Inspektor w kasku sprawdza wnętrze domu pod kątem zgodności i bezpieczeństwa
Źródło: Pexels | Autor: RDNE Stock project
Rate this post

Nawigacja po artykule:

Dlaczego wydarzenia są „trudnym” obszarem RODO

Wydarzenie jako mieszanka wielu procesów przetwarzania

Organizacja wydarzenia – niezależnie, czy chodzi o małe szkolenie, czy dużą konferencję z transmisją online – łączy w sobie wiele różnych procesów przetwarzania danych osobowych. Jednocześnie działają: formularz rejestracji, system płatności, wysyłka potwierdzeń i przypomnień, listy obecności na miejscu, wydawanie identyfikatorów, wykonywanie zdjęć i nagrań, transmisja live, wystawianie certyfikatów, rozliczenia z partnerami i sponsorami. Każdy z tych elementów może mieć inną podstawę prawną, inny okres przechowywania i inne ryzyka.

Trudność polega na tym, że z perspektywy uczestnika „wydarzenie” jest jednym pakietem, natomiast z perspektywy RODO to kilka–kilkanaście odrębnych celów przetwarzania, które trzeba jasno zdefiniować i opisać w dokumentacji. Jeśli organizator w klauzuli informacyjnej napisze ogólnikowo „dane będą przetwarzane w celu organizacji wydarzenia”, to przy pierwszym incydencie lub skardze może mieć problem z wykazaniem, co dokładnie kryje się pod tym „celem”.

Dodatkowym wyzwaniem jest współpraca z wieloma podmiotami: platformami rejestracyjnymi, dostawcami cateringu, firmami ochroniarskimi, fotografami i ekipami wideo, dostawcami streamingu, operatorami płatności, a czasem też sponsorami czy partnerami merytorycznymi. Za każdym razem trzeba odpowiedzieć, czy dany podmiot jest procesorem (podmiotem przetwarzającym), czy odrębnym administratorem, a może współadministratorem – i odpowiednio to udokumentować.

Małe spotkanie a duża konferencja – skala zmienia ryzyko

Małe, wewnętrzne spotkanie czy szkolenie pracowników zwykle obejmuje ograniczony zakres danych, niewiele osób i brak transmisji. Ryzyka są stosunkowo niewielkie: głównie chodzi o właściwe poinformowanie pracowników, zabezpieczenie listy obecności, ewentualnie racjonalne podejście do notatek i materiałów szkoleniowych. Tam często wystarcza jasne uregulowanie w politykach wewnętrznych oraz wprowadzenie rozsądnych procedur.

Konferencja z otwartą rejestracją, gośćmi z zewnątrz, sponsorami, mediami, transmisją na żywo i nagraniami wideo to zupełnie inna liga. Wzrasta liczba kategorii osób (uczestnicy, prelegenci, patroni, obsługa, media), rozszerza się zakres danych (np. dane do faktur, preferencje żywieniowe, informacje o niepełnosprawności), a także liczba podmiotów zaangażowanych w przetwarzanie. W takich warunkach błędy związane z RODO są dużo bardziej kosztowne – reputacyjnie i organizacyjnie.

Różnica występuje również w kontekście monitoringu czy nagrywania. W małym szkoleniu wewnętrznym rzadko korzysta się z transmisji online, częściej stosuje się ewentualnie nagrania na potrzeby archiwizacji lub e-learningu. W dużym wydarzeniu transmisja i rejestracja audio-wideo są często kluczowym elementem produktu, a tym samym źródłem osobnych obowiązków informacyjnych, umów i decyzji dotyczących podstaw prawnych.

Różne grupy danych – różne oczekiwania i obowiązki

Inaczej należy podejść do danych „zwykłych” uczestników, inaczej do prelegentów, jeszcze inaczej do obsługi wydarzenia. Każda z tych grup ma odmienny zakres danych, inne interesy oraz inny stopień ekspozycji ich wizerunku i nazwiska na zewnątrz.

  • Uczestnicy – zwykle przekazują imię, nazwisko, adres e-mail, czasem telefon, dane organizacji, stanowisko, informacje do faktury. Oczekują, że dane posłużą do organizacji udziału, kontaktu przed wydarzeniem i ewentualnie przesłania materiałów po wydarzeniu, ale nic ponad to bez ich wiedzy.
  • Prelegenci – poza danymi kontaktowymi przekazują często biogram, zdjęcie, informacje o dorobku. Zwykle godzą się na publiczne ujawnienie tych danych w programie wydarzenia i materiałach promocyjnych, ale trzeba to uregulować umownie (np. licencja na wykorzystanie wizerunku i materiałów).
  • Obsługa techniczna, wolontariusze, ochrona – ich dane przetwarza się w kontekście realizacji umowy (np. zlecenia, B2B, umowy o pracę) i bezpieczeństwa wydarzenia. Dochodzą tu aspekty BHP, odpowiedzialności i ewentualnego monitoringu.
  • Sponsorzy, partnerzy, wystawcy – osoby kontaktowe po stronie firm partnerskich to najczęściej odrębna kategoria, przy której łatwo przekroczyć granicę marketingu, np. przekazując im dane uczestników bez wyraźnej podstawy.

Każda z tych grup wymaga osobnego przemyślenia zakresu danych, podstaw przetwarzania oraz treści klauzuli informacyjnej. Jedno, uniwersalne zdanie „Twoje dane są przetwarzane w celu organizacji wydarzenia” dla wszystkich ról to za mało.

Wydarzenia wewnętrzne a otwarte – różne reguły gry

Wydarzenia wewnętrzne (np. spotkania firmowe, szkolenia pracownicze, narady, integracje) opierają się zazwyczaj na relacji pracownik–pracodawca. Dane osobowe są już znane administratorowi, a podstawą przetwarzania jest przede wszystkim obowiązek prawny lub uzasadniony interes pracodawcy (np. szkolenie BHP, doskonalenie kwalifikacji, organizacja pracy). Nie ma tu tradycyjnej „rejestracji” ani marketingowego charakteru, więc problem zgód jest ograniczony.

