Jak zorganizować event w zgodzie z RODO?

Jeśli organizujesz eventy lub konferencje, dziś podpowiadamy, jak zorganizować te wydarzenia zgodnie z przepisami dotyczącymi przetwarzania danych osobowych (RODO). Poniższy artykuł przygotowała dla Was Aleksandra Chrzanowska, Ekspert współpracujący z Cardilla w zakresie RODO i zgodności. Ola legitymuje się międzynarodowymi certyfikatami ‘Certified Information Privacy Professional’ oraz ‘Certified Information Privacy Manager’.

dane osobowe – o czym musisz pamiętać?

Nawet jeśli organizujesz event wyłącznie dla firm i prowadzisz biznes B2B, nie unikniesz przetwarzania danych osobowych i konieczności stosowania RODO. Przepisy chronią nie tylko dane osób fizycznych ale również dane przedsiębiorców prowadzących jednoosobową działalność gospodarczą, czy dane kontaktowe pracowników firm. Organizując event zazwyczaj będziesz zbierać i przechowywać dane uczestników wydarzenia (imię i nazwisko, firma/stanowisko) oraz dane niezbędne do rejestracji i komunikacji z uczestnikami (adres e-mail, numer telefonu).

Jeśli organizujesz event samodzielnie, wówczas występujesz w roli administratora danych i spoczywają na Tobie wszystkie obowiązki wynikające z RODO – przede wszystkim powinieneś przekazać uczestnikom klauzulę informacyjną RODO (spotkasz się również z określeniem Polityka prywatności), w której wyjaśniasz m.in. kto, w jakim celu, jak długo przetwarza dane, komu dane mogą zostać udostępnione i jakie prawa przysługują osobom, których dane przetwarzasz. Jeśli w celu organizacji eventu korzystasz z podwykonawców i oni będą mieli dostęp do danych, powinieneś podpisać z takim podmiotem umowę powierzenia przetwarzania danych. RODO definiuje minimalne elementy, które w takiej umowie muszą się znaleźć.

Jeśli organizujesz event, jako agencja, działając na zlecenie innego podmiotu – wówczas będziesz występować w roli tzw. procesora. Nie musisz wówczas wypełniać w stosunku do uczestników obowiązku informacyjnego (to powinien zrobić administrator) ale musisz pamiętać, że przetwarzasz wówczas dane osobowe na czyjeś zlecenie i nie możesz wykorzystywać tych danych w innych celach niż określone w umowie powierzenia (np. do własnych celów marketingowych w przyszłości).

Zawsze, zarówno na administratorze, jak i procesorze spoczywa obowiązek bezpiecznego przechowywania danych.

kiedy potrzebne są nam zgody?

Jeśli organizujesz event, to w celu przeprowadzenia procesu rejestracji uczestnika, kontaktu z nim w sprawie eventu, czy też rozliczenia płatności za uczestnictwo w wydarzeniu nie są potrzebne Ci żadne dodatkowe zgody. Formularz rejestracji powinien za to zawierać klauzulę informacyjną RODO (lub bezpośredni link do niej) i potwierdzenie uczestnika, iż zapoznał się z tym dokumentem (checkbox). Uczestnicy muszą bowiem zostać poinformowani, komu podają swoje dane i w jakich celach i jak długo będą one przetwarzane.

Zgodę od uczestników powinieneś zebrać, jeśli chcesz kontaktować się z nimi po wydarzeniu, np.: w celach marketingowych, w celu informowania ich o innych wydarzeniach i konferencjach organizowanych przez Ciebie w przyszłości. Udzielając zgody uczestnik powinien móc wybrać, czy godzi się na kontakt telefoniczny czy preferuje kontakt za pośrednictwem e-mail (wybór kanału komunikacji w celach marketingowych). Jeśli chcesz zbierać zgody marketingowe dla kilku różnych podmiotów (np. spółki z grupy kapitałowej, zgoda zbierana zarówno dla organizatora, jak i agencji eventowej), osoba powinna móc zdecydować i wybrać, czy chce udzielić zgody dla jednego z podmiotów, czy też dla nich wszystkich.

