Dane osobowe dziennikarzy

Dane osobowe dziennikarzy to temat poruszany zazwyczaj w kontekście przetwarzania danych osobowych przez dziennikarzy. Dziś podejdziemy do tego tematu od drugiej strony, a mianowicie poruszymy problem przetwarzania danych osobowych dziennikarzy przez działy marketingu i promocji. Wielokrotnie podczas prowadzonych przez nas audytów zgodności działania organizacji z przepisami o ochronie danych osobowych mieliśmy do czynienia z bazami danych dziennikarzy, które tworzone były przez działy PR. Dotyczy to oczywiście przede wszystkich większych podmiotów, które mają rozbudowane działy marketingu oraz promocji do tego stopnia, że wyznaczono osoby, które mają za zadanie utrzymywać kontakty z prasą. Z prasą, czyli z konkretnymi dziennikarzami. Taka sytuacja ma miejsce często np. w firmach farmaceutycznych, bankach i koncernach samochodowych. Warto pamiętać, że dziennikarze nie tylko prowadzą bazy danych dziennikarzy w celach kontaktowych, ale organizują również dla nich różnego typu eventy i wyjazdy – często zagraniczne.

Dane osobowe dziennikarzyZ punktu widzenia ochrony danych osobowych nie ma wątpliwości, że przy okazji ww. czynności dochodzi do przetwarzania danych osobowych. Często jednak słychać głosy, które traktują dane w postaci imienia, nazwiska, służbowego adresu poczty elektronicznej i numeru telefonu jako dane służbowe, a zatem informacji, które można swobodnie i bez skrępowania wykorzystywać. Taki pogląd jest błędny. Ustawa o ochronie danych osobowych nie przewiduje kategorii służbowych danych osobowych, a jedynie podział na dane tzw. zwykłe i wrażliwe (art. 27 ust. 1 ustawy o ochronie danych osobowych). Oczywiście nie oznacza to, że takiej kategorii danych nie możemy wyróżnić. Praktyka pokazuje, że tzw. dane służbowe są wyróżnianie przez administratorów danych a ramy prawne określone przez ustawę o ochronie danych osobowych pozwalają nawet na ich szczególne traktowanie (szczególnie w kontekście podstaw przetwarzania / wykorzystywania i ich przekazywania). Zgodnie ze stanowiskiem GIODO:

Zgodne z ustawą o ochronie danych osobowych jest tworzenie na podstawie informacji powszechnie dostępnych baz danych dziennikarzy, ponieważ ustawa o ochronie danych osobowych nie zakazuje pozyskiwania danych ze źródeł powszechnie dostępnych, nie jest też na to potrzebna zgoda Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Zatem każdy może korzystać z danych umieszczonych np. w książce telefonicznej, Internecie czy prasie. Jednak, jeśli staje się ich administratorem, musi spełnić pewne wymagania z ustawy o ochronie danych osobowych.

Wracając do danych dziennikarzy. Załóżmy, że pracujemy w dziale PR banku – i jak to często się zdarza – posiadamy w arkuszu kalkulacyjnym tabelkę zawierającą dane osobowe dziennikarzy, z którymi utrzymujemy relacje, informujemy ich o nowych produktach i wydarzeniach ważnych dla banku. Co zrobić by dane osobowe pozyskiwać legalnie i móc je wykorzystywać w celach związanych z promocją marki?

Powinniśmy przede wszystkim zastanowić się, jaka będzie podstawa przetwarzania i jaki będzie zakres zbieranych danych osobowych dziennikarzy. Jeśli chodzi o tą drugą kwestię, powinniśmy brać pod uwagę jedynie dane służbowe dziennikarza a ich ilość ustalić na poziomie minimalnym, który pozwoli nam realizować ww. cele. Według mnie zatem wchodzi w grę pozyskiwanie takich danych dziennikarzy jak:

imię, nazwisko, służbowy adres poczty elektronicznej, służbowy numer telefonu komórkowe i stacjonarnego, miejsce pracy, historia współpracy

Proszę pamiętać, że jest to przykładowy zakres danych osobowych dot. zbioru dziennikarzy i u Państwa w organizacji może on wyglądać inaczej. Jako podstawę przetwarzania danych osobowych należy rozważyć art. 23 ust. 1 pkt 1 (zgoda na przetwarzanie danych osobowych) oraz pkt 5 (prawnie usprawiedliwiony interes administratora danych) ustawy o ochronie danych osobowych. Jako, że moim zdaniem nie dochodzi tutaj do naruszenia praw i wolności osoby, której dane dotyczą, a marketing nie będzie kierowany bezpośrednio do dziennikarzy, możemy zastosować tutaj przesłankę prawnie usprawiedliwionego celu. Oczywiście pamiętajmy, by w takim wypadku nie ingerować zbytnio w prywatność dziennikarza a jego dane osobowe wykorzystywać tylko w celach związanych z pełnieniem przez niego zawodu dziennikarza.

