Wirtualne spotkania – jak zadbać o bezpieczeństwo danych?

W erze zagrożenia epidemicznego wirtualne spotkania mocno zyskały na popularności. Rozwój tej formy organizowania szkoleń i konferencji sprawił, że przed agencjami i ich klientami pojawiły się nowe wyzwania dotyczące bezpieczeństwa danych osobowych oraz przygotowania eventów w sposób zgodny z przepisami RODO.

Źródłem popularności spotkań wirtualnych i hybrydowych są przede wszystkim zakazy i ograniczenia prawne nakładane przez rząd w związku z pandemią. Uczestnicy takich wydarzeń szybko docenili komfort i bezpieczeństwo, które wiąże się z taką formą spotkań i należy założyć, że pozostaną one wiodącym trendem na stałe. Dlatego warto przeanalizować, jakie warunki powinny zostać spełnione, aby zorganizować wydarzenie online z poszanowaniem zasad, dotyczących ochrony danych i prywatności jego uczestników.  

Podstawowe zasady

Każdy przedsiębiorca, który wykorzystuje w swojej działalności dane osobowe, jest objęty obowiązkami wynikającymi z RODO. Wśród najważniejszych można wymienić:

• Zorganizowanie działalności w taki sposób, aby wszystkie dane osobowe posiadały legalną podstawę przetwarzania (m.in. umowa, zgoda, obowiązek prawny) oraz aby ilość zbieranych danych i operacji na nich wykonywanych nie przekraczała niezbędnego minimum.
• Zorganizowanie technicznych środków bezpieczeństwa danych – co najmniej na poziomie standardów rynkowych, adekwatnie do ilości posiadanych danych oraz ich „wrażliwości”.
• Przeprowadzenie działań organizacyjnych i formalnych – m.in. zawarcie umów dotyczących RODO z klientami i podwykonawcami, udzielenie upoważnień i przekazanie instrukcji pracownikom, stworzenie dokumentacji wewnętrznej opisującej środki zabezpieczenia danych i procedury (np. przyznawania uprawnień do baz danych, na wypadek incydentu naruszenia bezpieczeństwa danych, w związku z przekazywaniem i utylizacją dokumentów i sprzętu IT z danymi osobowymi).
• Przekazanie odpowiednich informacji osobom, których dane osobowe są przetwarzane.

Najprostszym rozwiązaniem powyższych problemów wydaje się zakup w sieci „pakietów RODO”, których cena rozpoczyna się już od kilkuset złotych. W ramach takiego zakupu otrzymamy zestaw dokumentów wraz z podstawowymi informacjami, jakie powinny zostać uzupełnione i wdrożone. Pakiet taki często zawiera również wytyczne dla informatyka, w jaki sposób dane powinny być zabezpieczone pod względem technicznym. Należy jednocześnie pamiętać, że tak atrakcyjna oferta ma również  słabe strony. Za kilkaset złotych otrzymamy szablon, który należy samodzielnie  rozumieć, uzupełnić, a niekiedy także zmodyfikować, gdyż nie będzie on w pełni odzwierciedlał specyfiki prowadzonej przez firmę działalności. Dla mikroprzedsiębiorcy jest to jednak wariant warty rozważenia – przy niewielkim koszcie i odrobinie samozaparcia osoba prowadząca jednoosobową działalność czy mała firma jest w stanie wdrożyć RODO na przyzwoitym poziomie przy wykorzystaniu tego typu wzorów. Zapewne nie unikniemy przy tym mniejszych błędów, lecz ryzyko prawne z tym związane powinno być i tak znacznie niższe w porównaniu z podmiotami, które wejścia w życie RODO wciąż nie przyjmują do wiadomości.  Z kolei, jeżeli skala działalności firmy jest większa lub przetwarzanie danych odgrywa w niej istotną rolę, we wdrożenie RODO zdecydowanie zalecane jest zaangażowanie prawnika i umożliwienie mu współpracy z informatykiem lub firmą świadczącą  usługi IT. Tylko w taki sposób otrzymamy gwarancję, że zabezpieczenia, procesy,  dokumentacja i informacje o przetwarzaniu danych są adekwatne do wykorzystywanych rozwiązań technicznych i podejmowanych działań biznesowych. Pozwoli to uniknąć ewentualnych kar pieniężnych, których wysokość sięga nawet 20 mln euro lub 4 proc. zeszłorocznego przychodu.

