Czy agencja reklamowa jest administratorem danych osobowych?

W projektach, które realizują moi klienci – agencje reklamowe, często dużą rolę grają dane osobowe. Czasami chodzi o mailing. Niekiedy o rejestrację uczestników webinaru lub o dane uczestników konferencji. A czasami o zebranie dla klienta zgód marketingowych. Albo o dane uczestników konkursu. Ale zawsze pytanie jest jedno – czy agencja reklamowa jest administratorem danych osobowych?

W tym artykule postaram się odpowiedzieć na to pytanie. Skupię się przy tym na danych osobowych potencjalnych adresatów działań reklamowych.

W przypadku bowiem pracowników agencji reklamowej czy też danych jej kontrahentów odpowiedź jest oczywista. Agencja reklamowa jest administratorem danych.

Kto jest administratorem danych a kto podmiotem przetwarzającym?

Według suchej definicji zawartej w RODO administratorem jest osoba, która samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.

Z kolei podmiotem przetwarzającym jest osoba, która przetwarza dane osobowe w imieniu administratora.

Decydujące jest więc to, kto (agencja reklamowa czy klient) ustala cele i sposoby przetwarzania danych. Jeśli ustala je agencja – jest administratorem. Jeśli ustala je klient – administratorem jest klient. A co jeśli ustalają je wspólnie agencja i klient? Wtedy zostaną uznani za współadministratorów.

Jeśli więc:

agencja reklamowa ma własną bazę danych (np. bazę mailingową), którą wykorzystuje do projektów dla różnych klientów – jest administratorem danych; ewentualnie jest współadministratorem wspólnie z poszczególnymi klientami,
klient zleca agencji mailing do osób znajdujących się w bazie klienta – agencja jest podmiotem przetwarzającym,
agencja realizuje na zlecenie klienta webinar i prowadzi rejestrację uczestników – jest podmiotem przetwarzającym; a jeśli jednocześnie zbiera dane na własne potrzeby, to w tym zakresie jest administratorem.

Powyższe zestawienie zawiera jedynie przykłady. W rzeczywistości wszystko zależy od konkretnych ustaleń biznesowych. To, jak wygląda podział obowiązków w realizowanym projekcie, wprost rzutuje na kwestię tego, kto jest administratorem danych. Zresztą nawet w powyższych przykładach ocena prawna zależy od całokształtu okoliczności sprawy.

O tę kwestię warto już zatem zadbać na etapie rozmów poprzedzających negocjacje samej umowy. Doprecyzowanie tego, kto ustala cele i sposoby przetwarzania danych, pozwoli na właściwe określenie tego w umowie. W zależności bowiem od wyniku tych rozmów inaczej będzie wyglądała umowa z klientem.

Umowa powierzenia przetwarzania danych osobowych

Jeśli to klient jest administratorem, a agencja ma przetwarzać dane w jego imieniu, to niezbędne jest zawarcie umowy powierzenia przetwarzania danych. Umowa ta stanowi dla agencji podstawę przetwarzania danych.

RODO określa minimalną treść takiej umowy. Należą do niej w szczególności: przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora oraz inne elementy wskazane w RODO.

Dodatkowo warto przy tej okazji skupić się na doprecyzowaniu tego, jakie konkretnie obowiązki obciążają agencję, aby na późniejszym etapie współpracy nie było wątpliwości, za co odpowiada agencja.

W takiej umowie warto również doprecyzować kwestię dalszego powierzania przetwarzania danych przez agencję.

Przeczytaj też mój artykuł na temat tego, dlaczego warto mieć dobrą umowę reklamową regulującą też kwestie powierzenia przetwarzania danych osobowych.

Dalsze powierzenie przetwarzania danych

Dla agencji reklamowej istotne jest również to, że i ona w wykonaniu umowy może dalej powierzać przetwarzanie danych. Przykład? Proszę bardzo.

Agencja realizuje dla klienta webinar, który będzie realizowany za pomocą platformy zewnętrznego dostawcy. Dane osobowe uczestników będę udostępnione temu podmiotowi w celu realizacji webinaru. Dochodzi do powierzenia przetwarzania danych, a agencja powinna zawrzeć umowę powierzenia (dalszego powierzenia) danych. A co z hostingiem? Dokładnie tak samo.

W przypadku zatem gdy klient powierza agencji przetwarzanie danych, to w umowie warto zadbać o możliwość ich dalszego powierzenia oznaczonym podmiotom (o ile są już na tym etapie znani).

Zgodnie z RODO podmiot przetwarzający (czyli w tym kontekście agencja reklamowa) nie korzysta z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody administratora. W przypadku ogólnej pisemnej zgody podmiot przetwarzający informuje administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających, dając tym samym administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian.

Czyli agencja powinna zadbać albo o „szczegółową pisemną zgodę” (czyli zgodę na podpowierzenie konkretnemu podmiotowi) albo co najmniej zgodę ogólną (która będzie się wiązała z koniecznością informowania administratora o tych podmiotach).

Współadministratorzy

Powyżej wspomniałem już, że w niektórych wypadkach agencja i klient mogą być współadministratorami danych. Będzie tak wtedy, gdy agencja i klient jako administratorzy będą wspólnie ustalać cele i sposoby przetwarzania.

Również w takim wypadku konieczne będzie zawarcie z klientem umowy. Konieczne jest uzgodnienie zakresów odpowiedzialności dotyczącej wypełniania obowiązków wynikających z RODO, w szczególności w odniesieniu do wykonywania przez osobę, której dane dotyczą, przysługujących jej praw, oraz obowiązku informacyjnego wobec tych osób.