24 listopada 2025 r. został zatwierdzony przez Prezesa Urzędu Ochrony Danych Osobowych Kodeks postępowania dotyczący przetwarzania danych osobowych przez prywatne agencje badawcze. Kodeks został przygotowany z inicjatywy OFBOR i reguluje przetwarzanie danych osobowych respondentów.
Zakres regulacji Kodeksu w kontekście RODO
Celem Kodeksu jest doprecyzowanie zasad ochrony danych osobowych zawartych w RODO, podniesienie poziomu ochrony danych osobowych przez agencje badawcze oraz rozwiązanie praktycznych problemów agencji badawczych m.in. w obszarze określenia roli agencji w badaniach, wskazanie na podstawy prawne w badaniach telefonicznych, jakościowych, internetowych, określenie minimalnych standardów zapewniających bezpieczeństwo przetwarzania danych osobowych oraz zasad retencji danych osobowych.
Obowiązki agencji badawczych przy realizacji badań telefonicznych i online
Przechodząc do konkretnych obszarów kodeks wskazuje, że w przypadku realizowania badań telefonicznych:
- numer telefonu stanowi dane osobowe w rozumieniu RODO;
- agencje badawcze w ramach realizowania badań metodą RDD, czyli metody losowego generowania numerów telefonu zobowiązane są w ramach aranżacji do przedstawienia od razu po nawiązaniu połączenia informacji o nagrywaniu rozmowy. Ankieter przedstawia obowiązek informacyjny oraz przedstawia siebie oraz firmę, którą reprezentuje;
- jeśli chodzi o podstawy prawne przetwarzania danych osobowych w ramach procesu to mówimy o wyraźnej, dobrowolnej i konkretnej zgodzie respondenta na udział w badaniu oraz zgodzie na przeprowadzenie ewentualnej kontroli badania;
- ankieterzy inicjując połączenie zobowiązani do spełnienia obowiązku informacyjnego – kodeks wskazuje, że akceptowalna jest wersja skrócona obowiązku informacyjnego w trakcie rozmowy telefonicznej oraz zapewnienie możliwości zapoznania się z pełną treścią np. poprzez odczytanie wersji pełnej przez ankietera czy odesłanie rozmówcy do strony internetowej prowadzonej przez agencję badawczą.
Kodeks w analogiczny sposób traktuje prowadzenie badań internetowych oraz jakościowych w modułach poświęconych podstawom prawnych, obowiązkom informacyjnym, zasadom retencji oraz roli agencji badawczej w badaniu.
Wymagana dokumentacja ochrony danych osobowych w działalności badawczej
Warto zauważyć, że agencja badawcza powinna posiadać wdrożoną dokumentację z zakresu ochrony danych osobowych. Dokumentacja zgodności z RODO to kluczowy element systemu ochrony danych osobowych i podstawa do wykazania rozliczalności przed klientem będącym zleceniodawcą badania bądź organem nadzorczym w przypadku ewentualnej kontroli. W mojej ocenie podstawowa dokumentacja to:
- Polityka ochrony danych osobowych;
- Procedura weryfikacji procesora wraz z wzorem umowy powierzenia przetwarzania danych osobowych;
- Procedura reakcji na naruszenia ochrony danych osobowych;
- Rejestr czynności przetwarzania/rejestr kategorii czynności przetwarzania;
- Wzory klauzul informacyjnych /klauzul zgody;
- Analiza ryzyka/DPIA;
- Polityka anonimizacji i pseudonimizacji danych;
- Procedura realizacji praw osób, których dane dotyczą;
- Upoważnienia do przetwarzania danych osobowych, oświadczenia o zachowaniu danych w poufności, procedury szkoleniowe;
- Test równowagi interesów LIA, w przypadku chęci powołania się na przesłankę prawnie uzasadnionego interesu (np. prowadzenie Listy Robinsona).
W mojej ocenie przystąpienie do kodeksu rodzi realne pozytywne aspekty dla agencji badawczej tzn. zwiększa wiarygodność wobec klientów, bywa atutem w przetargach i zapytaniach ofertowych oraz pokazuje dużą świadomość organizacyjną w obszarze ochrony danych.
