Я погуглила и не нашла ничего о GDPR на русском языке. А ведь международных конференций или форумов с участием европейцев в России происходит не так уж мало. Поэтому вкратце изложила то, что российским организаторам таких мероприятий обязательно нужно знать и сделать.
Что такое GDPR?
Это новый регламент ЕС о защите данных, гораздо более строгий и современный, и требующий целого ряда действий со стороны большинства компаний, обрабатывающих персональную информацию. Важно: этот регламент касается всех компаний по всему миру и вступает в силу 25 мая 2018 года.
Если вы:
1) организатор делового мероприятия, в котором принимают участие граждане ЕС, ИЛИ организуете мероприятие за рубежом,
2) собираете (проводите регистрацию, делаете опросы, собираете инфо в приложении и тп) и храните персональную информацию об этих людях — фио, имейлы, должности, даже диетические ограничения,
то внимательно изучите рекомендации по исполнению — штрафы за его нарушение огромны (до 20 млн евро).
Какая практика станет нарушением после 25 мая? Например:
— галочки о согласии на обработку персональных данных в формах регистрации (согласие должно быть сделано в «активной форме»)
— наличие доступа к спискам участников мероприятия у представителей площадки, спикеров, других участников
— пересылка незащищенных файлов по эл.почте
и т.д.
Что нужно делать сейчас? Как минимум,
1. Провести аудит данных, чтобы оценить какие данные на своих участников/спонсоров/спикеров у вас имеются, получено ли «правильное» согласие на хранение этих данных, передавались ли эти данные третьей стороне, в какой системе они хранятся.
2. Удостовериться, что члены вашей команды знают о регламенте и, как минимум, его основных требованиях, а также требующихся действиях
3. Сделать апдейт всех форм и текстов политики конфиденциальности, которые используются для сбора и хранения персональной информации
4. Проработать новые действия с подрядчиками
5. Обеспечить безопасность данных, что означает создание соответствующих процедур (например, у кого есть доступ к данным, что происходит, если этот человек уходит из команды и тп) и оценку рисков.
Информации о GDPR применительно к организаторам мероприятий много, я советую изучить вот этот и вот этот материал, а также официальный сайт GDPR.
