RODO na wydarzeniu: zgody na zdjęcia, monitoring i listy gości

Przez
Izabela Adamczyk
-
0
4
Rate this post
Tablet z formularzem rejestracji wyborców w sali głosowania
Źródło: Pexels | Autor: Edmond Dantès

RODO a wydarzenia – o jakie dane i ryzyka chodzi naprawdę

Jakie typy wydarzeń generują największe ryzyka RODO

Nie każde wydarzenie wiąże się z takim samym poziomem ryzyka z punktu widzenia RODO. Największe problemy rodzą formaty, w których jest dużo uczestników, zewnętrzni podwykonawcy, a do tego intensywna komunikacja marketingowa i relacje w social mediach. Typowe przykłady to:

  • konferencje i kongresy (rejestracja online, identyfikatory, networking, relacje foto/wideo),
  • gale i bankiety (goście VIP, listy gości, fotograf, często media),
  • festiwale, koncerty, duże eventy otwarte (monitoring, służby ochrony, sponsorzy),
  • imprezy zamknięte dla klientów lub pracowników (lista gości, oznaczenia, często dane wrażliwe np. dieta).

Ryzyko rośnie, gdy dane krążą pomiędzy wieloma podmiotami: organizatorem, agencją eventową, firmą ochroniarską, fotografem, dostawcą systemu rejestracji, sponsorem. Każdy z nich ma jakiś dostęp do danych uczestników, a im więcej rąk dotyka tych danych, tym łatwiej o wyciek, brak kontroli lub niewłaściwą podstawę prawną.

Drugi czynnik to intensywność zbierania i wykorzystywania danych. Wydarzenie, przy którym zbierasz wyłącznie imię, nazwisko i e‑mail do wysłania biletu, jest czymś innym niż konferencja z pełną rejestracją (stanowisko, firma, numer telefonu, preferencje dietetyczne, noclegi, rejestracja na warsztaty, zgody marketingowe, zgody na wizerunek).

Czym są dane osobowe na evencie: więcej niż imię i nazwisko

Na wydarzeniu dane osobowe to nie tylko formularz rejestracyjny. Z punktu widzenia RODO za dane osobowe uznaje się każdą informację pozwalającą zidentyfikować osobę fizyczną lub dającą się połączyć z innymi informacjami. W praktyce na evencie będą to m.in.:

  • imię, nazwisko, adres e‑mail, numer telefonu, nazwa firmy, stanowisko,
  • wizerunek (na zdjęciach, nagraniach, w transmisji live),
  • głos (np. nagrane pytania z sesji Q&A),
  • identyfikatory z imieniem, nazwą firmy, kodem QR lub numerem,
  • nagrania z kamer monitoringu i dane z systemów kontroli dostępu,
  • informacje dodatkowe: preferencje żywieniowe, prośby o udogodnienia dla osób z niepełnosprawnościami, informacje o noclegach, transporcie.

Część z tych danych może w określonym kontekście stać się daną szczególnej kategorii, np. informacja o diecie wegańskiej zwykle nie jest daną wrażliwą, ale dieta „bez wieprzowiny ze względów religijnych” już może ujawniać wyznanie. Organizator, który bezrefleksyjnie zbiera wszystko „na wszelki wypadek”, sam zwiększa swoje obowiązki i ryzyko.

Mały event firmowy a duża impreza publiczna – te same zasady, inna skala

Przy małym, wewnętrznym evencie firmowym kusi myślenie: „To tylko nasza wewnętrzna integracja, nie przesadzajmy z RODO”. Faktycznie, poziom sformalizowania może być inny niż przy otwartym festiwalu, jednak podstawy prawne, obowiązki informacyjne i zasady bezpieczeństwa pozostają takie same. Różni się głównie skala, a nie treść obowiązków.

