędzia do wysyłki kampanii e-mailowych

Standardowe wzory umów dotyczących przetwarzania danych zakładają, że klient musi się zgodzić na korzystanie przez agencję z podwykonawców i dostawców usług, którzy mogą mieć dostęp do danych.

Optymalna jest jednak sytuacja, w której agencja może samodzielnie angażować w projekt określone kategorie podmiotów, ale nie musi pytać klienta o indywidualną zgodę. Wystarczy, aby informowała klienta o zaangażowaniu nowego podmiotu, a klient ewentualnie mógł wnieść uzasadniony sprzeciw wobec konkretnego dostawcy. RODO jak najbardziej pozwala na taki wariant współpracy.

Istotne jest również to, aby umowa nie nakładała na agencję obowiązku, by w umowach z zewnętrznymi dostawcami obowiązywały 1:1 te same warunki, jak w umowie pomiędzy klientem a agencją. W większości przypadków, zwłaszcza dużych dostawców usług cyfrowych, będzie to w praktyce niemożliwe do spełnienia.

Realistyczne środki bezpieczeństwa

Umowa dotycząca przetwarzania danych powinna zawierać listę środków bezpieczeństwa, które agencja powinna stosować, aby odpowiednio zabezpieczać dane. Ale muszą to być środki adekwatne do poziomu ryzyka. Agencje nie powinny godzić się na oderwane od rzeczywistości wymagania, które dodatkowo przekraczają ich możliwości operacyjne lub finansowe. Należy zwrócić uwagę, aby środki te były praktyczne, efektywne i nie stwarzały zbędnych obciążeń.

Spotykaliśmy się z umowami, w których na agencje obsługującą program lojalnościowy (przetwarzanie danych kontaktowych oraz informacji o przyznanych nagrodach) próbowano nałożyć obowiązek, aby specjalnie pod projekt klienta stworzyła odrębną sieć wewnętrzną i wyposażyła zespół w odrębny sprzęt (komputery, telefony), a także posiadała specjalną drukarkę (!) tylko dla dokumentów związanych z projektem. To typowy przykład środków bezpieczeństwa, które są całkowicie oderwane od rzeczywistości. Agencja powinna się temu wyraźnie sprzeciwiać i konkretnie argumentować, dlaczego poziom ryzyka związany z projektem nie uzasadnia tak daleko idących środków bezpieczeństwa.

Terminy raportowania incydentów

Jeśli dojdzie do naruszenia ochrony danych osobowych (incydentu bezpieczeństwa), to agencja jako procesor ma obowiązek zawiadomić o tym swojego klienta jako administratora. Zgodnie z RODO musi to zrobić „niezwłocznie”. Interpretacja tego słowa „niezwłocznie” może być bardzo szeroka, dlatego świadomi klienci będą dążyć do wskazania konkretnego terminu na powiadomienie ich o incydencie.

I tu agencja musi zachować ostrożność, aby nie narazić się na ryzyko, że termin raportowania incydentu będzie kompletnie nierealny. Niejednokrotnie doradzaliśmy agencjom przy negocjowaniu umów, które w pierwotnej wersji przewidywały 12 (!) godzin na zaraportowanie incydentu do klienta. Taki wymóg jest nierealny, szczególnie dla mniejszych agencji. Wymagałoby to bowiem, aby agencja zatrudniała na stałe zespół ds. bezpieczeństwa, który byłby w stanie 24h na dobę monitorować systemy agencyjne, ponieważ w razie przykładowego incydentu o godzinie 18:00 w piątek agencja miałaby obowiązek powiadomić o tym klienta do godziny 6:00 rano w sobotę.

Dlatego, jeśli konieczne jest określenie terminu raportowania incydentu w godzinach, optymalnym dla agencji rozwiązaniem jest ustalenie takiego terminu, jaki klient będzie miał na dalsze zgłoszenie incydentu Urzędowi Ochrony Danych Osobowych. Czyli 72 godziny.

Warunki audytu

Umowa dotycząca przetwarzania danych musi dawać klientowi prawo do audytowania agencji. Od tego nie da się uciec. Ale warunki audytu muszą być realistyczne i nie mogą paraliżować działania agencji. Nie można godzić się na warunki, które wymagają nadmiernego zaangażowania zasobów czy generują duże koszty. Audyt powinien być przeprowadzany w sposób, który umożliwia agencji kontynuację normalnej działalności. Przykładowe warunki, na które agencja powinna być wyczulona:

  1. krótki termin powiadomienia o audycie – np. zaledwie kilka dni roboczych;
  2. brak ograniczeń odnośnie czasu trwania audytu;
  3. brak obowiązku powiadomienia agencji o tym, czego dokładnie ma dotyczyć audyt i co klient chce zweryfikować;
  4. brak możliwości kwestionowania raportu z audytu i obowiązek wdrożenia wynikających z niego zaleceń w bardzo krótkim terminie (np. 7 dni).

Więcej o audytach RODO w agencji przeczytasz w innym naszym tekście na prawomarketingu.pl.

Odpowiedzialność za błędy, w tym kary umowne

Ważne jest, aby umowa RODO jasno określała granice odpowiedzialności agencji. Praktyka podpowiada, że prędzej czy później agencja popełni błąd, np. dojdzie do incydentu (może to być nawet wysłanie maila do niewłaściwego adresata). Jeśli za takie zdarzenie odpowiedzialność na zewnątrz miałby ponosić klient i otrzymać za nie karę finansową od Urzędu Ochrony Danych Osobowych, to taka kara będzie uzależniona od obrotów klienta, a nie agencji. Agencja musi mieć tego świadomość.

Optymalnym rozwiązaniem dla agencji jest ograniczenie jej odpowiedzialności finansowej do określonej kwoty (może to być równie dobrze krotność jej wynagrodzenia za projekt), a absolutnym minimum jest ograniczenie odpowiedzialności do szkody rzeczywistej. To, czego agencja bardzo powinna unikać to wszelkie kary umowne.

Bartosz Pilc

PARTNER KANCELARII CORE LAW - b.pilc@core.law