כתב ויתור: המידע הכלול בפוסט זה אינו ייעוץ משפטי והנחיותיו מוצעות ללא כיווני פעולה אלא כשיתוף מידע. בכל מקרה של ספק אנו מציעים לקבל ייעוץ מקצועי.

זה קל להסתכל על תאימות GDPR כממוקד טכנולוגית ולא נוגע לצד העיסקי. אבל המציאות היא שלמרות שזה מובל על ידי צוות ה- IT או המשפטי, יש מספר דברים שאתם כמתכנני האירוע צריכים לעשות כדי לוודא שהארגון שלכם לא חשוף לסיכון.

רשימת זו מדגישה את השלבים העיקריים שיש לנקוט כדי להכין את האירועים שלך לתאריך היעד של חודש מאי 2018, בין היתר בהתבסס על המלצות שפרסם משרד הנציבות למידע בבריטניה:

יצירת מודעות
אחד הדברים הראשונים שאתה צריך לעשות הוא לוודא כי כל צוות האירועים (כמו גם מחלקות אחרות העוסקות בנתוני האירוע שלך) מודעים לכך שהחוקים השתנו ל- GDPR.
הם צריכים להבין את השינויים שאתה הולך לעשות סביב איסוף, אחסון וניהול מידע אישי של אנשים המשתתפים באירועים שלך. הם צריכים להבין מה הם צריכים לעשות כדי לשמור על הנתונים בצורה בטוחה והכי חשוב, הם צריכים להבין את הסיכונים של אי ציות (קנסות עד 20 מיליון יורו או 4% מהמחזור השנתי השנתי שלך) ולזהות את האזורים שעלולים לגרום לבעיות מול GDPR.

הפעל ביקורת נתונים
אתה צריך להבין מה הנתונים האישיים שאתם כבר מחזיקים במסדי הנתונים של האירועים שלך – החל מרשימות דיוור המשתתפים, מרצים, נותני החסות וכן הלאה.
אתה צריך לדעת בדיוק מאיפה הנתונים הגיעו ואם יש לך את הסכמת מתאימה של אנשים האלה כדי ליצור איתם קשר (סימון מראש של תיבת ציק בוקס  כבר לא יעבוד עם GDPR).
אתה צריך לזהות באילו מערכות הנתונים מאוחסנים, מתי היה השימוש האחרון ומה היה בשימוש. אתה צריך לדעת אם מידע זה שותף עם ספקים אחרים ושותפים (תגי שם וספקיות הטכנולוגיה האירוע). ואם כן, ואז לבדוק שיש לך את הסכמת הלקוח לעשות זאת, כי גם הם חייבים בציות לGDPR.
זוהי עבודה סיזיפית. והחדשות הרעות הן שאין דרך לעקוף אותה. אם תגלה שבשום מקום לא השגת את ההסכמה אתה צריך לעשות פעולה מהירה של פניה ללקוחות ולבקש את הסכמתם.

עדכן את תיבות ההסכמה שלך
בדוק את הודעות הפרטיות הנוכחיות שלך ואת תיבות ההסכמה שלך בדברים כמו טופסי רישום, אפליקציות ואתרי אינטרנט.

הצג תכנית לביצוע השינויים הנדרשים בזמן לפני המועד האחרון של GDPR – כולל מסעות פרסום שבהם אתה מתכוון לפעול כדי לגרום לאנשים כדי להצטרף שוב. אל תשכח אם אין לך את הסוג הנכון של "הסכמה פעילה" הסכמה לדיוור והתקשרות אז מבחינה משפטית, אתה כבר לא רשאי ה לפנות אליהם לאחר מאי 2018. אז אתה צריך למצוא דרך לגרום לאנשים להסכים מחדש אם אתה רוצה לשמור אותם ברשימות התפוצה שלך.
על פי החוק הנוכחי, אתה צריך לתת לאנשים רק רמה מסוימת של מידע על האופן שבו אתה משתמש בנתונים שלהם בכל פעם שאתה מבקש הסכמה. עם GDPR, עליך להסביר בבירור מדוע אתה אוסף את המידע שלהם, כיצד הוא ישמש באופן שוטף, כמה זמן תשמור את הנתונים שלהם. אם אתה משתף את הפרטים שלהם עם נותני החסות והמציגים, עליך לציין את הארגונים האלה – מונחים כלליים כגון 'נותני החסות' או 'המספקים' לא יעשו זאת. השפה שבה אתה משתמש צריכה להיות ברורה ותמציתית וקלה להבנה.
להכיר את הזכויות של הנרשם שלך
אל תשכח כי GDPR נותן לאנשים שליטה על השימוש במידע האישי שלהם. בדוק את התהליכים שלך וודא שהם מכסים את כל הזכויות החדשות שלנרשמים יהיו תחת GDPR.
מה היית עושה אם משתתף ביקש ממך למחוק את כל המידע האישי שאתה מחזיק עליו? התקנות החדשות מציינות שתצטרך להגיב לבקשות בתוך 30 יום ללא תשלום.
האם מערכת ניהול האירועים שלך תעזור לך לאתר ולמחוק את הנתונים בזמן? מה לגבי אותם נתונים שנרשמו ל- CRM שלך? מה קורה אם אתה צריך להתמודד עם בקשות מרובות בו זמנית? חשוב שתקבל תשובות לשאלות אלה עכשיו כדי להעריך אם אתה צריך לעשות שינויים בתהליכים שלך.
היכונו לפריצה או תקלת נתונים
אתה צריך לוודא שיש לך את הנהלים המתאימים כדי לזהות ולדווח על אובדן או גניבה של הנתונים של ההנרשמים. GDPR דורש מכל הארגונים לדווח על הפרות נתונים לרשות או למינהלת אחרת, אם סביר שהיא תביא לסיכון זכויות וחופש של יחידים (לגניבת זהות, אובדן כספי, אפליה, נזק למוניטין וכו '). אם הסיכון הוא רציני אז תצטרך להודיע ​​לאנשים המושפעים באופן ישיר בהקדם. אי דיווח על הפרה בתוך 72 שעות עלול לגרום קנסות מסיביים, כמו גם קנס על ההפרה עצמה.

