GDPR i agencja PR, czyli o tym, jak wchodzimy w RODO [case study]

Pierwsze sygnały o nadchodzącym GDPR, czyli po polsku RODO, brzmiały niczym syrena alarmowa. Jak wiadomo, taka syrena nie zwiastuje niczego dobrego. W najlepszym przypadku nalot dywanowy  problemów, komplikacji oraz, jak grzmiało wielu, także ogromnie wysokich kar finansowych i totalnej zmiany w systemie zarządzania firmą. Nadciągała katastrofa.

RODO: pierwsza fala uderzeniowa

To była pierwsza faza uderzeniowa, która obudziła w nas zainteresowanie tematem dokładnie na rok przed wejściem RODO w życie. Postanowiliśmy nie panikować, tylko systematycznie pogłębiać naszą wiedzę na ten temat. Robiliśmy to razem z obsługującą nas kancelarią prawną, robiliśmy to też na własną rękę. W końcu dla wszystkich, także dla prawników, temat był nowy i stawiał nowe wyzwania interpretacyjne. Właśnie dlatego – po pierwsze – postawiliśmy na dokładny desk research w internecie. Okazało się, że treści nawet w języku polskim było już dużo. Jednak poszukiwania w anglojęzycznym Google znakomicie poszerzały obraz i uspokajały, ponieważ publikacji zagranicznych było jeszcze więcej. Po drugie – uczestniczyliśmy w spotkaniach z kancelariami prawnymi, które organizowały płatne wystąpienia na interesujący nas temat. Zauważyliśmy, że w trakcie takich spotkań albo zaczynało się na karach zapisanych w Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27.04.2016 r., albo na nich kończyło (albo jedno i drugie). Tak, miało być strasznie, miało budzić i motywować do działania. Po trzecie – pojawiliśmy się na całodniowej konferencji branżowej administratorów danych osobowych.

Dzięki temu zapoznaliśmy się z różnymi punktami widzenia i zrozumieliśmy, że RODO jest niczym innym jak… zbawieniem dla agencji komunikacyjnych. Dlaczego?

RODO jest… zbawieniem dla agencji komunikacyjnych

Ponieważ poprzez koncentrację na ochronie prywatności osoby fizycznej pozwala na wzrost wartości profesjonalnego zarządzania przedsiębiorstwami, a nawet najmniejszymi projektami. Tworzy to ekosystem, w którym pojawiają się zarówno klienci, jak i agencje czy ich podwykonawcy. A system lojalizuje i cementuje. W każdą stronę. To taki biznesowy aspekt bycia gotowym do RODO.

Co zrobiliśmy w związku z tym w naszym systemie? Po pierwsze – zbudowaliśmy plan działania w ramach projektu, rozłożyliśmy go na miesiące, tak aby zakończyć przygotowania jeszcze przed 25 maja 2018 r., ale nie przygotowywać się w trybie ekspresowym, lecz móc pracować nad każdym elementem składowym projektu przez określony czas, potrzebny do przeprowadzenia prawidłowej analizy ryzyka. Dodatkowym powodem rozłożenia pracy w czasie były różne wytyczne, komentarze, opinie, interpretacje prawne, które zmieniały obraz projektowanych zmian wynikających z rozporządzenia. Podzieliliśmy plan pracy na 6 etapów:

  • określenie kategorii i czynności w ramach realizowanych przez nas usług, które zawierają dane osobowe oraz proces przetwarzania danych osobowych;
  • analiza prawidłowości systemów przetwarzania danych osobowych, w tym ustalenie podstawy prawnej uzyskania bazy danych;
  • ocena ryzyka przetwarzania danych osobowych pod kątem praw i wolności osób fizycznych, których dotyczą;
  • modyfikacje, zmiany, nowe systemy przetwarzania danych osobowych, w tym ułożenie procedur zabezpieczających dane osobowe;
  • aktualizacja dokumentacji prawnej towarzyszącej zmianom systemowym;
  • wdrożenie.

