Cele, klauzule i  formularze w newsroomach i biurach prasowych, czyli przygotowujemy komunikację firmy do RODO

Cele, klauzule i formularze w newsroomach i biurach prasowych, czyli przygotowujemy komunikację firmy do RODO

RODO zrób to lepiej

Bazy danych w działach komunikacji firm i agencjach PR to grupy list zawierające kontakty przeznaczone dla różnych projektów, dzielące media pod kątem różnych kryteriów lub grupujące innych odbiorców w otoczeniu firmy. Myśląc o nich w kontekście RODO, podstawowym parametrem każdego zbioru danych osobowych staje się „cel przetwarzania”. To warunek konieczny przetwarzania danych zgodnie z prawem.

Jeżeli dane pochodzą od osoby, której dane przetwarzamy, wyraża ona zgodę na przetwarzanie w określonym celu w momencie ich podania. Ale jeżeli przetwarzamy dane pochodzące z innych źródeł, obowiązek informacyjny względem tej osoby będzie obejmował również wyraźne przedstawienie jej celów przetwarzania danych oraz źródła pochodzenia danych. 

Struktura danych

Struktura danych zbiorów wykorzystywanych w komunikacji firmy poszerza się o informację o celu przetwarzania. Cele będą miały nadrzędne znaczenie, wpływając na zakres gromadzonych danych, jak i samą komunikację. Listy dystrybucyjne będą miały charakter pomocniczy. 

Przykładowo, w rozwiązaniu zaprojektowanym przez netPR.pl, centralny zbiór danych do komunikacji firmy zyska możliwość elastycznego tworzenia podzbiorów/profili dedykowanych np. komunikacji z mediami, inwestorami, partnerami etc. W ramach każdego profilu danych będzie możliwy podział danych w oparciu o cele przetwarzania, podstawę prawną przetwarzania oraz listy dystrybucyjne, z możliwością ich grupowania. Dla każdego celu i podstawy przetwarzania będzie możliwe zdefiniowanie klauzuli informacyjnej, a chcąc uniknąć błędów komunikację będzie można oprzeć na celach przetwarzania.

Jak określać cele przetwarzania?

Definicja celu przetwarzania danych będzie miała wpływ na to, jakie dane będziemy mogli gromadzić. Dobrym przykładem jest komunikacja z mediami. Jeżeli cel przetwarzania w formularzu rejestracyjnym w biurze prasowym określimy jako „wysyłka informacji prasowych”, to każdy inspektor ochrony danych osobowych będzie domagał się ograniczenia gromadzonych danych tylko do adresu e-mail. I będzie to w pełni uzasadnione. Komunikacja z mediami wymaga jednak więcej. Optymalny zakres wymaganych danych to: imię, nazwisko, adres e-mail, numer telefonu i nazwa redakcji.

Co więcej - w przypadku celu „wysyłka informacji prasowych” problematyczne będzie również wykorzystanie danych kontaktowych np. w celu zaproszenia na konferencję prasową. 

W przypadku budowy relacji z mediami wysyłka informacji prasowych to ważny, ale tylko jeden z wielu możliwych motywów kontaktu. Niezbędne jest zatem albo zbieranie zgód na wiele celów, albo określenie jednego celu z uwzględnieniem jego rzeczywistego zastosowania. W motywie [39] rozporządzenia RODO wprost wymaga się, aby cele były „wyraźne, uzasadnione i określone w momencie zbierania danych”. Dlatego też z drugiej strony nie można ich określać zbyt szeroko i ogólnie. 

Cele przetwarzania w komunikacji z mediami

Komunikacja z mediami (media relations) to dosyć standardowa grupa działań, obejmująca - oprócz przesyłania materiałów - zapraszanie na konferencje i wydarzenia oraz kontaktowanie się mailowo i telefonicznie w ramach obsługi zapytań i codziennej współpracy medialnej.

Dlatego optymalnym podejściem wydaje się być ustalenie jednego, wyraźnego i uzasadnionego celu przetwarzania danych osobowych, jakim będą „działana media relations”,„komunikacja z mediami” czy „współpraca z biurem prasowym”. Wprawdzie taki cel obejmuje szereg działań, z wykorzystaniem przynajmniej dwóch kanałów komunikacji, jakimi są poczta elektroniczna i telefon, ale wydaje się, że jest on zdefiniowany wyraźnie. 

