GDPR – jak nastavit smlouvu mezi klientem a agenturou

25. 1. 2018 | Anna Freimannová
Jste marketingová, reklamní či PR agentura nebo klient, který využívá jejich služeb? A máte mezi sebou správně nastavenou smlouvu o zpracování osobních údajů? Pokud ne, zbystřete a čtěte. Po 28. květnu by vás tohle opomenutí mohlo přijít draho.

O nařízení GDPR jste už určitě slyšeli a není pro vás asi žádným překvapením, že od května hrozí za špatné nakládání s osobními údaji vysoké sankce. Co ale často překvapením bývá, je fakt, že většinu povinností, které GDPR přináší, už máte plnit už podle současné legislativy. Jednou z nich je zpracovatelská smlouva.

Proč je ve vztahu klient – agentura tolik potřebná? Kryje oběma stranám záda pro případ, že nastane při zpracování osobních údajů nějaký zádrhel. A nenechte se mýlit – osobní údaje v marketingu zdaleka nejsou jen e-mailové databáze (potenciálních) klientů.

Osobními údaji je všechno, pod čím lze identifikovat jednotlivce – kromě e-mailu taky například údaj o tom, co si kdo prohlížel za zboží v e-shopech (je-li poté možné jednotlivce s tímto údajem nějak propojit – ať již pomocí IP adresy nebo jiným způsobem), informace, které jste o něm získali z profilování nebo i jeho lajk na Facebooku. Osobní údaje hledejte také na fotkách, ve videích, při sbírání podkladů pro vytváření rozhovorů nebo PR článků, např. o CEO nebo o vašich zaměstnancích.

Jakmile s osobními údaji pracujete, jste buď správce nebo zpracovatel. Jak poznat, kdo je kdo? Zjednodušeně řečeno, správce určuje, které osobní údaje se mají sbírat a jak s nimi bude nakládáno,  a zpracovatel se v tomto řídí jeho pokyny. Ve vztahu agentura – klient je tedy nejčastěji klient správce a agentura zpracovatel. Může ale samozřejmě nastat i situace, kdy se agentura stane správcem osobních údajů – pokud např. spravuje klientskou databázi.

Správci a zpracovatelé mají odlišné povinnosti. Pro správce platí přísnější podmínky pro zacházení s osobními údaji. Zodpovídá za to, že zpracovatelé, kteří pro něj pracují, mají všechno v pořádku a osobní údaje jsou u nich v naprostém bezpečí. Jak to zajistit? Tušíte správně – nastavte si dobře zpracovatelskou smlouvu, vyhnete se tak mnoha problémům. Jste-li marketingová agentura a klient vám smlouvu sám nenabídne, buďte iniciativní a předložte ji vy – správně nastavená smlouva chrání obě strany.

Na co ve zpracovatelské smlouvě určitě nezapomenout?


Co a na jak dlouho

Ve smlouvě by mělo být stanoveno, že agentura a klient (identifikujte hned na začátku smlouvy agenturu jako zpracovatele a klienta jako správce) spolupracují na základě smluvního vztahu, při kterém dochází k předání osobních údajů. Ideálně uveďte, že správce určuje účel zpracování osobních údajů, poskytuje na jejich zpracování finanční prostředky a zpracovatel pro správce předané osobní údaje zpracovává v souladu s právními předpisy. 

Vyjmenujte ve smlouvě kategorie osobních údajů, které si mezi sebou předáváte, a způsob, jakým k tomu dochází. Co to znamená v praxi? Neposílejte si mezi sebou osobní údaje v excelovské tabulce jako přílohu e-mailu.

Doba zpracování by měla být součástí dokumentace (především znění souhlasů či informací), kterou klient agentuře poskytuje spolu s osobními údaji. Pokud jste agentura a klient vám tyto informace sám nepředal, vyžádejte si je.  Jako klient si po uplynutí dané doby ověřte, že agentura skutečně dané údaje odstranila. Myslete ve smlouvě také na to, co se s osobními údaji stane, pokud mezi sebou ukončíte spolupráci.   

