Персональные данные участников мероприятий: ключевые ошибки организаторов
Какие типичные ошибки совершают организаторы событий и операторы обработки персональных данных? Рассказывает Иван Мищенко, основатель компании А5000. Публикуем продолжение статьи «Персональные данные участников мероприятий: что нужно знать организатору».
Иван Мищенко,
основатель компании А5000
1. Заранее проставленная «галочка» в чек-боксе формы регистрации рядом с Согласием на обработку персональных данных. Это самая частая ошибка. Бывает, что такая галочка вообще не используется, а вместо нее размещается текст наподобие «Нажимая на кнопку зарегистрироваться, вы соглашаетесь с Политикой конфиденциальности». Так делать нельзя – чек-бокс по умолчанию должен быть пустой, «галочка» должна быть проставлена регистрирующимся самостоятельно и полностью осознанно.
2. Отсутствие оператора персональных данных в реестре Роскомнадзора. Напомним, что оператором персональных данных должно стать любое юридическое лицо, в котором есть сотрудники. Все компании, которые в рамках мероприятия получают доступ к данным участников, должны быть в соответствующем реестре.
3. Недоступность документов «Политика конфиденциальности» и «Согласие на обработку персональных данных»: ссылки на них есть в форме регистрации, однако сами документы отсутствуют и ознакомиться с ними негде. Часто Политика конфиденциальности не опубликована на сайте компании, что является нарушением.
4. Отсутствие отдельной «галочки» и согласия на распространение данных участников. Или другой вид ошибки с распространением данных – организаторы часто делают эту «галочку» обязательной к проставлению, не давая возможность зарегистрироваться без нее. Это также в корне неправильно – многие участники просто не хотят делиться своими контактами и имеют на это полное право.
5. Отсутствие отдельной «галочки» и согласия на получение рекламных/информационных рассылок. Указанное требование продиктовано другим федеральным законом – «О рекламе». То есть чтобы пригласить участника на ваше мероприятие в следующем году, вы обязаны получить согласие на обработку его персональных данных в течение года и отдельное согласие на получение им рекламных рассылок. Часто организаторы используют для приглашения списки участников прошлых лет, не сверяясь со сроками хранения информации в соответствии с согласиями.
6. Использование иностранных сервисов (Google Docs, Surveymonkey и др.) для сбора персональных данных. При обращении к указанным сервисам для обработки персональных данных вы не можете обеспечить хранение данных граждан РФ на территории РФ. Сотрудники нашей компании видели таблицы в Google Docs, в которых данные одних участников видны другим. Это влечет наложение существенных штрафов (до 18 млн. рублей при повторном нарушении). Необходимо также учитывать, что передача любых данных в иностранные сервисы или организации (например, при размещении группы ваших участников в иностранном отеле), является трансграничной передачей данных, что требует соответствующего согласия и уведомления Роскомнадзора.
7. Использование сервисов, которые не предназначены для обработки персональных данных. Необходимо внимательно прочитать условия использования сервиса: во многих из них указано, что сервис не предназначен для обработки персональных данных и не обеспечивает соответствующий уровень защиты. Например, популярный сервис Яндекс. Формы прямо указывает, что: «Сервис не предназначен для обработки специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, персональных данных о судимости. Пользователь не вправе создавать Формы, предполагающие предоставление этих данных». Это значит, что вы не можете собирать через указанный сервис фотографии, результаты ПЦР и проч. Также обратите внимание, что «Пользователь обязан соблюдать требования применимого законодательства в области персональных данных при обработке персональных данных респондентов. Пользователь обязан возместить Яндексу убытки, причиненные Яндексу вследствие нарушения Пользователем применимого законодательства в области персональных данных».
8. Формальный подход (или копипаст) документов по обработке персональных данных. В документах отсутствуют понятные цели, сроки и список обрабатываемых данных, список юридических лиц (операторов), указаны не те адреса сайтов. То есть некоторые организаторы берут нужные документы с чужих ресурсов и никак их не редактируют под свое мероприятие. Например, наша компания несколько раз встречалась с указанием своего юридического лица на событиях, к которым не имела никакого отношения.
9. Неправильное использование системы распознавания лиц. Идентификация участника «по лицу» (для автоматической распечатки беджа, открытия турникета, приветствия) является незаконной, если на этапе сбора данных (например, в форме регистрации на сайте или в личном кабинете) участник просто загрузил фотографию, но не предоставил юридически значимое письменное согласие на обработку биометрических персональных данных.
10. Ошибки при работе с персональными данными детей. За них согласие должны подписывать родители. Таким образом, если участниками мероприятия являются дети, в форме регистрации должны собираться данные не только детей, но и родителей/опекунов. А в Согласии на обработку персональных данных, должен быть указан и ребенок, и родитель/опекун, который и подписывает данный документ.
Все вышеперечисленное является не просто ошибками, но и прямым нарушением закона. В России несоблюдение требований ФЗ «О персональных данных» может повлечь за собой административную или уголовную ответственность. Административное нарушение грозит штрафом в размере до 18 млн. рублей для юридических лиц или до 100 тыс. рублей для физических лиц. Причем нарушение в отношении каждого участника могут засчитать отдельным, тогда сумма итогового штрафа соответственно умножится.
В случае уголовного нарушения, такого как несанкционированный доступ к персональным данным или их незаконная обработка, суд может приговорить к лишению свободы до двух лет или наказать еще более существенными штрафами. И такие прецеденты в сфере организации мероприятий уже неоднократно случались. Штраф даже в несколько сотен тысяч рублей для крупных организаторов – сумма не критичная, но вот сопутствующие репутационные потери могут оказаться для компании несравнимо более существенными.
Материал подготовлен эксклюзивно для Event LIVE. При перепечатке или цитировании активная, открытая для индексации гиперссылка на страницу с публикацией обязательна. Любые рекомендации, предоставленные авторами и опубликованные на портале Event LIVE, являются выражением частного мнения данных специалистов. Указанная точка зрения может не совпадать с точкой зрения редакции, а равно и с мнением третьих лиц, включая иных специалистов. Редакция не несет ответственности за недостоверность предоставленных авторами данных и любые возможные убытки, понесенные лицами в результате применения публикуемых заключений и следования таким рекомендациям.
06.04.2023