Множество компаний активно используют вебинары и другие онлайн-мероприятия (тренинги, обучения, встречи и конференции). Это позволяет экономить время и ресурсы по сравнению с организацией мероприятий в офлайн-формате.
Существует множество специальных сервисов и площадок, позволяющих эффективно и с комфортом проводить такие мероприятия. Функционал многих из них включает видеозапись процесса. Кроме того, он позволяет отправлять приглашения и рекламные сообщения через e-mail, социальные сети и мессенджеры. Некоторые предлагают встроенную CRM-систему, возможность включения выдачи дипломов/сертификатов по завершении мероприятия и т.д.
Поэтому эта деятельность тесно связана с обработкой персональной информации. Далее обратим внимание на основные правила, которые организаторы онлайн-мероприятий должны помнить и соблюдать.
Онлайн-мероприятие, предполагающее регистрацию и учет его участников, неразрывно связано со сбором ПДн. Любая регистрация требует как минимум указания электронной почты. В некоторых случаях нужен и больший объем информации (ФИО, должность, место работы и т. д.).
Со сбором ПДн в сети Интернет связано несколько требований 152-ФЗ.
1. Обеспечьте соответствие объема собираемых данных целям их обработки (ст. 5 152-ФЗ). Не допускайте сбора излишней информации об участниках мероприятия:
- Сбор должен быть обоснованным. Каждый организатор онлайн-мероприятия должен четко понимать, какие сведения об участниках ему нужны и зачем. Брать информацию «на всякий случай» недопустимо.
- Старайтесь обеспечить возможность участия в онлайн-мероприятии с минимальным набором предоставленных ПДн.
- Следите, чтобы объем и категории фактически собираемых ПДн соответствовали объему и категориям, прописанных в ваших документах (Политике и Согласиях).
2. Получите согласие на обработку ПДн (ч. 1 ст. 6 152-ФЗ):
- Обязательность получения Согласия – особенность онлайн-мероприятий, поскольку, как правило, есть сбор данных в сети Интернет.
- При “живых” встречах согласие требуется не всегда. Однако если используются анкеты участников или бланки регистрации, и данные затем применяются для рассылок в целях продвижения товаров, работ, услуг, то в таком случае придется заручиться согласием.
- Согласие на обработку ПДн должен получить организатор вебинара (оператор ПДн). Это нужно даже если для проведения используется сторонняя площадка.
- При использовании сторонних сервисов и платформ для проведения вебинаров не забудьте указать эту информацию в Согласии. Можно сделать ссылку на условия использования или политику конфиденциальности такого сервиса/платформы.
- Если в мероприятии несколько организаторов, согласие должны содержать данную информацию, чтобы участники понимали, кто и как будет обрабатывать их персональные данные. Можно, например, сделать разные Согласия для каждого из организаторов, разграничив в них пределы обработки ПДн.
- Во всех формах сбора ПДн сделайте поле, в котором участник поставит отметку о своем согласии. При этом в таком поле нельзя устанавливать «галочку по умолчанию», это действие должен выполнить сам пользователь.
- Текст Согласия должен быть доступен для прочтения (все гиперссылки должны быть рабочими, документ должен скачиваться/открываться).
- Согласие должно быть однозначным, информированным и конкретным. Из него должно быть понятно, кто является оператором, в каких целях будут использованы данные, кому они могут быть переданы и в течение какого времени будет происходить обработка. Шаблоны основных видов Согласий вы можете сформировать с помощью сервиса 152DOC.
- Не навязывайте дополнительных и вспомогательных услуг в Согласии. Согласие на рекламную и/или информационную рассылку лучше выделить из текста основного Согласия.
3. Разместите в каждой форме сбора документ, определяющий политику в отношении обработки ПДн (ч. 2 ст. 18.1 152-ФЗ):
- Политика должна отражать полный перечень целей обработки ПДн (регистрация на мероприятие, информационная рассылка, участие в опросах, использование сервисов веб-аналитики и метрических программ и др.).
- Для каждой цели пропишите, какие персональные данные и каких категорий субъектов обрабатываются, какими способами и в какие сроки, а также порядок уничтожения ПДн.
- Политику допустимо разместить в футере сайта, на котором размещена форма регистрации (или иная форма сбора). Главное, чтобы при переходе на форму сбора футер сайта был виден. Иначе пользователю будет не очевидно, что Политика размещена и доступна.
- Политика, согласие и пользовательское соглашение — разные документы. Поэтому их принятие нельзя объединить одной «галочкой». Сделайте разные поля для проставления участниками отметки об ознакомлении и согласии с ними.
4. Обеспечьте хранение собранных ПДн на территории РФ (ч. 5 ст. 18 152-ФЗ):
Используйте для проведения вебинаров сервисы, платформы и сайты, серверные мощности которых размещены в России.
Что касается распространения ПДн в связи с проведением вебинаров, тут можно отметить два основных аспекта:
1. Организация вебинаров и иных онлайн-встреч часто не обходится без опубликования ПДн ведущих, докладчиков, приглашенных гостей и иных выступающих. Это и анонсы мероприятий, и публикация их результатов, рассылка или размещение видеозаписи мероприятия.
Поэтому важно убедиться в наличии правовых оснований размещения ПДн (ч. 1 ст. 6, ст. 8, ст. 10.1 152-ФЗ, ст. 152.1 ГК РФ) и, при необходимости, заручиться соответствующим Согласием.
В отношении спикеров размещение информации (фото, видео) обычно связано с договорными отношениями и спецификой мероприятия. Положения ст. 152.1 ГК РФ можно применять для публичных мероприятий.
Ведущие, спикеры участвуют в мероприятии, не просто как личности, а все-таки как специалисты, должностные лица и понимают, что, во-первых, будут анонсы мероприятий, во-вторых, итоги могут быть опубликованы, как и видеозапись мероприятия.
Но помните, что спикер имеет право попросить удалить о себе информацию — тогда стоит пойти ему навстречу и удалить его ПДн там, где это возможно. Ищите компромиссы.
На странице с анонсом мероприятия, в подвале страницы, можно опубликовать формулировку о наличии правовых оснований, условиях и запретах на использование распространяемых ПДн (чтобы не вызывать вопросов у контролирующего органа).
Пример: «ПДн размещены при наличии условий, установленных ст. 6, ст. 10.1 152-ФЗ. С субъектов ПДн, в установленных случаях, получены согласия. Материалы публичных мероприятий допускаются к распространению, для иных случаев субъектами установлены ограничения на использование личной информации».
2. При планировании размещения в общем доступе не анонимных отзывов участников мероприятия в режиме онлайн, продумайте формат их предоставления с учетом правовых оснований обработки ПДн и требований, предъявляемых к сбору и распространению ПДн в сети Интернет:
- определитесь с формой сбора отзывов (на сайте, на иных площадках, например в социальных сетях или мессенджерах и т.д.);
- исключите публикацию излишних данных об авторе отзыва (установите объем публикуемых в отзыве данных с учетом их соответствия целям обработки);
- организуйте получение Согласий на публикацию (или иных правовых оснований) и т.д.
При использовании онлайн-платформы, где доступны чаты для вопросов и видно участников, установите соответствующие правила работы с этой информацией.
Как правило, при использовании таких чатов, участники самостоятельно принимают решение о том, хотят ли они использовать видеокамеру для возможности задать вопрос онлайн или предпочитают установить аватар с фотографией для идентификации в чате.
Если участник принял решение «показать себя», правовым основанием будет согласие на обработку ПДн (не забудьте получить его при регистрации!) в соответствии с Политикой как организатора, так и владельца площадки, с использованием которой проводится встреча онлайн.
Также напомним, что это не является распространением ПДн, поскольку доступ к ПДн будет только у ограниченного круга лиц.
Присоединяйтесь к нашему тг-каналу и получите краткий Чек-лист «Что проверить в работе с ПДн перед проведением онлайн-мероприятия?»
Подписывайтесь прямо сейчас, чтобы не пропустить полезные рекомендации от команды наших экспертов!