Tak określony cel przetwarzania usprawiedliwiałby rozszerzenie zakresu danych nawet o dane adresowe potrzebne do tradycyjnej wysyłki pocztą, ale nie zawsze będzie to uzasadnione, ponieważ większa liczba pól w formularzu ograniczy liczbę uzyskanych wypełnień i uzyskanych zgód na przetwarzanie danych.

Definiując cel przetwarzania i projektując klauzule informacyjne powinniśmy oczywiście wskazać precyzyjnie, że komunikacja z mediami będzie obejmować w szczególności wysyłanie informacji prasowych czy zaproszeń oraz kontakt telefoniczny. Wszystkie te działania służą przecież budowaniu relacji firmy z mediami, wydają się być precyzyjne w swoim zakresie i w pełni uzasadnione. 

Przykładowo w rozwiązaniu zaprojektowanym przez netPR.pl będzie możliwe zdefiniowanie w systemie krótkiego celu, który ułatwi pracę z danymi oraz szczegółowego celu przetwarzania, który ułatwi raportowanie. Szerszy opis celu przetwarzania zostanie również wykorzystany w interfejsie portalu informacyjnego dla osób, których dane są przetwarzane. Portal ten pomoże w wypełnianiu obowiązków informacyjnych administratora danych względem tych osób.

Ze strony prawników zapewne pojawią się głosy, że dwa kanały komunikacji mogą wymagać dwóch oddzielnych zgód. Istnieją interpretacje prawne, które wskazywałyby wręcz na taką konieczność. Dlatego takie rozwiązanie będzie postrzegane jako bardziej bezpieczne z punktu widzenia działów prawnych w firmach. Może dać również korzyść biznesową - łatwiej będzie pozyskać zgodę na jeden kanał komunikacji i zachęcałoby to tych dziennikarzy, którzy nie życzą sobie kontaktu telefonicznego w zupełności. Podobnie w przypadku wycofania zgody - wycofanie zgody na kontakt telefoniczny oznaczałoby odpięcie jednego z celów od rekordu, a nie usunięcie całego kontaktu z bazy. Wadą takiego rozwiązania jest bardziej skomplikowany formularz - dochodzi jedna klauzula zgody. 

Klauzula informacyjna

Określenie odpowiednich celów przetwarzania jest dosyć krytyczne dla funkcjonowania komunikacji firmy, ale prawdziwym wyzwaniem jest zaprojektowanie formularza zgody na przetwarzanie danych i komunikację oraz zredagowanie klauzul informacyjnych. Łatwo będzie zredagować bezpieczną klauzulę informacyjną, dobrze chroniącą interesy firmy, ale w większości przypadków będzie ona niezrozumiała, a to z kolei może być sprzeczne z wymogami rozporządzenia. 

Art. 12 mówi wprost „przejrzyste informowanie i przejrzysta komunikacja”. W motywie [39] znajduje się wyjaśnienie: „Zasada przejrzystości wymaga, by wszelkie informacje i wszelkie komunikaty związane z przetwarzaniem tych danych osobowych były łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem.”

I tutaj trzeba oddać honor prawnikom, że bardzo trudno jest zredagować czytelną klauzulę informacyjną, w której należy ująć zgodnie z art. 13 RODO takie informacje jak: 

  • tożsamość administratora i jego dane kontaktowe
  • dane kontaktowe inspektora ochrony danych
  • cele przetwarzania danych osobowych oraz podstawę prawną przetwarzania
  • informacje, czy przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) – prawnie uzasadnione interesy realizowane przez administratora oraz wyjaśnienie, jak należy rozumieć ten "interes administratora" 
  • informacje o odbiorcach danych osobowych
  • informacje o zamiarze przekazania danych osobowych do państwa trzeciego
  • okres, przez który dane osobowe będą przechowywane
  • informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych
  • jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) - informacje o prawie do cofnięcia zgody w dowolnym momencie
  • informacje o prawie wniesienia skargi do organu nadzorczego
  • informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych
  • informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu.

Konieczne jest zwrócenie uwagi, że skomplikowane formuły prawne klauzul nie będą też sprzyjać pozyskiwaniu zgód i nie będą w rezultacie korzystne biznesowo dla administratorów. 