Aby legalnie przetwarzać omawiane dane konieczne jest również dopełnienie obowiązku informacyjnego określonego w art. 24 (jeśli dane pozyskujemy bezpośrednio od dziennikarza) lub art. 25 (jeśli dane pozyskujemy za pośrednictwem podmiotu trzeciego – np. redakcji prasowej) ustawy o ochronie danych osobowych.  Pamiętajmy, by w obowiązku informacyjnym określić precyzyjnie cel przetwarzania danych osobowych (np. promocja produktów i usług oferowanych przez administratora, informowanie o bieżącej działalności, organizacja wyjazdów informacyjnych dla prasy i telewizji, itd.).

Oprócz ww. obowiązków powinniśmy oczywiście co do zasady zarejestrować zbiór danych, chyba że, zgodnie z nowymi przepisami o ochronie danych osobowych, powołaliśmy Administratora Bezpieczeństwa Informacji. Omawiany zbiór danych powinniśmy opisać w dokumentacji przetwarzania danych osobowych oraz w odpowiedni go zabezpieczyć. Warto też pamiętać, że pracownicy działu PR powinni wprowadzać dane dziennikarzy do systemu informatycznego, który spełnia wymogi wynikające z przepisów o ochronie danych osobowych, a więc umożliwia m.in. automatyczne odnotowywanie daty pierwszego wprowadzenia danych do systemu oraz identyfikatora użytkownika, który wprowadził dane osobowe. Ten ostatni wymóg bywa często kontrolowany przez GIODO.

Ważnym wątkiem w dyskusji nad ochroną danych osobowych dziennikarzy jest także problem współpracy agenci PR ze swoimi klientami. Zdarza się coraz częściej, iż ci ostatni coraz częściej jako warunek nawiązania współpracy z agencją PR stawiają przekazanie przez agencję na rzecz klienta bazy danych dziennikarzy. Czy taki transfer danych jest legalny? Niestety co do zasady nie. Aby takie udostępnienie danych było legalne, należy zawrzeć odpowiednią umowę udostępnienia danych osobowych oraz spełnić obowiązki wynikające z ustawy o ochronie danych osobowych ciążące na administratorze danych (agencja PR) i odbiorcy danych (klient). Poniżej lista najważniejszych obowiązków:

Administrator danych (agencja PR)Odbiorca danych (klient)
  1. Poinformowanie dziennikarzy z bazy danych o fakcie udostępnienia danych (element obowiązku informacyjnego).
  2. Określenie podstawy udostępnienia danych osobowych (jedna z przesłanek określonych w art. 23 ustawy o ochronie danych osobowych).
  3. Aktualizacja w rejestrze zbiorów danych osobowych informacji na temat odbiorców danych osobowych (część D pkt 12 i 13 zgłoszenia).
  1. Dopełnienie względem dziennikarzy obowiązku informacyjnego, o którym mowa w art. 25 ustawy o ochronie danych osobowych.
  2. Legitymowanie się podstawą przetwarzania danych osobowych (jedna z przesłanek określonych w art. 23 ustawy o ochronie danych osobowych).
  3. Zarejestrowanie zbioru danych dziennikarzy.
  4. Uwzględnienie omawianego zbioru w polityce bezpieczeństwa.
  5. Zapewnienie odpowiednich środków techniczno-organizacyjnych zapewniających ochronę pozyskanych danych osobowych.

 

 

 

 

 

 

 

 

 

 

 

Podsumowując, powinniśmy pamiętać, iż:

  1. audytem z zakresu ochrony danych osobowych należy objąć także procesy przetwarzania danych w dziale PR,
  2. gromadzone dane w działach PR dane dziennikarze stanowią dane osobowe,
  3. zbierane dane dziennikarzy należą do kategorii służbowych danych osobowych i nie zawierają np. prywatnych numerów telefonów lub adres poczty elektronicznej,
  4. dane dot. dziennikarzy stanowią odrębny zbiór danych (do którego powinniśmy stosować wszystkie standardowe zasady wynikające z ustawy o ochronie danych osobowych),
  5. zbiór danych dot. dziennikarzy podlega obowiązkowi rejestracji w GIODO (chyba że administrator danych powołał Administratora Bezpieczeństwa Informacji lub przetwarza dane osobowe dziennikarzy bez wykorzystywania systemu informatycznego),
  6. należy przeszkolić pracowników działu PR z zasad ochrony danych osobowych.

Dodaj komentarz

Administratorem Twoich dobrowolnie podanych danych osobowych jest Auraco sp. z o.o. z siedzibą przy ul. Solec 81B/73A, 00-382 Warszawa. Twoje dane osobowe będą przetwarzane w celu dodania i opublikowania komentarza na zasadach określonych w regulaminie. Auraco sp. z o.o. nie będzie udostępniać Twoich danych osobowych, chyba że będzie to konieczne z uwagi na obowiązujące przepisy prawa. Przysługuje Ci prawo dostępu oraz poprawienia danych osobowych.