Pamiętaj, by zgoda marketingowa była ważna musi być ona wyraźna, jednoznaczna i dobrowolna – nie możesz uzależnić procesu dokończenia rejestracji przez uczestnika od wyrażenia zgody marketingowej. Nie możesz również domyślnie zaznaczyć checkboxów ze zgodami uczestnika (wymóg opt in vs. opt out). Możesz za to uzależnić proces dokończenia rejestracji od aktywnego potwierdzenia zapoznania się z klauzulą informacyjną RODO.

Bez żadnej dodatkowej zgody możesz więc wysłać wiadomość e-mail zawierającą np.: potwierdzenie rejestracji, szczegóły i program konferencji, fakturę za udział w konferencji. Możesz też poprosić uczestników o feedback po evencie (np. czy uczestnicy byli zadowoleni z miejsca, prelegentów, cateringu) – w takim przypadku komunikację kierujesz na podstawie uzasadnionego interesu prawnego i działasz zgodnie z RODO. Zgodę mieć musisz, jeśli zamierzasz do uczestników kierować komunikację e-mail, SMS, telefoniczną w celach marketingowych w przyszłości.

jak chronić dane osobowe
i jakie są najczęściej popełniane błędy?

Przetwarzając dane osobowe zarówno jako administrator, jak i procesor musisz zapewnić poufność i bezpieczeństwo danych. Jako niechlubny przykład z branży eventowej musimy przytoczyć sytuacje, w których uczestnicy podchodzą do stanowiska recepcyjnego i potwierdzają swoją obecność podpisem na liście obecności, mając przy okazji pełen wgląd w listę pozostałych uczestników organizowanego wydarzenia (np. lista zawierająca imiona i nazwiska, stanowiska, firmę). To zdecydowanie najczęstszy błąd popełniany przez organizatorów eventów. Zbierając dane osobowe powinieneś kierować się również zasadą minimalizacji, wymaganą wprost przez RODO – tzn. zbierając tylko te dane, które są absolutnie niezbędne np. w celu rejestracji uczestnika, przekazując pracownikom stanowiska recepcyjnego minimalny zakres danych uczestników. Pomocnym rozwiązaniem w takich przypadkach jest zorganizowanie stanowiska recepcyjnego z użyciem kodów QR wygenerowanych dla uczestników spotkania. Organizator wysyła za pośrednictwem e-mail indywidualny kod QR do każdego uczestnika, który później można zeskanować przy wejściu i tym samym potwierdzić swoją obecność. Unikamy w ten sposób konieczności pytania uczestnika o imię i nazwisko. Nową, dobrą praktyką w duchu zgodnym z RODO jest umieszczenie kodów QR na identyfikatorach uczestników, dzięki czemu uczestnicy mogą wyrazić zgodę na udostępnienie ich danych innym uczestnikom konferencji, w celu dalszego networkingu i utrzymania kontaktów po zakończeniu wydarzenia.

Posiadamy też wygodne, mobilne i łatwe w transporcie szatnie. Z wieszakami w klasycznym, nowoczesnym stylu, które idealnie pasują do naszych eventowych lad recepcyjnych. Transportujemy je w elementach do ekspresowego montażu, w zajmujących mało miejsca, wygodnych case’ach eventowych.

co zrobić z bazą danych uczestników po evencie?

RODO wprowadza zasadę czasowości, która oznacza, że dane osobowe powinny zostać usunięte, jeśli nie są już niezbędne dla celów, dla których zostały zebrane (np. uczestnictwo w konferencji) i upłynęły okresy retencji uzasadniające dalsze trzymanie danych. O ile uzasadnione będzie przechowywanie danych związanych z wystawieniem i rozliczeniem faktury za udział w konferencji lub jej organizację (zgodnie z przepisami podatkowymi i zdefiniowanymi dla nich okresami retencji- 5 lat), to dalsze trzymanie tak długo np. danych uczestnika i jego adresu e-mail nie będzie miało żadnego uzasadnienia. Wyjątek stanowi sytuacja, w której osoba uczestnicząca w evencie wyraziła odrębną, dodatkową zgodę na przetwarzanie jej danych w celach marketingowych – wówczas dane tej osoby, możesz trzymać tak długo, aż zgoda nie zostanie wycofana (pamiętaj, że zgodę można odwołać w każdym czasie, po jej wycofaniu nie masz prawa kierowania żadnej kolejnej komunikacji marketingowej).