152-ФЗ для организатора мероприятий: база участников без штрафов

Любое мероприятие, где люди оставляют о себе данные, — конференция, фестиваль, вебинар, мастер-класс, корпоратив с регистрацией гостей, — это работа с персональными данными. Как только вы собрали список из имён, телефонов и электронных адресов, вы по закону становитесь оператором персональных данных и попадаете под действие Федерального закона № 152-ФЗ «О персональных данных». Многие организаторы об этом не задумываются: собрали базу через гугл-форму, разослали приглашения, потом ещё пару рекламных писем — а формально на каждом из этих шагов есть требования закона, которые легко нарушить.

Я больше 16 лет работаю в IT и часто настраиваю организаторам ботов регистрации, базы участников и рассылки. В этой статье разберу по-человечески, что именно нужно учесть, чтобы собирать данные участников аккуратно и не получить претензий. Без юридического тумана и без запугивания: только то, что реально касается организатора мероприятия.

Какие данные собирает организатор

Сначала стоит понять, что вообще считается персональными данными. Это любая информация, которая прямо или косвенно относится к конкретному человеку. У организатора это, как правило, базовый набор: фамилия и имя, телефон, электронная почта. Часто добавляется компания и должность, иногда — город, размер одежды (для мерча), пищевые предпочтения, данные для пропуска или для оформления документов.

Чем чувствительнее данные, тем строже к ним требования. Отдельная категория — так называемые специальные категории: состояние здоровья, религиозные и политические взгляды и так далее. Если вы, например, спрашиваете про аллергии или ограничения по здоровью для кейтеринга, вы фактически касаетесь данных о здоровье — и это требует более аккуратного обращения и явного согласия именно на такую обработку.

Главный практический принцип — минимизация. Собирайте только то, что вам действительно нужно для конкретного мероприятия:

• Нужен контакт для подтверждения участия — достаточно имени и одного канала связи.
• Нужен бейдж — добавьте компанию и должность.
• Не планируете шить именную форму — не спрашивайте размер.
• Не оформляете командировочные документы — не собирайте паспортные данные.

Каждое лишнее поле в форме регистрации — это данные, которые вам потом придётся хранить, защищать и когда-то удалять. Чем короче форма, тем меньше у вас обязанностей и рисков, и тем выше конверсия в регистрацию.

Согласие на обработку при регистрации

Ключевой момент любой регистрации — законное основание для обработки данных. Чаще всего таким основанием выступает согласие участника. Это значит, что в момент регистрации человек должен осознанно согласиться, что вы обрабатываете его данные, и понимать, для чего именно.

На практике это выглядит так: рядом с формой есть чекбокс с согласием на обработку персональных данных и ссылка на политику конфиденциальности. Несколько важных правил, которые часто нарушают:

• Галочка согласия не должна стоять заранее — человек ставит её сам. Предотмеченный чекбокс — это, как правило, не добровольное согласие.
• Текст согласия должен быть понятным: кто оператор, какие данные и зачем собираются, на какой срок, как их удалить.
• Политика конфиденциальности должна быть доступна по ссылке прямо с формы, а не где-то в подвале сайта без указателей.
• Согласие на саму обработку (чтобы зарегистрировать) и согласие на рекламные рассылки — это, как правило, разные согласия, и их лучше разделять.

Что должно быть в политике конфиденциальности

Документ не обязан быть огромным, но в нём по-хорошему должны быть: кто оператор и его контакты, какие данные собираются, цели обработки, кому данные могут передаваться, сроки хранения, права участника и порядок отзыва согласия. Если у вас несколько мероприятий, можно сделать один общий документ и адаптировать его под конкретные сборы данных.

Отдельно про детей. Если на мероприятие регистрируются несовершеннолетние, согласие, как правило, должны давать родители или законные представители. Это касается детских фестивалей, школьных олимпиад, семейных событий — там нельзя просто собрать данные ребёнка по обычной форме.

Рассылки участникам: что разрешено законом

Здесь чаще всего и возникают проблемы. Организаторы привыкли: собрал базу — рассылай. Но закон разделяет два типа сообщений, и это разделение принципиально.

Первый тип — сервисные, информационные сообщения по самому мероприятию: подтверждение регистрации, программа, напоминание о времени и месте, изменения в расписании, ссылка на трансляцию. Это часть исполнения договорённости с участником и, как правило, не требует отдельного рекламного согласия — человек оставил контакт именно ради этой информации.

