Na początku większość młodych firm outsourcuje marketing i IT do agencji lub freelancerów. To naturalne, ale bardzo często skutkuje chaosem własnościowym: domena zarejestrowana „na agencję”, dostęp do hostingu tylko przez czyjeś prywatne konto, statystyki w analityce podpięte do cudzego e-maila, a piksel reklamowy „należy” do wykonawcy. Efekt? Ryzyko blokady, utrudniony audyt kosztów, a przy zmianie dostawcy — paraliż działań. Ten przewodnik porządkuje, co musi być Twoje od pierwszego dnia, jak ustawić role i dostępy oraz jak opisać w umowie z dostawcą procedurę „offboardingu”.
Cyfrowe aktywa to nie tylko pliki na serwerze. To m.in.: domeny (i rejestrator), strefy DNS, hosting (www, e-mail, bazy), repozytoria kodu, CMS i jego wtyczki, konta i kontenery analityczne (GA4, Tag Manager), narzędzia webmastera (Search Console), konta reklamowe (Google Ads, Meta), menedżer kont biznesowych (Meta Business Manager), piksele i zdarzenia, katalogi produktów, narzędzia newsletterowe, CRM, a także dane: konfiguracje, eksporty, surowe logi, raporty, kreacje. Każdemu z tych elementów trzeba przypisać właściciela, administratora i procedury dostępu.
Domena musi być zarejestrowana na podmiot prowadzący działalność (Twoją firmę) z poprawnymi danymi i e-mailem w Twojej domenie lub przynajmniej na neutralnym służbowym adresie, do którego masz stały dostęp. Agencja może być tylko pełnomocnikiem technicznym. Dostęp do panelu rejestratora (transfer kod EPP, zarządzanie odnowieniami) powinien należeć do Ciebie, a wykonawca — mieć uprawnienia użytkownika. To samo dotyczy operatora DNS: klucze, rekordy i szablony przeniesiesz tylko wtedy, gdy panel jest Twój. Wymuś dokumentację rekordów (A/AAAA, CNAME, MX, TXT, SPF, DKIM, DMARC), aby migracje były powtarzalne i weryfikowalne.
Umowa na hosting (i e-mail) powinna być zawarta przez Ciebie. Agencja może administrować serwerem, ale nie może być jedynym posiadaczem konta rozliczeniowego ani jedynym administratorem. W CMS (np. WordPress) załóż główne konto właściciela i przyznawaj wykonawcom role niższego poziomu (Administrator tylko, gdy to konieczne; edytor/autor — częściej). Ustal harmonogram backupów: pliki i bazy co najmniej raz dziennie, snapshoty przed większymi zmianami, test odtworzenia raz na kwartał. Kopie powinny trafiać do Twojej przestrzeni (np. chmura firmowa), a nie wyłącznie na serwer agencji.
Konta analityczne i narzędzia webmasterów muszą powstawać na Twoim firmowym identyfikatorze (np. główny adres w domenie spółki). W GA4 to Ty jesteś właścicielem konta i właściwości; agencji nadajesz role (Administrator/Editor/Analyst) na poziomie, który jest niezbędny. Podobnie w Tag Managerze — kontener powinien należeć do Twojej organizacji, a wykonawca wprowadza zmiany przez wersjonowanie (wersje publikacji, dziennik zmian). W Search Console dodaj swoją domenę jako „właściciela potwierdzonego”, a wykonawców jako użytkowników pełnych lub z ograniczeniami. Dzięki temu przy zmianie agencji nie tracisz historii danych, listy błędów czy map witryn.
W Google Ads i w ekosystemie Meta obowiązuje prosta zasada: konto reklamowe, menedżer firmy i piksel mają należeć do Ciebie. Agencja dołącza jako partner (MCC w Google, partner w Meta Business Manager) z uprawnieniami, które można cofnąć. To samo dotyczy katalogów produktów, grup odbiorców, zdarzeń konwersji, domeny do weryfikacji i kont WhatsApp/IG. Jeżeli wykonawca tworzy zasoby w swoim Business Managerze lub na swoim koncie Ads, w praktyce „pożycza” Ci je — ryzykujesz utratę danych i historii oraz trudności przy weryfikacjach płatniczych.
W relacji marketingowej zwykle to Twoja firma jest administratorem danych (np. dane klientów, listy subskrybentów), a agencja — procesorem, który działa na podstawie umowy powierzenia. Umowa z wykonawcą powinna precyzować: zakres i cele przetwarzania, kategorie danych, środki bezpieczeństwa, pod-procesorów (np. platformy mailingowe), miejsce przechowywania, okres retencji i procedurę zwrotu/usunięcia danych po zakończeniu współpracy. Ważne jest też prawo do audytu oraz obowiązek wersjonowania zmian w skryptach śledzących i plikach cookie.
