Как безопасно работать с персональными данными на мероприятиях в 2026 году — итоги вебинара

19 марта мы провели открытый вебинар «Как безопасно работать с персональными данными на мероприятиях в 2026 году», который посетило более 70 участников.

Вебинар вели Юрий Осипов, заместитель генерального директора ЭКСПОДАТ, и Юлия Синицына, партнёр юридической фирмы «Chervets.partners», специализирующаяся на цифровом праве, IT и персональных данных. В ходе встречи разобрали практические вопросы работы с персональными данными на мероприятиях: регистрацию участников, согласия, документы на сайте, рассылки, фото и видео, передачу данных подрядчикам, использование иностранных сервисов и трансграничную передачу персональных данных.

Ниже вы можете посмотреть запись вебинара, а также для вашего удобства мы собрали основные вопросы и ответы по теме в текстовом формате. 

 

Основные вопросы по персональным данным на мероприятиях

Что считается персональными данными?

Персональные данные — это любая информация, которая прямо или косвенно относится к физическому лицу и позволяет его идентифицировать.

Например:

  • ФИО;
  • e-mail;
  • телефон (в совокупности с другими данными);
  • фотография;
  • IP-адрес;
  • данные регистрации на мероприятие;
  • данные из личного кабинета.

Роскомнадзор, например, считает даже e-mail персональными данными, даже если там нет ФИО.

Что входит в обработку персональных данных?

Действия с персональными данными включают:

  • сбор;
  • запись;
  • систематизацию;
  • накопление;
  • хранение;
  • уточнение (обновление, изменение);
  • извлечение;
  • использование;
  • передачу (распространение, предоставление, доступ);
  • обезличивание;
  • блокирование;
  • удаление;
  • уничтожение.

персональных данных.

Кто является оператором и кто обработчиком персональных данных на мероприятии?

Оператор — это тот, кто собирает персональные данные и определяет цели их обработки. Обработчик — это компания или сервис, которому оператор поручает обработку данных.

Важно:
Перед субъектом персональных данных и перед Роскомнадзором в первую очередь отвечает оператор, даже если фактически данные обрабатывает подрядчик или платформа. Если нарушение произошло по вине подрядчика, оператор может потом взыскать убытки с подрядчика, но перед регулятором отвечает именно оператор.

Зачем нужен договор с обработчиком персональных данных?

Договор с обработчиком (Договор поручения) нужен, чтобы легально передать обработку персональных данных, ограничить действия обработчика, обязать его защищать данные и зафиксировать ответственность сторон. Без него любая передача данных третьему лицу фактически становится нарушением 152-ФЗ

Какие документы должны быть на сайте, если через сайт собираются персональные данные?

Если на сайте есть формы регистрации, обратной связи, подписки, заявки и т.д., на сайте должны быть размещены:

Обязательные документы:

Политика обработки персональных данных, Дисклеймер о cookies, Согласие на обработку персональных данных

Также:

  • под каждой формой сбора данных должно быть согласие;
  • если есть рассылки — нужно отдельное согласие на рекламно-информационные рассылки;
  • если политика не размещена в подвале сайта, её нужно размещать рядом с формой.
Можно ли «вшить» согласие в оферту или пользовательское соглашение?

Нет.
Согласие на обработку персональных данных должно быть отдельным документом, с которым пользователь соглашается отдельно.
Практика, когда согласие спрятано внутри оферты, считается неправильной.

Нужен ли отдельный чекбокс на рекламные и информационные рассылки?

Да.
Технические уведомления (например, письмо с билетом, уведомление о регистрации) отдельного согласия не требуют.
Но рассылки:

  • о новых мероприятиях;
  • новости компании;
  • рекламные предложения

требуют отдельного согласия.

Какой срок хранения персональных данных?

В большинстве случаев закон не устанавливает конкретный срок.
Срок хранения должен быть связан с целью обработки данных.

Обычно:

  • прошло мероприятие → цель достигнута → данные нужно удалить или обезличить;
  • если данные планируется использовать дальше (например, для рассылок или аналитики), это должно быть прямо указано в согласии;
  • можно устанавливать срок:
    • конкретной датой;
    • до достижения цели;
    • например, 3 года с даты мероприятия.
Нужно ли отвечать на запрос об удалении персональных данных?

Да, обязательно.

Даже если у вас нет данных этого человека, на запрос нужно ответить. Если данные есть — нужно удалить и сообщить об удалении.

Что считается трансграничной передачей персональных данных?

Трансграничная передача — это передача персональных данных российских граждан:

  • иностранному лицу;
  • на территорию иностранного государства.

Перед такой передачей необходимо уведомить Роскомнадзор.

Если страна не обеспечивает надлежащую защиту данных (например, США), нужно подать уведомление и дождаться ответа Роскомнадзора.

Является ли Google Analytics трансграничной передачей?

Да. Использование Google Analytics считается трансграничной передачей персональных данных, и о ней нужно уведомлять Роскомнадзор.

Являются ли Google Drive, Google Forms, Google Docs трансграничной передачей?