Wydarzenia otwarte z zapisami publicznymi (konferencje, warsztaty, webinary z rejestracją, targi) kierowane są do nieograniczonego kręgu odbiorców. Dane pozyskuje się po raz pierwszy i trzeba jasno wskazać, kto jest administratorem, jakie są cele przetwarzania, jakie prawa przysługują osobom, których dane dotyczą. Często dochodzą też cele dodatkowe, np. marketing wydarzeń przyszłych, newsletter, przekazanie danych partnerom, co wymaga odrębnej analizy podstaw prawnych i – niekiedy – zgód.

Różnica jest też w oczekiwaniach prywatnościowych. Pracownik, uczestnicząc w szkoleniu wewnętrznym, z reguły godzi się na pewien poziom kontroli i dokumentowania (np. listy obecności do celów BHP). Z kolei uczestnik wydarzenia otwartego może być dużo bardziej wrażliwy na kwestię nagrywania, publikacji wizerunku czy przekazywania jego danych innym firmom.

Podstawy prawne przetwarzania danych przy organizacji wydarzeń

Najważniejsze podstawy prawne – porównanie

RODO wymienia kilka głównych podstaw przetwarzania danych osobowych. Przy wydarzeniach najczęściej stosuje się cztery z nich:

  • Art. 6 ust. 1 lit. b RODO – wykonanie umowy (udział w wydarzeniu jako świadczenie).
  • Art. 6 ust. 1 lit. c RODO – obowiązek prawny (np. szkolenia BHP, projekty dotacyjne, wymogi księgowe).
  • Art. 6 ust. 1 lit. f RODO – prawnie uzasadniony interes (np. zabezpieczenie roszczeń, dokumentowanie przebiegu wydarzenia, podstawowa komunikacja organizacyjna).
  • Art. 6 ust. 1 lit. a RODO – zgoda (cele dodatkowe, w szczególności marketing, newsletter, przekazanie danych sponsorom, wykorzystanie wizerunku jako głównego motywu materiałów promocyjnych).

Różnica między tymi podstawami jest zasadnicza. Umowa, obowiązek prawny i uzasadniony interes pozwalają przetwarzać dane niezależnie od zgody, podczas gdy zgoda wymaga dobrowolności i możliwości wycofania bez negatywnych konsekwencji. Nadużywanie zgody w sytuacjach, gdy istnieje inna, stabilniejsza podstawa, prowadzi często do chaosu: uczestnicy masowo wycofują zgody, a organizator traci formalne uzasadnienie dla podstawowych czynności, które i tak musi wykonać.

Udział w wydarzeniu jako umowa – kiedy zgoda nie jest potrzebna

W praktyce rejestracja na wydarzenie i udział w nim to typowy przykład realizacji umowy lub działań zmierzających do jej zawarcia. Uczestnik wypełnia formularz i akceptuje regulamin wydarzenia, a organizator zobowiązuje się dostarczyć określone świadczenie: udział w konferencji, dostęp do nagrania, materiały szkoleniowe, catering, certyfikat.

W takim przypadku podstawą przetwarzania danych nie jest zgoda, tylko konieczność realizacji umowy. Organizator musi przetwarzać imię, nazwisko, adres e-mail, ewentualnie dane rozliczeniowe, aby zrealizować usługę. Prośba o zgodę na przetwarzanie tych danych byłaby nie tyle zbędna, co wręcz myląca – sugerowałaby, że osoba może nie wyrazić zgody, ale nadal korzystać z usługi, co jest nielogiczne.

Praktyczny wniosek: w formularzu zapisów nie dodaje się checkboxa „Wyrażam zgodę na przetwarzanie danych w celu udziału w wydarzeniu”. Zamiast tego informuje się uczestnika (np. pod formularzem), że administratorem danych jest dany podmiot, a dane są przetwarzane w celu obsługi rejestracji i udziału w wydarzeniu na podstawie art. 6 ust. 1 lit. b RODO (umowa).

Prawnie uzasadniony interes przy organizacji wydarzeń

Uzasadniony interes administratora lub strony trzeciej jest bardzo użyteczną, ale często nadużywaną podstawą. Przy wydarzeniach można go zastosować m.in. do:

  • kontaktowania się z uczestnikami w sprawach organizacyjnych (zmiana daty, informacji logistycznych),
  • tworzenia podstawowej dokumentacji przebiegu wydarzenia (np. archiwalne zdjęcia, nagrania do użytku wewnętrznego),
  • zabezpieczenia się na wypadek roszczeń (dowód, że dana osoba uczestniczyła, że wydarzenie się odbyło),
  • stosowania monitoringu wizyjnego w celu zapewnienia bezpieczeństwa osób i mienia (o ile spełnione są inne przesłanki),
  • ograniczonej promocji własnych, podobnych wydarzeń do obecnych klientów (tzw. soft opt-in z zastrzeżeniem przepisów szczególnych).

Kluczowa jest tu analiza testu równowagi: czy interes administratora jest zgodny z prawem, czy jest realny i czy nie przeważają nad nim prawa lub wolności osoby, której dane dotyczą. Test równowagi warto udokumentować, szczególnie dla bardziej wrażliwych działań, jak monitoring czy publikacja zdjęć z wyraźnie widocznymi twarzami.

Nie każde działanie marketingowe da się oprzeć na uzasadnionym interesie. Wysyłanie newslettera z treściami wykraczającymi poza kontekst konkretnego wydarzenia wymaga najczęściej zgody (z uwzględnieniem przepisów telekomunikacyjnych i o świadczeniu usług drogą elektroniczną).

Kiedy zgoda jest właściwa, a kiedy szkodzi

Przy wydarzeniach zgoda powinna pojawiać się tam, gdzie dane są przetwarzane w celach dodatkowych, niezwiązanych bezpośrednio z realizacją umowy. Przykładowe zastosowania zgody:

  • otrzymywanie newslettera o kolejnych wydarzeniach i ofertach organizatora,
  • przekazanie danych kontaktowych uczestnika sponsorom lub partnerom w celach marketingowych,
  • wykorzystanie wizerunku uczestnika jako bohatera indywidualnej kampanii promującej przyszłe edycje wydarzenia,
  • udział w konkursach i loteriach związanych z eventem, wykraczający poza zwykłą obsługę wydarzenia.

