Персональные данные участников мероприятий: что нужно знать организатору

Понравилось? Поделитесь с друзьями!


Как правильно собирать, обрабатывать, хранить и распространять персональные данные участников мероприятий в России? Как не нарушать соответствующий закон и не подвергать себя риску штрафов или даже уголовных преследований? Рассказывает Иван Мищенко, основатель компании А5000.

Speaker

Иван Мищенко,
основатель компании А5000

Федеральный закон России №152-ФЗ от 27 июля 2006 года «О защите персональных данных» является основным законом РФ, регулирующим вопросы обработки и защиты персональных данныхI, в том числе при сборе информации об участниках мероприятий. Документ определяет права и обязанности субъектов персональных данныхII, операторовIII и других участников процесса. Он также устанавливает процедуры для защиты данных и наказание за нарушение правил их обработкиIV.

Любой организатор мероприятия должен знать и учитывать закон о защите персональных данных. Но всегда ли он может и должен быть оператором обработки данных? Если организатор самостоятельно собирает, каким-то образом обрабатывает или хранит персональные данные участников события (включая их имена, контактные данные, медицинскую информацию или любые другие сведения, которые могут быть использованы для идентификации граждан), то он становится оператором обработки персональных данных. Но по закону недостаточно просто назваться «оператором» – необходима регистрация юридического лица в соответствующем реестре. При этом компания в любом случае обязана соблюдать все требования, установленные законом «О персональных данных», включая права субъектов персональных данных на доступ, удаление и защиту информации о себе.

В России операторами персональных данных являются сотни тысяч компаний. Любой организатор может подать заявление и стать им. Процесс включения в соответствующий реестр непростой и требующий время, поэтому многие игроки ивент рынка обращаются к профессионалам, которые занимаются регистрацией и аккредитацией участников мероприятий.

К сожалению, не все представители отрасли соблюдают это требование и зарегистрированы в реестре, однако это легко проверить, так как список является публичным – достаточно знать ИНН компании.

При выборе подрядчика важно также проверить в реестре, какие данные организация имеет право обрабатывать – у многих из них указаны только данные о собственных сотрудниках или неких «пользователях сервиса», которыми ваши участники могут не являться.

Важно помнить: если организатор мероприятия сам не является оператором персональных данных, то компании-операторы, занимающиеся сбором и обработкой персональных данных участников, не имеют права на передачу ему каких-либо персональных данных. Перед предоставлением отчетов организатору вся информация должна быть обезличена.

Основные этапы по работе с персональными данными

Почти любому организатору необходимо зарегистрировать и аккредитовать участников, отправлять информационные рассылки по электронной почте или SMS, печатать бейджи и обеспечить контроль доступа на мероприятие и/или в отдельные залы согласно категориям. Все это так или иначе требует сбора, обработки и хранения персональных данных.

1. Планирование схемы передачи информации

Прежде чем начинать собирать персональные данные участников, организатор должен разработать план их передачи, определить, кто будет этим заниматься и какие меры безопасности будут применяться.

2. Определение задействованных операторов и обработчиков

Организатор должен учитывать, кто выступает в качестве оператора (или обработчика данных) и что они будут делать с полученными данными. Как уже упоминалось ранее, устроитель события может и не быть оператором, взяв профессионального подрядчика (или несколько отдельных) и на регистрацию участников, и для различных электронных рассылок, и на обработку и подготовку отчетов после мероприятия. В этом случае, не имея доступа к данным участников, устроителю безусловно будет гораздо сложнее координировать процессы и разбирать возможные проблемные случаи.

3. Подготовка документов

Организатор должен разработать все необходимые документы, такие как Политика конфиденциальностиV и Согласие на обработкуVI персональных данных. Они должны ясно описывать, как будут использоваться персональные данные участников.

В случае участия в мероприятии граждан других государств, например граждан ЕС, необходимо учитывать и прописывать в Политике конфиденциальности дополнительные пункты, согласно требованиями европейского закона по работе с персональными данными (GDPR). Однако российский закон «О персональных данных» этого не требует – ответственность за нарушения GDPR находится в другой юрисдикции.

Закон «О персональных данных» также устанавливает обязанность для лиц, занимающихся обработкой персональных данных, предоставлять участникам мероприятий возможность отозвать свое согласие на обработку и распространение их персональных данных.

