Zorganizuj warsztaty lub szkolenie zgodne z RODO w 7 krokach

Organizuję szkolenia, warsztaty i inne fajne wydarzenia od lat, a wciąż mam sporo pytań związanych z ochroną danych osobowych uczestników. RODO w firmie szkoleniowej to całkiem złożony temat. Dlatego oddaję głos specjalistce od RODO i zapraszam Cię na rozjaśniający wątpliwości, pełen konkretów wpis gościnny Sylwii Templin-Świtały.

Poznałyśmy się kilka lat temu, kiedy Sylwia poprosiła mnie o pomoc w organizacji szkolenia. Od tamtej pory obserwuję, jak na coraz większą skalę dzieli się wiedzą o prowadzeniu biznesu online zgodnie z prawem.

Sprawdź koniecznie najbliższy webinar Sylwii! Zobaczysz, że ochrona danych osobowych może być prosta!

Jeśli organizujesz własne szkolenia lub warsztaty, to z pewnością zastanawiasz się nad tym, jak to zrobić zgodnie z przepisami prawa. Jednym z aspektów prawnych jest ochrona danych osobowych uczestników. W tym wpisie dowiesz się, jak spełnić wymagania RODO w firmie szkoleniowej. Omawiam także listę 7 punktów, które musisz wziąć pod uwagę zanim zaczniesz zbierać dane osobowe osób biorących udział w Twoich wydarzeniach.

Warsztaty zgodne z RODO, czyli jakie?

Organizator szkolenia lub warsztatu jest jednocześnie administratorem danych osobowych jego uczestników. Administratorem danych jest zarówno firma, jak i osoba prowadząca działalność nierejestrowaną. W praktyce oznacza to więc, że organizując wydarzenie zawsze będziesz osobą odpowiedzialną za wypełnienie wymogów RODO oraz bezpieczeństwo danych osobowych Twoich kursantów. Warsztaty zgodne z RODO muszą spełniać wszystkie jego wymogi. Dlatego teraz skupię się przede wszystkim na tych, które są specyficzne dla branży szkoleniowej i najczęściej powodują wątpliwości u osób organizujących tego typu wydarzenia.

rodo w firmie szkoleniowej

Zanim zaczniesz udostępniać światu swoje pierwsze wydarzenie zrób sobie listę z siedmioma poniższymi pytaniami i odpowiedz sobie na nie:

  1. Jakie dane osobowe uczestnika są Ci potrzebne?
  2. Jakim celom będą służyły? Czy zamierzasz je zbierać tylko w celu organizacji wydarzenia, czy chcesz mieć także możliwość przesłania uczestnikom później informacji marketingowych?
  3. Jak je będziesz zbierać, jak się będą na nie zapisywać, np. za pośrednictwem formularza na stronie, telefonicznie, etc.?
  4. Czy uczestnicy będą przekazywać swoje dane bezpośrednio do Ciebie, czy będziesz je pozyskiwać np. za pośrednictwem ich pracodawców?
  5. Kto będzie miał dostęp do danych uczestników? Nie tylko w trakcie wydarzenia, ale także w celu jego organizacji, jak i po zakończeniu.
  6. Czy będziesz tworzyć listę obecności? Jeśli tak, to jakie informacje są na niej niezbędne?
  7. Czy spełniasz wszystkie minimalne wymogi RODO?

Jeśli od tego rozpoczniesz swoje przygotowania do wydarzenia, to będzie Ci o wiele łatwiej przygotować je do spełnienia wymogów RODO w firmie szkoleniowej. Musisz jednak odpowiedzieć sobie konkretnie na te pytania i niczego nie pomijać. Jaki wpływ na RODO i Twoje wydarzenie ma te 7 prostych pytań? Już wyjaśniam.

Dane osobowe uczestnika i jego zgoda.