Nadużycie zgody pojawia się wtedy, gdy organizator opiera na niej wszystko: od rejestracji po wysyłkę potwierdzenia i faktury. W razie wycofania zgody traci wtedy podstawę do podstawowych działań, które i tak musi wykonać. Prawidłowe podejście to wykorzystanie zgody tylko tam, gdzie uczestnik ma realną alternatywę i brak zgody nie wpływa na możliwość wzięcia udziału w wydarzeniu.

Przykłady zastosowania różnych podstaw prawnych

Na potrzeby porządkowania można zestawić typowe procesy przy wydarzeniach z sugerowaną główną podstawą prawną:

ProcesTypowa podstawa prawnaUwagi praktyczne
Rejestracja uczestnika i komunikacja organizacyjnaArt. 6 ust. 1 lit. b (umowa)Bez odrębnej zgody; informacja w klauzuli przy formularzu zapisów.
Fakturowanie, rozliczenia podatkoweArt. 6 ust. 1 lit. c (obowiązek prawny)Okres przechowywania wynikający z przepisów podatkowych i rachunkowych.
Lista obecności jako dowód realizacji szkolenia BHPArt. 6 ust. 1 lit. c (obowiązek prawny)Zakres danych ograniczony do minimum wymaganego przepisami.
Zdjęcia dokumentujące wydarzenie (wewnętrzne archiwum)Art. 6 ust. 1 lit. f (uzasadniony interes)Konieczny test równowagi; ograniczona dystrybucja.
Publiczna relacja z wydarzenia na stronie, social mediaArt. 6 ust. 1 lit. f lub lit. a (zgoda)Zależy od charakteru zdjęć/nagrań i sposobu ich wykorzystania.
Newsletter o kolejnych wydarzeniachArt. 6 ust. 1 lit. a (zgoda)Dodatkowy wymóg zgód z prawa telekomunikacyjnego i usług elektronicznych.
Przekazanie danych uczestników sponsorowiArt. 6 ust. 1 lit.

Przekazanie danych uczestników sponsorowiArt. 6 ust. 1 lit. a (zgoda)Brak zgody nie może wpływać na możliwość udziału w wydarzeniu.
Drewniane kostki z napisem compliance na rustykalnym drewnianym tle
Źródło: Pexels | Autor: Markus Winkler

Klauzula informacyjna dla uczestników – co musi zawierać i gdzie ją umieścić

Minimalny zakres informacji z art. 13 RODO

Treść klauzuli informacyjnej nie zależy od fantazji organizatora, tylko wprost od art. 13 RODO. Przy wydarzeniach trzeba pokryć co najmniej:

  • tożsamość i dane kontaktowe administratora (oraz inspektora ochrony danych, jeśli został wyznaczony),
  • cele i podstawy prawne przetwarzania – osobno dla udziału w wydarzeniu, rozliczeń, marketingu, przekazywania danych partnerom, publikacji zdjęć itd.,
  • informację o odbiorcach danych lub kategoriach odbiorców (np. podmiot obsługujący płatności, dostawca platformy webinarowej, sponsorzy – jeśli faktycznie otrzymują dane),
  • informację o przekazywaniu danych poza EOG (np. korzystanie z amerykańskiej platformy do webinarów lub narzędzi mailingowych),
  • okres przechowywania danych lub kryteria jego ustalania (osobno dla rozliczeń, dokumentacji szkolenia, celów marketingowych),
  • prawa osoby (dostęp, sprostowanie, usunięcie, ograniczenie, sprzeciw, przenoszenie danych, skarga do PUODO),
  • informację o obowiązku/ dobrowolności podania danych i ewentualnych konsekwencjach ich niepodania,
  • wskazanie, czy dochodzi do zautomatyzowanego podejmowania decyzji, w tym profilowania (przy klasycznych eventach zwykle nie) i na jakich zasadach.

W praktyce kluczowe są dwa elementy: przejrzyste rozróżnienie celów/przesłanek (żeby uczestnik widział, gdzie jest umowa, gdzie uzasadniony interes, a gdzie zgoda) oraz sensowne określenie okresów przechowywania. „Do odwołania zgody” nie wystarczy, jeśli oprócz zgody występują inne podstawy (np. obowiązek archiwizacji dokumentów księgowych).

Gdzie umieścić klauzulę przy zapisach na wydarzenie

Inaczej rozkładają się akcenty przy wydarzeniach online, a inaczej przy stacjonarnych. W obu przypadkach uczestnik powinien otrzymać informacje najpóźniej w momencie zbierania danych, bez konieczności szukania ich po całej stronie.

Typowe praktyczne rozwiązania:

  • formularz online – krótkie streszczenie pod formularzem (kto jest administratorem, główny cel, link do pełnej klauzuli) oraz pełna klauzula otwierana w nowym oknie lub w rozwijanym bloku,
  • rejestracja e-mailowa – automatyczna odpowiedź z potwierdzeniem przyjęcia zgłoszenia i klauzulą informacyjną w treści lub jako link,
  • wydarzenie zamknięte w firmie – klauzula w intranecie + skrócona informacja w zaproszeniu mailowym lub w regulaminie szkolenia,
  • rejestracja na miejscu – wydrukowana klauzula przy stanowisku rejestracji oraz krótka informacja na formularzu papierowym (np. „Szczegółowa informacja o przetwarzaniu danych dostępna przy recepcji wydarzenia oraz na stronie…”).

Przy rozwiązaniach hybrydowych (np. rejestracja online, a następnie wejście na obiekt z monitoringiem) dobrze jest uzupełnić klauzulę o informację o monitoringu lub odesłać do oddzielnej klauzuli monitoringu obiektu.

Jak pisać klauzulę, żeby była czytelna

Na klauzuli najczęściej „wykłada się” styl komunikacji. Można pójść w dwa skrajne kierunki:

  • techniczno-prawniczy – bardzo precyzyjny, lecz mało zrozumiały dla przeciętnego uczestnika,
  • prosty, „ludzki” język – przejrzysty, ale wymagający większej dyscypliny przy opisie podstaw prawnych.