Второй тип — рекламные рассылки: анонсы будущих мероприятий, спецпредложения, реклама спонсоров и партнёров. Для рассылки рекламы по электронной почте, SMS и в мессенджерах действует отдельное правило: реклама допускается только с предварительного согласия адресата. То есть факт, что человек зарегистрировался на одно событие, сам по себе не даёт вам права засыпать его рекламой будущих.

Что это означает на практике для организатора:

• Разделяйте согласия: одно — на обработку для участия, отдельное (по желанию участника) — на получение анонсов и рекламы.
• Не делайте рекламное согласие обязательным условием регистрации. Человек должен иметь возможность прийти на мероприятие, не подписываясь на рассылку.
• В каждом рекламном письме давайте простой способ отписаться — рабочую ссылку или команду отписки.
• Уважайте отписки: если человек отписался, рекламу слать больше нельзя.

Отдельно про каналы. В Telegram, MAX и VK правила площадок и общие нормы тоже работают: нельзя автоматически добавлять людей в каналы и чаты без их действия. Корректный путь — человек сам подписывается или сам нажимает кнопку, а не вы добавляете его контакт в рассылку без его ведома.

Хранение базы и передача подрядчикам

Собранная база — это ваша зона ответственности до тех пор, пока вы её храните. Несколько практических аспектов.

Где и как хранить

База участников не должна лежать в общедоступной гугл-таблице со ссылкой «для всех, у кого есть ссылка». Доступ к данным должен быть ограничен: только те люди из команды, кому это реально нужно для работы. Файлы и таблицы — под учётными записями с паролями, по возможности с двухфакторной аутентификацией. Не пересылайте всю базу участников в общий рабочий чат.

Сколько хранить

Данные нельзя хранить вечно «на всякий случай». Срок хранения должен соответствовать цели: провели мероприятие, закрыли отчётность — данные, которые больше не нужны, по-хорошему удаляются или обезличиваются. Если человек отозвал согласие или попросил удалить его данные, это нужно сделать в установленные законом сроки.

Передача подрядчикам и спонсорам

Это частая зона нарушений. Типичные ситуации: вы отдаёте список участников кейтерингу, типографии для бейджей, сервису рассылок, охранной службе для пропусков, либо спонсор просит «слить контакты лидов».

• Передача данных подрядчику, который обрабатывает их по вашему заданию (рассылочный сервис, типография), — это, как правило, поручение обработки. Оформляется договором, где подрядчик обязуется соблюдать конфиденциальность и требования закона.
• Передача контактов спонсору как самостоятельному получателю — это уже отдельная история: для этого, как правило, нужно отдельное согласие участника именно на передачу его данных третьим лицам (и желательно понимать, кому конкретно).
• Нельзя по умолчанию «дарить» базу участников спонсорам только потому, что они оплатили мероприятие. Участник должен понимать и согласиться, что его контакт уйдёт партнёру.

Если вы используете внешние сервисы (формы, CRM, рассылки), обращайте внимание на то, где физически хранятся данные. Для российских операторов есть требование о хранении персональных данных граждан РФ в базах на территории России — это стоит учитывать при выборе сервисов и проверять с юристом под вашу конкретную ситуацию.

Фото и видеосъёмка на мероприятии: согласие

Изображение человека — это тоже охраняемая законом информация. Здесь работают сразу две нормы: правила об охране изображения гражданина (нельзя свободно использовать фото конкретного человека без его согласия) и, когда съёмка идёт в связке с персональными данными, нормы 152-ФЗ.

Хорошая новость: закон допускает использование изображения без отдельного согласия в ряде случаев — например, когда съёмка ведётся в местах, открытых для свободного посещения, или на публичных мероприятиях, и человек не является основным объектом съёмки. Массовая съёмка зала на крупной публичной конференции обычно укладывается в эти исключения. Но это не повод снимать кого угодно крупным планом и потом использовать его лицо в рекламе.

Как организатору закрыть этот вопрос аккуратно:

• Предупредите заранее: укажите в условиях регистрации и на входе, что на мероприятии ведётся фото- и видеосъёмка и материалы могут быть опубликованы.
• Разделяйте репортажную съёмку и прицельную: на постановочные кадры, интервью, фото для рекламы конкретных людей берите явное согласие.
• Сделайте понятный механизм: к кому обратиться, если человек не хочет попадать в кадр или просит убрать конкретное фото.
• Будьте особенно аккуратны с детьми: для публикации узнаваемых фото детей нужно согласие родителей.

Отдельно стоит продумать публикацию фотоотчётов в соцсетях, включая Instagram и Facebook (продукт Meta; Meta признана экстремистской организацией и запрещена в РФ), ВКонтакте, Telegram и MAX: предупреждение о съёмке и публикации должно быть дано заранее, а не постфактум.