Zgoda na przetwarzanie danych i komunikowanie

Klauzula musi być dość rozbudowana, a jednocześnie zgoda powinna być odbierana w możliwie prosty i zrozumiały sposób dla osoby, której dane dotyczą. Ponadto powinna być oparta na cechach:

  • dobrowolności - realny swobodny wybór (nie wymuszona) - brak wyrażenia zgody nie może powodować negatywnych konsekwencji dla osoby, której dane dotyczą
  • konkretności - precyzyjne określenie celu przetwarzania danych, zakresu danych
  • świadomości - wskazanie jasnym i prostym językiem przed uzyskaniem zgody informacji niezbędnych, by umożliwić osobie, której dane dotyczą, podjęcie świadomej decyzji i zrozumienie, na co wyraża zgodę
  • jednoznaczności - forma oświadczenia lub wyraźnego działania; zgoda nie może być dorozumiana; przy czym podkreślić tzreba, iż w przypadku szczególnych kategorii danych osobowych należy odebrać wyraźną zgodę.

Jeżeli chcielibyśmy dodatkowo na formularzu subskrypcji dziennikarza w newsroomie odebrać zgodę na komunikowanie się zgodnie z Ustawą o Świadczeniu Usług Drogą Elektroniczną i Prawem Telekomunikacyjnym do przesyłania informacji handlowych drogą elektroniczną lub przedstawienie tych informacji drogą telefoniczną, samo odniesienie do podstaw prawnych zajmie wiele linii tekstu. 

Czy taka klauzula ma szanse być przejrzysta i zrozumiała? 

Wyrażenie zgody. Czy checkbox będzie niezbędny?

Wszyscy jesteśmy przyzwyczajeni do formularzy z checkboxami. Nie ma wątpliwości, że - w przypadku gdy chcemy definiować wiele celów i odbierać takie zgody w jednym formularzu - checkboxy to optymalne rozwiązanie. Co jednak, gdy mamy tylko jeden cel związany z komunikacją z mediami?

W takiej sytuacji można się zastanawiać, czy jest to jedyne możliwe rozwiązanie i czy tylko taka forma gwarantuje jednoznaczne i dobrowolne wyrażenie zgody. W motywie [32] jest wyraźne stwierdzenie, że - oprócz „zaznaczenia okienka wyboru” - odebranie zgody może polegać na „innym oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych”. 

Wykorzystanie checkboxa, ze względu na przyzwyczajenie do tej formy, będzie zapewne uznawane przez prawników za najbardziej bezpieczne i będzie rekomendowaną opcją. Ale nie musi to być jedyne możliwe rozwiązanie. 

Niestety, zetknęliśmy się z opiniami (w tym opinii ICO - brytyjskiego odpowiednika GIODO), że zbudowanie formularza, w którym zgodę na przetwarzanie danych odbieramy poprzez jego wypełnienie danymi i kliknięcie w przycisk „wyślij", może nie być odebrane jako zgoda wyrażona wyraźnie. 

Brak checkboxa byłby zdecydowanie lepszy z biznesowego punktu widzenia, bo formularz sprawiałby wrażenie mniej przeładowanego informacjami i łatwiejszego. Jeżeli uda się wypracować taki standard, to byłaby to dobra informacja. 

Przykłady formularzy, celów i klauzul

Poniżej przedstawiamy kilka propozycji tekstów na formularzach subskrypcji w newsroomach i biurach prasowych, z wyrażeniem zgody na komunikację z mediami. 

I. Przykład formularza z checkboxem

Checkbox: 

Wyrażam zgodę na przetwarzanie moich danych osobowych w celu realizacji komunikacji z mediami, a w szczególności na otrzymywanie informacji i materiałów prasowych, zaproszeń na konferencje i wydarzenia oraz na kontakt telefoniczny dotyczący współpracy medialnej z firmą _____. Jednocześnie przyjmuję do wiadomości, iż zgoda może zostać w każdym momencie cofnięta.

Klauzula informacyjna: 

Dane osobowe podane w formularzu będą przetwarzane w celu realizacji komunikacji z mediami, a w szczególności: wysyłania informacji i materiałów prasowych, zaproszeń na konferencje i wydarzenia oraz kontakt telefoniczny dotyczący współpracy medialnej. Podanie danych kontaktowych jest dobrowolne, ale niezbędne w celu otrzymywania informacji objętych zgodą lub udzielenia odpowiedzi na zadane zapytania.

