O RODO w eventach porozmawiałam z Karolem Wątrobińskim – radcą prawnym oraz partnerem w Kancelarii Janowski Markiewicz. Karol specjalizuje się w ochronie danych osobowych, prawie własności intelektualnej i prawie IT. To także współautor prawniczego bloga „Wokół prawa własności intelektualnej”. Doradza m.in. firmom działającym w obszarze nowych technologii i e-commerce. Wspiera w kwestiach prawnych startupy na wszystkich etapach działalności, od rozpoczęcia pierwszych prac nad projektem, aż do wprowadzenia produktu lub usługi na rynek. Dba o prawidłowe wdrożenie przepisów RODO w przedsiębiorstwach i pomaga klientom dostosować się do nowych wymogów. Przeprowadza audyty dotyczące przetwarzania danych osobowych i przygotowuje dokumenty zapewniające zgodność działalności firmy z przepisami RODO. Na swoim koncie ma również liczne artykuły w prasie branżowej oraz wystąpienia w roli prelegenta i wykładowcy na seminariach, konferencjach oraz szkoleniach. Pełni rolę mentora w wydarzeniach Startup Weekend i programie Huge Thing.
Po pierwsze wyjaśnijmy może, kogo dotyczy RODO w eventach? Z tego co słyszę, to często organizatorzy twierdzą, że oni nie są właścicielami danych. Czy możesz rozwiać wątpliwości? Czy jeśli prowadzę biznes B2B, np. agencję, to RODO również mnie dotyczy?
RODO chroni dane osobowe osób fizycznych. Przedsiębiorcy, którzy przetwarzają dla swoich celów dane takich osób, na przykład imię, nazwisko, adres e-mail, adres zamieszkania, czy telefon, będą zmuszeni do przestrzegania RODO. Nowe przepisy nie chronią danych spółek, w tym danych o firmie oraz danych kontaktowych spółki. Chronią jednak dane osób prowadzących jednoosobowe działalności gospodarcze.
Ogromna większość przedsiębiorców w Polsce przetwarza dane osobowe osób fizycznych. Nawet jeśli jedynymi partnerami biznesowymi konkretnej firmy są spółki, to zapewne przetwarza ona na przykład dane osobowe pracowników tych spółek. Trudno więc wyobrazić sobie firmę, do której RODO w ogóle nie znajdzie zastosowania.
Podobnie jest w przypadku organizatorów eventów. Przetwarzają oni sporo danych osobowych. Chodzi tu na przykład o dane osób, które biorą udział w danym wydarzeniu. Jeśli organizujemy event we własnym imieniu, to jesteśmy administratorem tych danych i musimy spełnić określone w RODO obowiązki. Przykładowo: powinniśmy przedstawić uczestnikom eventu stosowne pouczenie o tym co robimy z ich danymi.
Nieco inaczej sytuacja wygląda, jeśli organizujemy event w imieniu innej firmy. Wówczas to ta firma będzie administratorem danych uczestników, a faktyczny organizator będzie tzw. podmiotem przetwarzającym, czyli procesorem. Nie musi on spełniać obowiązków informacyjnych wobec uczestników – o to musi zadbać administrator. Procesor ma jednak obowiązek zawrzeć umowę o powierzeniu przetwarzania danych z administratorem. Dodatkowo musi zadbać o ochronę danych, które pozyska.
RODO nakłada na administratora obowiązek wyboru takiego procesora, który zapewnia odpowiednie gwarancje przestrzegania przepisów. Prawidłowe wdrożenie we własnej firmie eventowej RODO może więc być elementem, z którego organizator uczyni własne narzędzie marketingowe.
Jak organizatorzy eventów powinno zadbać o dane? Jak to się zazwyczaj odbywa w firmach?
Organizatorzy powinni przede wszystkim przygotować nowe dokumenty, takie jak pouczenia dla uczestników eventów, zgody na przetwarzanie danych, odpowiednie rejestry (jeśli np. zbierają dane dotyczące zdrowia), upoważnienia do przetwarzania danych dla swoich pracowników, a także umowy o powierzenie przetwarzania danych dla swoich podwykonawców. Ważne jest też wdrożenie prawidłowych procedur postępowania z danymi w firmie. W tym celu warto zapoznać pracowników z nowymi regulacjami.
W przypadku przetwarzania danych w chmurach, co często będzie miało miejsce u organizatorów eventów, kluczowe jest zidentyfikowanie, z jakich dostawców chmur administrator korzysta. W przypadku niektórych dostawców chmur publicznych (jak np. Google Drive) dane wprowadzone do systemu są przetwarzane poza Unią Europejską. Jest to ważne z punktu widzenia RODO, ponieważ jeśli ustalimy, że dane naszych klientów przekazujemy poza Europejski Obszar Gospodarczy, to będzie ich trzeba o tym przynajmniej poinformować. W niektórych przypadkach będzie trzeba pozyskać nawet odpowiednią zgodę.