Przy wydarzeniach lepsze efekty daje zwykle wariant mieszany: krótkie, zrozumiałe akapity, ale z zachowaniem wymaganych elementów. Dobre praktyki:

  • podział na sekcje tematyczne: „Kto przetwarza Twoje dane”, „Po co je przetwarzamy”, „Komu je przekazujemy”, „Jakie masz prawa”;
  • oddzielne podpunkty dla marketingu oraz przekazania danych partnerom – inaczej uczestnik nie zorientuje się, że jego dane mogą trafić np. do sponsora;
  • konkretne okresy przechowywania, np. „dane rozliczeniowe – 5 lat od końca roku kalendarzowego, w którym wystawiono fakturę”, „dane konta na platformie webinarowej – do 6 miesięcy od zakończenia wydarzenia”;
  • unikanie żargonu: zamiast „realizacja prawnie uzasadnionego interesu administratora”, można dodać wyjaśnienie w nawiasie: „(np. dochodzenie lub obrona przed roszczeniami)”.

Osobna klauzula dla prelegentów, sponsorów i podwykonawców

Uczestnik to nie jedyna osoba, której dane są przetwarzane przy wydarzeniu. Osobno kształtuje się relacja z:

  • prelegentami – zwykle na podstawie umowy cywilnoprawnej lub współpracy B2B; zakres danych jest szerszy (dane do faktury, wizerunek, biogram),
  • przedstawicielami sponsorów/partnerów – dane kontaktowe w celach koordynacji i rozliczeń,
  • obsługą techniczną – koordynacja harmonogramu, listy wejść, dostęp do zaplecza.

O ile przy uczestnikach klauzula jest często publikowana na stronie, o tyle w pozostałych przypadkach bardziej naturalne jest przekazanie jej w ramach umowy lub zapytania ofertowego, np. jako załącznik PDF. Warto też porównać, czy zakres danych opisany w klauzuli odpowiada temu, co rzeczywiście zbiera się w praktyce (np. czy faktycznie potrzeba numeru PESEL prelegenta, czy wystarczą dane na fakturę).

Zgody przy wydarzeniach: kiedy są potrzebne, a kiedy przeszkadzają

Jak poprawnie formułować zgody

Przy wydarzeniach zgody pojawiają się najczęściej w trzech miejscach: newsletter, marketing partnerów, publikacja wizerunku w szerszych kampaniach. Z perspektywy RODO liczą się cztery kryteria: dobrowolność, konkretność, świadome działanie oraz możliwość wycofania.

Praktyczny zestaw zasad:

  • oddzielne checkboxy dla różnych celów – np. osobny dla newslettera, osobny dla przekazania danych sponsorom, osobny dla wykorzystania wizerunku w materiałach promocyjnych,
  • brak łączenia zgody marketingowej z akceptacją regulaminu – regulamin to umowa, zgoda marketingowa to dodatkowy wybór,
  • jasne nazwanie administratorów – jeśli dane mają trafić do sponsora, nazwa sponsora powinna być wymieniona, a nie ukryta pod ogólną formułą „partnerzy biznesowi”,
  • informacja o możliwości wycofania zgody i prosty kanał jej odwołania (link w stopce maila, dedykowany adres e-mail).

Formuła zgody powinna wskazywać cel w sposób zrozumiały. „Zgadzam się na przetwarzanie moich danych w celach marketingowych” to zbyt ogólny zapis. Lepszy wariant: „Zgadzam się na otrzymywanie drogą e-mailową informacji o kolejnych szkoleniach i wydarzeniach organizowanych przez [nazwa administratora].”

Zgoda warunkiem udziału? Różne scenariusze

Problem pojawia się przy tzw. „wiązaniu” zgody z udziałem w wydarzeniu. Można wyróżnić dwa najczęstsze podejścia:

  • podejście minimalne – udział w wydarzeniu jest całkowicie niezależny od zgód marketingowych; brak zgody nie wpływa na rejestrację,
  • podejście „sponsorskie” – sponsor finansuje wydarzenie pod warunkiem, że uczestnicy udostępnią mu swoje dane marketingowe.

W pierwszym wariancie ryzyko naruszenia RODO jest niewielkie, za to sponsor może być mniej zadowolony z liczby pozyskanych kontaktów. W drugim – korzyści biznesowe rosną, ale rośnie też ryzyko prawne. Organy nadzorcze wielokrotnie wskazywały, że zgoda nie jest dobrowolna, jeśli brak zgody zamyka drogę do usługi, która w rozsądny sposób mogłaby być świadczona bez danego rodzaju przetwarzania.

Możliwe kompromisy to np.:

  • udostępnienie części treści wydarzenia (np. keynote) bez wymogu zgody marketingowej, a dodatkowych materiałów czy nagrań – w zamian za dobrowolną zgodę,
  • przygotowanie dwóch wariantów rejestracji: bezpłatny z dobrowolną zgodą marketingową oraz płatny, w którym zgoda nie jest wymagana.

Wybór modelu zależy od charakteru wydarzenia, roli sponsora oraz akceptowalnego poziomu ryzyka. Im bardziej „zamknięty” dostęp do treści i większa presja na wyrażenie zgody, tym trudniej obronić jej dobrowolność.

Łączenie zgód RODO z przepisami telekomunikacyjnymi

Przy newsletterach i kampaniach e-mailowych sama zgoda z art. 6 RODO nie wystarczy. Trzeba jeszcze uwzględnić:

  • prawo telekomunikacyjne – zgoda na używanie telekomunikacyjnych urządzeń końcowych (telefon, e-mail) dla celów marketingu bezpośredniego,
  • ustawę o świadczeniu usług drogą elektroniczną – zgoda na przesyłanie informacji handlowych drogą elektroniczną.

