Защита персональных данных конференции: ФЗ-152, GDPR, согласие

ФЗ-152 распространяется на всех, кто собирает, хранит и обрабатывает персональные данные в России. Конференция — обычно это регистрационная форма.

• Оператор данных: юрлицо (ООО, ИП), которое проводит конференцию, несёт ответственность перед законом
• Персональные данные: ФИ, email, телефон, должность, компания, фото (если есть видеосъёмка)
• Согласие участника: подтверждает, что он знает, для чего вы собираете его данные, и согласен на обработку
• Обработка: хранение в CRM, рассылка информации о событии, создание списков для спикеров и экспонентов, передача данных партнёрам (только с согласием)
• Санкции: штраф от 10 тыс. до 600 тыс. рублей, блокировка сайта, блокировка доступа к реквизитам компании

Требования ФЗ-152 одинаковы для всех событий, размер не имеет значения. Даже на небольшой конференции 50 человек нужно подтвердить согласие. Мы используем готовые шаблоны и автоматические системы на наших форумах — консультация поможет выбрать оптимальный вариант.

Согласие — это не просто чекбокс на сайте. Это полноценный юридический документ, который должен быть понятен участнику.

• Явное согласие: чекбокс «Я согласен на обработку моих данных» с указанием целей (регистрация, рассылка, отправка материалов)
• Предварительное согласие: собирается ДО события (на сайте регистрации), не достаточно спросить на входе
• Отдельное согласие на видеосъёмку: если проводится видеосъёмка или трансляция, это отдельный пункт с галочкой
• Согласие на передачу данных третьим лицам: если вы передаёте список участников спикерам или экспонентам, это отдельное согласие
• Форма согласия на русском и английском: если есть иностранные участники, оба варианта обязательны

Шаблон согласия на обработку данных должен быть согласован с вашим юристом. На практике работает стандартная форма из 3–4 пунктов (регистрация, рассылка, видео, передача данных). Сохраняйте подтверждения согласия (скриншоты чекбоксов) минимум 3 года. Подробнее о политике конфиденциальности https://doctorteam.ru/ и требования к операторам данных.

Политика конфиденциальности — это юридический документ, который объясняет, как вы обрабатываете данные участников.

• Раздел о целях обработки: регистрация, отправка информации о мероприятии, проведение конференции, формирование статистики
• Раздел о безопасности: как вы шифруете данные, где хранится база, кто имеет доступ (админы, спикеры, экспоненты только с согласием)
• Раздел о правах участников: право на доступ к своим данным, исправление, удаление (право забвения), отозвать согласие в любой момент
• Раздел о печеньях и аналитике: если используете Google Analytics, Яндекс.Метрику, указываем об этом
• Контакты оператора: ФИ, должность, email для вопросов по персональным данным

Политика конфиденциальности должна быть размещена на сайте конференции и доступна до регистрации. Рекомендуем редактировать её раз в год, если меняются системы хранения или передачи данных. Проверка политики https://doctorteam.ru/services/organizatsiya-forumov/ входит в наш чек-лист при подготовке любого события.

Согласие на рассылку — это отдельное согласие, которое отличается от согласия на обработку данных при регистрации.

• До события: рассылаем программу, последние новости, информацию о спикерах (достаточно согласия на сайте)
• После события: отправляем презентации спикеров, фотографии, видео-отзывы и приглашение на следующее событие
• Подписка в конце программы: участник может подписаться на рассылку о будущих конференциях (double-opt-in — подтверждение по email)
• Управление подписками: в каждом письме ссылка на отписку (обязательно по закону, иначе это спам)
• Аналитика: отслеживаем открытия писем, клики на ссылки — это помогает понять интерес участников к определённым темам

Согласие на рассылку работает только если скопировано из стандартного шаблона CRM (Mailchimp, Sender, GetResponse). Процент открытий рассылок от 20% до 40% — это нормально. Если открытия ниже 15%, пересматривайте тему письма и время отправки. Интеграция рассылок https://doctorteam.ru/ с CRM конференции поднимает конверсию на 15–20%.

Шифрование — это не опция, это требование ФЗ-152 при передаче данных через интернет.

• SSL-сертификат на сайте: все регистрационные формы должны быть на HTTPS (не HTTP) — это базовый уровень
• Шифрование в базе данных: если храните базу на сервере, используйте двухфакторную аутентификацию для админов
• Облачное хранилище: Google Drive, OneDrive, Dropbox с двухфакторной аутентификацией безопаснее локального сервера
• Резервные копии: сохраняйте резервные копии раз в неделю, храните их отдельно (не в облаке компании участников)
• Контроль доступа: минимум двух человек должны иметь доступ к базе (разделение ответственности)

Утечки данных случаются редко, но штрафы за них значительные. На наших конференциях используем облачные сервисы с шифрованием: Eventium, ConfHub, Google Workspace. Они имеют встроенные механизмы защиты от DDoS и утечек. Предложим вариант, соответствующий размеру вашего события.

GDPR (европейское законодательство) распространяется на данные граждан ЕС, даже если конференция проводится в России.

• Согласие на английском: если среди участников есть европейцы, форма согласия должна быть на английском с явным согласием на GDPR
• DPA (Data Processing Agreement): если передаёте данные европейским партнёрам (спикерам, техническим компаниям), нужен подписанный контракт
• Право на забвение: европейские участники могут потребовать удалить их данные в любой момент (для GDPR это 30 дней, для ФЗ-152 тоже)
• Хранение данных: если есть европейские участники, храните их данные отдельно и удаляйте через год после события
• Штрафы: GDPR штрафует до 10 млн евро, это выше чем в России

GDPR не требует физического присутствия в ЕС — достаточно наличия данных граждан ЕС. На конференциях с международным составом https://doctorteam.ru/services/strategicheskie-biznes-sessii/ обязательна проверка политики конфиденциальности на соответствие GDPR. Консультация со специалистом займёт 1–2 часа.

Если вы проводите конференцию на чужой площадке (отель, конгресс-центр), убедитесь, что они соответствуют требованиям ФЗ-152.

• Вопросы площадке: как они хранят данные участников, есть ли у них политика конфиденциальности, кто имеет доступ к базе
• Контракт с площадкой: в договоре должен быть пункт о защите персональных данных и ответственности за утечку
• Видеосъёмка: если площадка ведёт видеонаблюдение (камеры в залах), это тоже персональные данные — согласие у участников должно быть
• Третьи стороны: если площадка работает с техническими подрядчиками (провайдеры, операторы), они тоже должны подписать контракт на обработку данных
• Проверка лицензий: убедитесь, что площадка имеет лицензию на обработку персональных данных (если требуется по закону)

Проверка контрагентов на соответствие ФЗ-152 — это ваша задача как организатора события. Если площадка отказывается отвечать на вопросы о безопасности данных, лучше поискать другую. На наших презентациях мы работаем только с лицензированными площадками, которые подписали договор о защите данных.

Физические документы (распечатанные списки, подписанные согласия) — тоже персональные данные, требуют защиты.

• Бейджи участников: печатайте и раздавайте только в день события, в конце события собирайте и уничтожайте (не сохраняйте)
• Списки участников: если распечатываете для спикеров или модераторов, убедитесь, что они в курсе о защите данных
• Подписанные согласия: если собираете подписи на бумаге (редко, но бывает), храните их в закрытом файле 3 года
• Фотографирование и видеосъёмка: участники часто фотографируют бейджи друг друга — это уже их данные, не ваша ответственность
• Уничтожение документов: по истечении периода хранения (3 года) уничтожьте физические документы (сожгите или в шредер)

Физические документы часто забывают про безопасность. На практике достаточно простой процедуры: печать в день события, раздача на входе, сбор в конце дня, уничтожение через день. Ответственность лежит на регистраторе. На всех конференциях https://doctorteam.ru/ команда знает об этих требованиях — это часть инструкции при обучении.

Нужна ли политика конфиденциальности для небольшой конференции 50 человек?

Да, даже для 50 человек. ФЗ-152 распространяется на все компании, независимо от размера события. Политика конфиденциальности должна быть на сайте и доступна при регистрации. Используйте шаблон и адаптируйте под свою конференцию.

Какой штраф за невалидное согласие на обработку данных?

От 10 тысяч до 50 тысяч рублей за первое нарушение. При повторном нарушении — от 50 до 600 тысяч. Плюс возможна блокировка доступа к реквизитам компании на сайте ФНС. Рекомендуем регулярно проверять согласия и политику.

Можно ли передать список участников спикерам для их подготовки?

Да, но только если в форме согласия указано, что данные могут быть переданы спикерам. Лучше добавить в согласие отдельный чекбокс: «Я согласен на передачу моих данных спикерам для персональной коммуникации». Спикеры тоже должны подписать контракт на защиту данных.

Нужно ли шифровать электронную базу участников?

Да, если база находится на облачном сервере и передаётся через интернет. Минимум — двух-факторная аутентификация для доступа к Google Drive или OneDrive. Максимум — аренда закрытого облака (например, Яндекс.Облако) с шифрованием всех передач.

Как долго можно хранить данные участников после конференции?

ФЗ-152 требует хранить данные столько, сколько нужно для целей обработки. На практике — минимум 1 год (для рассылок и аналитики), максимум 3 года. После 3 лет удалите данные полностью. Если участник попросит удалить его данные раньше, удаляйте в течение 30 дней.

Согласие на обработку данных обязательно для любого события, размер не имеет значения.

• Политика конфиденциальности и форма согласия должны быть понятны участникам и соответствовать закону.
• Шифрование, двухфакторная аутентификация и контроль доступа — базовые требования безопасности.
• GDPR распространяется на европейских участников, даже если конференция в России.

Хотите, чтобы конференция была юридически чистой и 100% соответствовала ФЗ-152 и GDPR? Оставьте заявку на doctorteam.ru — мы подготовим все необходимые документы, проверим согласия участников и настроим безопасное хранилище данных.

Напишите нам: info@doctorteam.ru

В Telegram-канале eventstory_by мы делимся экспертизой по организации научных и деловых мероприятий, разбираем реальные кейсы и показываем, как усиливать формат через детали.