RODO a współpraca z agencjami eventowymi. Jak stworzyć umowę na przetwarzanie danych

Przepisy RODO stosują się do wszystkich podmiotów zbierających i przetwarzających dane osobowe obywateli Unii Europejskiej. Gdy zatem agencja eventowa tworzy wydarzenie, podczas którego dochodzi do zbierania i przetwarzania danych obywateli Unii Europejskiej, podlega obowiązkom wynikającym z rozporządzenia. Bez znaczenia, czy chodzi o internetową rejestrację uczestników konferencji, zbieranie leadów czy tworzenie list mailingowych do ankiet. Wszystkie te działania wymagają stosowania przepisów RODO i sprawiają, że agencje muszą mieć przygotowane procedury z nimi zgodne.

Co jednak dla zlecających event nawet ważniejsze, to że agencje eventowe najczęściej zbierają i przetwarzają dane osobowe na ich potrzeby. W końcu w bardzo wielu wypadkach działania agencji są częścią szerokich strategii marketingowych, w których dalszym przetwarzaniem danych osobowych zajmie się firma na której zlecenie event się odbył.

Od kiedy weszły w życie przepisy RODO konsekwencje naruszeń prawa mogą być bardzo dotkliwe i obejmować wszystkie zaangażowane w produkcje podmioty. Również te zlecające event, bo to na ich rzecz w większości przypadków odbywa się przetwarzanie danych osobowych.

W tej sytuacji niewystarczające jest udokumentowane zapewnienie ze strony agencji, że w swojej praktyce stosuje przepisy RODO. Bardzo często koniecznym może być podpisanie z agencją eventową osobnej umowy na przetwarzanie danych osobowych, która nie tylko zabezpieczy interes zamawiającego, ale będzie stanowić niezbędną podstawę do działań agencji.

Poniżej przedstawiamy przegląd najważniejszych punktów, jakie w perspektywie RODO zawierać musi umowa o przetwarzanie danych osobowych między agencją eventową, a firmą zamawiającą event.

Zgodnie z RODO umowa o przetwarzanie danych musi określać przedmiot i czas trwania przetwarzania, jego charakter i cel, rodzaj danych osobowych i kategorie osób, których dane dotyczą oraz obowiązki i prawa administratora.

Ta umowa w szczególności powinna określać, że przetwarzający:

• Przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora,

• Zapewni, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy,

• Podejmie wszelkie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku przetwarzania konkretnych danych osobowych,

• Przestrzega warunków korzystania z usług innego podmiotu przetwarzającego. Zawiera się w tym uzyskanie zgody zlecającego event na skorzystanie z takiego podmiotu, poświadczenie spełnienia przez taki podmiot niezbędnych warunków, oraz że umowa z tym pomiotem będzie spełniała wymogi RODO,

• Jest gotów pomagać administratorowi wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w RODO poprzez stosowanie odpowiednich środków technicznych i organizacyjnych,

• Jest gotów pomóc administratorowi wywiązać się z obowiązków dotyczących bezpieczeństwa danych osobowych, zgłaszania naruszenia ochrony danych osobowych, oceny skutków dla ochrony danych i, o ile jest to wymagane, przeprowadzić uprzednie konsultacje z organem nadzorczym. Jest to szczególnie istotne, jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych,

• Po zakończeniu świadczenia usług związanych z przetwarzaniem – zależnie od decyzji administratora – usunie lub zwróci mu wszelkie dane osobowe oraz usunie wszelkie ich istniejące kopie,

• Udostępni administratorowi wszelkie informacje niezbędne do wykazania spełnienia spoczywających na nim obowiązków oraz umożliwi administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów oraz inspekcji.