Proč a na co

Pokuste se ve smlouvě co nejpodrobněji popsat, k jakému účelu osobní údaje potřebujete. Myslete ale na to, že osobní údaje je nutné zpracovávat v co nejomezenější míře a pouze k účelům, o kterých jste daného člověka řádně informovali. Jakékoliv dodatečné změny jsou bez jeho souhlasu neoprávněné. Jinak řečeno - účely vymezené zpracovatelskou smlouvou by měly korespondovat se zněním souhlasu, který dané osoby poskytly.

Co musíte a co můžete

Tato část smlouvy je klíčová, GDPR jí přikládá vysokou důležitost, a rozhodně by nemělo zůstat jen u prázdných vět na papíře bez faktického dodržování.

Stanovte si, že se zpracovatel (agentura) zavazuje přijmout opatření potřebná k bezpečnému zpracovávání údajů – jak vyhodnotíte v rámci předběžné analýzy riziková místa a oblasti, už je na vašem uvážení. Určitě nezapomeňte na povinnosti ohledně zabezpečení přístupu k databázím, zamezení předání osobních údajů třetím osobám, a zvažte, zda přístup k databázím neomezit jen na určité osoby. Vždy používejte šifrování a pouze ověřený software.

Samostatná kapitola je předávání dat dalším zpracovatelům – k tomu nesmí docházet bez souhlasu správce, tedy klienta. Nezapomeňte o tom osoby, jejichž údaje předáváte, informovat a být připraveni, že můžou vznést námitku.

Ve smlouvě explicitně uveďte také to, že agentura bude zpracovávat osobní údaje pouze v takové podobě, v jaké je od klienta dostala, pouze za účelem, za kterým jí byly svěřeny, a pouze po dobu, která je uvedena v souhlasu se zpracováním osobních údajů nebo informaci.

Nikdy nesdružujte databáze osobních údajů, které byly získány k rozdílným účelům, např. databázi klientů s databázi lidí, kteří se přihlásili k odběru vašeho newsletteru. I toto si stanovte ve smlouvě.

Neměla by v ní chybět ani povinnost agentury opravit či smazat osobní údaje podle pokynů klienta.

Nezapomeňte ani na závazek mlčenlivosti, vč. zaměstnanců nebo externích spolupracovníků.

A co když dojde k porušení povinností? I na to by smlouva měla myslet. Nastavte si odpovědnosti a myslete při tom opět i na zaměstnance a externí pracovníky, na možnost sankcí od úřadů a případnou úhradu způsobené škody. Hodit se může i zavázat partnera k povinnosti mít uzavřenou pojistku na škody způsobené porušením zpracovatelské smlouvy.

Jak by měla smlouva vypadat?

Že musí být písemná, je vám asi jasné.  Nemusíte ji ale mít papírově, elektronická forma úplně stačí. Není ani potřeba mít ji vyčleněnou zvlášť – pokud máte všechny tyto záležitosti ošetřené např. v rámci smlouvy o dílo, kterou mezi sebou jako agentura a klient uzavíráte, je to v pořádku.

A jedna důležitá rada na závěr

Pokud jste agentura, doporučujeme si s klientem nastavit takový režim, aby to byl vždy klient, kdo má volnou ruku nad vedením kampaně, kdo stanovuje požadavky a kdo vám zadává úkoly. Musí být evidentní, kdo drží otěže a má kontrolu nad vedením kampaně, a tedy zpracováním osobních údajů. Pokud si toto dobře nevymezíte, může se snadno stát, že se z vás z pohledu nakládání s osobními údaji stane správce, a začnou se na vás vztahovat mnohem přísnější pravidla. 


Kam dál? 

GDPR znesnadní rozesílání newsletterů i získávání e-mailů. Třeba e-mail výměnou za e-book nebo jiný obsah už nepůjde požadovat jako doposud. Je tu ale řešení... Poznejte ho v infografice.

Štítky dokumentu: Legislativa

To nejlepší z moderního marketingu každý pátek do vašeho inboxu.

Ochrana proti spamovacím robotům. Odpovězte prosím na následující otázku: Jaký je letos rok?