W praktyce organizator ma do wyboru dwa podejścia:

  • oddzielne checkboxy dla RODO, telekomunikacji i UŚUDE – czytelne, lecz wizualnie „ciężkie”,
  • jednolita treść zgody, która pokrywa wszystkie trzy wymagania (np. „Zgadzam się na przetwarzanie moich danych osobowych oraz otrzymywanie drogą e-mailową informacji handlowych i marketingowych od [nazwa], w tym z użyciem telekomunikacyjnych urządzeń końcowych”).

Drugie podejście jest wygodniejsze, jednak wymaga dokładnego dobrania sformułowań. Dobrą praktyką jest konsultacja takiej treści z prawnikiem lub inspektorem ochrony danych – szczególnie gdy wydarzenia są organizowane masowo.

Zbliżenie na zakrzywione warstwy ułożonych arkuszy papieru
Źródło: Pexels | Autor: Michaela St

Wizerunek uczestników: zdjęcia, nagrania, transmisje na żywo

Wizerunek jako dana osobowa i dobro osobiste

Przy wydarzeniach wizerunek uczestników funkcjonuje na dwóch płaszczyznach:

  • jako dana osobowa w rozumieniu RODO (jeśli pozwala zidentyfikować osobę),
  • jako dobro osobiste chronione przez prawo cywilne i autorskie (art. 81 ustawy o prawie autorskim).

RODO reguluje, kiedy i jak można przetwarzać wizerunek jako informację o osobie. Prawo autorskie z kolei dotyczy zgody na rozpowszechnianie wizerunku. To dwa różne porządki, choć w praktyce często łączone w jednym oświadczeniu. Przy organizacji wydarzeń trzeba więc z jednej strony mieć podstawę przetwarzania danych (np. uzasadniony interes, zgoda), a z drugiej – uregulować prawo do publikacji wizerunku w kontekście prawa autorskiego.

Zdjęcia grupowe, tłum, „tło” – kiedy wystarczy uzasadniony interes

Inaczej traktuje się sytuacje, gdy uczestnik jest głównym bohaterem kadru, a inaczej, gdy pojawia się w tle lub jako element większej grupy. Dla ogólnych ujęć:

  • uczestnicy są widoczni w tłumie,
  • brak wyraźnego wyróżnienia pojedynczej osoby,
  • celem jest dokumentacja wydarzenia lub relacja z wydarzenia, a nie indywidualna promocja czyjegoś wizerunku,

często wystarczającą podstawą jest prawnie uzasadniony interes administratora. Warunkiem jest wcześniejsze poinformowanie uczestników (np. w regulaminie, klauzuli informacyjnej oraz komunikacji na miejscu) o tym, że wydarzenie będzie fotografowane/filmowane i materiały mogą być użyte do relacji i promocji kolejnych edycji.

Przykładowe rozwiązanie praktyczne:

  • informacja na stronie zapisów: „Podczas wydarzenia będą wykonywane zdjęcia i nagrania wideo na potrzeby dokumentacji oraz relacji w mediach społecznościowych organizatora”,
  • oznaczenia na miejscu wydarzenia (np. plakaty, slajd powitalny): „Udział w wydarzeniu wiąże się z możliwością znalezienia się w materiałach zdjęciowych i wideo organizatora jako uczestnik wydarzenia”.

Indywidualne portrety i kampanie promocyjne – kiedy potrzebna jest zgoda

Gdy uczestnik staje się głównym motywem zdjęcia lub nagrania, a materiał ma być wykorzystany w sposób wykraczający poza zwykłą relację (np. w banerach reklamowych, długotrwałych kampaniach, case studies), sama podstawa z art. 6 ust. 1 lit. f jest zwykle niewystarczająca. Trzeba bowiem uwzględnić także prawo do wizerunku jako dobra osobistego.

Bezpieczniejszym rozwiązaniem jest uzyskanie od takiej osoby odrębnej zgody na wykorzystanie wizerunku, obejmującej:

Zakres zgody na wizerunek i formy jej zbierania

Przy indywidualnych ujęciach dobrym nawykiem jest rozdzielenie dwóch kwestii: technicznego przetwarzania danych (RODO) i upoważnienia do rozpowszechniania wizerunku (prawo autorskie). Często łączy się je w jednym dokumencie, ale warto, by zgoda była precyzyjna, a nie „na wszystko i wszędzie”. W szczególności powinna obejmować:

  • cel użycia wizerunku – np. promocja kolejnych edycji konferencji, materiały PR, publikacja na stronie i w mediach społecznościowych organizatora,
  • kanały publikacji – strona internetowa, social media, drukowane plakaty, katalogi,
  • czas trwania zgody – np. „na czas prowadzenia działań promocyjnych danej edycji oraz kolejnych edycji wydarzenia, nie dłużej niż X lat”,
  • zakres terytorialny – zwykle „bez ograniczeń terytorialnych”, co ma znaczenie przy publikacjach online,
  • ewentualną odpłatność lub nieodpłatność – w większości przypadków zgoda jest nieodpłatna, ale dobrze to jasno zapisać.

Technicznie najczęściej stosuje się dwa modele:

  • formularz papierowy – przy nagraniach wywiadów, sesjach zdjęciowych w studio, bardziej indywidualnej pracy z prelegentem/bohaterem case study; zaleta: podpis, łatwość archiwizacji w teczce projektu,
  • zgoda elektroniczna – checkbox przy wyrażeniu zgody na udział w dedykowanej sesji zdjęciowej, formularz na tablecie, potwierdzenie mailowe; zaleta: prosta integracja z rejestrem zgód, możliwość szybkiego odszukania.

Przy wydarzeniach masowych sprawdza się model mieszany: uczestnicy ogólni objęci są zasadą „zdjęcia w tłumie na uzasadnionym interesie”, natomiast dla osób świadomie występujących przed kamerą (prelegenci, osoby udzielające wypowiedzi) stosuje się odrębne zgody z dokładnie opisanym zakresem.

Sprzeciw wobec publikacji wizerunku i „strefy bez kamer”

Niezależnie od przyjętej podstawy prawnej, zawsze trzeba liczyć się z sytuacją, gdy uczestnik sprzeciwi się wykorzystaniu jego wizerunku. Podejścia są zwykle dwa:

  • model „opt-out” – domyślnie możliwe jest wykorzystywanie wizerunku w ujęciach ogólnych, a osoba może zgłosić sprzeciw (na miejscu lub mailowo),
  • model „strefowy” – fotografowanie i nagrywanie odbywa się głównie w wyznaczonych strefach, a udział w tych strefach oznacza świadomą zgodę na ryzyko publikacji wizerunku.

