Ивент после принятия GDPR – что делать и как не стать виноватым

Теперь присутствие граждан Евросоюза на вашем ивенте – это не только престиж, но и довольно большие риски. Что такое Общий регламент по защите персональных данных (GDPR), и почему так опасно игнорировать его требования при проведении международных мероприятий любого масштаба? Event LIVE разобрался, как избежать многомиллионных штрафов, ареста имущества и безнадежно испорченной репутации.

Возможно, вы помните момент, когда вам на электронную почту стали сыпаться письма от сайтов с уведомлениями об изменениях политики конфиденциальности. Это произошло 25 мая 2018 года, когда вступил в силу GDPR – свод новых правил обработки персональных данных.. GDPR дает гражданам Евросоюза больше возможностей контролировать использование собственных персональных данных.

Что входит в персональные данные?

Почти вся информация, которая может понадобиться вам для работы с посетителем выставки или участником конгресса во время взаимодействия с ними на площадке, а также при настройке рекламы для привлечения аудитории на мероприятие:

• IP адрес;
• Электронная почта;
• Имя;
• Телефон;
• Адрес;
• Состояние здоровья, экономическое или культурное положение, национальность и пр.

Вряд ли кто-то будет спорить, что личные данные нуждаются в защите от утечек и нецелесообразного использования, но все же принятие Регламента вызвало противоречивую реакцию. Очевидно, что GDPR напрямую задевает интересы бизнеса, и возникает множество спорных вопросов, многие из которых поможет разрешить только судебная практика.

Андрей Шмидт, Генеральный директор ООО «Шмидт и Шмидт», партнер Schmidt & Schmidt OHG

Идея рассматривать персональные данные как собственность их владельца кажется мне абсурдной и контрпродуктивной. Это глупо, что дата вашего рождения принадлежит только вам, и для того, чтобы ее записать, надо получить от вас документированное, информированное и активное согласие. В противном случае считается, что оператор эти данные как бы украл. То есть получилось, что цветочник не имеет права хранить имена, фамилии и телефонные номера своих клиентов, чтобы напоминать им о предстоящем юбилее. Какой в этом экономический смысл? Наиболее абсурдно выглядела эта ситуация в Вене, где некоторые компании по управлению недвижимостью сняли с домов таблички с именами, так как не были уверены, что в данном обстоятельстве не нарушают требования закона о защите персональных данных.

Как мне кажется, тут проблема в самом подходе к персональным данным. Необходимость обеспечивать все необходимые и все возможные технически-организационные меры для предотвращения утечки данных приводит к тому, что крайним всегда становится бизнес. Один из недавних случаев: в Германии наложили значительные штрафы на медицинскую практику за то, что секретарша один раз отправила карточку клиента на неправильный адрес. Не уверен, что многие готовы поставить €20 млн. на то, что секретарша или практикантка никогда не совершит подобной ошибки.

Когда GDPR разрабатывали, руководствовались целью обеспечения защиты данных в первую очередь от транснациональных IT-гигантов, по факту же под абсолютно аналогичное регулирование попали малые предприятия. Подавляющее большинство не в состоянии обеспечить необходимый уровень соответствия подобным требованиям. В первую очередь, это коснется тех, кто обрабатывает так называемые «особо чувствительные» данные, например, организаций, работающих с детьми и инвалидами, или тех, кто в связи с особенностями бизнеса вынужден передавать данные своих заказчиков в третьи страны, так как трансграничная передача персональных данных разрешена только в исключительных случаях.

При чем тут моя российская компания?

GDPR экстерриториален, то есть его правила распространяются на все организации, имеющие дело с персональными данными граждан Евросоюза. Согласно Ст. 3 Регламента, даже если штаб-квартира компании расположена на территории государства, не входящего в Европейский Союз, она подпадает под действие GDPR:

• Предлагает резидентам ЕС бесплатные услуги через сайт на родном языке любого государства-члена Евросоюза (английский останется в этом списке даже после Brexit);
• Принимает оплату от резидентов ЕС в Евро (онлайн-касса);
• Отслеживает запросы пользователей с помощью cookie-файлов, например, для таргетированной рекламы;
• Предоставляет услуги/товары на национальных доменах верхнего уровня стран ЕС, например «.es», «.de», «.nl» и пр.