Wprowadź do umowy trzy filary: prawo własności, dostępy i offboarding. Po pierwsze, potwierdź, że domeny, konta, repozytoria, konfiguracje i dane powstające w ramach zlecenia należą do Ciebie (w tym prawa autorskie do kreacji, kodu i konfiguracji). Po drugie, skonfiguruj role: kto jest właścicielem, kto administratorem, a kto ma dostęp tylko do odczytu; oraz wymuś MFA dla dostępów o wysokim ryzyku. Po trzecie, ustal standard wyjścia: lista zasobów do przekazania (IDs, eksporty, klucze, panele), formaty eksportów (np. CSV, JSON), terminy (np. 5 dni roboczych od wypowiedzenia), tryb pomocy przy migracji oraz kary umowne za opóźnienie.
Przy zakończeniu współpracy przygotuj checklistę: pełny wykaz aktywów i dostępów, zrzuty ustawień kampanii i pikseli, eksporty danych (GA4, Ads, CRM, newsletter), przejęcie rozliczeń i metod płatności, przekazanie własności zasobów (np. piksel, katalog, domena), transfer repozytoriów i dokumentacji. Na końcu usuń dostępy agencji, zresetuj tokeny API, zmień hasła techniczne i potwierdź w protokole, że wszystko zostało zwrócone. Dobrą praktyką jest skrócony okres „read-only” dla byłego partnera (np. 7 dni), by domknąć ewentualne pytania.
Ustal politykę kont: wszystkie zasoby zakładane na e-mailach w domenie firmowej z włączonym uwierzytelnianiem wieloskładnikowym. Zakaz używania prywatnych skrzynek wykonawców do tworzenia kluczowych kont. Wymuś cykliczny przegląd uprawnień (np. co kwartał): kto ma admina, kto edycję, kto podgląd. W narzędziach z dziennikiem zdarzeń (GA4, Ads, Business Manager, CMS) monitoruj logi zmian. Raz w roku wykonaj test odtwarzania: przyjmij założenie, że agencja znika z dnia na dzień i sprawdź, czy w 24 godziny odzyskasz działanie stron, analityki i kampanii.
Najczęstszy błąd to zakładanie wszystkiego „na szybko” i „na konto agencji”. Drugi — brak dokumentacji i kopiowalnych konfiguracji (export/import). Trzeci — mieszanie płatności: karta agencji podpina się „tymczasowo” do Twojego Ads, po czym zaczynają się rozliczeniowe nieporozumienia. Czwarty — brak rozdzielenia ról w CMS i brak kopii w chmurze należącej do Ciebie. Piąty — brak zapisów o przeniesieniu praw do materiałów kreatywnych i kodu.
Model docelowy wygląda tak: Ty posiadasz i opłacasz domeny, DNS, hosting, główne konta i menedżery; agencja pracuje na nadanych uprawnieniach, dostarcza konfiguracje i raporty, a wszystko jest wersjonowane i możliwe do wyeksportowania. Dzięki temu zmiana dostawcy nie oznacza resetu do zera, a audyty i skalowanie — zamiast bólu — stają się rutyną.
https://www.icann.org/resources/pages/registrars-2020-01-01-en — ICANN: informacje o roli rejestratorów domen i zasadach przenoszenia; baza wiedzy o zasadach rejestracji.
https://www.dns.pl/wyszukiwarka — NASK (DNS.PL): wyszukiwarka i informacje o domenach .pl oraz dane rejestracyjne; pomocne przy weryfikacji właściciela.
https://support.google.com/analytics/answer/9304153 — Google Analytics 4: role i uprawnienia; jak ustawić właścicieli i administratorów.
https://support.google.com/tagmanager/answer/6107011 — Google Tag Manager: użytkownicy, uprawnienia i wersjonowanie; dobre praktyki pracy zespołowej.
https://support.google.com/webmasters/answer/2451999 — Google Search Console: typy użytkowników i właścicieli; weryfikacja domeny i nadawanie dostępów.
https://support.google.com/google-ads/answer/6139186 — Google Ads: dostęp do konta i poziomy uprawnień; zarządzanie przez konto menedżera (MCC).
https://www.facebook.com/business/help/113163272211510 — Meta Business Manager: role, uprawnienia i przypisywanie zasobów (piksel, konto reklamowe, katalog); zasady własności zasobów.
https://uodo.gov.pl/pl/138/569 — UODO: umowa powierzenia przetwarzania danych; elementy, które powinny znaleźć się w kontrakcie z procesorem.
Redakcja Reklama Kontakt Nasze portale i blogi
Wszelkie prawa zastrzeżone | Dział tematyczny Mindly.pl | Materiały w publikacjach | Zasady korzystania & Polityka prywatności
