În această perioadă de plină de incertitudini și dileme provocate de situația actuală, marea provocare cu care se confruntă antreprenorii și managerii companiilor mici și mijlocii (IMM) este adaptarea serviciilor furnizate în mod fizic până acum la lumea digitală impusă de recomandările/măsurile autorităților în lupta cu Covid-19.
Pe lângă faptul că #stămacasă, companiile se focusează să găsească soluții de a trece la modul de lucru „remote” și de a se „întâlni” cu partenerii, angajații și clienții în mediul online. Totodată, fie că vorbim de societăți sau de asociații, un domeniu afectat în mod complet de măsurile luate de autorități este cel al organizării de evenimente (inclusiv a conferințelor). Multe dintre evenimentele programate în perioada următoare au fost anulate sau amânate. Cu toate acestea, din ce în ce mai mulți organizatori de evenimente decid să țină în continuare evenimentele stabilite, însă cu un mic „switch” – le vor ține online. Da, nu vor mai exista pauzele de cafea și networking, însă și în online participanții se vor putea bucura de knowhow-ul împărtășit de prezentatori și de spiritul de comunitate al evenimentelor.
În cazul evenimentelor și întâlnirilor online, fiecare companie sau asociație (în calitate de operator), ca organizator al evenimentului este responsabil de modul în care prelucrează datele cu caracter personal, fie că este vorba despre datele cu caracter personal ale participanților, atât ale prezentatorilor, cât și ale persoanelor din audiență (de exemplu, numele, prenumele, adresa de e-mail, imaginea, vocea) și, prin urmare, trebuie să respecte toate obligațiile impuse de Regulamentul General privind Protecția Datelor („GDPR”) și alte acte normative care reglementează protecția datelor cu caracter personal.
Ce măsuri preliminare trebuie să ia organizatorul unui eveniment online?
Alegerea platformei și alte măsuri de securitate
Responsabilitatea organizatorului se extinde inclusiv asupra platformei software utilizate pentru derularea evenimentului și prin intermediul cărora sunt prelucrate date cu caracter personal: toate acestea tool-uri trebuie să fie conforme cu GDPR.
Fără a face o comparație între multitudinea de platforme disponibile, în alegerea acesteia, organizatorul ar trebui să aibă în vedere câteva aspecte ce țin de GDPR:
-
Măsurile de securitate implementate de compania care operează platforma respectivă (indicate în documentația platformei sau în alte medii, precum publicații de specialitate care analizează securitatea unor astfel de platforme);
-
Termenii de utilizare a platformei (în special aspectele ce țin de limitarea răspunderii companiei care operează platforma respectivă);
-
Contractul de transfer și de prelucrare al datelor (existența acestuia și responsabilitatea în ceea ce privește prelucrarea datelor cu caracter personal);
-
Locul geografic unde este „situată” platforma (atât compania care operează platforma, cât și serverul pe care rulează platforma):
-
Dacă este situată în UE, este un plus;
-
Dacă nu este situată în UE, trebui să existe garanții de respectare a protecției datelor, în conformitate cu GDPR. De exemplu, dacă este din US o astfel de garanție este certificatul Privacy Shield (i.e., un certificat disponibil companiilor din US – companiile care au acest certificat sunt considerate ca asigurând garanții adecvate pentru protecția vieții private și a datelor cu caracter personal).
-
Totodată, organizatorul trebuie să țină cont de aceste reguli cu privire la toate platformele folosite în organizarea evenimentului online (de exemplu, cu privire la platformele utilizate pentru a trimite e-mail-uri, sau cu privire la platformele care oferă soluții de stocare în cloud).
Informarea participanților
Toți participanții (prezentatorii și audiența) trebuie informați cu privire la operațiunile de prelucrare a datelor lor cu caracter personal.
Aceasta se realizează prin intermediul notei de informare privind prelucrarea datelor cu caracter personal (cunoscută ca „privacy policy” sau „politică de confidențialitate”, după caz) care trebuie să conțină în mod obligatoriu informațiile cu privire la operațiunile de prelucrare realizate, în conformitate cu obligațiile prevăzute de GDPR (de exemplu, detalii despre operator; detalii despre prelucrare – scop, temei, durata prelucrărilor; daca datele sunt transferate în afara UE; drepturile persoanelor etc.).
Documentul trebuie înmânat participanților în momentul obținerii datelor cu caracter personal.
Scenarii posibile:
-
Participanții se înscriu prin completarea unui formular online: nota de informare va fi afișată online, iar în formular va fi afișat un link către această notă de informare;
-
Participanții se înscriu prin trimiterea unui e-mail: nota de informare va fi atașată e-mailului de confirmare a înscrierii;
-
Validarea prezentatorilor: nota de informare va fi transmisă prezentatorului prin e-mailul în care îi este confirmată prezența. Dacă organizatorul semnează un contract cu acesta, nota de informare va fi atașată contractului.
