Przedsiębiorca w starciu z koronawirusem okiem inspektora ochrony danych – badania marketingowe

Zlecanie badań marketingowych

W czasie zastoju gospodarki spowodowanym ograniczeniami mającymi spowolnić rozprzestrzenianie się koronawirusa, wielu przedsiębiorców musiało zmienić sposób prowadzenia swojego biznesu. Działania, które musiały zostać szybko dostosowane do bieżącej sytuacji to m. in. strategie marketingowe. Utrudnienia w handlu spowodowane zamknięciem sklepów oraz koniecznością cięć wydatków zakupowych uniemożliwiły marketingowcom korzystanie z dotychczas stosowanych narzędzi promocji i zmusiły do zmiany  sposobów działania. W opracowywaniu odpowiednich strategii marketingowych wielką rolę odgrywają ośrodki badania rynku pozwalające na analizę satysfakcji klienta, preferencji zakupowych czy jakości komunikacji z odbiorcą usług.

Na co powinniśmy zwrócić uwagę przy zlecaniu badań?

W zależności od tego na jaki rodzaj badania zdecyduje się zleceniodawca, agencje badawcze będą albo oddzielnym administratorem albo podmiotem przetwarzającym. Ustalenie tej relacji pomoże nam zrozumieć jakie obowiązki z zakresu ochrony danych osobowych musimy spełnić my – jako zleceniodawca – a co pozostaje w gestii agencji badawczych, które świadczą usługę.

Przede wszystkim,  w przypadku gdy powierzamy przetwarzanie danych agencji badawczej, a więc działamy jako administrator, powinniśmy zgodnie z art. 28 ust. 1 RODO zapewnić, że wybrany przez nas wykonawca będzie zapewniał odpowiednie gwarancje ochrony danych osobowych, a więc  że będzie posiadał odpowiednie zabezpieczenia techniczne (np. z zakresu bezpieczeństwa IT) oraz organizacyjne dotyczące przetwarzania danych. Jednym ze sposobów sprawdzenia rzetelności zabezpieczeń podmiotu przetwarzającego jest poproszenie agencji badawczej o wypełnienie ankiety sprawdzającej przed zleceniem badania. Przy ankietowaniu warto zwrócić uwagę m.in. na to czy wybrany podmiot posiada procedury ochrony danych osobowych, czy jest w stanie w prosty sposób opisać swoje zabezpieczenia infrastruktury sieciowej, czy powołał Inspektora Ochrony Danych lub czy posiada Certyfikat PKJBI – Programu Kontroli Jakości Bezpieczeństwa Informacji (https://www.ofbor.pl/index.php/standardy#pkjbi).

Po drugie administrator jest zobowiązany do spełnienia obowiązku informacyjnego wobec podmiotów danych , tak więc konieczne może okazać się przygotowania odpowiedniej klauzuli informacyjnej dla respondentów i zobowiązanie wykonawcy do jej przekazania przed rozpoczęciem przetwarzania danych.

Także na administratorze – a więc często zleceniodawcy – spoczywa obowiązek nadzoru nad prawidłowością przetwarzania danych w wykonywanym badaniu i realizacji oraz podejmowania działań polegających m. in. na zarządzaniu naruszeniami ochrony danych lub obsłudze żądań respondentów. Dobrze jest więc, żeby szczegóły współpracy pomiędzy stronami umowy zostały doprecyzowane przed jej zawarciem – m. in w ramach umowy powierzenia przetwarzania danych

Administrator czy podmiot przetwarzający?

Nie zawsze jednak możliwe będzie bezproblemowe wskazanie w jakiej roli występuje wybrana przez nas agencja badawcza. W doktrynie istnieje pogląd, że w większości przypadków agencje badawcze działają w charakterze odrębnego administratora danych osobowych[1]. Jednak w przypadku, gdy ośrodek badawczy działa na przekazanej mu przez nas bazie danych respondentów (np. naszych klientów lub pracowników), co do zasady będziemy mieli do czynienia z powierzeniem przetwarzania danych osobowych.

[1] Por. Kodeks Postępowania dotyczący Przetwarzania Danych Osobowych Przez Agencje Badawcze, s. 8, https://www.ofbor.pl/images/pliki/1_Kodeks%20post%C4%99powania_2019_.pdf (dostęp. 28.04.2020).

Autor

Paweł Sobel

Doświadczenie zdobywał pracując w uznanych krakowskich kancelariach specjalizujących się w zagadnieniach dotyczących ochrony danych osobowych, prawa własności intelektualnej, prawie medycznym oraz prawie pracy. Brał udział w tworzeniu dokumentacji oraz procedur w ramach wielu projektów wdrożenia RODO.