Webinarium zgodne z RODO

Życie w epoce informacji, przenikanie się świata realnego i wirtualnego – niedawno slogany z wizji przyszłości, w ostatnich tygodniach, bardziej niż kiedykolwiek wcześniej, stały się naszym codziennym doświadczeniem. W poszukiwaniu źródeł wartościowych informacji coraz więcej osób bierze udział w webinariach, podczas których wiedzą dzielą się najlepsi specjaliści w swoich dziedzinach.

Webinarium (ang. webinar) to seminarium przeprowadzane za pośrednictwem Internetu przy pomocy technologii webcast.
Nazwa ta powstała z połączenia wyrazu sieć (ang. web) z częścią słowa seminarium.

Jak więc spełnić wymogi prawa, a co więcej – oczekiwania dbających o swoją prywatność i bezpieczeństwo uczestników i zorganizować webinarium zgodnie z rozporządzeniem ogólnym o ochronie danych osobowych (RODO)?

Nowoczesne rozwiązania wymagają nowoczesnego podejścia do przetwarzania danych osobowych. RODO jest nazywane inteligentnym aktem prawnym właśnie dlatego, że ustanowione w nim elastyczne wymogi stosowania środków technicznych i organizacyjnych pozostawiają przestrzeń dla bezpiecznego zaprojektowania nowych procesów przetwarzania danych osobowych.

Planując webinarium zarówno organizator, jak i operator webinarium muszą zadbać o wkomponowanie w ten „produkt” zasad prywatności już na początku jego projektowania – od określenia, jakie dane o uczestnikach będą przetwarzać po szczegóły środków technicznych, jakie zastosują dla zapewnienia bezpiecznej dwustronnej komunikacji. RODO wymaga także ciągłej oceny ryzyka i skutków dla ochrony danych w przypadku ich przetwarzania przy użyciu nowych technologii lub na dużą skalę.

Przed wyborem operatora warto więc przyjrzeć się m.in. w jaki sposób:

  • będzie szyfrowane połączenie.
  • Użytkownicy mogą zabezpieczyć swój osobisty identyfikator spotkania (PMI).
  • Organizator może uniemożliwić dołączenie do webinarium pod imieniem innego uczestnika.

! Organizator, czyli administrator danych osobowych, jest odpowiedzialny za zapewnienie bezpieczeństwa danych uczestników. Dlatego należy z najwyższą ostrożnością wybierać operatorów webinariów. Decydując się na odpowiedni program do realizacji tego przedsięwzięcia, należy dokładnie zapoznać się z regulaminem dostawcy, polityką prywatności a także gdzie i w jaki sposób będą przetwarzane dane osobowe uczestników.

W wypadku naruszenia ochrony danych osobowych uczestników, na szali leży ryzyko wysokiej kary administracyjnej oraz reputacja organizatora. Dlatego warto zwrócić się o pomoc do ekspertów, którzy profesjonalnie zajmują się ochroną danych osobowych i bezpieczeństwem informacji.

Oto kilka wskazówek dla osób koordynujących przetwarzanie danych osobowych w związku z organizowaniem webinarium:

  • Nie wysyłaj zaproszeń do udziału w webinarium do osób, które wcześniej nie wyraziły zainteresowania otrzymaniem takiej informacji.
  • W formularzu rejestracyjnym wymagaj podania tylko takich informacji, które są niezbędne do realizacji celu (udziału w webinarium) a także takie które będziesz rzeczywiście wykorzystywał – do udziału w niektórych webinariach wystarczające będzie podanie adresu e-mail, ale w innych przypadkach konieczne może być zebranie szerszej kategorii danych, na przykład niezbędnych do przyjęcia płatności, czy potwierdzenia tożsamości. Przydatne może okazać się też uzyskanie nazwy firmy i stanowiska uczestnika, dzięki czemu organizator może lepiej odpowiedzieć na potrzeby audytorium.
  • Jeżeli dostęp do webinarium będzie autoryzowany, aby uniknąć udziału osób niezaproszonych, zaplanuj jakich danych osobowych będziesz potrzebować do uwierzytelnienia uczestników. Możliwe, że sam adres e-mail nie będzie wystarczający i przydatny może być także numer telefonu.
  • W przejrzysty sposób poinformuj uczestników o przetwarzaniu ich danych i przysługujących im prawach.
  • Sprawdź kto jest operatorem usługi webinarium. Jeśli dane zbierane przez formularz elektroniczny mają trafić poza Europejski Obszar Gospodarczy, konieczne będą dodatkowe działania wymagane przez RODO. Do działań tych należy zidentyfikowanie podstawy prawnej legalizującej transfer danych. Ponadto w takim przypadku na organizatorze spoczywa obowiązek poinformowania uczestników webinarium o zamiarze przekazania danych osobowych do państwa trzeciego (poza EOG), o stwierdzeniu przez Komisję Europejską odpowiedniego stopnia ochrony lub o odpowiednich lub właściwych zabezpieczeniach (jeśli decyzja KE nie została wydana dla danego państwa trzeciego) oraz o możliwościach uzyskania przez osobę, której dane dotyczą kopii danych lub o miejscu udostępnienia danych.

Planujesz przesyłać uczestnikowi informacje marketingowe w przyszłości?

W poszukiwaniu właściwej podstawy prawnej legalizującej takie działania w pierwszej kolejności można zbadać, czy zachodzi istotny i odpowiedni rodzaj powiązania między osobą, która uczestniczyła w webinarium, a organizatorem, na przykład czy osoba ta jest stałym klientem organizatora i ma rozsądne przesłanki by spodziewać się, że może nastąpić przetwarzanie jej  danych w celu przedstawienia oferty organizatora. O testach równowagi interesów pisaliśmy tutaj.

Jeżeli jednak ocenisz, że interesy i prawa podstawowe uczestnika mogą być nadrzędne wobec Twojego interesu jako organizatora, w szczególności, gdy osoba ta nie ma rozsądnych przesłanek, by spodziewać się dalszego przetwarzania, możesz pozyskać zgodę na przekazywanie informacji marketingowych w przyszłości oraz na kanał komunikacji, którego chcesz używać.

! Warto przemyśleć kolejność zgód, gdyż zgoda wyłącznie na dany kanał komunikacji (w celu przekazania treści marketingowych) nie stanowi w świetle RODO samodzielnej podstawy legalizującej przetwarzanie danych osobowych w celach marketingowych.

Upewnij się, że zebrałeś odrębne zgody, spełniające wszystkie wymogi RODO.

Pamiętaj, że zgodę na przekazywanie informacji handlowych za pośrednictwem e-mail, sms, mms, czy połączeń telefonicznych – należy zebrać również w przypadku, gdy podstawą prawną przetwarzania danych w celach marketingowych jest prawnie uzasadniony interes administratora danych.

Autor

Paulina Wirska

Prawnik, specjalista z zakresu prawa ochrony danych osobowych. Autor artykułów branżowych. Trener na szkoleniach z ochrony danych osobowych.