Imprezy online

Podczas organizacji wydarzenia online,  prócz standardowych wyzwań i obowiązków  z zakresu RODO opisanych powyżej, powinniśmy wziąć pod uwagę następujące okoliczności:

• Zapisy na wydarzenie online odbywają się zazwyczaj przez formularze na stronie internetowej. Należy pamiętać, że do formularza powinna być dołączona odpowiednia nota RODO, zawierająca również odwołanie do polityki prywatności lub regulaminu, w którym uczestnik ma możliwość zapoznania się z pełną informacją o przetwarzaniu danych osobowych. Uczestnik powinien mieć możliwość łatwego zrozumienia, jakie dane wymagane w formularzu są obowiązkowe, a jakie dobrowolne oraz na jakie dokładnie potrzeby będą wykorzystywane przez organizatora. Jeżeli przy okazji  zapisu na wydarzenie chcemy budować naszą bazę marketingową (np. newsletter), powinna zostać udostępniona uczestnikom opcja wyrażenia wyraźnej i dobrowolnej zgody na takie działania. Nie możemy również zapomnieć o uregulowaniu na stronie internetowej kwestii cookies, gdyż pliki te umożliwiają zbieranie informacji o użytkownikach i pozostają w ścisłym związku z przetwarzaniem danych osobowych.
• Wydarzenia online wiążą się z udostępnianiem (a niekiedy także utrwalaniem) wizerunku prelegentów i uczestników. Kwestia ta powinna być szczegółowo uregulowana w umowie lub w regulaminie wydarzenia, gdyż wizerunek to jedna z kategorii danych osobowych. Powinniśmy pamiętać o regulacjach dotyczących wykorzystania wizerunku w celach promocyjnych i informacyjnych, jeżeli takie działania przewidujemy.
• Należy wziąć pod uwagę, że nabywca biletu i uczestnik wydarzenia to z reguły inne osoby. Co więcej, jeżeli nabywcą jest spółka to często działa ona przez swojego pracownika, którego dane kontaktowe mogą być podawane w formularzu (np. księgowa, asystentka). W praktyce, na potrzeby zakupu biletu i uczestnictwa w wydarzeniu mogą być podawane dane aż trzech kategorii osób. Nasze informacje, dotyczące przetwarzania danych osobowych, powinny być dostosowane do każdej z nich. Powinniśmy też pamiętać, że zgody udzielane przez jedną z tych osób nie obejmują pozostałych.
• Dane osobowe nie powinny być przechowywane dłużej bez konkretnej, uzasadnionej potrzeby. Dlatego na etapie planowania wydarzenia powinniśmy zastanowić się, które dane potrzebne są nam na potrzeby księgowe lub na potrzeby rozpatrywania reklamacji, a które możemy zachować na dłużej, dzięki zgodom wyrażonym przez uczestników. Pozostałe dane, dla których nie jesteśmy w stanie wskazać powodu przechowywania, powinny zostać bezzwłocznie usunięte.
• Organizacja wydarzenia online wiąże  się zazwyczaj z koniecznością zebrania  szerokiego zakresu danych osobowych. Imię, nazwisko, miejsce zatrudnienia, stanowisko, adres, login i hasło, adres email, numer telefonu, numer rachunku bankowego, wizerunek – to niektóre z nich. Ewentualny wyciek takich danych mógłby spowodować poważne problemy po stronie uczestników oraz narazić organizatora na wysokie sankcje. Dlatego do tematu technicznego zabezpieczenia danych powinniśmy podejść z pełnym profesjonalizmem. Jeżeli w naszej organizacji brakuje osoby biegłej w tym zakresie, należy zgłosić się o pomoc do wiarygodnej firmy, mogącej pochwalić się doświadczeniem i referencjami. Gdy bowiem okaże się, że wyciek danych był wynikiem zastosowania zawodnych metod zabezpieczenia, szansa za uniknięcie kary za naruszenie przepisów, dotyczących ochrony danych, będzie niewielka.
• W przeprowadzenie spotkania online zaangażowanych jest zazwyczaj wiele podmiotów. Są nimi m.in. klienci, sponsorzy, organizatorzy (jeden lub kilku), firmy odpowiedzialne za obsługę techniczną i marketingową. Podmioty te są zobowiązane zawrzeć odpowiednie umowy (o treści zależnej od ich funkcji w przetwarzaniu danych osobowych), a osoby, których dane są zbierane, powinny uzyskać informacje, jakie firmy i z jakiego powodu mają dostęp do bazy.

Zakres obowiązków związanych z zabezpieczeniem danych przy wydarzeniu online jest szeroki, a ich wykonanie często stanowi nie lada wyzwanie. Dla podmiotów organizujących tego typu spotkania jest to jednak konieczność. W dobie rosnącej powszechnej świadomości znaczenia prywatności, profesjonalne podejście do tematu ochrony danych osobowych należy uznać za standard rynkowy i naturalną konieczność w branży MICE.

Artykuł ukazał się w magazynie Think Mice – https://www.thinkmice.pl/news/prawo/3330-wirtualne-spotkania-jak-zadbac-o-bezpieczenstwo-danych

Bartosz Mysiak, radca prawny, praktyka ochrony danych osobowych, LSW Leśnodorski, Ślusarek i Wspólnicy.

Specjalizuje się w zagadnieniach dotyczących prawa własności intelektualnej, prawa nowych technologii, prawa mediów i reklamy, praw konsumenta oraz ochrony danych osobowych.