שמור על נתוני האירוע שלך בטוח
GDPR שם את נושא האבטחה במקום גבוהה כשזה מגיע לנתוני האירוע שלך. יהיה עליך להראות שאתה עושה כמיטב יכולתך כדי להגן על הפרטים האישיים של אנשים כדי למזער את הסיכויים שזה יגיע לידיים הלא נכונות. כן, יהיה עליך לפעול בהתאם למדיניות אבטחת הנתונים של הארגון שלך – החל בהליכי תקשורת והגנה אנטי-וירוס. אבל בעוד מחלקת ה- IT שלך תתמקד באיומים חיצוניים טיפוסיים, ישנם סיכונים שמגיעים מבפנים.
גלה מלי יש גישה לנתוני האירוע שלך – הן בארגון שלך והן אצל ספקים של צד שלישי המעבדים נתונים בשמך (תגי שם, תיאום פגישות של B2B, ספקי טכנולוגיה של אירועים, מפיקים לניהול אירועים וכו '). בדוק את מדיניות אבטחת הנתונים שלהם. חשוב על סיסמאות המערכת ועל התדירות שבה אתה משנה אותן. תחשוב על האופן שבו אתה משתף את נתוני האירועים שלך עם אחרים ובאיזה נהלים יש לך כדי לשמור על הנתונים באתר שלך באירוע שלך. כדי להבטיח לכל אחד מהצוות שלך יש הבנה טובה של מה מהווה הפרת נתונים וכיצד לפעול בהתאם לשיטות המומלצות יהיה המפתח לתאימות.
עבודה באינטרנט, להימנע מעבודה עם רשימות excel שנשלח דוא"ל או USB.
ספק רמה אחרת של הרשאה: מנהלים לעומת צופים, הצופים אינם יכולים להוריד או לשנות את הנתונים.
אם אתה מאפשר לבונה אתרים לבנות את האתר שלך – להגביל את בוני האתר לגשת רק את האתר ולא את נתוני הטופס.

מינוי חבר צוות ייעודי של GDPR
ארגונים מסוימים יידרשו לקבוע באופן רשמי אחראי הגנת נתונים (DPO) כדי לקבל אחריות להגנה על נתונים ותאימות ל- GDPR. עם זאת, לא משנה אם הארגון שלך צריך אחד או לא (או אם תאימות היא משהו יהיה מנוהל על ידי מחלקת ה- IT והמחלקה המשפטית שלך), חשוב שיהיה אדם אחד מן צוות האירועים שיקח בעלות על GDPR ולהוות מוקד ידע לכל המעורבים באירועים.

סיכום
תאימות ל- GDPR היא לא עניין פשוט, וזה בהחלט לא רשימה מקיפה של כל מה שאתה צריך לעשות כדי ללהיות מוכן למועד האחרון מאי 2018 – אבל זו התחלה טובה. האיחוד האירופי עדיין צריך להבהיר הרבה דרישות וכולם מסכימים כי ההכנות לתקנות החדשות יהיה תהליך מורכב, מאתגר ויקר. אבל מי שינקוט פעולה עכשיו יהיה בעמדה טובה יותר להצליח בעתיד.
התחל לתכנן את GDPR כעת על ידי חשיבה על האופן שבו האירועים שלך אוספים נתונים על אזרחי האיחוד האירופי, כיצד אתה מאחסן את הפרטים, מקבל את ההסכמה לדיוור וכיצד אתה מאחד את אבטחת הנתונים בתהליכי התכנון וניהול האירועים שלך.
גלה גם מה ספקי האירוע שלך עושים כדי להתאים את עצמם לGDPR. לבסוף, זכור כי יישום השינויים יהיה מאמץ צוות שבו כולם מודעים לדרישות החדשות, יחד עם התהליכים החדשים שתצטרך לשים במקום.