RODO a współpraca z agencjami eventowymi. Jak stworzyć umowę na przetwarzanie danych

kategoria:
RODO a współpraca z agencjami eventowymi. Jak stworzyć umowę na przetwarzanie danych

RODO weszło w życie 25.05.2018 i już widać jak wielkie zmiany za sobą pociąga. Najłatwiej zaobserwować to w internecie, gdzie z każdej strony bombardowani jesteśmy wiadomościami o zmianach w polityce prywatności oraz rozmaitymi klauzulami.

Nie oznacza to jednak, że przepisy RODO obejmują wyłącznie działania w internecie. Ani że mają wpływ wyłącznie na kontakt firmy z jej potencjalnymi klientami indywidualnymi.

Procedura zbierania i przetwarzania danych w bardzo wielu przypadkach obejmuje działanie kilku podmiotów, których współpraca w tym zakresie również podlega rygorom wynikającym z RODO. Nie uwzględnienie tego faktu w praktyce biznesowej może okazać się bardzo kosztowne. 

Agencje eventowe zbierają i przetwarzają dane osobowe na potrzeby swoich klientów

Przepisy RODO stosują się do wszystkich podmiotów zbierających i przetwarzających dane osobowe obywateli Unii Europejskiej. Gdy zatem agencja eventowa tworzy wydarzenie, podczas którego dochodzi do zbierania i przetwarzania danych obywateli Unii Europejskiej, podlega obowiązkom wynikającym z rozporządzenia. Bez znaczenia, czy chodzi o internetową rejestrację uczestników konferencji, zbieranie leadów czy tworzenie list mailingowych do ankiet. Wszystkie te działania wymagają stosowania przepisów RODO i sprawiają, że agencje muszą mieć przygotowane procedury z nimi zgodne.

Co jednak dla zlecających event nawet ważniejsze, to że agencje eventowe najczęściej zbierają i przetwarzają dane osobowe na ich potrzeby. W końcu w bardzo wielu wypadkach działania agencji są częścią szerokich strategii marketingowych, w których dalszym przetwarzaniem danych osobowych zajmie się firma na której zlecenie event się odbył.

Czy potrzebna jest kolejna umowa z agencją eventową?

Od kiedy weszły w życie przepisy RODO konsekwencje naruszeń prawa mogą być bardzo dotkliwe i obejmować wszystkie zaangażowane w produkcje podmioty. Również te zlecające event, bo to na ich rzecz w większości przypadków odbywa się przetwarzanie danych osobowych.

W tej sytuacji niewystarczające jest udokumentowane zapewnienie ze strony agencji, że w swojej praktyce stosuje przepisy RODO. Bardzo często koniecznym może być podpisanie z agencją eventową osobnej umowy na przetwarzanie danych osobowych, która nie tylko zabezpieczy interes zamawiającego, ale będzie stanowić niezbędną podstawę do działań agencji.

Poniżej przedstawiamy przegląd najważniejszych punktów, jakie w perspektywie RODO zawierać musi umowa o przetwarzanie danych osobowych między agencją eventową, a firmą zamawiającą event.

Co powinna zawierać umowa na przetwarzanie danych osobowych

Zgodnie z RODO umowa o przetwarzanie danych musi określać przedmiot i czas trwania przetwarzania, jego charakter i cel, rodzaj danych osobowych i kategorie osób, których dane dotyczą oraz obowiązki i prawa administratora.

Ta umowa w szczególności powinna określać, że przetwarzający:

  • Przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora,

  • Zapewni, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy,

  • Podejmie wszelkie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku przetwarzania konkretnych danych osobowych,

  • Przestrzega warunków korzystania z usług innego podmiotu przetwarzającego. Zawiera się w tym uzyskanie zgody zlecającego event na skorzystanie z takiego podmiotu, poświadczenie spełnienia przez taki podmiot niezbędnych warunków, oraz że umowa z tym pomiotem będzie spełniała wymogi RODO,

  • Jest gotów pomagać administratorowi wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w RODO poprzez stosowanie odpowiednich środków technicznych i organizacyjnych,

  • Jest gotów pomóc administratorowi wywiązać się z obowiązków dotyczących bezpieczeństwa danych osobowych, zgłaszania naruszenia ochrony danych osobowych, oceny skutków dla ochrony danych i, o ile jest to wymagane, przeprowadzić uprzednie konsultacje z organem nadzorczym. Jest to szczególnie istotne, jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych,

  • Po zakończeniu świadczenia usług związanych z przetwarzaniem – zależnie od decyzji administratora – usunie lub zwróci mu wszelkie dane osobowe oraz usunie wszelkie ich istniejące kopie,

  • Udostępni administratorowi wszelkie informacje niezbędne do wykazania spełnienia spoczywających na nim obowiązków oraz umożliwi administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów oraz inspekcji.

Nakładany przez RODO obowiązek szczególnej dbałości o dane osobowe oznacza dla agencji eventowych konieczność przystosowania procedur ich zbierania i przetwarzania, z których korzystają na co dzień. Z perspektywy zamawiającego event, na którym zbierane będą te dane to jednak nie wszystko.

Istotnym elementem współpracy stać się musi umowa o przetwarzanie danych osobowych, która nie tylko zabezpieczy interes zamawiającego, ale i stanie się podstawą dla działań agencji na jego rzecz.

Podziel się

Polub nas na Facebooku

Oceń realizacje na Instagram

Obserwuj nas na LinkedIn

Obserwuj nas na Tweeterze

Odwiedź nasz kanał na YouTube