Кстати, ранее мы рассказывали, как обеспечить безопасность на мероприятии и избежать возможных юридических рисков

4. Сбор данных участников

На этом шаге вы собираете информацию об участниках мероприятия. Это может включать в себя их имена, контактные данные, даты рождения, адреса и т.д. Количество собираемых данных определяется организатором мероприятия, а компания-подрядчик по регистрации участников разрабатывает соответствующую веб-форму или даже несколько, если необходим сбор разной информации для разных категорий участников. Профессионально сделанные формы регистрации не только красиво выглядят и четко работают, но и позволяют оперативно в автоматическом режиме проверять корректность вводимы данных – телефона, электронной почты, паспортных данных и многого другого.

Перед тем, как собирать персональные данные участников мероприятий, необходимо получить согласие человека. Оно может быть письменным или же в виде явного действия, такого как отметка «галочки» рядом со словом «согласен…» при заполнении формы на сайте. Важно отметить, что обработка персональных данных должна выполняться только в том случае, если участник предоставил на это свое согласие. Это означает, что все действия, связанные с использованием персональных данных, должны быть заранее оговорены с участником, и получено его явное согласие.

Некоторые категории персональных данных, такие как финансовые, медицинские или биометрические, требуют более строгого контроля/ Bх обработка и хранение должны быть выполнены согласно законодательству о защите персональных данных, включая более высокие требования к сбору согласий на их обработку.

5. Обработка собранных данных

К ней относятся любые действия, при которых выполняется анализ, упорядочивание, систематизация, хранение, удаление или иное использование информации, содержащейся в собранных персональных данных участников мероприятия. Целями такой обработки может быть не только непосредственное использование данных для обеспечения участия в мероприятии (аккредитации участников и выдачи бейджей, размещения информации о спикере на сайте мероприятия, нетворкинга участников и т.д.), но и улучшение качества организации мероприятия, выявление тенденций, анализ рынка, улучшение услуг и др.

6. Хранение и обеспечение безопасности персональных данных

При обработке персональных данных для обеспечения должного уровня их безопасности необходимо выполнить следующие основные меры:

  1. шифровать персональные данные участников, чтобы защитить их от несанкционированного доступа;
  2. предоставить доступ к персональным данным только тем лицам, которые действительно нуждаются в нем для выполнения своих обязанностей;
  3. создавать резервные копии базы данных, чтобы в случае потери или повреждения исходных данных их можно было восстановить;
  4. ясно и прозрачно раскрывать информацию о том, как и зачем используются персональные данные участников, и о мерах, принимаемых для их защиты;
  5. периодически обновлять политику хранения и обеспечения безопасности персональных данных, чтобы удостовериться, что они соответствуют текущим техническим и законодательным требованиям;
  6. назначить ответственное лицо или группу лиц, чтобы контролировать хранение и защиту персональных данных участников;
  7. регулярно обновлять программное обеспечение, чтобы исключить уязвимости;
  8. в случае возникновения угрозы безопасности или возможного нарушения, организаторы обязаны незамедлительно уведомлять об этом участников мероприятий и принимать меры по ликвидации последствий;
  9. ограничение физического доступа к помещениям с серверами или носителями персональных данных.

В зависимости от классификации вашей информационной системы и технических особенностей ее реализации, модели угроз и рисков, данный список мер может быть существенно расширен.

Деятельность по технической защите конфиденциальной информации (в том числе и персональных данных) должна осуществляться только с помощью лицензированных государством средств и согласно соответствующим требованиям.

7. Распространение персональных данных

В случае публикации ФИО и фото спикера на сайте, размещения списка участников в мобильном приложении, использования сервиса электронных визиток EventID для нетворкинга на мероприятиях – вы не только собираете и обрабатываете данные, но и распространяете их, то есть делаете доступными для неопределенного круга лиц. Распространение сведений об участниках мероприятий должно происходить только с их отдельного согласия. Требования к такому согласию достаточно сложные, но широко описаны на сайте Роскомнадзора — ведомством даже создан специальный инструмент для формирования шаблона такого согласия.

В качестве варианта для реализации получения согласия, в процессе регистрации на ивент человек получает доступ к личному кабинету, где может установить, какую информацию о нем могут увидеть другие участники или третьи лица. Именно поэтому важно, чтобы Политика конфиденциальности была максимально ясной и подробной, а участник также давал отдельное согласие на распространение его персональных данных в рамках использования различных сервисов.

8. Уничтожение персональных данных

Может производиться различными способами, включая физическое уничтожение носителей, перезапись или удаление электронных сведений или их обезличивание. Удаление происходит, если цель сбора данных больше не актуальна или в случае, если участник отозвал свое согласие на обработку персональных данных.