Organizatorzy przede wszystkim powinni zidentyfikować, co robią z danymi osobowymi w firmie, a następnie ustalić, jakie obowiązki w związku z tym nakłada na nich RODO.
Na czym polega wdrożenie RODO i ile trwa?
Jedną z podstawowych zasad wprowadzanych przez RODO jest tzw. zasada rozliczalności. Oznacza ona, że administratorzy będą musieli nie tylko przestrzegać przepisów, ale w przypadku kontroli będą musieli udowodnić, że ich przestrzegają. Najłatwiej będzie to zrobić oczywiście przez przedstawienie odpowiedniej dokumentacji, która jest stosowana w firmie.
Wdrożenie RODO rozpoczyna się od tzw. audytu, czyli ustalenia jak są pozyskiwane dane osobowe w ich firmie, a następnie jak są przetwarzane, kto ma do nich dostęp i komu są przekazywane. W oparciu o te informacje powinny zostać przygotowane odpowiednie dokumenty.
To ile trwa cały proces zależy oczywiście od tego jak duża jest firma. W przypadku niewielkich przedsiębiorców sprawnie poprowadzone wdrożenie RODO może trwać kilkanaście dni. Przy dużych podmiotach proces ten trwa znacznie dłużej.
Czy są jakieś niespodzianki związane z RODO? To słowo wciąż wywołuje ogromną panikę. Możesz nas uspokoić w tym temacie?
Rozpoczęcie stosowania RODO w eventach odbija się szerokim echem w dużej mierze przez to, że nowe przepisy przewidują gigantyczne kary za naruszenie przepisów. Wydaje się jednak, że mali czy średni przedsiębiorcy nie powinni obawiać się wysokich kar, jeśli tylko podjęli działania by dostosować się do RODO.
Pewną niedogodnością, która wiąże się z RODO w eventach jest fakt, że mamy do czynienia z naprawdę ogromną reformą całego systemu ochrony danych osobowych. Oprócz RODO pojawi się bardzo duża liczba przepisów regulujących dane osobowe w konkretnych sektorach. Warto tu wspomnieć chociażby planowane zmiany w Kodeksie Pracy, które dotkną wszystkich pracodawców. Każdy, kto przetwarza dane osobowe, musi więc po 25 maja śledzić wprowadzane zmiany, tak aby na bieżąco dostosowywać się do nowych regulacji.
Wywiad przeprowadziła Paulina Pięta – pomysłodawczyni spotkań NetworKINGus, od 2015 roku autorka bloga Eventualnie.com, który zmotywował ją do założenia własnej firmy. Ponadto miłośniczka nauki przez praktykę oraz działania w grupie. Od 2010 roku uczestniczka, inicjatorka oraz koordynatorka eventów, które zawsze tworzyła od zera – od flash mobów, akcji charytatywnych, poprzez spotkania dla kobiet i wybory miss, dzień seniora, szkolenia ze strategii marketingowej, aż po spotkania blogerów i duże konferencje marketingowe i zdrowotne dla rodziców.
W 2016 roku postanowiła stworzyć autorską markę eventową: spotkania NetworKINGus, gdzie koordynuje pracę kilkuosobowego zespołu. Pomysłodawczyni rankingu eventów Event’s Awards.
Od 2010 roku zajmuje się także marketingiem. Swoją karierę zaczynała od Public Relations, gdzie pierwszym jej autorskim projektem była Agencja PaPRyczka PR. Wcześniej spełniała się w dziale marketingu w Szkole Tańca Kieleckiego Teatru Tańca. Obecnie piastuje stanowisko marketing managera w Ośrodku Polanika, gdzie spełnia się również jako event manager (organizacja I Świętokrzyskiego Dnia Seniora i Światowych Dni Zespołu Downa, Konferencji Autyzm w rodzinie – wyzwanie naszych czasów?). Dodatkowo doradza firmom w zakresie tworzenia strategii marketingowych oraz prowadzi bezpłatne doradztwo dla podmiotów NGO w ramach Mobilnego Doradztwa stworzonego przez Polsko-Amerykańską Fundację Wolności.
Prywatnie nie potrafi usiedzieć w miejscu, więc biega i intensywnie podróżuje po świecie, co relacjonuje na swoim Instagramie. Jej ulubione motto to: „sięgaj po to, co przewyższa Twoje możliwości”. Obecnie spełnia się w nowej roli mamy, z czego ma ogromną satysfakcję.