A co najważniejsze, w ramach poszczególnych etapów działań rozpoczęliśmy proces budowania szeroko rozumianej świadomości naszych pracowników, współpracowników i kontrahentów w zakresie wprowadzanych procedur zabezpieczających dane osobowe, ponieważ kluczem do skutecznego wdrożenia RODO w każdej firmie jest świadomość naszych ludzi w zakresie ochrony danych osobowych.

Wdrożenie

Zgodnie z podstawą RODO uznaliśmy privacy by design i privacy by default za podstawę prowadzenia projektów. W uproszczeniu wygląda to teraz tak, że planując jakiekolwiek działania, które wymagają zebrania czy przetwarzania danych osobowych (czyli w zasadzie każdy projekt…), musimy nakładać na nasze plany dokładną analizę systemu przetwarzania bazy danych na wszystkich etapach pracy i w relacjach z ludźmi oraz ewentualnego ryzyka związanego z realizowanym przetwarzaniem danych osobowych. Jeśli zatem organizujemy duże wydarzenie B2B dla naszego klienta, który zaprasza swoich głównych kontrahentów i ich klientów, rysujemy mapę relacji administrator–procesor. Już podczas pracy nad jednym projektem może się okazać, że możliwe będzie przetwarzanie danych na podstawie umowy pomiędzy agencją i klientem, ale wymagane jest także podpisanie kilku–kilkudziesięciu umów pomiędzy nami i klientami naszego klienta, ponieważ ostatecznie pracujemy na danych, które nie należą do naszego klienta.

W kontekście privacy by design zauważyliśmy wiele obszarów, które muszą zostać zmienione. Przykładem mogą być tzw. wpiski dziennikarskie czy też listy obecności na eventach. Recepcje nie mogą być wyposażane w listy gości, gdzie każdy może w ciągu chwili zobaczyć, kto jeszcze został zaproszony na ten event, o ile jej uczestnik nie zostanie o tym dokładnie poinformowany. To samo dotyczy identyfikatorów. Człowiek po prostu musi mieć świadomość, że zgadza się nie tylko na gromadzenie przez agencję danych osobowych, ale także na ich wykorzystywanie i ujawnianie w uzgodnionym i zamierzonym celu. Także na ekranie w sali konferencyjnej.

RODO to też minimalizacja czy też wyłączenie wykorzystywania niezabezpieczonych arkuszy excelowych, np. dla celów media relations. Prawo do bycia zapomnianym wskazuje na obowiązek wykorzystywania systemów pozwalających na centralne zarządzanie takimi zdarzeniami tak, aby osoba fizyczna w każdym czasie miała świadomość wykorzystywania danych osobowych oraz prawo do ich usunięcia z bazy danych. Wymusza także minimalizację zbierania danych, czyli wykonywania niniejszego procesu wyłącznie w zakresie uprzednio uzgodnionym z daną osobą poprzez spełnienie odpowiedniego obowiązku informacyjnego. Warto pamiętać, że jawność przetwarzanych danych osoby, której one dotyczą, nakłada na agencję obowiązek szybkiego udostępnienia takich danych osobie, która o nie poprosi, na przenośnym nośniku (płyta CD, pendrive) ze wskazaniem zakresu przetwarzania danych. Uprzedzając pytanie: tak, także dziennikarzowi pytającemu o to, jakie dane przetwarza agencja. Jak zatem poradzić sobie z takim wyzwaniem, jeśli w agencji działa kilkadziesiąt plików excelowych z bazami, a w każdym z nich mogą występować inne kolumny i inne dane? To już teraz się nie udaje. Dlatego też kończymy obecnie ostatnie poprawki nowego, centralnego systemu bazodanowego, skrojonego dokładnie według zasady privacy by design.

