Ogólne rozporządzenie o ochronie danych (RODO) bezpośrednio dotyczy każdego organizatora, który gromadzi dane uczestników. Adresy e-mail, imiona, numery telefonów, preferencje zakupowe... to wszystko są dane osobowe, które muszą być przetwarzane zgodnie z przepisami. Brak zgodności może skutkować karami do 20 milionów euro lub 4% rocznego obrotu. Ten przewodnik wyjaśnia to, co najważniejsze.
Dane, które gromadzisz (a może o tym nie wiedziałeś)
Jako organizator wydarzeń gromadzisz więcej danych, niż prawdopodobnie sądzisz. Ważne jest, aby zidentyfikować je wszystkie, by prawidłowo nimi zarządzać.
- Dane zakupowe: imię i nazwisko, e-mail, telefon, adres rozliczeniowy
- Dane dostępowe: czas wejścia, strefa, próby walidacji
- Dane o zachowaniu: odwiedzone strony, porzucone koszyki
- Dane urządzenia: IP, przeglądarka, system operacyjny
- Dane opcjonalne: preferencje, data urodzenia, płeć
Podstawy prawne przetwarzania
RODO wymaga, aby każde przetwarzanie danych miało podstawę prawną. Dla organizatorów wydarzeń najbardziej istotne są:
- Wykonanie umowy: potrzebujesz danych, aby sprzedać i dostarczyć bilet
- Zgoda: aby wysyłać newslettery lub komunikację handlową
- Prawnie uzasadniony interes: aby zapobiegać oszustwom lub ulepszać usługę
- Obowiązek prawny: dane podatkowe, które musisz przechowywać zgodnie z prawem
Zgoda: jak ją prawidłowo uzyskać
Zgoda musi być dobrowolna, konkretna, świadoma i jednoznaczna. Oznacza to, że nie możesz używać wstępnie zaznaczonych pól, uzależniać zakupu od akceptacji marketingu ani ukrywać zgody w ogólnych warunkach.
- Oddzielne pola wyboru dla każdego celu (jedno na marketing, drugie na podmioty trzecie)
- Jasny i zrozumiały język, bez żargonu prawniczego
- Wycofanie zgody równie łatwe jak jej udzielenie
- Rejestr tego, kiedy i w jaki sposób uzyskano każdą zgodę
Prawa uczestników
Uczestnicy mają prawa dotyczące swoich danych, które musisz umieć obsłużyć. Na odpowiedź na każde żądanie masz jeden miesiąc.
- Dostęp: dowiedzieć się, jakie dane o nich posiadasz
- Sprostowanie: poprawić nieprawidłowe dane
- Usunięcie: usunąć ich dane (z wyjątkami prawnymi)
- Przenoszalność: otrzymać swoje dane w ustrukturyzowanym formacie
- Sprzeciw: odmówić określonego przetwarzania
Dostawcy i podmioty przetwarzające
Gdy korzystasz z platformy do sprzedaży biletów, usługi e-mail marketingu lub innego dostawcy, który ma dostęp do danych Twoich uczestników, potrzebujesz umowy powierzenia przetwarzania danych. Umowa ta określa, co dostawca może robić z danymi oraz jakie ma obowiązki w zakresie bezpieczeństwa.
- Sprawdź, czy Twoi dostawcy przestrzegają RODO
- Podpisz umowy powierzenia przetwarzania danych
- Sprawdź, gdzie przechowują dane (przekazywanie międzynarodowe)
- Prowadź rejestr wszystkich dostawców mających dostęp do danych
Naruszenia bezpieczeństwa
Jeśli dojdzie do naruszenia bezpieczeństwa dotyczącego danych osobowych, masz 72 godziny na powiadomienie organu ochrony danych. Jeśli ryzyko jest wysokie, musisz również poinformować osoby, których dane dotyczą. Niezbędne jest posiadanie gotowego protokołu, zanim do tego dojdzie.
Podsumowanie
RODO to nie tylko obowiązek prawny, to szansa na zbudowanie zaufania wśród Twoich uczestników. Przejrzyste i odpowiedzialne zarządzanie danymi poprawia Twoją reputację i zmniejsza ryzyko. Poświęć czas na prawidłowe wdrożenie podstaw i aktualizuj je, gdy zmieniają się Twoje procesy.