Partner wydania: Polskie przepisy wewnętrzne dotyczące danych osobowych nie znikną jednak całkowicie, gdyż ustawodawca będzie musiał uregulować np. kwestie proceduralne obowiązujące w tym zakresie w RP (np. przemianowaniu ulegną GIODO i jego urzędnicy). Obecnie trwają prace nad tymi regulacjami w Polsce, natomiast samo RODO już się nie zmieni, będzie obowiązywać w takim kształcie, w jakim zostało uchwalone w 2016 r. 2. KIEDY EVENT MANAGER PRZETWARZA DANE OSOBOWE? Odpowiedź na to pytanie sprowadza się do zapoznania z dwoma pojęciami definiowanymi przez RODO, czyli z „danymi osobowymi” i „przetwarzaniem”. Przez dane osobowe rozumie się informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. Przykład: daną osobową jest e-mail, jeśli możemy połączyć go z określoną osobą, gdyż np. składa się z imienia i nazwiska oraz domeny wskazującej na konkretnego pracodawcę tej osoby. Daną osobową zaś nie będzie taki e-mail, jeśli wygląda następująco: office@XXX.pl. Już wiemy, że praktycznie każdy z nas ma w swoim komputerze całą kolekcję tak rozumianych danych osobowych. Spójrzmy teraz na drugie pojęcie – „przetwarzanie”– które w rozumieniu RODO oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie danych. Jeśli zatem na imprezie event manager poprosi gości o pozostawienie w pojemniku przy wejściu swoich wizytówek celem losowania nagrody, to już w tym momencie dojdzie do przetwarzania danych osobowych, gdyż samo zbieranie takich danych jest już ich przetwarzaniem. 3. KOGO CHRONI RODO? RODO chroni wyłącznie osoby fizyczne, gdyż dane osobowe dotyczą nadal wyłącznie osób fizycznych. Nie można więc mówić o danych osobowych w przypadku firm. Event manager nie musi stosować żadnych specjalnych procedur związanych z ochroną danych osobowych np. w przypadku danych firmy zamawiającej u nas wydarzenie dla pracowników (dane takie mogą być jednie chronione na podstawie ogólnych przepisów prawa cywilnego, poszanowania tajemnicy przedsiębiorstwa czy tajemnicy kontraktowej). Wynika to wprost z definicji danych osobowych w RODO, zgodnie z którą dane te oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”). Ochrona dotyczy przetwarzania danych osobowych zarówno w sposób automatyczny (np. w systemach komputerowych), jak i niezautomatyzowany (np. zbiór wizytówek). 4. ZGODA NA PRZETWARZANIE DANYCH OSOBOWYCH – CO ZMIENIA RODO? W powszechnej świadomości funkcjonuje błędny co do zasady pogląd, że aby zgodnie z prawem przetwarzać dane osobowe, potrzebna jest zgoda osoby. Tak naprawdę jest to tylko jedna z wielu sytuacji, w której dane osobowe mogą być przetwarzane. RODO zachowuje jednak zgodę osoby, której dane dotyczą jako jedną z podstaw dopuszczalności przetwarzania danych. Zgoda może dotyczyć jednego lub większej ilości celów. W branży event managera zgoda na przetwarzanie danych osobowych na pewno dotyczy sytuacji związanej z marketingiem kierowanym do klienta lub potencjalnego klienta. Jeśli chcemy wysyłać newslettery, promocje, kontaktować się z osobą fizyczną po wykonaniu usługi, wówczas na pewno taką zgodę musimy pozyskać. Inaczej jest w przypadku podmiotów niebędących osobami fizycznymi, choć dla odmiany firmy też są chronione przed niezamówioną reklamą, ale na podstawie innych przepisów. Dopilnujmy przed wejściem w życie RODO, by pozyskać stosowne zgody od wszystkich, do których kierujemy nasz marketing. Jeśli np. mamy bazę danych osób, do których rozsyłamy newslettery, poświęćmy dzień–dwa na weryfikację, czy w razie kontroli z GIODO będziemy się w stanie okazać stosownymi zgodami. Może trzeba przeprowadzić akcję pozyskania tych zgód, co przy okazji może doprowadzić do ożywienia naszej bazy danych klientów, ale to już zupełnie inny temat, dotyczący marketingu. Przetwarzanie danych osobowych kojarzy nam się raczej z telemarketingiem, wielkimi bazami danych w korporacjach czy danymi zbieranymi w instytucjach świadczących usługi medyczne, ale nie z codzienną pracą event managera. Czy jednak na pewno nie przetwarza on danych osobowych i nie musi znać się na obowiązujących w tym zakresie regulacjach? 57
RkJQdWJsaXNoZXIy MTMwMjc0Nw==