RODO często przywodzi nam na myśl automatyczne systemy przetwarzania danych. Prawda jest taka, że najwięcej wyzwań występuje na poziomie systemów manualnych i danych obecnych w fizycznej formie. Chodzi tu np. o zmianę mentalności w zakresie drukowania baz danych. Tylko nastawienie całej organizacji na privacy by default może sprawić, że pracownicy zadbają o ograniczenie drukowania baz i będą przechowywać wydruki w bezpiecznych miejscach. Na pewno takim miejscem nie jest drukarka znajdująca się w holu recepcyjnym lub biurko. Analizując poprawność działania obecnych systemów, odkryliśmy, że mamy rozwiązania technologiczne, które wystarczająco chronią wszystkie posiadane przez naszą agencję dane osobowe. Hakerzy wiedzą jednak, że systemy najłatwiej łamie się przez ludzi. I w tym zakresie każda firma ma chyba najwięcej do zrobienia. Nadal nie mogę zrozumieć, dlaczego firmy dają swoim pracownikom karty dostępu na smyczach z logotypami. To taka podpowiedź dla złodzieja – także danych – gdzie ma pójść, wejść, kraść, może nawet przetwarzać dane, zwłaszcza te leżące w nieładzie na biurkach.

RODO zmienia światopogląd klientów. Wysokie kary i systemowe rozwiązania wdrażane przez działy procurement i compliance będą promować pracę z dobrze zorganizowanymi podmiotami, które są w stanie zapewnić kontrolę nad danymi przetwarzanymi w imieniu klienta (jako procesorzy danych) lub z klientem (jako współadministratorzy). Na pewno pytanie „czy jesteście gotowi do RODO?” nie wystarczy. Spodziewamy się, że jeszcze przed 25 maja i tuż po nim firmy będą na większą skalę audytować swoich dostawców. Wiele już to robi. W trakcie takich działań wychodzą na jaw np. problemy z używaniem prywatnych urządzeń do celów służbowych. Najczęściej dzieje się to ze współpracownikami firmy działającymi na podstawie umowy B2B. Wiele takich osób używa własnych komputerów, na których instalowane są skrzynki pocztowe. Programy pocztowe to skarbnica danych osobowych! To temat na oddzielny artykuł, nawet książkę. Kto ma dostęp do takiego komputera poza godzinami pracy? Jaka jest systemowa, centralna kontrola nad procesem usuwania danych? Wystarczy, że taki komputer jest backupowany domowymi sposobami na domowym dysku i wtedy cały system się rozsypuje. Dane nie są usuwane skutecznie.

Zmiana prawa, zmiana mentalności

Zawierucha z RODO i nasze wewnętrzne działania pokazały także zmiany w mentalności w naszej agencji. Menedżerowie, którzy już przeszli przez odpowiednie szkolenia oraz uczestniczyli w procesie zmiany, chętnie doradzają klientom i prowadzą ich przez nowy system pracy na danych osobowych. Od początku roku otrzymujemy również od naszych klientów dokumenty, także audytowe, które bez najmniejszego trudu wypełniamy treściami zgodnymi z obecnym stanem przygotowań do RODO.

Ważna będzie także gotowość do przedstawienia dowodów systemowego wprowadzania RODO do modelu biznesowego firmy. Warto jednak pamiętać o zasadzie proporcjonalności rozwiązań do wielkości firmy i poziomu ryzyka związanego z przetwarzaniem danych osobowych. Jeśli firma jest mała, a ryzyko utraty danych niskie, to praca nad RODO nie będzie wymagająca. Trzeba będzie jednak wykazać taką procesową refleksję. Najlepiej udokumentowaną.

I już na koniec – RODO wdziera się w model biznesowy agencji. Zatem kluczowe jest zaangażowanie właścicieli, zarządu. Jeśli projekt będą prowadzić pracownicy niższego szczebla – bez pełnej świadomości osób zarządzających – trudniej będzie wprowadzać zmiany w firmie, które zapewnią odpowiednie zabezpieczenie danych osobowych.

Potrzebujesz planu wdrożenia RODO w Twojej firmie? Pobierz naszego e-booka, a dostaniesz cały pakiet niezbędnych w tym celu informacji i praktycznych wskazówek:


RODO w PR: case study

PR w bankowości korporacyjnej. Jak komunikować, gdy „pieniądze lubią ciszę”?

PR w bankowości korporacyjnej. Jak komunikować, gdy „pieniądze lubią ciszę”?

Choć „duże pieniądze lubią ciszę” to Magdalena Ujda-Tarczyńska przekonuje, że w sektorze bankowości da się robić ciekawe projekty.