Dane będą przetwarzane na podstawie art. 6 pkt. 1 lit. a  RODO do czasu cofnięcia wyrażonej zgody lub wyrażenia sprzeciwu. Przy czym osobie, której dane są przetwarzane, przysługuje prawo do cofnięcia wyrażonej zgody w dowolnym momencie. Nie wpływa ono na zgodność przetwarzania z prawem dokonanego przed wycofaniem zgody. 

Osobom, których dane dotyczą, przysługuje prawo dostępu do tych danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia danych, wniesienia sprzeciwu wobec ich przetwarzania oraz prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych. 

Administratorem danych osobowych jest firma X, adres siedziby: ………….., adres e-mail: …………..

Inspektor Ochrony Danych, adres e-mail: …………..

Podstawa prawna: 

RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

UŚUDE – Ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną, art. 10.

UPT – Prawo Telekomunikacyjne Ustawa z dnia 16 lipca 2004 r. Prawo telekomunikacyjne, art. 172.

Celowym wydaje się uproszczenie klauzuli przez podanie linków do ustaw przywołanych w podstawie prawnej, a także strony kontaktowej firmy, na której znajdą się pełne dane administratora oraz kontakt do inspektora danych osobowych. Oczywiście tylko wtedy, kiedy będziemy mieć pewność, że te odnośniki będą działały.

II. Przykład formularza z checkboxem dla firm, którym będą przysługiwały uproszczenia w obowiązku informacyjnym (w tym zapewne wielu agencji public relations)

Na początku koniecznym jest zwrócenie uwagi, że w momencie tworzenia tego tekstu nie ma jeszcze aktu prawnego, który takie uproszczenia konstytuuje. Są one jednak zapowiedziane. 

W przypadku agencji public relations dane medialne są wykorzystywane głównie do komunikacji w imieniu klientów agencji. Agencje PR to zwykle niewielkie firmy i w tym przypadku prawdopodobnie wejdą w grę uproszczenia w zakresie obowiązków informacyjnych. Formularz rejestracji dla dziennikarzy mógłby dla nich wyglądać następująco:

Checkbox:

Wyrażam zgodę na przetwarzanie moich danych osobowych w celu realizacji komunikacji z mediami przez agencję PR X w imieniu swoich klientów, a w szczególności na: otrzymywanie informacji i materiałów prasowych, zaproszeń na konferencje i wydarzenia oraz kontakt telefoniczny. Jednocześnie przyjmuję do wiadomości, iż zgoda może zostać w każdym momencie cofnięta.

Klauzula informacyjna:

Dane osobowe podane w formularzu będą przetwarzane w celu realizacji komunikacji z mediami, a w szczególności: otrzymywania informacji i materiałów prasowych, zaproszeń na konferencje i wydarzenia oraz kontakt telefoniczny. Komunikacja z mediami jest prowadzona w imieniu firm klientów, za komunikację których odpowiada Agencja PR X. Podanie danych kontaktowych jest dobrowolne, ale niezbędne w celu otrzymywania informacji objętych zgodą.

Dane będą przetwarzane na podstawie art. 6 pkt. 1 lit. a RODO do czasu cofnięcia wyrażonej zgody lub wyrażenia sprzeciwu.

Administratorem danych osobowych jest Agencja PR X, adres siedziby: ………….., adres e-mail: …………..

Inspektor Ochrony Danych, adres e-mail: ………….. 

Podstawa prawna: 

RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

UŚUDE – Ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną, art. 10.

UPT – Prawo Telekomunikacyjne Ustawa z dnia 16 lipca 2004 r. Prawo telekomunikacyjne, art. 172.

 

Komentarz końcowy

Powyższe teksty są próbą sformułowania przykładowych celów, klauzul i tekstów do formularzy rejestracyjnych w serwisach firmowych biur prasowych. Dotyczą stanu prawnego od dnia 25 maja 2018 roku. Teksty te nie powinny być traktowane jako wzory do bezpośredniego kopiowania.

Powyższy tekst nie jest poradą prawną.