RODO to nowe unijne rozporządzenie dotyczące ochrony danych osobowych, które zmienia cały system ochrony danych osobowych. Oczywiście nie jest tak, że do tej pory w Polsce nie mieliśmy przepisów o ochronie danych osobowych. Z ich przestrzeganiem bywało jednak różnie. RODO i okoliczności, które mu towarzyszą dają nadzieję na to, że nowe przepisy będą przestrzegane w większym stopniu niż dotychczasowa ustawa o ochronie danych osobowych. RODO w eventach będzie stosowało się od 25 maja 2018 r. Jest więc dzień, od którego administratorzy danych muszą przestrzegać nowych przepisów. Zobaczmy jak to wygląda w branży eventowej.
Dziś o RODO w eventach porozmawiam z Karolem Wątrobińskim, radcą prawnym oraz partnerem w Kancelarii Janowski Markiewicz. Karol specjalizuje się w ochronie danych osobowych, prawie własności intelektualnej i prawie IT. To także współautor prawniczego bloga „Wokół prawa własności intelektualnej”.
Karol doradza m. in. firmom działającym w obszarze nowych technologii i e-commerce. Wspiera w kwestiach prawnych startupy na wszystkich etapach działalności, od rozpoczęcia pierwszych prac nad projektem, aż do wprowadzenia produktu lub usługi na rynek.
Dba o prawidłowe wdrożenie przepisów RODO w przedsiębiorstwach i pomaga klientom dostosować się do nowych wymogów. Przeprowadza audyty dotyczące przetwarzania danych osobowych i przygotowuje dokumenty zapewniające zgodność działalności firmy z przepisami RODO.
Prelegent i wykładowca na seminariach, konferencjach oraz szkoleniach. Autor artykułów w prasie branżowej. Mentor w wydarzeniach Startup Weekend i programie Huge Thing.
Po pierwsze wyjaśnijmy może kogo dotyczy RODO w eventach. Z tego co słyszę, to często organizatorzy twierdzą, że oni nie są właścicielami danych. Czy możesz rozwiać wątpliwości? Czy jeśli prowadzę biznes B2B, np. agencję, to czy RODO również mnie dotyczy?
RODO chroni dane osobowe osób fizycznych. Przedsiębiorcy, którzy przetwarzają dla swoich celów dane takich osób, na przykład takie jak imię, nazwisko, adres e-mail, adres zamieszkania, czy telefon, będą zmuszeni do przestrzegania RODO. Nowe przepisy nie chronią danych spółek, w tym danych o firmie oraz danych kontaktowych spółki. Chronią jednak dane osób prowadzących jednoosobowe działalności gospodarcze.
Ogromna większość przedsiębiorców w Polsce przetwarza dane osobowe osób fizycznych. Nawet jeśli jedynymi partnerami biznesowymi konkretnej firmy są spółki, to zapewne przetwarza ona na przykład dane osobowe pracowników tych spółek. Trudno więc wyobrazić sobie firmę, do której RODO w ogóle nie znajdzie zastosowania.
Podobnie jest w przypadku organizatorów eventów. Przetwarzają oni sporo danych osobowych. Chodzi tu na przykład o dane osób, które biorą udział w danym wydarzeniu. Jeśli organizujemy event we własnym imieniu, to jesteśmy administratorem tych danych i musimy spełnić określone w RODO obowiązki. Przykładowo powinniśmy przedstawić uczestnikom eventu stosowne pouczenie o tym co robimy z ich danymi.
Nieco inaczej sytuacja wygląda jeśli organizujemy event w imieniu innej firmy. Wówczas to ta firma będzie administratorem danych uczestników, a faktyczny organizator będzie tzw. podmiotem przetwarzającym, czyli procesorem. Nie musi on spełniać obowiązków informacyjnych wobec uczestników O to musi zadbać administrator. Procesor ma jednak obowiązek zawrzeć umowę o powierzeniu przetwarzania danych z administratorem. Dodatkowo musi zadbać o ochronę danych, które pozyska.