Przy wydarzeniach otwartych opt-out jest bardziej realistyczny, ale wymaga procedury: jasnego kanału zgłoszenia, oznaczenia sprzeciwu oraz procesu usuwania materiałów. W praktyce stosuje się np.:

  • specjalne identyfikatory lub opaski w innym kolorze dla osób, które nie chcą być fotografowane – sygnał dla fotografa,
  • mechanizm zgłoszenia po wydarzeniu: „Jeśli rozpoznajesz się na zdjęciu X i nie chcesz, aby było dalej publikowane, napisz na adres…”.

Model strefowy bywa wygodny przy nagraniach wideo: główna sala jest filmowana, a wyraźnie oznaczone „strefy bez kamer” pozostają poza kadrem. Uczestnik wybiera, gdzie siedzi. To rozwiązanie dobrze sprawdza się w szkołach, urzędach czy instytucjach, gdzie część osób ma silne zastrzeżenia do nagrywania.

Transmisje na żywo: ryzyka i ograniczenia

Live streaming łączy w sobie kilka wyzwań: przetwarzanie w czasie rzeczywistym, przekazywanie obrazu do zewnętrznych dostawców (platformy streamingowe) oraz trudniejszą kontrolę nad dalszym rozpowszechnianiem. Typowe modele to:

  • transmisja zamknięta – dostęp po zalogowaniu, często płatny lub dla zarejestrowanych uczestników; ryzyko jest mniejsze, bo zakres odbiorców jest ograniczony,
  • transmisja otwarta – np. na YouTube, Facebooku czy LinkedIn; korzyści promocyjne są spore, ale trudniej bronić tezy, że to jedyny możliwy sposób organizacji wydarzenia.

Bez względu na wariant, przy transmisji warto zadbać o:

  • wyraźne oznaczenie obszaru objętego kadrem – np. pierwsze rzędy i scena, z możliwością wyboru miejsc poza zasięgiem kamer,
  • minimalizację zbieranych danych – ograniczenie zoomu na publiczność, kadrowanie na scenę, unikanie zbliżeń na widzów bez wyraźnej potrzeby,
  • umowę powierzenia danych z dostawcą platformy streamingowej, jeśli ma dostęp do danych uczestników (np. komentarze, logowanie),
  • informację w klauzuli i regulaminie, że wydarzenie będzie transmitowane na żywo, oraz wskazanie platformy (szczególnie jeśli dane wędrują poza EOG).

Jeśli transmisja jest nagrywana i później udostępniana jako nagranie, pojawia się dodatkowy wątek czasu przechowywania i prawa do usunięcia fragmentu nagrania, na którym widoczna jest konkretna osoba. W praktyce często stosuje się uproszczenie: wyłącza się możliwość filmowania publiczności, a interakcje odbywają się przez czat online lub mikrofony ustawione poza głównym kadrem.

Prelegenci i prowadzący: odrębny status i szersza eksploatacja

Prelegenci, moderatorzy i prowadzący zazwyczaj godzą się na znacznie szersze wykorzystanie ich wizerunku i głosu. Tutaj w grę wchodzi już nie tylko zgoda na rozpowszechnianie wizerunku, lecz często także licencja na nagranie ich wystąpienia (utworu). W umowie lub odrębnym oświadczeniu dobrze wyraźnie określić:

  • czy organizator może nagrywać i udostępniać całe wystąpienie (np. w bibliotece nagrań, w płatnym dostępie, na YouTube),
  • czy możliwe jest wykorzystywanie fragmentów nagrania w materiałach promocyjnych,
  • czy prelegent wyraża zgodę na łączenie jego wizerunku z markami sponsorów (np. logo sponsora na planszy z jego zdjęciem),
  • czas i zasięg licencji (online/offline, świat, internet),
  • kwestię wynagrodzenia lub przeniesienia praw w ramach honorarium.

Z punktu widzenia RODO podstawą przetwarzania zwykle będzie umowa (art. 6 ust. 1 lit. b) i uzasadniony interes (promocja wydarzenia). Z punktu widzenia prawa autorskiego – licencja lub przeniesienie praw autorskich, plus zgoda na rozpowszechnianie wizerunku. Jeżeli organizator łączy prelegenta z agresywną kampanią sponsora bez wyraźnej zgody, łatwo o zarzut naruszenia dóbr osobistych, nawet przy poprawnym „RODO”.

Listy obecności, identyfikatory, certyfikaty – jak je prowadzić zgodnie z RODO

Listy obecności: kiedy są potrzebne i co na nich umieszczać

Listy obecności pełnią różne funkcje: potwierdzają udział (np. dla celów dofinansowania), pomagają w organizacji cateringu czy bezpieczeństwa PPOŻ, a czasem są wykorzystywane marketingowo. Im więcej funkcji, tym większe ryzyko nadmiarowości danych. Dwa typowe modele to:

  • lista imienna „otwarta” – kartka krążąca po sali, wszyscy widzą dane innych uczestników,
  • rejestr indywidualny – każdy uczestnik potwierdza obecność osobno (np. przy recepcji lub na tablecie), nie widząc danych innych.

Drugi model lepiej odpowiada zasadzie minimalizacji i poufności danych. W praktyce oznacza:

  • zastąpienie podpisywanej listy rejestracją elektroniczną przy wejściu (skan identyfikatora, kodu QR, odznaczenie w systemie),
  • ograniczenie zakresu danych na liście obecności do niezbędnego minimum – zwykle wystarczą imię, nazwisko i ewentualnie nazwa firmy/instytucji + czas wejścia/wyjścia.

Jeżeli listy są wymagane przez instytucję finansującą (np. urząd, fundusz UE), dobrym rozwiązaniem jest rozróżnienie dwóch dokumentów:

  • roboczej listy obecności do celów organizacyjnych – przechowywanej przez organizatora przez z góry określony czas,
  • list przekazywanych grantodawcy – zawierających tylko dane, których rzeczywiście wymaga umowa lub wytyczne.

Udostępnianie list uczestników sponsorom i partnerom

Szczególnie delikatnym obszarem jest przekazywanie list obecności sponsorom w celach marketingowych. Z perspektywy przepisów można wyróżnić trzy sytuacje:

  • brak przekazywania – sponsor płaci za ekspozycję na miejscu (stoisko, logo), ale nie otrzymuje danych osobowych; to rozwiązanie najbezpieczniejsze prawnie,
  • przekazanie z inicjatywy organizatora na podstawie zgody uczestników – wymaga wyraźnego checkboxa, nazwania sponsora i wskazania celu,
  • współadministracja – organizator i sponsor wspólnie określają cele i sposoby przetwarzania, podpisują umowę o współadministrowaniu i wspólnie informują uczestników.

Model prosty (brak przekazywania) minimalizuje ryzyka, ale ogranicza wartość marketingową dla sponsora. Model z przekazaniem na podstawie zgody wymaga starannego zaprojektowania formularza:

  • oddzielny checkbox: „Wyrażam zgodę na przekazanie moich danych kontaktowych (imię, nazwisko, e-mail, firma) do [nazwa sponsora] w celu przedstawienia oferty produktów/usług”,
  • jasne wskazanie, że brak zgody nie wpływa na udział w wydarzeniu,
  • link do klauzuli informacyjnej sponsora lub informacja, gdzie można się z nią zapoznać.

Model współadministrowania jest najbardziej złożony. Sprawdza się przy wspólnie organizowanych konferencjach branżowych, gdzie sponsor w praktyce jest współorganizatorem. Wymaga on:

  • umowy określającej, kto za co odpowiada (np. kto obsługuje sprzeciwy, kto odpowiada za wycieki),
  • wspólnej, spójnej klauzuli informacyjnej, w której opisuje się główne ustalenia,
  • przemyślenia, czy rzeczywiście wszyscy partnerzy powinni być współadminami, czy raczej część powinna pozostać zwykłymi odbiorcami danych na podstawie zgody.

Identyfikatory i widoczność danych na sali

Identyfikatory (badges) ułatwiają networking, ale jednocześnie ujawniają dane osobom trzecim. Najczęściej na plakietkach pojawiają się: imię, nazwisko, nazwa firmy, czasem stanowisko lub kraj. Warto porównać dwa podejścia:

  • identyfikator minimalny – imię + pierwsza litera nazwiska/nazwa firmy; zaleta: mniejsze ryzyko profilowania i nadużyć, ale trudniejsza identyfikacja uczestników,
  • identyfikator pełny – pełne imię i nazwisko + firma, czasem kod identyfikacyjny; zaleta: ułatwia nawiązywanie kontaktów, ale zwiększa powierzchnię ryzyka (np. nieuprawniony kontakt po wydarzeniu).

Przy wydarzeniach wewnętrznych (np. szkolenia korporacyjne) pełny identyfikator będzie zwykle akceptowalny – dane i tak są znane w organizacji. Przy wydarzeniach otwartych dla szerokiej publiczności rozsądne jest ograniczenie informacji do imienia i ewentualnie firmy/branży, zwłaszcza gdy uczestnicy niekoniecznie chcą ujawniać pełne nazwisko obcym osobom.

Identyfikatory mogą też pełnić funkcję „klucza” do zbierania danych przez sponsorów (np. skan kodu QR na stoisku). Warto wtedy:

  • rozróżnić identyfikator techniczny (ID w systemie, kod QR powiązany z profilem) od danych widocznych na plakietce,
  • jasno opisać w regulaminie, że skanowanie identyfikatora przez sponsora oznacza przekazanie danych temu sponsorowi w konkretnym celu – oraz może wymagać dodatkowej zgody, jeśli to cel marketingowy,
  • ustalić, czy uczestnik ma możliwość odmowy skanowania bez utraty innych świadczeń (np. dostępu do stoiska).

Certyfikaty i zaświadczenia: jakie dane umieszczać

Certyfikaty uczestnictwa w szkoleniach czy konferencjach zwykle służą celom zawodowym – uczestnik chce pokazać pracodawcy lub klientom, w jakich inicjatywach brał udział. W zależności od rodzaju wydarzenia zakres danych może być różny:

  • szkolenia „miękkie” (np. komunikacja, zarządzanie) – zazwyczaj wystarczą: imię i nazwisko, tytuł szkolenia, data i nazwa organizatora,
  • szkolenia specjalistyczne (np. medyczne, prawnicze) – czasem wymagane są numer prawa wykonywania zawodu, numer wpisu na listę, liczba punktów edukacyjnych.

Najczęściej zadawane pytania (FAQ)

Czy do organizacji wydarzenia zawsze potrzebuję zgody RODO od uczestników?

Nie. Sama rejestracja i udział w wydarzeniu zazwyczaj opiera się na umowie (art. 6 ust. 1 lit. b RODO), a nie na zgodzie. Uczestnik zapisuje się na konferencję czy webinar, akceptuje regulamin, a organizator realizuje świadczenie – i to jest główna podstawa przetwarzania danych.

Zgoda jest potrzebna przede wszystkim na cele dodatkowe, które nie są niezbędne do udziału w wydarzeniu, np. marketing kolejnych wydarzeń, newsletter, przekazanie danych sponsorom, użycie wizerunku jako głównego motywu kampanii promocyjnej. Warto więc oddzielić to, co „musi się zadziać” (umowa, obowiązek prawny, uzasadniony interes), od tego, co jest „miłym dodatkiem” i wymaga zgody.

Jaka jest różnica RODO między małym szkoleniem wewnętrznym a dużą konferencją otwartą?

Przy małym, wewnętrznym spotkaniu dane osób są zwykle już znane administratorowi (pracodawcy), nie ma otwartej rejestracji, a podstawą przetwarzania jest głównie obowiązek prawny lub uzasadniony interes pracodawcy (np. szkolenia BHP, podnoszenie kwalifikacji, organizacja pracy). Ryzyka są mniejsze, a zakres danych i podmiotów zewnętrznych – ograniczony.