Чек-лист соответствия для организатора

Сведём всё в практический список. Это не юридическое заключение, а ориентир, по которому можно пройтись перед запуском регистрации.

• Форма регистрации собирает только нужные поля, без лишнего.
• Рядом с формой есть отдельный, не предотмеченный чекбокс согласия на обработку данных.
• Есть доступная по ссылке политика конфиденциальности с целями, сроками и контактами оператора.
• Согласие на рекламные рассылки оформлено отдельно и не является обязательным для участия.
• В рассылках разделены сервисные сообщения и реклама; в рекламных письмах есть рабочая отписка.
• Доступ к базе участников ограничен, файлы под паролями, база не лежит в открытом доступе.
• Определён срок хранения данных и порядок удаления после мероприятия.
• С подрядчиками, которые обрабатывают данные по вашему заданию, есть договоры с обязательствами по конфиденциальности.
• Передача контактов спонсорам/партнёрам как самостоятельным получателям — только с отдельного согласия участника.
• На входе и в условиях есть предупреждение о фото- и видеосъёмке и возможной публикации.
• Для данных несовершеннолетних предусмотрено согласие родителей/представителей.
• Есть понятный способ для участника отозвать согласие и попросить удалить его данные.

Если по большинству пунктов у вас «да» — вы уже сильно впереди многих организаторов. Если по половине «нет» — это не катастрофа, но стоит привести процессы в порядок до следующего сбора регистраций. Технически большую часть этих требований несложно зашить прямо в процесс регистрации: правильная форма, разделённые согласия, аккуратное хранение и рассылки по правилам.

Если хотите, чтобы всё это работало автоматически и без ручной возни с таблицами, я настрою регистрацию и базу участников по 152-ФЗ — с корректными согласиями, разделёнными рассылками и аккуратным хранением данных.

Частые вопросы

Я провожу маленькое мероприятие на 30 человек, мне тоже нужно всё это? Закон не делает скидку на размер мероприятия. Как только вы собираете персональные данные, требования действуют. Другое дело, что для небольшого события и набор обязанностей проще: достаточно аккуратной формы с согласием, понятной политики и бережного хранения списка. Объём работы пропорционален объёму данных, но базовые принципы одинаковы.

Можно ли разослать участникам прошлого мероприятия анонс нового? Если человек давал согласие именно на рекламные рассылки и анонсы будущих событий — да. Если он соглашался только на обработку данных для участия в конкретном мероприятии и про рекламу речи не было, то рекламный анонс, как правило, требует отдельного согласия. Поэтому удобнее сразу на регистрации предлагать отдельную галочку «хочу получать анонсы».

Спонсор требует контакты всех участников. Я обязан их отдать? Нет. Вы не можете передать контакты участников спонсору просто потому, что это прописано в спонсорском договоре между вами и спонсором. Участник не сторона этого договора. Чтобы законно передать его данные партнёру, нужно согласие самого участника на такую передачу. Альтернатива — собирать лиды для спонсора отдельно и добровольно, например через отдельную форму на стенде.

Нужно ли регистрироваться в Роскомнадзоре как оператор персональных данных? По общему правилу операторы уведомляют уполномоченный орган об обработке персональных данных, и в законе есть ряд исключений. Подпадает ли под уведомление именно ваша деятельность, зависит от того, какие данные и как вы обрабатываете. Этот вопрос лучше уточнить с юристом под вашу конкретную ситуацию, потому что требования периодически меняются.

Достаточно ли просто поставить галочку «согласен», без отдельного документа? Сама по себе галочка без понятного текста и доступной политики конфиденциальности — слабое основание. Участник должен иметь возможность узнать, кто и зачем обрабатывает его данные. Поэтому связка «чекбокс + ссылка на политику конфиденциальности» — это минимум, а не избыточность.

Коротко о главном

Соблюдение 152-ФЗ для организатора мероприятий — это не про толстые юридические документы, а про несколько аккуратных привычек. Собирайте только нужные данные. Берите внятное согласие на регистрации и держите рядом понятную политику конфиденциальности. Разделяйте сервисные сообщения и рекламу, а рекламу шлите только тем, кто на неё согласился, с возможностью отписаться. Храните базу ограниченно и удаляйте, когда она больше не нужна. Передавайте данные подрядчикам по договору, а спонсорам — только с согласия участников. И заранее предупреждайте о съёмке.

Эти принципы защищают не только вас от претензий, но и доверие участников: люди охотнее оставляют контакты, когда видят, что с их данными обращаются уважительно. А большую часть требований проще всего заложить в саму механику регистрации один раз — и дальше она работает корректно на каждом мероприятии.