Różnice najczęściej występują w trzech miejscach:

  • Forma obowiązku informacyjnego – w małej firmie można skutecznie poinformować pracowników mailowo lub w intranecie; przy festiwalu konieczne są regulaminy, oznaczenia na miejscu, komunikaty na stronie WWW.
  • Zakres dokumentacji – wewnętrzny event rzadko wymaga formalnej analizy DPIA, za to duży event z monitoringiem, dziećmi, transmisją live i wieloma podwykonawcami już może.
  • Stopień kontroli nad przepływem danych – w małym evencie większość dzieje się „pod jednym dachem”, przy masowej imprezie dane są rozproszone pomiędzy dostawców.

Reguła jest taka: im więcej danych, im więcej osób oraz im więcej technologii (rejestracja online, monitoring, aplikacje eventowe), tym dokładniej trzeba przeanalizować ryzyka RODO i tym bardziej potrzebne jest sensowne wdrożenie procedur.

Typowe źródła problemów: social media, monitoring, listy gości, podwykonawcy

Problemy z RODO na wydarzeniach rzadko wynikają z samego faktu zorganizowania eventu. Zwykle rodzą się przy konkretnych działaniach:

  • Spontaniczne wrzucanie zdjęć do mediów społecznościowych, bez refleksji, czy osoba na pierwszym planie jest rozpoznawalna, czy to kadr sytuacji potencjalnie wstydliwej, czy nie łamie wcześniejszych ustaleń o braku zgody.
  • Monitoring „dla bezpieczeństwa”, instalowany bez regulaminu, bez analizy zasięgu kamer, bez określenia czasu przechowywania nagrań, bez informacji przy wejściu.
  • Listy gości krążące po firmie i event teamie, często w Excelu, wysyłane mailem do wielu osób, drukowane w kilku wersjach, a potem porzucane w recepcji lub na stanowisku ochrony.
  • Zewnętrzni podwykonawcy – fotograf, firma ochroniarska, agencja hostess, dostawca systemu rejestracji, platforma do ankiet – działający bez umowy powierzenia, bez jasnych instrukcji i bez kontroli, co dalej robią z danymi.

Najbardziej kłopotliwe są sytuacje, gdy organizator uznaje, że „każdy wie, jak się obchodzić z danymi”, a potem okazuje się, że fotograf wkleił zdjęcie gościa na swoją stronę, ochroniarz wyrzucił listę gości do ogólnego kosza, a firma rejestracyjna użyła adresów e‑mail do własnego mailingu.

Realistyczny przykład: konferencja z fotografem i monitoringiem

Za punkt odniesienia można przyjąć typową konferencję branżową: rejestracja odbywa się online, przy wejściu działa monitoring (ze względów bezpieczeństwa i ochrony mienia), na miejscu pracuje fotograf eventowy, a po wydarzeniu ma powstać galeria zdjęć i krótki film podsumowujący.

W takim scenariuszu dane osobowe pojawiają się w co najmniej kilku miejscach:

  • formularz rejestracyjny (imię, nazwisko, e‑mail, firma, stanowisko),
  • listy gości wydrukowane na recepcji,
  • identyfikatory z imieniem i nazwą firmy,
  • nagrania z kamer przy wejściu i w korytarzach,
  • zdjęcia i nagrania z sali konferencyjnej, strefy networkingu, bankietu.

Ten model dobrze pokazuje, jak szeroko rozlewa się temat. RODO dotyczy nie tylko tego, co dzieje się w systemie rejestracji, ale też tego, co nagra kamera w holu, jakie kadry zrobi fotograf, jak zabezpieczone będą listy gości oraz kto i na jakiej podstawie będzie później publikował zdjęcia.

Dwie kobiety układają identyfikatory na recepcji wydarzenia firmowego
Źródło: Pexels | Autor: RDNE Stock project

Role w RODO na wydarzeniu: kto za co odpowiada

Organizator jako administrator danych uczestników

W zdecydowanej większości przypadków organizatorem wydarzenia jest główny administrator danych osobowych gości. To on decyduje, po co i w jaki sposób zbiera dane, jak długo je przechowuje, komu je przekazuje, a także jakie środki bezpieczeństwa stosuje. Nawet jeśli organizator korzysta z agencji eventowej, odpowiedzialność za wybór podstawy prawnej i realizację obowiązku informacyjnego pozostaje po jego stronie.

Sytuacja komplikuje się, gdy wydarzenie współorganizują dwa lub więcej podmiotów (np. firma i jej partner merytoryczny, sponsor tytularny, instytucja publiczna). Wtedy pojawia się pytanie, czy mówimy o:

  • współadministracji – gdy podmioty wspólnie decydują o celach i sposobach przetwarzania (np. wspólna baza uczestników, wspólna komunikacja marketingowa),
  • czy o klasycznym modelu administrator – podmiot przetwarzający, gdy jedna strona faktycznie tylko pomaga technicznie obsłużyć wydarzenie.

Jeśli partner dostaje listę uczestników, aby po evencie wysłać własny newsletter, trudno obronić tezę, że jest wyłącznie podmiotem przetwarzającym. W takim wypadku mamy raczej dwóch administratorów (lub współadministrowanie) i trzeba to transparentnie opisać w klauzuli informacyjnej.

Podmioty przetwarzające: agencja, fotograf, ochrona, system rejestracji

W modelu typowego eventu pojawia się kilka podmiotów, które technicznie „przerabiają” dane, ale nie decydują samodzielnie o celach ich wykorzystania. Są to tzw. podmioty przetwarzające. Mogą to być m.in.:

  • agencja eventowa, która operacyjnie prowadzi zapisy, wysyła potwierdzenia, obsługuje recepcję,
  • firma udostępniająca system rejestracji online,
  • firma ochroniarska, która ma dostęp do listy gości oraz nagrań z monitoringu,
  • fotograf i ekipa wideo, wykonujący zdjęcia i filmy według zlecenia organizatora,
  • dostawca rozwiązania do ankiet posprzedażowych, systemu networkingowego, aplikacji eventowej.

Z tymi podmiotami organizator powinien zawrzeć umowę powierzenia przetwarzania danych, w której określi:

  • jakie dane są powierzane i w jakim celu,
  • jakie operacje na danych są dopuszczalne,
  • jakie środki bezpieczeństwa minimalnie muszą być zastosowane,
  • jak długo podmiot może przechowywać dane,
  • co robi z danymi po zakończeniu współpracy (zwrot, usunięcie, zniszczenie).

Bez takiej umowy trudno później wykazać, że organizator miał rzeczywistą kontrolę nad procesem przetwarzania, a w razie incydentu odpowiedzialność nie ograniczy się do stwierdzenia „to wina podwykonawcy”. Z perspektywy RODO to nadal administrator odpowiada za wybór i nadzór nad procesorem.

Fotograf działający na własny rachunek – rzadki, ale problematyczny wariant

Zdarza się, że fotograf jest postrzegany jako niezależny twórca, który przychodzi na wydarzenie, robi zdjęcia „dla siebie”, a potem ewentualnie sprzedaje wybrane kadry organizatorowi. Taki model biznesowy występuje raczej przy otwartych wydarzeniach masowych (np. festiwale, biegi uliczne), ale w relacjach B2B bywa stosowany sporadycznie.

Jeżeli fotograf samodzielnie decyduje, które zdjęcia wykona, jak je wykorzysta, gdzie opublikuje, a organizator nie daje mu szczegółowych instrukcji, można mówić o tym, że fotograf jest odrębnym administratorem danych. Wtedy:

  • musi mieć własną podstawę prawną do wykonywania i publikacji zdjęć,
  • sam realizuje obowiązek informacyjny wobec osób, które fotografuje,
  • odpowiada za ewentualne naruszenia praw osób sfotografowanych.

W praktyce ten model jest ryzykowny zarówno dla organizatora, jak i fotografa. Organizator traci kontrolę nad wizerunkami gości, a uczestnik nie zawsze wie, z kim się kontaktować w przypadku zastrzeżeń. Stąd przy wydarzeniach firmowych i konferencjach oględnie mówiąc bezpieczniej i czytelniej jest traktować fotografa jako podmiot przetwarzający, działający na wyraźne instrukcje administratora.

Współadministracja danych przy wydarzeniach partnerskich

Współadministracja pojawia się tam, gdzie dwóch lub więcej administratorów wspólnie ustala cele i sposoby przetwarzania danych. Przykład: wydarzenie tworzone przez dwie firmy, które:

  • wspólnie budują bazę uczestników,
  • wspólnie finansują kampanię promocyjną,
  • wspólnie wysyłają komunikację przed i po wydarzeniu,
  • każda z nich używa danych uczestników do własnego marketingu, ale na tych samych zasadach.

W takim przypadku formalne nazwanie jednej strony „administratorem”, a drugiej „podmiotem przetwarzającym” byłoby sztuczne. Rozsądniej jest przyjąć model współadministrowania, spisać porozumienie określające podział obowiązków (np. która strona obsługuje żądania uczestników) i transparentnie poinformować o tym w klauzuli informacyjnej.

Jeśli jednak partner wyłącznie zapewnia przestrzeń, sponsoruje wydarzenie lub występuje jako prelegent, a nie ma dostępu do listy gości ani nie decyduje o celach przetwarzania, nie ma sensu „na siłę” kreować współadministracji. Tego typu fikcyjne konstrukcje częściej komplikują, niż upraszczają obraz sytuacji.

Jak klarownie komunikować role uczestnikom wydarzenia

Uczestnika zwykle nie interesuje zawiła konstrukcja prawna – chce wiedzieć, kto jest odpowiedzialny za jego dane i z kim się kontaktować w razie pytań lub zastrzeżeń. W komunikacji warto więc:

  • wskazać wyraźnie głównego administratora (organizatora wydarzenia),
  • wymienić najważniejszych odbiorców danych (np. dostawca systemu rejestracji, firma ochroniarska, fotograf),
  • pokazać, czy i w jakim zakresie dane uczestnika trafią do partnerów (np. do celów marketingowych – z odrębną zgodą),
  • podać czytelne dane kontaktowe: adres e‑mail, ewentualnie dane inspektora ochrony danych.

Najczęściej zadawane pytania (FAQ)

Czy na wydarzeniu zawsze potrzebna jest zgoda na zdjęcia uczestników?

Nie zawsze. Jeśli wydarzenie ma charakter publiczny, a zdjęcia pokazują głównie ogólny plan, tłum czy scenę, często da się oprzeć przetwarzanie wizerunku na tzw. prawnie uzasadnionym interesie (np. dokumentacja wydarzenia, relacja w mediach). Problem zaczyna się przy zbliżeniach konkretnych osób, zwłaszcza w sytuacjach prywatnych, kłopotliwych lub gdy ktoś jest głównym „bohaterem” kadru.

Zgoda jest najczęściej potrzebna, gdy: uczestnik jest wyraźnie rozpoznawalny i na pierwszym planie, zdjęcie ma być użyte w materiałach marketingowych (np. reklama wydarzenia, case study, baner na stronie), a nie tylko w neutralnej relacji z eventu. Bezpieczną praktyką jest łączenie: jasnej informacji w regulaminie + oznaczeń na miejscu + możliwości zgłoszenia sprzeciwu (np. specjalne identyfikatory, strefy „bez zdjęć”).

Czy monitoring na evencie wymaga zgody uczestników?

Standardowo monitoring wizyjny na wydarzeniu opiera się na innej podstawie niż zgoda – najczęściej na prawnie uzasadnionym interesie organizatora (bezpieczeństwo osób i mienia) albo obowiązku prawnym (np. w obiektach, gdzie wymaga tego ustawa). Zbieranie indywidualnych zgód na wejściu byłoby mało realne i z reguły nie jest wymagane.

To jednak nie zwalnia z obowiązków. Organizator musi: poinformować o monitoringu (tablice przy wejściu, zapisy w regulaminie), ograniczyć zasięg kamer do niezbędnego minimum (np. nie filmować toalet, stref przebierania się), jasno określić czas przechowywania nagrań i to, komu mogą być udostępniane. Deklaracja „nagrywamy dla bezpieczeństwa” bez tych elementów jest zbyt ogólna.

Jak legalnie prowadzić listy gości pod kątem RODO?

Lista gości to klasyczne przetwarzanie danych osobowych: imię, nazwisko, e‑mail, firma, często numer telefonu. Podstawą jest najczęściej umowa lub działania zmierzające do jej zawarcia (np. rejestracja na płatne wydarzenie) oraz prawnie uzasadniony interes organizatora (organizacja i zabezpieczenie wejścia). Zgoda nie jest tu zwykle potrzebna, ale dane z listy nie mogą być „przy okazji” użyte do innych celów, np. do mailingu sponsora, jeśli nie ma odrębnej podstawy.

Ryzyka pojawiają się przy praktyce. Najczęstsze błędy to: wielokrotne kopiowanie plików Excela, drukowanie kilku wersji list i zostawianie ich na recepcji lub przy ochronie, wysyłanie całej listy mailem „do wiadomości” kilkunastu osób. Trzeba ograniczyć dostęp do osób faktycznie zaangażowanych w obsługę wejścia, stosować hasła i minimalizować liczbę kopii. Po evencie listy nie powinny „krążyć” po firmie bez celu.

Kto jest administratorem danych na wydarzeniu: organizator czy agencja eventowa?

W typowym modelu administratorem danych uczestników jest główny organizator (np. firma, która „firmuje” wydarzenie). To on decyduje, jakie dane są zbierane, po co, jak długo, komu są przekazywane. Agencja eventowa, dostawca systemu rejestracji, firma ochroniarska czy fotograf to zwykle podmioty przetwarzające – działają na podstawie umowy powierzenia i według instrukcji organizatora.

Sytuacja zmienia się, gdy partner (np. sponsor tytularny) współdecyduje o wykorzystaniu danych – ma dostęp do pełnej bazy, wysyła swój marketing, ustala zasady rejestracji. Wtedy częściej mówimy o współadministracji lub o kilku niezależnych administratorach, a nie o prostym powierzeniu. Udawanie, że „to tylko podwykonawca”, gdy partner wysyła własny newsletter do uczestników, jest klasyczną pułapką.

Czy przy małym evencie firmowym trzeba aż tak przejmować się RODO?

Zasady RODO są te same dla małej integracji firmowej i dużego festiwalu. Różni się skala, a nie sama logika. Przy małym, wewnętrznym evencie zazwyczaj można zastosować prostsze formy realizacji obowiązku informacyjnego (np. e‑mail do pracowników, komunikat w intranecie), nie ma potrzeby skomplikowanych DPIA, a przepływ danych jest ograniczony do kilku systemów i osób.

To jednak nie oznacza „RODO nas nie dotyczy”. Nawet przy kameralnej imprezie pojawiają się listy uczestników, zdjęcia z integracji, informacje o diecie czy zdrowiu (np. alergie). Zbieranie „na wszelki wypadek” rozszerzonego zestawu danych bez realnej potrzeby tylko podnosi ryzyko i obowiązki. Zdecydowanie rozsądniej jest ograniczyć dane do tego, co faktycznie niezbędne.

Czy każda informacja o uczestniku wydarzenia to dane osobowe w rozumieniu RODO?

Nie każda, ale próg jest niższy, niż wiele osób zakłada. Daną osobową jest każda informacja, która pozwala zidentyfikować osobę bezpośrednio lub po połączeniu z innymi danymi. Na evencie będą to m.in.: imię, nazwisko, e‑mail służbowy, numer telefonu, nazwa firmy i stanowisko, numer identyfikatora, wizerunek na zdjęciu lub nagraniu, głos zarejestrowany podczas Q&A, dane z monitoringu czy informacje o noclegach i transporcie.