Szkolenia i warsztaty nie odbędą się bez danych osobowych uczestników. RODO nie określa tego, jakie dane można zbierać w celu realizacji wydarzeń. W tym wypadku to Ty musisz ustalić obiektywnie jakie dane będą Ci potrzebne. Jedną z kluczowych zasad jest zbieranie jak najmniejszej ilości danych. Nie wolno gromadzić nic na zapas. Dlatego punkt pierwszy z pytaniem o zakres danych jest tym, od którego w ogóle trzeba zacząć.

Jakie więc dane będą potrzebne? Najczęściej uczestnik będzie musiał podać imię, nazwisko, e-mail lub numer telefonu w celu potwierdzenia wydarzenia. Mogą być także potrzebne takie informacje, jak adres lub dane do wystawienia faktury. Takie dane możesz zbierać bez obaw. Są to tak zwane dane zwykłe, które można pobierać od uczestnika, o ile będą to dane niezbędne. Dobrze się więc zastanów, co u Ciebie będzie tym minimum.

Kolejna kwestia to zgoda na przetwarzanie danych. Otóż, może Cię teraz rozczaruję, ale taka zgoda w niektórych sytuacjach wcale nie będzie Ci potrzebna.

Zgoda uczestnika nie będzie Ci potrzebna do:

  • zapisania się na wydarzenie i jego organizacji – w takim celu wolno przetwarzać dane osobowe uczestnika. Pamiętaj jednak, dane można wykorzystać wówczas tylko w tym celu, np.  do sporządzenia listy obecności, potwierdzenia terminu szkolenia, wysłania materiałów po szkoleniu.
  • wystawienia rachunku lub faktury – w takim celu nie tylko możesz, ale wręcz musisz przetwarzać dane osobowe na potrzeby rozliczenia podatku, dlatego zgody uczestnika też się nie pobiera.

Taka zgoda będzie jednak potrzebna do:

  • wysłania uczestnikom po szkoleniu informacji handlowych i marketingowych, np. o kolejnych fajnych wydarzeniach, które zorganizujesz w przyszłości.

Sama organizacja wydarzenia już jest więc podstawą do tego, aby można było uznać przetwarzanie danych uczestnika za legalne, o ile odbywa się to tylko w celu organizacji i rozliczenia. Natomiast na pozostałe cele musisz pozyskać odrębną i wyraźną zgodę.

Sylwia Templin-Świtała – autorka wpisu, specka od RODO

Dodatkowe zgody od uczestnika wydarzenia.

Organizując wydarzenie, często chcemy mieć póżniej możliwość wysłania swojej nowej oferty szkoleniowej. Uzyskanie takich dodatkowych zgód wcale nie jest trudne. Musisz jednak pamiętać o tym, że organizacja bezpłatnego webinaru w zamian za zapisanie się do newslettera jest czym innym, niż udział w wydarzeniu płatnym. O ile warunkiem udziału w tym pierwszym może być podanie adresu e-mail i zgoda na newsletter, to w przypadku wydarzenia odpłatnego musi to być dobrowolne. Dodatkową zgodę możesz pozyskać w formie elektronicznej albo papierowej. Rozwiązanie, które można przyjąć to, np. poprosić uczestników o zgodę na formularzu zapisu ustawiając odpowiedni checkbox. Takie okienko nie może być jednak domyślnie zaznaczone. Osoba musi świadomie wyrazić swoją wolę.

Kolejnym sprawdzonym sposobem jest wypełnienie przez uczestników tradycyjnych formularzy ze zgodą już podczas samego wydarzenia. Warto więc już na samym początku organizacji wydarzenia dobrze zastanowić się nad celem, który chcesz osiągnąć. A jeśli chcesz, aby uczestnik zostawił Ci swoją zgodę na newsletter przemyśl wcześniej jaki sposób będzie najbardziej odpowiedni.

O czym i kiedy informować uczestników?

Kolejna kwestia związana z RODO w firmie szkoleniowej to sposób zbierania danych. Wobec uczestników wydarzenia musisz spełnić jeszcze tzw. obowiązek informacyjny. Są to te informacje, które najczęściej znajdują się w polityce prywatności. Obowiązek ten występuje zawsze, gdy pozyskujesz dane osobowe. Nie ma znaczenia, czy odbywa się to na podstawie zgody czy tylko w celu realizacji umowy. Może być jednak istotne to, czy osoba sama przekazuje Ci swoje dane czy dzieje się to za pośrednictwem innych osób.

O czym więc zatem należy informować? RODO wymaga, aby osoba ta miała pełną wiedzę na temat tego, kto i w jakim celu będzie przetwarzał jej dane. Dodatkowo trzeba także podać jaki będzie okres ich przechowywania, kto oprócz Ciebie może mieć do nich dostęp, np. biuro księgowe, które obsługuje Twoją firmę. Poza tym każdy uczestnik musi poznać swoje prawa, które przyznaje mu RODO. Są to, np. prawo do cofnięcia zgody, do usuwania danych, do złożenia skargi na przetwarzanie danych, etc.

Ważne jest to, aby osoba zapisująca się na wydarzenia miała możliwość zapoznania się z tymi informacjami jeszcze zanim poda Ci swoje dane. Ten obowiązek trzeba wypełnić zawsze, gdy osoba podaje Ci bezpośrednio swoje dane osobowe. Forma podawania danych nie ma znaczenia. Możesz umieścić je pod formularzem zapisu na wydarzenia, w formie osobnego dokumentu lub jako politykę prywatności na stronie.

Sytuacja, w której osoba sama podaje Ci swoje dane, czy to przez stronę www, telefonicznie lub mailem, jest dość łatwa do opanowania i wypełnienia tego obowiązku. Jeśli jednak dane osoby podaje Ci ktoś inny, np. pracodawca wysyłając listę uczestników wydarzenia, to wtedy także trzeba zadbać o przekazanie tym osobom tych samych informacji. Zgodnie z prawem trzeba to zrobić niezwłocznie, najlepiej przy pierwszym kontakcie. Z praktycznego punktu widzenia można tym osobom wysłać maila (jeśli posiadasz) albo przekazać podczas wydarzenia, np. dołączając do materiałów szkoleniowych.

Dostęp do danych uczestników wydarzenia a RODO w firmie szkoleniowej

Podczas organizacji wydarzenia może się tak zdarzyć, że dostęp do danych uczestników będą musiały mieć także inne osoby. RODO nie zabrania udostępniania danych innym osobom, o ile będzie to uzasadnione zadaniami, które muszą wykonać w Twoim imieniu. W takiej sytuacji rozwiązaniem będzie wydanie tym osobom upoważnienia do przetwarzania danych lub zawarcie umowy powierzenia danych. Upoważnienie i powierzenie danych niosą za sobą różne obowiązki, również dla tej drugiej strony, dlatego ważne jest jednak to rozróżnienie. Bardzo często organizatorzy różnych wydarzeń mają wątpliwości z tym związane. W tej części podpowiem Ci więc, jak postąpić w sytuacjach, które najprawdopodobniej wystąpią również u Ciebie.

Upoważnienie do danych będzie wystarczające dla:

  • osób fizycznych, które pomagają przy organizacji wydarzenia i w związku z tym będą miały dostęp do listy obecności, danych na rachunkach lub dyplomach,
  • osób fizycznych, prowadzących warsztaty, które również mogą mieć dostęp do danych uczestników.

Natomiast umowę powierzenia danych będzie trzeba podpisać z :

  • biurem rachunkowym, które będzie miało dostęp do danych zawartych na rachunkach lub fakturach,
  • firmami oferującymi system do obsługi webinaru, wysyłki newslettera lub wystawienia faktur,
  • z trenerem prowadzącym własną działalność, chyba że ma dostęp do danych tylko w chwili prowadzenia warsztatów, np. do papierowej listy obecności. W takiej sytuacji skłaniałabym się do nadania mu tylko upoważnienia,
  • osobami świadczącymi usługi wirtualnej asysty, gdyż zwykle są to także osoby prowadzące własne firmy i przetwarzające dane w systemach i pomieszczeniach poza Twoją kontrolą.

W jakiej formie uregulować ten dostęp? Umowa powierzenia danych musi być zawarta na piśmie lub w formie elektronicznej. Z kolei upoważnienie do danych zwykłych uczestnika możesz nadać ustnie. RODO nie wymaga pisemnej formy. Warto jednak o nią zadbać, by udowodnić sprawowanie przez Ciebie kontroli nad dostępem do danych.

Czy lista obecności to już dane osobowe?

Bardzo częstym problemem podczas szkoleń stacjonarnych jest lista obecności uczestników. Nawet takie dane, jak imię i nazwisko drugiego uczestnika jest daną osobową. Dlatego uczestnicy nie powinni mieć możliwości zapoznania się z całą listą innych uczestników. Najlepszym rozwiązaniem jest lista, która ma przesuwalne tekturowe okienko, w którym widoczne są tylko dane uczestnika. Jeśli uczestnik musi potwierdzić na liście swoją obecność, zobaczy wtedy tylko swoje dane. Podobne rozwiązanie widzimy często na listach wyborczych. Na szkoleniach nadal jednak często się zdarza, że lista leży samotnie na biurku i każdy uczestnik może swobodnie zapoznać się z jej treścią. Taka sytuacja może być uznana za naruszenie danych osobowych uczestników. Jeśli jednak osoba sama poda otwarcie swoje dane innym podczas warsztatów, to ma do tego prawo i RODO w firmie szkoleniowej nie zostanie naruszone. Jednak organizator nie może dopuścić do tego, aby te informacje zostały przez niego ujawnione.

Czy to już wszystko?

Zgoda na newsletter, polityka prywatności, upoważnienie lub umowa powierzenia to niestety nie wszystkie sprawy, o które trzeba zadbać. Jeśli chcesz, aby Twoje wydarzenie było zgodne z RODO musisz pamiętać także o pozostałych obowiązkach, które to rozporządzenie nakłada. Jako administrator danych osobowych musisz pamiętać także o:

  • ewidencji osób upoważnionych do przetwarzania danych,
  • rejestrze czynności przetwarzania danych,
  • analizie ryzyka, która pokaże, na ile prawdopodobna jest utrata, ujawnienie lub zniszczenie danych,
  • procedurach wewnętrznych, w których opiszesz zasady bezpieczeństwa i przetwarzania danych danych, które stosujesz.

Oprócz kwestii posiadania odpowiedniej dokumentacji, warto także zwrócić uwagę na realną ochronę danych, zabezpieczenie systemów i dokumentów, a także podnoszenie świadomości współpracowników w temacie ochrony danych. Organizacja wydarzeń zgodnych z RODO to wyzwanie, przed którym stoją wszyscy organizatorzy.

Daj znać w komentarzu, jakie masz wątpliwości związane z RODO w firmie szkoleniowej. Jakie kwestie związane z ochroną danych osobowych i organizacją warsztatów Sylwia powinna poruszyć w kolejnych materiałach?


Autorką wpisu jest Sylwia Templin-Świtała – ekspertka od RODO organizująca własne wydarzenia. Prowadzi bloga bezpieczniwbiznesie.pl, na którym dzieli się wiedzą o tym jak prowadzić biznes online zgodnie z RODO.

Pomogę Ci!

Najpierw koniecznie pobierz mój darmowy poradnik o tym, jak zorganizować fajne wydarzenie w małym, kreatywnym biznesie.

Jeśli wciąż masz wątpliwości, jak zabrać się za organizowanie fajnych wydarzeń, mam coś dla Ciebie: weź udział w moim kursie online Zorganizuj swoje pierwsze warsztaty a poprowadzę Cię krok po kroku i pokażę Ci jak sprawnie zorganizować dobre warsztaty!

Możesz też zlecić mi organizację swojego wydarzenia! Ja wezmę na siebie wszystkie organizacyjne szczegóły, a Ty spokojnie zajmiesz się merytorycznym przygotowaniem szkolenia, zlotu, konferencji, targów, spotkania z czytelnikami, itp. Sprawdź szczegóły!

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *