adatvédelem

A GDPR 2018-as hatálybalépése a figyelem középpontjába helyezte az adatvédelem kérdéskörét: a cégek egymás után vizsgálták felül szabályzataikat, tanácsadókat alkalmaztak azért, hogy adatkezelési gyakorlatuk megfeleljen a szigorodó elvárásoknak. A pandémia alatt népszerűvé vált online rendezvények ráadásul az adatkezelés újabb aspektusaira világították rá. Számos személyes adat kerülhet ugyanis a szervező birtokába a résztvevők nevén és e-mail címen túl. Az ügyfelek bizalmának megőrzése és a jogszabályi előírásoknak való megfelelés pedig megköveteli, hogy az adatkezelés diszkréten, biztonságosan, az érintett jogainak maximális tiszteletben tartása mellett történjen. Mostani bejegyzésünkben megnézzük, mit tehet egy konferenciaszervező cég, hogy gyakorlata megfeleljen napjaink adatvédelmi elvárásainak!

Mit nevezünk adatvédelemnek?

Az adatvédelem a személyes adatok gyűjtésére, feldolgozására és felhasználására vonatkozó szabályozások összessége. Alapelve, hogy az adatok mindvégig az érintett személy rendelkezése alatt állnak, aki maga dönthet a nyilvántartásról és a felhasználásról, valamint bármilyen információ kizárólag előzetes hozzájárulásával kerülhet rögzítésre vagy továbbításra.

Az adatvédelem nem egyenlő az adatbiztonsággal, amely a tárolt adatok védelmét jelenti. Például egy rendezvény során összegyűjtött e-mail címeket egy szerveren tárolják, egy elzárt helyiségben, fizikailag védve így az információkat. Az adattovábbításra használt hálózat vagy az adatok kezelését végző szoftver informatikai védelmével kiegészülve pedig megteremthető az adatkezelés során elvárt adatbiztonsági szint.

Milyen jogszabályok vonatkoznak az adatvédelemre?

Az adatvédelem célja a személyhez fűződő jogok védelme, ami minden embert megillető alkotmányos alapjog. Az Alaptörvény deklarálja, hogy mindenkinek joga van személyes adatai védelméhez, amelynek érvényesülését külön törvénnyel kell biztosítani.

Ez a követelmény pedig a Polgári Törvénykönyvben (Ptk.) és az Infotörvényben ölt testet. A Ptk. fekteti le az adatvédelem alapjait azzal, hogy a nevesített személyiségi jogok közé sorolja a személyes adatok védelméhez és a képmáshoz való jogot.

Az Infotörvény pedig megteremti a személyes adatok védelmének jogszabályi garanciáit, meghatározva azok kezelésének alapelveit vagy érintettet megillető jogosultságokat. Emellett létrehozta a Nemzeti Adatvédelmi és Információszabadság Hatóságot, amelynek feladata a személyes adatok védelméhez való jog érvényesülésének ellenőrzése és elősegítése.

Mit takar a GDPR kifejezés?

A GDPR egy európai uniós jogszabály, az Európai Unió Adatvédelmi Rendelete (General Data Protection Regulation). Hatálya kiterjed valamennyi, uniós országban székhellyel vagy fiókteleppel rendelkező adatkezelőre, illetve mindenkire, aki uniós állampolgárok adatait kezeli. Szabályozása összhangban áll az Infotörvénnyel, ugyanakkor a konkrét adatkezelés során elsődlegesen a GDPR rendelkezései az irányadóak, a magyar jogszabály kisegítő jelleget tölt be: akkor kell alkalmazni, amikor a GDPR nem rendez valamilyen kérdést.

Adatvédelem a rendezvényszervezésben

Rendezvényszervezés és GDPR: milyen adatok kerülnek a birtokunkba?

Egy rendezvény szervezése során számos személyes adat kerül a szervezők birtokába a résztvevők részéről.  A jogszabályok ráadásul a személyes adatokon belül megkülönböztetik a különleges vagy különösen érzékeny adatokat. Ilyenek az etnikai származásra, a vallási és világnézeti meggyőződésre, vagy az egészségügyi állapotra vonatkozó információk. Ezen adatok szabályos kezelése pedig kulcsfontosságú a jogi követelményeknek való megfelelés szempontjából. Nézzük is, mire kell figyelnünk ezen a téren.

A családi és a keresztnév megadása alapvetően szükséges a vendégek regisztrációjához. Bár azt gondolhatnánk, hogy önmagában ezek nem adatok, azonban mégis: következtetni lehet belőlük a rendezvényen való részvételre, amelyből akár további következtetések is levonhatók az érintettekre. Így már egy jelenléti ív tartalma is személyes adatnak minősülhet.

Az e-mail címek és telefonszámok összegyűjtése számos okból lehet fontos a szervezés során. Nemcsak a kapcsolattartás eszközei, hanem ezekre az elérhetőségekre érkezhetnek a jelentkezések/foglalások visszaigazolásai, az elektronikus jegyek és voucherek. Emellett szerepük lehet a marketing tevékenységek során is, ugyanakkor a jelentkezéshez megadott kapcsolati adatok főszabályként nem használhatók reklámcélokra. Ezen túl személyes adatnak számít a résztvevő születési helye és ideje, állandó lakcíme, vagy adóazonosító jele egyaránt.

Az üzleti partnerekkel való kapcsolattartás során szintén merülhetnek fel adatvédelmi kérdések. A beérkezett ajánlatok útján, a szerződésekkel kapcsolatos egyeztetések vagy az alvállalkozókkal és a munkavállalókkal való kapcsolattartás során személyes adatok is a birtokunkba kerülhetnek. Ilyen lehet a névre szóló céges email cím, a munkahelyi beosztás, vagy a munkakörre jelentkező munkavállaló egyéb adatai.

Ezek mellett pedig olyan, „különleges” kategóriába tartozó információkat is gyűjthetünk, mint az ételérzékenységekre vonatkozó adatok vagy más egészségügyi információk, például a rokkantságra, fogyatékosságravonatkozóan.

Mikor felel meg az adatkezelés a GDPR-nak?

A GDPR felsorolja azokat a jogalapokat, amelyen alapulva az adatkezelés jogszerű lehet. Ennek legáltalánosabb esete a megfelelő tájékoztatáson alapuló hozzájárulás, amelyet az adatvédelmi tájékoztatóban foglaltakkal biztosíthatunk.

Az érintett beleegyezésével történik

Az adatkezeléshez történő hozzájárulásnak minden esetben kifejezettnek kell lennie és egy konkrét, az érintett számára érthető tájékoztatáson kell alapulnia. A regisztrációs űrlapon előre bejelölt négyzetek nem felelnek meg ennek a célnak – ellenben a checkbox kattintással történő megjelölése jó megoldás lehet.

A tájékoztatás akkor teljeskörű, ha az kitér legalább az alábbiakra:

  • az adatkezelő adatai,
  • a kezelt adatok köre és azok kezelésének, tárolásának vagy továbbításának technikai adatai,
  • az adatokat megismerők köre,
  • az adatkezelés célja, módja és időtartama, valamint az érintettet ezzel kapcsolatban megillető jogosultságok (például a hozzájárulás visszavonásához, az adatok módosításához vagy törléséhez való jog).

Megfelel az egyéb adatkezelési alapelveknek

Az érintett beleegyezése mellett számos más követelményt megfogalmaznak az adatvédelmi irányelvek. Ilyen a célhoz kötöttség elve, ami alapján személyes adatot kizárólag előre meghatározott, az érintett tudomására hozott célból lehet kezelni. Például a rendezvényen való étkeztetés megszervezéséhez bekért adatok – hozzájárulás hiányában – később nem használhatók marketing célokra.

Az adat takarékosság elvének értelmében csak annyi személyes adat kérhető az érintettektől, ami az adott cél megvalósításához feltétlenül szükséges. Egy online konferencián történő részvételhez elegendő lehet egy e-mail cím megadás, a lakcímadatok gyűjtése viszont kívül eshet ezen a körön.

A korlátozott tárolhatóság elve annyit jelent, hogy csak az adatkezeléssel érintett cél megvalósulásáig lehet az adatokat tárolni. Így a konferencia végeztével főszabályként törölni kell a résztvevők személyes adatait.

Ezekre is érdemes figyelni a szervezőknek?

Külön kérdést érdemelnek a rendezvény során készített kép- és hangfelvételek, illetve azok publikálásának lehetőségei. A Ptk. alapján képmás vagy hangfelvétel elkészítéséhez és felhasználásához az érintett személy hozzájárulása szükséges. Ezért kifejezetten fel kell hívni az érintett figyelmét, hogy róla a rendezvény során kép- és hangfelvétel készülhet, amit az adatkezelő később felhasználhat. Így főszabályként a rendezvényen készült képek nem használhatók fel még a közösségi médiában sem az érintett beleegyezése nélkül.

Hasonlóan kell eljárni valamennyi különleges személyes adat vonatkozásában. A személyes adatok kezeléséhez történő általános beleegyezés megalapozhatja az e-mail címek, telefonszámok vagy lakcímadatok gyűjtését. Nem vonatkozik viszont az érzékenyebbnek számító, például az egészségügyi állapotra vagy az etnikai származásra utaló adatokra. Ezek gyűjtésére minden esetben külön fel kell hívni az érintettek figyelmét és az adatok kezelése során körültekintően kell eljárni, hiszen a GDPR szigorúbb szankciókat ír elő az ilyen típusú adatokkal való visszaélés vagy más sérelmek esetére. Ezért minél kevesebbet gyűjtünk ezekből az információkból, annál jobb.

Az online események és az adatvédelem

Egy virtuális konferencia esetén a digitális környezet további adatkezelési kérdéseket vethet fel. A vendégek a regisztráció során személyes adatokat adnak meg a konferenciát lebonyolító online felületen. Ezeket az információkat védelemben kell részesíteni, ezért fontos a felületen bekért adatok megfelelő szintű titkosítása.

Amennyiben a konferenciaszervező programot külső szolgáltató biztosítja, úgy ez a fél is részt vesz az adatok feldolgozásában: ezért vele is meg kell állapodni a személyes adatok jogszerű kezelésének biztosításáról, valamint a résztvevőket is tájékoztatni kell az adatfeldolgozó kilétéről.

Önálló adatkezelő lehet a beágyazott szoftverek jogosultja is. Így például, ha az online esemény felületén egy videómegosztó platform tartalma is megosztásra kerül és az adatokat gyűjt a felhasználókról, akkor az érintettet az adatvédelmi irányelveknek megfelelően erről is tájékoztatni kell.

Hogyan biztosítja az adatvédelmet a ConfWare szoftver?

Az uniós Adatvédelmi Rendelet elsősorban jogi fogalmakat, alapelveket, jogosultságokat és szankciókat határoz meg, az adatkezelés technikai részleteit nem szabályozza. Ugyanakkor ahhoz, hogy egy adatkezelő adatkezelési gyakorlata teljesen biztonságos legyen és megfeleljen a jogszabályi elvárásoknak, biztosítani kell a tárolt adatok integritását és védelmét is, megakadályozva az illetéktelen hozzáféréseket, ezáltal az érintet jogainak sérelmét.

Az adatvédelmi incidensek megelőzésének egyik legjobb módja, ha gondoskodunk az összegyűjtött adatok megfelelő technikai védelméről. Az adathalászatok és más kiberfenyegetések ellen sokat tehetünk a megfelelő rendezvényszervező program használatával és a program által kínált olyan biztonsági funkciókkal, mint az adattitkosítás, a kétlépcsős azonosítás, vagy a rendszeres biztonsági mentések és frissítések.

Mik a ConfWare konferenciaszervező szoftver előnyei?

A ConfWare konferenciaszervező szoftverét a cikkünkben bemutatott adatvédelmi megfontolások figyelembevételével, valamint a munkatársak több évtizedes rendezvényszervező tapasztalatának ötvözésével fejlesztették és fejlesztik mind a mai napig.

A rendezvényszervező programmal egy felületen kezelhetünk minden adatot, ami az előkészítés vagy a lebonyolítás során birtokunkba kerül. Ide érkeznek a regisztrációk, itt kerül feltöltésre valamennyi személyes adat. Ezek az információk pedig átláthatóan, egy helyen kezelhetőek egy felhasználóbarát felületen, ezáltal is csökkentve a szükséges adminisztrációt, ezzel együtt pedig a hibázás lehetőségét. A felhasználói jogosultságok egyszerűen kioszthatóak, így mindenki csak ahhoz az adathoz férhet hozzá, amelyek kezelése – az adatvédelmi alapelvek figyelembevételével – szükséges és indokolt.

A Confware munkatársai mindenben a segítségünkre lesznek, ami egy konferencia gyors, zökkenőmentes és a jogszabályoknak megfelelő lebonyolításához szükséges. A rendezvényszervezés gyakorlati oldalán szerzett tapasztalataik mellett segítenek eligazodni a rendszer testreszabásában, és az annak használata során felmerülő kérdésekben maximális szakmai támogatást nyújtanak.