Temeiuri de prelucrare
Fiecare operațiune de prelucrare trebuie întemeiată pe un temei legal - unul dintre cele 6 prevăzute de GDPR (consimțământ, executare de contract, obligație legală, interes vital, îndeplinirea unei sarcini care servește unui interes public, interes legitim). Nu există o scară ierarhică a importanței temeiurilor, iar alegerea temeiului depinde de fiecare caz de prelucrare în parte.
În practică, mulți organizatori utilizează numai acordul de prelucrare (consimțământul), dar acesta este doar unul dintre cele 6 temeiuri posibile și este recomandabil să fie utilizat doar în cazul în care niciunul dintre celelalte temeiuri nu poate fi aplicat, pentru că poate fi retras la fel de ușor cum a fost dat de către participant, ceea ce împiedică organizatorul să mai poată ulterior prelucra datele cu caracter personal pentru care avea acordul participantului.
Alegerea temeiului depinde de fiecare operațiune în parte:
-
Înregistrarea la eveniment - de exemplu, când se colectează nume, prenume, adresă de e-mail ale participantului - temeiul legal poate fi executarea de contract. Pentru această situație nu este necesar acordul participantului, ci este suficientă doar informarea acestuia.
-
Efectuarea de fotografii (screenshots) / înregistrarea evenimentului ținut online – acestea pot implica mai multe operațiuni de prelucrare:
-
publicarea în social media;
-
transmiterea live a evenimentului;
-
tag-uirea persoanelor care apar in poze / filmare.
-
Pentru fiecare dintre aceste operațiuni, temeiul legal care poate fi utilizat este consimțământul: va trebui luat acordul participanților la eveniment, în mod separat pentru fiecare activitate.
-
Promovarea evenimentului pe rețelele de social media – de exemplu, dacă organizatorul promovează evenimentul online pe Facebook/LinkedIn folosind date ale prezentatorilor (precum numele și poza acestora), temeiul legal care poate fi utilizat este consimțământul: va trebui luat acordul prezentatorilor pentru publicarea datelor lor pe rețelele de socializare în scopul promovării evenimentului.
-
Solicitarea de feedback – de obicei, feedback-ul poate fi obținut în mod anonim de către organizator, prin completarea unor formulare anonime de către participanți
În cazul în care organizatorul colectează anumite date cu caracter personal ale celor care completează un formular de feedback (precum, nume și prenume, adresă de e-mail), va trebui luat acordul participanților la eveniment.
Acordul participanților poate fi luat prin diferite moduri, de exemplu:
-
bifarea unor căsuțe la momentul înregistrării;
-
completarea de către participanți a unui formular online;
-
completarea unui formular word și transmiterea acestuia prin e-mail.
Minimul de date
Potrivit GDPR, operatorii sunt obligați să colecteze doar datele cu caracter personal care sunt strict necesare pentru scopurile în care sunt prelucrate. Cu alte cuvinte, în cazul unui eveniment online, organizatorul trebuie să colecteze doar datele participanților care sunt strict necesare pentru a organiza evenimentul respectiv. De exemplu, dacă pentru înregistrarea la eveniment sunt suficiente numele, prenumele și adresa de e-mail (și, de obicei, așa stau lucrurile), atunci organizatorul nu va putea să solicite și alte date (precum, adresa de domiciliu).
Durata de stocare a datelor
Organizatorul trebuie să țină datele cu caracter personal ale participanților doar atât timp cât are nevoie de aceste date (de exemplu, până la desfășurarea evenimentului și ulterior pentru o perioadă determinată, cum ar fi pentru cazul în care organizatorul intenționează să solicite un feedback participanților). Odată ce nu mai are nevoie de datele participanților, acestea trebuie șterse.
Mesaje de marketing către participanți
În cazul în care organizatorul vrea să promoveze evenimentul online prin transmiterea de mesaje către o multitudine de persoane (mesaje de marketing) prin diferite metode (e.g., e-mail, SMS, etc), organizatorul trebuie să se asigure că, înainte de a trimite acele mesaje, persoanele respective au consimțit la primirea de astfel de mesaje.
De asemenea, la fel, dacă organizatorul intenționează să transmită mesaje de promovare a evenimentelor viitoare către participanții la evenimentele anterioare, organizatorul trebuie să se asigure că, înainte de a trimite acele mesaje, persoanele respective au consimțit la primirea de astfel de mesaje.
În loc de încheiere
Toate măsurile menționate mai sus reprezintă un minim de acțiuni pe care orice organizator de întâlnire/eveniment online ar trebuie să le efectueze pentru a asigura o minimă conformitate cu GDPR.
Pe lângă cele menționate mai sus, organizatorul trebuie să respecte toate celelalte obligații impuse de GDPR (de exemplu, implementarea unor politici și proceduri de confidențialitate, de stocare a datelor; încheierea unor contracte de transfer, etc) mai ales din moment ce credem că organizarea de evenimente în mediul online va fi parte din noua normalitate după criză pentru mulți dintre comercianții cu activitate în domeniu.