Удаление персональных данных должен производить тот же оператор, который осуществлял их сбор и обработку. В России персональные данные участников мероприятия должны быть уничтожены в течение 30 дней с момента достижения цели сбора информации. При этом, если участник обратился с требованием удалить его данные, оператор обязан уничтожить их в течение 10 дней с момента поступления требования.

Продолжение следует. Вторая часть статьи будет посвящена ключевым ошибкам организаторов мероприятий и операторов обработки персональных данных. Следите за обновлениями на нашем портале.

I Персональные данные, согласно российскому законодательству, — это любая информация, относящаяся к определенному физическому лицу. Она может включать в себя фамилию, имя, адрес, номер телефона, электронную почту или другие сведения, которые позволяют идентифицировать человека. Сбор персональных данных — это процесс получения информации от человека.

II Субъект персональных данных — это физическое лицо, которое определяется персональными данными, то есть это человек, чьи персональные данные обрабатываются.

III Оператор обработки данных — это юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

IV Обработка персональных данных — это любое действие или их совокупность, совершаемых с использованием средств автоматизации или без применения таковых, с целью обработки персональных данных, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

V «Политика конфиденциальности» — документ описывает, как вы будете использовать и обрабатывать персональные данные участников мероприятия. Он должен содержать информацию о типе данных, которые вы собираете, как вы их используете, сроки хранения, и кто может иметь доступ к ним.

VI «Согласие на обработку персональных данных» — является официальным соглашением между вами и участником мероприятия, где последний дает свое согласие на обработку персональных данных. В этом документе также должна быть указана информация о типе данных, которые вы собираете, как вы их используете, и кто может иметь доступ к ним.

Материал подготовлен эксклюзивно для Event LIVE. При перепечатке или цитировании активная, открытая для индексации гиперссылка на страницу с публикацией обязательна. Любые рекомендации, предоставленные авторами и опубликованные на портале Event LIVE, являются выражением частного мнения данных специалистов. Указанная точка зрения может не совпадать с точкой зрения редакции, а равно и с мнением третьих лиц, включая иных специалистов. Редакция не несет ответственности за недостоверность предоставленных авторами данных и любые возможные убытки, понесенные лицами в результате применения публикуемых заключений и следования таким рекомендациям.


01.03.2023

Понравилось? Расскажите друзьям!
Вконтакте WhatsApp Telegram
наши темы
AI в ивенте CongressTime Event TALENTS Event-SREDA PR client relationship management digital for event Ивент в законе Ивент-Кухня Организаторы мероприятий УПРАВЛЯЯ ВПЕЧАТЛЕНИЯМИ архив событий бартерное сотрудничество безопасность билетные технологии благотворительность бюджетирование волонтеры выставки выставочная деятельность выставочный менеджмент городские события гранты декор делегат-менеджмент деловой туризм дизайн ивент в онлайне ивент и комьюнити ивент как бизнес интерактив искусство зрелища кейтеринг коммуникации конгресс-бюро конгресс-менеджмент конгрессная деятельность конкурс контент-менеджмент конференц-центр концепции концепция креативная команда креативная экономика молодые специалисты научная конференция нетворкинг обучение отраслевые события переводчики персонал площадки премии продажи продвижение промопродукция профессиональные ассоциации профиль клиента психология в ивенте работа со СМИ режиссура событие для кругозора событие про ивент событийный туризм спикеры и модераторы спонсорские мероприятия спонсорство мероприятий спортивные события среда события стандарты территориальный маркетинг технологии тренды устойчивое развитие экосистема события эффективность мероприятий
развернуть

ОБЩАЙТЕСЬ С НАМИ

ПРЕДЛОЖИТЬ ЭКСПЕРТА

При заполнении данной формы я соглашаюсь на обработку моих персональных данных, которая ведется в соответствии с принятой Политикой конфиденциальности
ПРИСЛАТЬ ЗАМЕТКУ

При заполнении данной формы я соглашаюсь на обработку моих персональных данных, которая ведется в соответствии с принятой Политикой конфиденциальности

Спасибо!

Редакция Event LIVE свяжется с Вами в ближайшее время для уточнения темы экспертного мнения и формата взаимодействия.

Спасибо!

Редакция Event LIVE свяжется с Вами в ближайшее время для уточнения темы экспертного мнения и формата взаимодействия.

Спасибо!

Для подтверждения подписки перейдите по ссылке, которая придет Вам на указанную электронную почту
При заполнении данной формы я соглашаюсь на обработку моих персональных данных, которая ведется в соответствии с принятой Политикой конфиденциальности