Przy dużej konferencji otwartej zbiera się dane nowych osób, często w szerszym zakresie (dane do faktury, preferencje żywieniowe, informacje o niepełnosprawności), angażuje wielu usługodawców (rejestracja online, płatności, streaming, foto/wideo, ochrona) oraz występują cele dodatkowe (marketing, relacje ze sponsorami, media). W efekcie rośnie liczba podstaw prawnych, klauzul informacyjnych i umów powierzenia, a każdy błąd ma większy ciężar reputacyjny.

Czy mogę nagrywać wydarzenie i transmitować je online bez dodatkowej zgody uczestników?

To zależy od roli danej osoby i sposobu wykorzystania nagrania. Prelegenci zwykle mają osobne umowy/licencje, gdzie zgadzają się na rejestrację i publiczne udostępnianie wystąpienia. W ich przypadku podstawą są postanowienia umowne oraz uzasadniony interes organizatora. Uczestnicy salowi, którzy pojawiają się w tle, są najczęściej objęci uzasadnionym interesem (dokumentowanie przebiegu wydarzenia), jeśli zostali jasno poinformowani o nagrywaniu i mają rozsądną możliwość unikania kamer (np. strefy poza kadrem).

Jeżeli wizerunek konkretnej osoby ma stać się głównym elementem materiału promocyjnego (np. uczestnik na pierwszym planie w kampanii reklamowej wydarzenia), wówczas bezpieczniej jest oprzeć się na wyraźnej zgodzie tej osoby i osobnej licencji na wizerunek. Co innego nagranie dokumentacyjne czy streaming z sali, a co innego wykorzystanie cudzego wizerunku w materiale marketingowym.

Jak rozróżnić, kiedy stosować zgodę, a kiedy uzasadniony interes przy wydarzeniach?

Zgoda jest właściwa, gdy dana czynność nie jest konieczna do udziału w wydarzeniu i osoba może swobodnie z niej zrezygnować bez negatywnych skutków. To np. zapis na newsletter, zgoda na przekazanie danych sponsorowi, dodatkowe ankiety marketingowe niezwiązane z oceną wydarzenia czy wykorzystanie wizerunku w kampanii promocyjnej.

Uzasadniony interes sprawdza się tam, gdzie organizator ma racjonalną potrzebę przetwarzania danych, a jednocześnie nie narusza to nadmiernie prywatności uczestnika. Typowe przykłady: zabezpieczenie roszczeń (przechowywanie umowy/rejestracji), podstawowa komunikacja informacyjna (przypomnienia o terminie, zmiany agendy), dokumentowanie przebiegu wydarzenia, zapewnienie bezpieczeństwa. Kluczowe jest przeprowadzenie testu równowagi interesów i rzetelne opisanie tego w klauzuli informacyjnej.

Czy lista obecności na szkoleniu lub konferencji wymaga specjalnych zgód RODO?

Co do zasady nie. Lista obecności służy realizacji konkretnego celu: potwierdzenie udziału (wykonanie umowy), rozliczenie szkolenia obowiązkowego (obowiązek prawny, np. BHP), potwierdzenie wykonania usługi w projekcie dotacyjnym (obowiązek prawny/umowny). W takich sytuacjach podstawą jest umowa lub obowiązek prawny, a nie zgoda.

Problem pojawia się dopiero wtedy, gdy lista obecności jest wykorzystywana w innym celu, np. do późniejszego mailingu handlowego, przekazywania kontaktów sponsorom, czy ujawniania jej na zewnątrz w sposób, którego uczestnik rozsądnie się nie spodziewał. Tego typu dodatkowe wykorzystanie wymaga odrębnej podstawy prawnej (najczęściej zgody lub uzasadnionego interesu połączonego z możliwością sprzeciwu).

Jak traktować fotografa, firmę streamingową czy ochronę w kontekście RODO przy wydarzeniu?

Każdy podmiot trzeba ocenić osobno. Fotograf, który działa według szczegółowych instrukcji organizatora i oddaje mu materiał, zazwyczaj jest podmiotem przetwarzającym – konieczna jest wtedy umowa powierzenia. Gdy fotograf realizuje własny projekt (np. fotorelacja na potrzeby własnego portfolio i mediów społecznościowych), może być odrębnym administratorem, wymagającym własnej podstawy prawnej i informacji dla osób fotografowanych.

Podobnie z firmą streamingową czy ochroną: jeśli przetwarzają dane wyłącznie na zlecenie organizatora, są procesorami i działają w oparciu o umowę powierzenia. Gdy natomiast prowadzą własny monitoring czy rejestry wejść na potrzeby bezpieczeństwa centrum konferencyjnego, mogą być odrębnymi administratorami. Rozróżnienie „procesor – administrator” trzeba zapisać w dokumentach (umowy, klauzule informacyjne) i spójnie stosować w praktyce.

Czy uczestnik wydarzenia może sprzeciwić się nagrywaniu lub publikacji swojego wizerunku?

Uczestnik ma prawo sprzeciwić się przetwarzaniu danych opartego na uzasadnionym interesie (np. dokumentacyjnego nagrania), jeśli wykaże, że jego szczególna sytuacja powoduje, że nagrywanie nadmiernie narusza jego prywatność. Organizator musi wtedy ocenić, czy jego interes (np. archiwizacja, dowody realizacji usługi) przeważa, czy jednak powinien uwzględnić sprzeciw i np. usunąć fragment nagrania lub zadbać o anonimizację.

Inaczej wygląda sytuacja przy wykorzystaniu wizerunku na podstawie wyraźnej zgody (np. do kampanii promocyjnej). Taką zgodę można co do zasady wycofać, ale jej odwołanie nie cofa skutków już dokonanych działań (np. wydrukowanych plakatów). Dobrym standardem jest umożliwienie uczestnikom wyboru: osobne zgody na materiały promocyjne oraz jasne wskazanie stref, w których nie są rejestrowani z bliska.

Zobacz także: