Czym jest RODO?

RODO, czyli inaczej Rozporządzenie Ogólne o Ochronie Danych Osobowych jest unijnym rozporządzeniem, mającym na celu ujednolicenie, modernizację i wzmocnienie ochrony danych osobowych, które weszło w życie 25 maja 2018 roku.

Pamiętajmy, że ochrona danych osobowych sprzed 2018 nie była w Polsce niczym obcym. RODO obecnie zastępuje naszą rodzimą Ustawę o Ochronie Danych Osobowych z 1997 r. i „wspomaga” Ustawę o ochronie danych osobowych z dnia 10 maja 2018 r., a także Ustawę z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

Celem regulacji jest zapewnienie swobodnego przepływu danych osobowych pomiędzy państwami członkowskimi, ale taż wprowadzenie zasad, zgodnie z którymi przetwarzanie danych osobowych będzie ujednolicone na terenie całej Unii Europejskiej. Przepisy związane z RODO dają nadzieję na to, że nowe przepisy będą przestrzegane w większym stopniu i z większym zaangażowaniem niż dotychczasowa ustawa o ochronie danych osobowych.

Zobaczmy teraz jak wygląda zastosowanie RODO w branży eventowej i wydarzeń takich jak organizacja konferencji.

Rozporządzenie RODO na eventach

Agencja eventowa, która organizuje event dla firmy zewnętrznej – kto jest Administratorem Danych Osobowych?

W większości standardowych przypadków to firma zlecająca organizację eventu, jest administratorem danych osobowych, a organizator wydarzenia, czyli w tym wypadku agencja eventowa lub centrum konferencyjne, jest tzw. procesorem danych, czyli podmiotem przetwarzającym dane w imieniu administratora.

W takich przypadkach konieczne może się okazać podpisanie z agencją eventową osobnej umowy na przetwarzanie danych osobowych, która zabezpieczy nie tylko interes zamawiającego, ale będzie stanowić podstawę niezbędną do działań agencji.

Agencja eventowa, która organizuje wydarzenie we własnym imieniu – kto jest Administratorem Danych Osobowych?

W przypadku, gdy interesuje nas organizacja eventów online lub stacjonarnych w swoim imieniu musimy poinformować grupę docelową o tym, że to właśnie my jesteśmy administratorem danych, jak również o wielu innych czynnikach np. o tym jak długo będą przetwarzane ich dane osobowe oraz w jakim celu.

Możemy tego dokonać poprzez wstawienie obowiązku informacyjnego w formularzu rejestracji na wydarzenie, na stronie internetowej zawrzeć informacje w regulaminie dotyczącym eventu, z którym każdy potencjalny uczestnik przed zakupem eventu, musi się zapoznać.

Zebrane dane są nam potrzebne w celu wykonania danej usługi na rzecz uczestników. Rejestracja uczestników, tworzenie list mailingowych do ankiet, drukowanie identyfikatorów – wszystkie te czynności zaliczają się do przetwarzania danych i wymagają zastosowania przepisów o ochronie danych osobowych.

Jakie treści powinna zawierać umowa o powierzeniu przetwarzania danych osobowych?

Umowa o przetwarzanie danych pomiędzy podmiotem organizującym wydarzenie, a firmą zewnętrzną powinna zawierać przede wszystkim przedmiot, czas przetwarzania danych osobowych oraz ich rodzaj. Ważne jest także zwrócenie uwagi na to, że konkretne dane są przetwarzane na pisemne polecenie administratora.

W umowie należy także zapewnić, że osoba upoważniona do zarządzania nimi, zobowiązuje się do zachowania tajemnicy oraz poinformować, co stanie się z danymi po zakończeniu usług, do których potrzebna była zgoda na ich przetwarzanie.

Dlaczego RODO jest dziś tak ważne?