Да.
Хранение и сбор персональных данных через:

  • Google Drive;
  • Google Docs;
  • Google Forms;
  • Google почту

считается трансграничной передачей.

Также важно, что персональные данные российских граждан должны первично собираться на серверах, расположенных в РФ.

Можно ли передавать участникам мероприятия список других участников?

Без согласия — нельзя.

Если организатор хочет:

  • передавать список участников;
  • давать доступ к контактам участников;
  • делать каталог участников;

на это должно быть отдельное согласие.

Публикация каталога участников в открытом доступе — это уже распространение персональных данных, и для этого требуется отдельное согласие.

Можно ли использовать фото и видео с мероприятия без согласия участников?

Если это общий репортажный кадр, где люди попадают в общий план — можно.

Если публикуются фотографии или видео, где человек является основным объектом съёмки — необходимо согласие.

Согласие на использование фото и видео с изображением участников необходимо получать заранее — на этапе регистрации на мероприятие.

В тексте согласия нужно указать, что участник даёт согласие на размещение своего фото и видео с его изображением. Дополнительно желательно разместить дисклеймер с указанием контакта, куда участник может написать, если он захочет удалить фото или видео со своим изображением.

Нужно ли отдельное согласие на размещение фото спикера на сайте?

Да.
Нужно:

  • согласие на обработку персональных данных;
  • согласие на использование изображения (по гражданскому законодательству).
Какие типичные ошибки допускают организаторы мероприятий?

Типовые нарушения:

  • избыточный сбор данных (например, паспортные данные без необходимости);
  • согласие спрятано в оферте;
  • использование иностранных сервисов без оформления трансграничной передачи;
  • хранение данных после мероприятия без основания;
  • отсутствие документов на сайте;
  • передача данных подрядчикам без договора;
  • публикация фото участников без согласия.
Что делать, если утечка произошла у подрядчика?

Перед Роскомнадзором всё равно отвечает оператор.
Оператор может потом взыскать убытки с подрядчика, но ответственность перед регулятором несёт оператор.

Штраф назначается за факт утечки, а не за каждого человека отдельно.

Лимиты:
Если впервые произойдет утечка обычных данных:
от 1 тыс. до 10 тыс. пользователей или от 10 тыс. до 100 тыс. идентификаторов — штраф для юридических лиц составит от 3 млн до 5 млн руб.;
от 10 тыс. до 100 тыс. пользователей или от 100 тыс. до 1 млн идентификаторов — от 5 млн до 10 млн руб.;
более 100 тыс. пользователей или более 1 млн идентификаторов — от 10 млн до 15 млн руб.
Безотносительно к объему первая утечка специальных персональных данных повлечет штраф для юридических лиц от 10 млн до 15 млн руб., а в случае с биометрическими данными — от 15 млн до 20 млн руб.
При повторной утечке обычных данных штраф составит от 1 до 3% от выручки оператора, но не менее 20 млн руб. и не более 500 млн руб. В случае если произошла повторная утечка специальных или биометрических данных либо после утечки обычных данных произошла утечка биометрии или специальных данных, штраф также составит от 1 до 3% от выручки оператора, но уже не менее 25 млн руб. и не более 500 млн руб.

Нужно ли отдельное согласие при распознавании лиц?

Да.

Распознавание лиц — это биометрические персональные данные.
Для них требуется:

  • отдельное согласие;
  • специальные требования к хранению;
  • специальные меры защиты.
Можно ли использовать искусственный интеллект для работы с документами и данными?

Можно, но нужно учитывать:

  • многие AI-сервисы являются иностранными;
  • загрузка туда документов может считаться трансграничной передачей;
  • в компании нужно разработать внутренний документ, где прописать, какие данные можно загружать в AI, а какие нельзя;
  • перед загрузкой документов рекомендуется удалять персональные данные и конфиденциальную информацию.

 

О компании ЭКСПОДАТ

ЭКСПОДАТ разрабатывает цифровые решения для конгрессно-выставочных и деловых мероприятий и помогает организаторам выстраивать регистрацию, коммуникацию и цифровую инфраструктуру событий.

Компания предоставляет:

  • регистрацию участников (офлайн и онлайн);
  • разработку сайтов мероприятий;
  • мобильные приложения мероприятий;
  • ботов и AI-ассистентов;
  • проведение онлайн-мероприятий на платформе EXPOCOM;
  • сервисы для коммуникации и геймификации участников.

Мы ежегодно работаем на сотнях мероприятий и на практике сталкивается с вопросами обработки персональных данных участников, поэтому компания уделяет особое внимание юридически корректной организации регистрации и работы с данными.

Если у вас запланированы мероприятия и важно выстроить корректную работу с персональными данными участников, будем рады обсудить ваш проект.

Почта: Адрес электронной почты защищен от спам-ботов. Для просмотра адреса в браузере должен быть включен Javascript.
Телефон: +7 (499) 758-07-58

23.03.2026

Последние новости

Мы в телеграм!

Новости, объявления и актуальная информация в нашем телеграм канале!

Продолжая использовать наш сайт, вы даете согласие на обработку файлов cookie.
Подробнее в Политике по обработке персональных данных.