Организация ивентов — это не только творческая задача, но и юридическая ответственность
Организация ивентов — это не только творческая задача, но и юридическая ответственность. Особенно важно при этом соблюдать правила работы с персональными данными. В России к таким вопросам подходят строго: за нарушения предусмотрены штрафы до 18 миллионов рублей и даже уголовная ответственность.
Чтобы избежать проблем, мы собрали ключевые рекомендации для организаторов мероприятий — от сбора данных до их уничтожения. Разберем на простых примерах.
1. Как правильно собирать данные участников?
Собирать персональные данные можно только на законных основаниях — например, с согласия участника или в рамках договора с участником.
Пример: вы запрашиваете ФИО, email и телефон для регистрации на конференцию — это оправдано. Но если запрашиваете дату рождения «на всякий случай», это может быть нарушением.
Что делать:
• Добавьте чекбокс с явным согласием на обработку персональных данных и активной ссылкой на само согласие. Важно: галочка не должна стоять по умолчанию.
• Разместите на сайте политику обработки персональных данных.
• Сохраняйте логи подтверждения согласия — они могут понадобиться в случае проверки.
2. Где хранить данные и как их обрабатывать?
Хранение персональных данных — зона повышенного риска. Закон требует, чтобы такие данные находились на серверах, расположенных на территории России.
Нельзя: использовать Google Drive, Dropbox или iCloud для сбора и хранения данных участников.
Что делать:
• Используйте хостинг или облачные сервисы с серверами в РФ.
• Шифруйте файлы при передаче, ограничивайте доступ к ним.
• Не оставляйте документы с персональными данными без присмотра — даже в офисе.
3. Передача данных третьим лицам.
Если вы работаете с партнерами, например, заказываете бронирование отелей для гостей мероприятия, передача персональных данных или заключение поручения на их обработку возможны только при наличии согласия участника.
Что делать:
• Получите соответствующее согласие от гостей мероприятия.
• Заключите соглашение о поручении обработки данных с каждым подрядчиком.
• Передавайте информацию через безопасные каналы: не используйте Telegram или WhatsApp для отправки списка участников.
• Защищайте данные шифрованием.
4. Работа с cookies на сайте мероприятия.
Если у вас есть сайт или регистрационная форма и вы собираете cookies, вы обязаны информировать о таком сборе пользователей.
Что делать:
• Разместите баннер с уведомлением о сборе cookies.
• Предоставьте возможность отказаться от использования cookies.
• Получите согласие на обработку данных, которые собираются этим способом.
5. Уничтожение данных после мероприятия.
Персональные данные нельзя хранить дольше, чем это необходимо. Например, если цель — организация мероприятия, то после его завершения данные нужно уничтожить, если нет иных оснований для продолжения обработки персональных данных.
Что делать:
• Определите срок хранения таких данных (например, 30 дней после события).
• Составьте акт об их уничтожении и сохраните его копию.
• Используйте программы для безопасного удаления информации, чтобы восстановление было невозможно.
6. Что делать при утечке данных?
Утечки случаются, но важно действовать быстро и правильно.
Что делать:
• Если данные стали доступны третьим лицам, сообщите о происшествии в Роскомнадзор.
• Если потребуется, сообщите в ФСБ.
• Создайте внутреннюю комиссию для расследования инцидента и уведомите Роскомнадзор о результатах расследования.
7. Работа с подрядчиками.
Если вы привлекаете внешние компании — например, техподдержку, заключите с ними официальное поручение на обработку персональных данных.
Что делать:
• Получите согласие на поручение от гостей мероприятия.
• Убедитесь, что ваши подрядчики соблюдают требования по локализации данных.
• Проверьте, как они обеспечивают защиту информации.
8. Обучение сотрудников.
Каждый сотрудник, который имеет доступ к персональным данным, должен знать свои обязанности.
Что делать:
• Проводите инструктажи по обращению с персональными данными.
• Запретите использование публичных Wi-Fi-сетей для работы с базами данных.
• Назначьте ответственного за контроль сроков хранения и уничтожения данных.
Важно помнить:
• Все действия с персональными данными должны быть задокументированы: согласия, поручения, акты уничтожения и другие.
• За нарушения — штрафы, административная и даже уголовная ответственность.
• Соблюдение требований не только помогает избежать штрафов, но и повышает доверие участников.
Работа с персональными данными требует внимания и ответственности, особенно в сфере ивентов, где сбор и обработка информации — неотъемлемая часть процесса. Однако следуя этим простым правилам, вы сможете провести мероприятие качественно, безопасно и в рамках закона.
И последнее. Примеры вроде «не использовать Google Docs» — это не просто формальность. Такие ошибки могут стоить дорого. Лучше обратиться к юристу или потратиться на систему хранения данных в РФ, чем потом платить штрафы.
Дмитрий Селянченков,
руководитель направления аккредитации участников и
интерактивных сервисов ООО «РУВЕНТС»