И что теперь?

1. Вы обязаны максимально доступно и в полном объеме объяснять гражданам Евросоюза, зачем вам нужны их личные данные и как вы собираетесь их использовать;
2. Все ваши манипуляции с данными и цели их использования должны строго соответствовать заявленным;
3. Гражданин Евросоюза должен дать вам прямое четкое и недвусмысленное согласие на обработку данных. Нет, поля о согласии на обработку с уже поставленной галочкой или другие методы получения согласия по умолчанию не сработают – согласие должно быть получено в результате активного действия;
4. Нельзя собирать личные данные в большем объёме и хранить их дольше, чем это необходимо для целей обработки;
5. Вы обязаны сообщать гражданину ЕС, с какими организациями вы делитесь его личными данными на этапе онлайн-регистрации;
6. Вы обязаны уточнить у лиц, чьи электронные адреса включены в ваш список рассылки, их согласие на получение писем;
7. При обработке данных пользователей компании обязаны обеспечить защиту персональных данных от несанкционированной или незаконной обработки, уничтожения и повреждения;
8. Если вы обрабатываете данные в особо крупных объемах, вам необходимо, чтобы кто-то отвечал за гарантию конфиденциальности информации;
9. Если произошла утечка данных, вы обязаны как можно скорее сообщить об этом в надзорные органы стран-членов Европейского Союза;

Руслан Демьяненко, Директор компании по разработке мобильных приложений для корпоративных и деловых событий «Ивентишес»

Данные — новая нефть в мире цифровых технологий. Вполне закономерно, что обработка информации о пользователях становится более регламентированной, причем не только в Европе – это общемировая тенденция. Для компаний, оперирующих персональными данными, принятие GDPR и других подобных регулирующих актов означает усложнение процессов, но это неизбежно. За это время к нам уже несколько раз обращались организаторы мероприятий с запросом на соответствие наших процедур обработки персональных данных регламенту GDPR.

Есть ли исключения из закона?

Есть, но их немного, и они указаны в Ст. 49 Регламента:

• Если гражданину ЕС стало плохо на вашем мероприятии, и вам необходимо связаться с человеком, чей контакт был оставлен им на экстренный случай, вы имеете право сделать это, не дожидаясь его согласия, так как это защитит жизненно важные интересы субъекта данных;
• Вам также не нужно согласие получателя, если вы отправляете ему транзакционные письма (счета, подтверждения и пр.) или если его данные нужны для исполнения договора;
• Вам не обязательно получать согласие при просмотре бейджей или обмене визитными карточками, но рекомендуется сообщать человеку, как вы будете использовать его информацию (отслеживание продаж, добавление в список рассылки и пр.).

В большинстве вариантов развития событий, вам стоит заранее поинтересоваться у гостя/участника о его согласии на обработку данных. Кстати, в своде GDPR отдельно прописана невозможность гражданами ЕС отказаться от соблюдения закона по собственному желанию, поскольку раньше многие компании заставляли пользователей соглашаться с тем, с чем те предпочли бы не соглашаться, ради возможности онлайн-взаимодействия. Если вы принципиально не хотите подпадать под действие GDPR – просто не работайте с европейцами вообще. Если же работать с европейцами необходимо – меняйте политику конфиденциальности.

Плохая новость: это не сработает.

А если нет?