RODO nakłada na administratora obowiązek wyboru takiego procesora, który zapewnia odpowiednie gwarancje przestrzegania przepisów. Prawidłowe wdrożenie we własnej firmie eventowej RODO może więc być elementem, z którego organizator uczyni własne narzędzie marketingowe.
Jak organizatorzy eventów powinno zadbać o dane? Jak to się zazwyczaj odbywa w firmach?
Organizatorzy powinni przede wszystkim przygotować nowe dokumenty, takie jak pouczenia dla uczestników eventów, zgody na przetwarzanie danych, odpowiednie rejestry (jeśli np. zbierają dane dotyczące zdrowia), upoważnienia do przetwarzania danych dla swoich pracowników, a także umowy o powierzenie przetwarzania danych dla swoich podwykonawców.
Ważne jest też wdrożenie prawidłowych procedur postępowania z danymi w firmie. W tym celu warto zapoznać pracowników z nowymi regulacjami.
W przypadku przetwarzania danych w chmurach, co często będzie miało miejsce u organizatorów eventów, kluczowe jest zidentyfikowanie z jakich dostawców chmur administrator korzysta. W przypadku niektórych dostawców chmur publicznych (jak np. Google Drive) dane wprowadzone do systemu są przetwarzane poza Unią Europejską. Jest to ważne z punktu widzenia RODO, ponieważ jeśli ustalimy, że dane naszych klientów przekazujemy poza Europejski Obszar Gospodarczy, to będzie ich trzeba o tym przynajmniej poinformować. W niektórych przypadkach będzie trzeba pozyskać nawet odpowiednią zgodę.
Organizatorzy przede wszystkim powinni zidentyfikować co robią z danymi osobowymi w firmie, a następnie ustalić jakie obowiązki w związku z tym nakłada na nich RODO.
Na czym polega wdrożenie RODO i ile trwa?
Jedną z podstawowych zasad wprowadzanych przez RODO jest tzw. zasada rozliczalności. Oznacza ona, że administratorzy będą musieli nie tylko przestrzegać przepisów, ale w przypadku kontroli będą musieli udowodnić, że ich przestrzegają. Najłatwiej będzie to zrobić oczywiście przez przedstawienie odpowiedniej dokumentacji, która jest stosowana w firmie.
Wdrożenie RODO rozpoczyna się od tzw. audytu, czyli ustalenia jak są pozyskiwane dane osobowe w ich firmie, a następnie jak są przetwarzane, kto ma do nich dostęp i komu są przekazywane. W oparciu o te informacje powinny zostać przygotowane odpowiednie dokumenty.
To ile trwa cały proces zależy oczywiście od tego jak duża jest firma. W przypadku niewielkich przedsiębiorców sprawnie poprowadzone wdrożenie RODO może trwać kilkanaście dni. Przy dużych podmiotach proces ten trwa znacznie dłużej.
Czy są jakieś niespodzianki związane z RODO? To słowo ostatnio wywołuje ogromną panikę. Możesz nas uspokoić w tym temacie?
Rozpoczęcie stosowania RODO w eventach odbija się tak szerokim echem w dużej mierze przez to, że nowe przepisy przewidują gigantyczne kary za naruszenie przepisów. Wydaje się jednak, że mali czy średni przedsiębiorcy nie powinni obawiać się wysokich kar, jeśli tylko podjęli działania by dostosować się do RODO.
Pewną niedogodnością, która wiąże się z RODO w eventach jest fakt, że mamy do czynienia z naprawdę ogromną reformą całego systemu ochrony danych osobowych. Oprócz RODO pojawi się bardzo duża liczba przepisów regulujących dane osobowe w konkretnych sektorach. Przepisy te są jednak dopiero projektowane i wejdą w życie najwcześniej za kilka tygodni, a więc już po 25 maja.
Warto tu wspomnieć chociażby planowane zmiany w Kodeksie Pracy, które dotkną wszystkich pracodawców. Każdy kto przetwarza dane osobowe będzie więc po 25 maja musiał śledzić wprowadzane zmiany, tak aby na bieżąco dostosowywać się do nowych regulacji.
