Jest poniedziałek, godziny przedpołudniowe. Do agencji przychodzi mail od kluczowego klienta z informacją: „Nasz inspektor ochrony danych zlecił przeprowadzenie u Was audytu RODO”. O co tu chodzi? Czy klient w ogóle może zlecić taki audyt w agencji? Na jakiej podstawie? Na czym polega taki audyt i jak można się do niego przygotować? Odpowiem dziś na te pytania i pokażę Ci, co zrobić, aby sprawnie przejść audyt RODO ze strony klienta. Zanim przejdziemy do sedna, zapamiętaj proszę jedną, kluczową zasadę:
Spokój to podstawa w kwestiach ochrony danych osobowych, w tym również audytu ze strony klienta. Raptowne działania często prowadzą do błędów. Żadna agencja nie chciałaby pogorszenia relacji z klientem (a tym bardziej utraty klienta!) z tego powodu, iż nie zapewnia odpowiedniego poziomu zgodności z przepisami o ochronie danych osobowych.
Z czego wynika prawo klienta do audytowania agencji w zakresie RODO?
W kontekście przetwarzania danych osobowych klient i agencja będą przeważnie mieć następujące role: klient jest administratorem danych, a agencja jest podmiotem przetwarzającym dane w imieniu administratora (tzw. procesorem). Jest tak choćby wtedy, kiedy to agencja formalnie realizuje projekt jako organizator (np. program lojalnościowy, konkurs czy loterię). To klient bowiem inicjuje projekt (agencja działa na zlecenie klienta) i to potrzeby biznesowe klienta projekt ma realizować. Agencja świadczy klientowi usługę.
Taki, a nie inny układ ról skutkuje tym, iż zgodnie z RODO klient ma obowiązek weryfikować, czy agencja prawidłowo przetwarza dane w jego imieniu. Musi to zrobić zanim zacznie współpracę z agencją, ale też cyklicznie podczas samej współpracy. Zgodnie z art. 28 ust. 3 RODO pomiędzy klientem a agencją musi zostać zawarta umowa dotycząca tego, na jakich zasadach agencja ma przetwarzać dane w imieniu klienta (często nazywana jest „umową powierzenia przetwarzania danych” albo po prostu „umową powierzenia”). Umowa ta najczęściej stanowi załącznik do umowy biznesowej dotyczącej danego projektu. RODO wymaga, aby taka umowa przewidywała dla klienta m.in. prawo do przeprowadzenia audytu w agencji. Jest to obowiązkowy element umowy i standard w każdym wzorze.
Istotny jest też dodatkowy kontekst: najwyższa jak dotąd kara pieniężna za naruszenie RODO, jaka została nałożona w Polsce (około 5 milionów zł), dotyczyła właśnie sytuacji, w której administrator (czyli klient) nie audytował regularnie procesora (czyli dostawcy usług). U dostawcy doszło do incydentu, a Urząd Ochrony Danych Osobowych uznał klienta za współwinnego, bo niewystarczająco sprawdzał swojego dostawcę.
Z tych powodów wielu klientów agencji (zwłaszcza korporacji), ma wdrożone specjalne procedury, które nakładają obowiązek audytowania dostawców usług z przetwarzaniem danych osobowych (w tym agencji marketingowych). Audyt taki musi mieć miejsce przed nawiązaniem współpracy oraz być cyklicznie ponawiany.
Jak agencja może przygotować się do audytu RODO ze strony klienta?
Jak wspomniałem: przede wszystkim zachować spokój.
Po pierwsze, trzeba przeanalizować umowę pomiędzy agencją a klientem w zakresie przetwarzania danych osobowych. Powinna ona opisywać, na jakich zasadach klient może przeprowadzać audyt w agencji. W umowach stosowane są różne postanowienia w tym zakresie – od ogólnych, jednozdaniowych informacji, iż „Administrator ma prawo przeprowadzić audyt podmiotu przetwarzającego”, po rozbudowane klauzule opisujące np. ile razy w ciągu roku taki audyt może być przeprowadzany, ile ma trwać, czy też z jakim wyprzedzeniem agencja powinna być poinformowana o audycie. W zależności od treści umowy, agencja powinna być gotowa na różne warianty audytu. Umowa stanowić będzie „mapę drogową”.
Po drugie, jest bardzo prawdopodobne, iż audyt ze strony klienta będzie przeprowadzany w sposób zdalny. W pierwszej kolejności otrzymasz formularz służący do zebrania informacji na temat tego, na jakich zasadach przetwarzasz dane w imieniu klienta. Na bazie odpowiedzi udzielonych przez agencję, klient może uznać audyt za zakończony albo może zadać dodatkowe pytania. W grę realnie wchodzi również spotkanie online. jeżeli agencja jest strategicznym dostawcą dla klienta albo w ramach projektu przetwarza dane o wyższym poziomie ryzyka (np. numery PESEL, dane finansowe), to klient może podjąć decyzję o przeprowadzeniu audytu w agencji na miejscu.
Z jakimi pytaniami możesz się spotkać w ramach audytu? Oto kilka przykładowych:
- Czy w agencji zostały wyznaczone wewnętrzne reguły działania w zakresie ochrony danych osobowych, np. polityka ochrony danych osobowych?
- Czy agencja prowadzi rejestr kategorii czynności przetwarzania dokonywanych w imieniu administratora? Jaką ma on postać i jakie rodzaje informacji zawiera?
- Czy agencja przeprowadziła i udokumentowała analizę ryzyka związanego z przetwarzaniem danych? Jak często aktualizowana jest analiza ryzyka?
- Czy w agencji została wyznaczona osoba odpowiedzialna za zapewnienie zgodności z przepisami o ochronie danych osobowych? Czy została wyznaczona jako inspektor ochrony danych?
- Czy agencja ma wdrożone procedury dotyczące realizowania praw osób, których dane dotyczą, które wynikają z RODO?
- Czy agencja ma wdrożone procedury dotyczące postępowania na wypadek naruszenia ochrony danych osobowych (incydentu bezpieczeństwa)?
- Jakie środki bezpieczeństwa danych osobowych są stosowane w agencji?
- Czy zespół agencji jest szkolony z reguł ochrony danych osobowych? Jak często?
- Komu agencja ujawnia dane, które przetwarza w imieniu administratora, czyli z jakimi podwykonawcami współpracuje?
- Czy agencja korzysta z usług podmiotów, które mogą przetwarzać dane poza Europejskim Obszarem Gospodarczym (np. z USA)? Na jakiej podstawie dokonuje transferu danych poza EOG?
Aby pomyślnie przejść audyt RODO, agencja musi być w stanie rzetelnie i wiarygodnie odpowiedzieć na pytania zadane przez klienta. Odpowiedzi nie mogą być lakonicznie i rodzić dodatkowych wątpliwości. Pamiętaj też, iż klient może oczekiwać, aby agencja przedstawiła również dokumenty, które będą potwierdzały odpowiedzi na poszczególne pytania, czyli np.:
- fragment z rejestru kategorii czynności przetwarzania, który dotyczy klienta;
- procedury postępowania;
- lista środków bezpieczeństwa stosowanych w agencji (np. zasady dostępu do systemów IT);
- potwierdzenia odbycia szkoleń z zakresu RODO przez zespół agencji.
To oczywiście przykłady. Audyt ze strony klienta nierzadko wymaga, aby agencja reagowała na bieżąco i musi robić to z rozmysłem, np. udostępniać tylko takie dokumenty lub ich fragmenty, które dotyczą samego klienta. Nierzadko zbawienne dla agencji może okazać się wsparcie specjalisty w zakresie ochrony danych osobowych w branży marketingowej. Wsparcie to może obejmować zarówno proces przygotowania do audytu (zebranie informacji na temat umowy z klientem oraz poziomu zgodności agencji z RODO), opracowania odpowiedzi na pytania audytowe, a także bezpośredni udział w spotkaniach.
Jakie płyną z tego wnioski dla osób zarządzających w agencjach marketingowych?
- Każda agencja powinna być gotowa na potencjalny audyt ze strony klienta w zakresie ochrony danych osobowych.
- Perspektywa audytu na pierwszy rzut oka może być niepokojąca, ale w praktyce w większości przypadków audyt jest zdalny. Sprawne przejście audytu wymaga udzielenia rzetelnych i wiarygodnych odpowiedzi na pytania postawione przez klienta w formularzu audytowym.
- Agencja powinna być w stanie odpowiedzieć m. in. na pytania:
- czy zostały w niej wyznaczone wewnętrzne reguły działania w zakresie ochrony danych osobowych?
- czy prowadzi rejestr kategorii czynności przetwarzania?
- czy ma wdrożone procedury związane z przestrzeganiem RODO i jakie są to procedury?
- jakie środki bezpieczeństwa danych osobowych są stosowane?
- czy zespół jest szkolony z reguł ochrony danych osobowych?
- komu ujawnia dane, które przetwarza w imieniu klienta?
- czy korzysta z usług podmiotów, które mogą przetwarzać dane poza Europejskim Obszarem Gospodarczym (np. z USA)?
- Agencja powinna dysponować co najmniej podstawowymi dokumentami w zakresie RODO, które może przedstawić w ramach audytu, np.:
- rejestrem kategorii czynności przetwarzania,
- procedurami związanymi z przestrzeganiem RODO,
- listą środków bezpieczeństwa, które stosuje,
- potwierdzeniami przeszkolenia zespołu w zakresie RODO.