За несоблюдение GDPR надзорные органы имеют право наложить на вашу компанию штраф в размере до €20 млн. или от 2 до 4% от годового оборота компании (Ст. 83 Регламента). Да, мы все знаем, как редко решения ЕС исполняются в РФ, и вполне вероятно, что ваша компания сможет избежать финансовых потерь в случае иска, зато на имущество, находящееся в юрисдикции ЕС, вполне может быть наложен арест, и о перспективах успешной работы на европейском рынке в таком случае можно будет забыть. А еще подобное решение может стать основанием для проведения в отношении компании проверки уже российскими органами.

Согласно исследованию аналитиков из Ponemon Institute, к моменту вступления закона в полную силу более половины европейских и американских организаций не были способны выполнить требования GDPR в полном объеме. Европейские регуляторы это вполне осознавали, поэтому наложенные в 2018 году штрафы были единичными, а их суммы не превысили €400 тыс. Эксперты предсказывают, что в 2019 году ситуация изменится, и Европейская Комиссия будет следить за соблюдением Регламента куда строже.

Забота о безопасности на мероприятии – это не только антитеррористические меры, но и кибербезопасность. Узнавайте заранее, насколько безопасен протокол Wi-Fi, используемый на площадке мероприятия, договаривайтесь с транспортными представителями о соблюдении новых правил и безвозвратно удаляйте все данные клиентов, как только перестаете в них нуждаться. Что еще требуется от ивента в 2019 году, читайте в нашей статье 6 главных ивент трендов 2019

Что стоит указать в политике конфиденциальности и упомянуть при регистрации гостей?

• Если вы планируете передать данные ваших участников партнерам мероприятия для коммерческого использования, заранее попросите согласие гостей на это, и объясните, как их данные будут использоваться. Это не касается, к примеру, отелей, так как они только обрабатывают данные, но напрямую касается электронных писем от спонсоров.
• Если вы хотите, чтобы ваши участники могли просматривать данные других участников того же события, например, в онлайн-приложении, укажите это в политике конфиденциальности, иначе цифрового нетворкинга не получится.
• Если вы собираетесь использовать фото и видеоматериалы, полученные в ходе мероприятия, в коммерческих целях, все люди, которых можно идентифицировать в кадре, должны заранее дать свое согласие на это.

Елена Себякина, Luxoft

Теперь фото- и видеосъемка одновременно регулируются и гражданским правом, и правом о защите персональных данных. При этом у участника должна быть возможность принять участие в мероприятии, не попав на фото. Что для этого делать? К примеру, некоторые организаторы выдают бейсболки с особыми знаками или стикеры, которые клеятся на лоб (и такое встречается), чтобы затем лица этих участников были найдены на фото и заретушированы.

Есть ли у GDPR хоть какие-то плюсы?

Обязательства, которые накладывает на компании принятие GDPR, действительно влекут за собой масштабные затраты на обеспечение соответствия им. Однако на фоне масштабных утечек данных пользователей введение GDPR было всего лишь вопросом времени. Более того, соблюдение правил Регламента даже дает вам некоторые преимущества.

• Репутация вашей компании теперь будет защищена так же сильно, как и данные, которыми вы пользуетесь, ведь после обновления систем защиты данных уменьшится риск утечек.
• Если вы давно собирались оптимизировать все свои базы данных, час X настал, в противоположном случае вы просто не сможете контролировать имеющуюся информацию.
• Что может быть ценнее лояльности клиентов? Соответствуя требованиям GDPR, вы сможете наладить с аудиторией новые отношения – основанные на доверии и уважении.

Материал подготовлен эксклюзивно для Event LIVE. При перепечатке или цитировании активная, открытая для индексации гиперссылка на страницу с публикацией обязательна. Фото: Reddit: pixabay.com CC0 Public Domain Бесплатно для личного и коммерческого использования. Не требуется атрибуции. Указанная точка зрения может не совпадать с точкой зрения редакции, а равно и с мнением третьих лиц, включая иных специалистов. Редакция не несет ответственности за недостоверность предоставленных авторами данных и любые возможные убытки, понесенные лицами в результате применения публикуемых заключений и следования таким рекомендациям.