Dodatkowo część informacji może w konkretnym kontekście „awansować” do danych szczególnych kategorii, np. dieta związana z przekonaniami religijnymi albo prośba o konkretne udogodnienia z powodu niepełnosprawności. Im więcej takich wrażliwych kontekstów, tym bardziej trzeba przemyśleć, czy dane faktycznie są potrzebne i jak je zabezpieczyć.

Czy mogę wykorzystać dane z rejestracji na event do wysyłki newslettera lub oferty?

Nie automatycznie. Zgłoszenie na wydarzenie daje podstawę do przetwarzania danych w celu organizacji eventu (rejestracja, komunikacja operacyjna, identyfikatory, faktury), ale nie oznacza zgody na marketing. Aby legalnie wysyłać newsletter, zaproszenia na kolejne wydarzenia czy oferty partnerów, trzeba mieć odrębną podstawę prawną – najczęściej wyraźną zgodę marketingową lub można rozważyć prawnie uzasadniony interes, jeśli spełnione są określone warunki i łatwo skorzystać ze sprzeciwu.

Klasyczny błąd to jedna „łączona” zgoda na wszystko: udział w wydarzeniu, regulamin i marketing. Z punktu widzenia RODO cele powinny być rozdzielone, a uczestnik musi mieć realny wybór, czy chce np. tylko wziąć udział w konferencji, bez późniejszego otrzymywania mailingu od organizatora lub sponsorów.

Najważniejsze wnioski

  • Największe ryzyka RODO generują duże, złożone wydarzenia (konferencje, gale, festiwale) z wieloma uczestnikami, podwykonawcami i intensywną komunikacją marketingową – im więcej podmiotów „dotyka” danych, tym trudniej utrzymać nad nimi kontrolę.
  • Dane osobowe na evencie to nie tylko formularz rejestracyjny, ale też wizerunek, głos, identyfikatory, monitoring, dane z systemów wejść oraz informacje o diecie czy udogodnieniach – część z nich w określonym kontekście może stać się daną wrażliwą.
  • Mały event firmowy i duża impreza publiczna podlegają tym samym zasadom RODO; różni się skala, forma i poziom formalizacji (np. sposób przekazania klauzuli informacyjnej, konieczność DPIA, liczba zaangażowanych dostawców), a nie sam katalog obowiązków.
  • Najczęstsze źródła problemów to nie „sam event”, ale konkretne działania: nieprzemyślane publikacje zdjęć w social mediach, monitoring bez jasnych zasad, niekontrolowane listy gości oraz podwykonawcy działający bez umów powierzenia i instrukcji.
  • Zbieranie danych „na wszelki wypadek” (szczególnie informacji o zdrowiu, diecie czy wyznaniu) sztucznie podnosi poziom ryzyka i zakres obowiązków organizatora; bez realnej potrzeby lepiej z tego zrezygnować niż później tłumaczyć podstawę prawną.
  • Im więcej technologii (system rejestracji online, aplikacja eventowa, monitoring, transmisje live), tym bardziej potrzebna jest wcześniejsza analiza przepływu danych, ustalenie ról (administrator/podmiot przetwarzający) oraz formalne uregulowanie relacji z dostawcami.

Te artykuły mogą Cię zainteresować:

Poprzedni artykułJak rozmawiać o pieniądzach z klientem: budżet, priorytety i kompromisy
Izabela Adamczyk
Izabela Adamczyk
Izabela Adamczyk zajmuje się bookingiem i współpracą z artystami oraz partnerami wydarzeń. W AgencjaWinda.pl tłumaczy, jak przygotować zapytanie, negocjować warunki, czytać umowy i dopinać kwestie wizerunkowe, hospitality oraz riderów. Jej podejście opiera się na weryfikacji źródeł, porównywaniu ofert i dbaniu o transparentność ustaleń po obu stronach. Zwraca uwagę na detale, które najczęściej psują relacje: niejasne terminy płatności, brak planu promocji czy niedoszacowane wymagania techniczne. Pisze z perspektywy osoby, która pilnuje jakości współpracy i spokoju w dniu eventu.