Przestrzeganie przepisów o ochronie danych osobowych ważne jest z kilku powodów. Niestety kradzież danych osobowych staje się w ostatnich latach coraz większym problemem, dlatego też konieczne stało się wprowadzanie nowych form ich ochrony.

Największą motywacją do przestrzegania prawa mogą być m.in. koszty wizerunkowe, szczególnie, że w dzisiejszych czasach coraz więcej osób ma świadomość tego, że ich personalia mogą być niewłaściwie wykorzystywane, przez co też przykładają szczególną uwagę do tego, w jaki sposób firmy podejmują kroki ku ich zabezpieczeniu.

W przypadku kiedy wybrana organizacja nie przestrzega właściwie zasad RODO, traci w oczach i zyskuje niską renomę. Jednak mimo wszystko, największym motywatorem do działalności zgodnej z prawem są wysokie kary za nieprzestrzeganie tego unijnego rozporządzenia.

Jakie treści musi zawierać umowa na przetwarzanie danych osobowych?

Zgodnie z przepisami RODO umowa o przetwarzanie danych osobowych musi zawierać:

  • przedmiot przetwarzania;
  • czas trwania przetwarzania danych osobowych;
  • charakter i cel przetwarzania danych osobowych;
  • rodzaj danych osobowych;
  • kategorie osób, których dane dotyczą;
  • obowiązki i prawa administratora.

Wizerunek

RODO stawia przed nami wyzwania natury technicznej i organizacyjnej, ale zostało tak zaprojektowane, żeby zapewnić kontrolę nad danymi przetwarzanymi przez organizacje. Można powiedzieć, że RODO obliguje Nas do szanowania prywatności uczestników oraz promuje transparentność i poprawność przetwarzanych danych osobowych.

Zgoda

Zgoda, którą w niektórych przypadkach udzielić muszą uczestnicy (w naszym przypadku wydarzenia) musi być dobrowolnym, konkretnym, świadomym i jednoznacznym okazaniem woli. To znaczy, że uczestnicy samodzielnie zaznaczyć muszą wybrane checkboxy. Do tego musisz wskazać organizacje, które będą miały dostęp do tych danych.

Dziś nie wystarczy wskazać branży – musisz przedstawić konkretne organizacje i cele, a także zamieścić osobne klauzule dla osobnych celów przetwarzania danych. np. w większości przypadków zgoda na przetwarzanie do celów marketingowych musi być osobną klauzulą i nie może być wymagana. Podczas rejestracji na wydarzenie podstawowym celem jest obsługa podczas tego wydarzenia, a marketing jest osobną kwestią, więc tak też musi być traktowany.

Dodatkowo, jeśli chcemy, aby dane przekazywane były stronom trzecim (nie wspierającym nas w procesie Eventu) – musimy takie zapytania umieścić w osobnych klauzulach wraz z nazwami tych podmiotów wystawców. Jeśli chcemy, żeby uczestnicy wyrażali zgodę na podstawie skanowania identyfikatorów przy stoiskach wystawców, taka informacja musi być umieszczona w widocznym miejscu.

Inspektor Ochrony Danych (IOD)

IOD pomaga administratorowi danych we wszystkich kwestiach związanych z ochroną danych osobowych. Oczywiście musimy mieć na względzie, że nie każdy administrator danych musi powoływać IOD. Wyjątkiem jest sytuacja, kiedy zachodzi jedna z poniższych przesłanek:

  • przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości
  • główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą na dużą skalę.
  • główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO oraz danych osobowych dotyczących wyroków skazujących i czynów zabronionych, o których mowa w art. 10 RODO.

Podsumowanie

Ochrona danych osobowych to nieodzowna część każdego biznesu i naprawdę warto się do tego przyłożyć, aby nie popełnić błędów, które będą nas sporo później sporo kosztować. Najważniejsze, żeby się nie bać. Należy się dokładnie zaznajomić z przepisami, skorzystać z rad ekspertów oraz zacząć praktykować zabezpieczenia.

Powodzenia!