gdpr på datamaskin

Med arrangementer hører det som regel til å samle inn persondata om deltagere, foredragsholdere, artister, frivillige med fler. Som arrangør henter man gjerne inn denne informasjonen via ulike systemer som Deltager.no, egne apper mm., og er dermed ikke bare ansvarlig for at en selv etterlever regelverket, men også for at leverandører av disse systemene har sysakene i orden. Et eksempel på dette, er det forholdet som eksisterer mellom deg som arrangør, og oss i Deltager.no. I vårt tilfelle er vi Databehandler, mens du/dere er behandlingsansvarlig.

Med bakgrunn i dette, vil GDPR påvirke deg som arrangør direkte, uansett om du avholder tegnekurs for barn, yogatrening for gravide, eller konferanser og messer i bedriftsmarkedet.

Dette blogginnlegget er ment som en kort innledning til hva du må tenke på som arrangør for å sikre at du etterlever GDPR, og er på ingen måte utfyllende. Fullstendig informasjon om hvordan vi overholder GDPR, hva du som arrangør må gjøre, samt nye funksjoner som hjelper deg, vil bli sendt ut før ordningen trer i kraft (GDPR trer i kraft i Norge tidligst 1. juli, sannsynligvis 1. august). Meld deg på vårt nyhetsbrev for å være sikker på at du mottar informasjon fra oss.

Deltagerens nye rettigheter

I Norge har vi fra før av strenge regler for personvern og datalagring, men GDPR setter klare føringer for hvilke rettigheter hver enkelt har. En av de viktigste og mest omdiskuterte, er retten til å bli glemt. Dette betyr at du må innhente samtykke fra deltageren for lagring av deres data (informasjon), og at deltageren også har rett til å bli slettet dersom forutsetningen for lagring av deres persondata ikke lenger er til stede. Det vil si at i praksis kan deltageren be deg slette all informasjon om dem (slette fra deltagerliste, og eventuelle eksporter du har gjort av denne). Samtidig kan de ikke kreve at du sletter dem fra økonomiske rapporter, dersom forutsetningen for lagring av denne dataen fortsatt er til stede. Man er pålagt å lagre informasjon knyttet til betaling i 5 år. Her har vi altså en særnorsk regel, som overstyrer GDPR – nemlig regnskapsloven.

Personvernserklæring og aktivt samtykke

Det er mange ting du som arrangør må gjøre for å tilpasse deg de nye reglene. Det vil om ikke lenge komme informasjon til alle våre arrangører om hvordan de skal forholde seg til innsamling av data på Deltager.no (meld deg på vårt nyhetsbrev her, så du ikke går glipp av nyheter og viktig informasjon!). Blant annet må alle som samler inn persondata innhente informert samtykke fra de som registrerer seg. Det betyr at du – uansett om du er en stor eller liten arrangør – blant annet må ha en lett forståelig personvernserklæring, og gjøre denne tilgjengelig for deltageren. Dette vil delvis automatiseres i vår løsning, slik at du får en avmerkningsboks på dine arrangementer, som deltagere må krysse av på.

Aktivt samtykke betyr betyr at du kun kan bruke informasjonen du har innhentet, til det du har opplyst om. Har deltageren gitt deg sin informasjon, og kun samtykket til at det kan brukes i forbindelse med arrangementet, kan du ikke bruke denne daten på andre måter. Dersom du eksempelvis ønsker å bruke e-postadresse og annen informasjon til utsendelse av nyhetsbrev eller for målrettet markedsføring, må du hente inn egne tillatelser for hver enkelt av disse bruksmåtene. Påmelding til nyhetsbrev kan ikke være en forutsetning for å registrere seg på arrangementet.

Hvilken data er nødvendig?

Vi vil ikke kontrollere hvilken data du samler inn i påmeldingssystemet. Du som arrangør bør tenke nøye gjennom hvilken informasjon du henter inn, og om du har grunnlag for å innhente den. Du bør også sørge for at du unngår å innhente sensitiv informasjon – eksempelvis personnummer, legning, religion, da reglene for innhenting av slik data er svært strenge.

Arrangører må kartlegge hvilken data de har og innhenter, samt hvordan og hvor denne brukes, og hvilke endringer som må gjøres innen 1. juli. Som nevnt ovenfor, kan du ikke bruke data på noen annen måte enn det det er gitt aktivt samtykke til. Det betyr at du ikke kan sende markedsføring til deltagerne dine, eller legge de inn i ditt CRM-system, selvom du har deres e-postadresse og annen informasjon. Unntaket er selvfølgelig dersom du har innhentet aktivt samtykke for dette. Laster du data inn i tredjeparts-systemer, som eksempelvis Mailchimp eller CRM, må du skaffe deg oversikt over hvor dataen ligger, og rutiner for håndtering og sletting av denne dataen.

Sannsynligvis betyr de nye reglene at du må slette data flere steder innen 1. juli, fra ulike systemer og løsninger, dersom du ikke kan dokumentere at personen har gitt aktivt samtykke til bruk av deres data på denne måten.

Hvis data kommer på avveie

Dersom dere opplever sikkerhetsbrudd, og det er sjanse for at data har kommet på avveie, skal dere ha rutiner for hvordan dette håndteres. Alle avvik som skyldes brudd på datasikkerheten skal meldes fra til Datatilsynet innen 72 timer – enten du har opplevd datainntrengning, eller om uvedkommende har fått tilgang til din innloggingsinformasjon.

Til slutt

GDPR betyr mye jobb, og det kan virke som en umulig oppgave. Men GDPR styrker hver enkelt borgers rettigheter, og sikrer at man får bedre kontroll på hvem som lagrer informasjon om deg, og hva de bruker den til. For Deltager.no medfører GDPR endringer i teknologi, vilkår og håndtering av data, men vi kan forsikre deg om at du er trygg når du velger oss. Som nevnt innledningsvis, har vi i Norge allerede strenge regler for personvern og lagring av data, og Deltager.no har til enhver tid etterlevd disse reglene.

Husk å melde deg på vårt nyhetsbrev så du alltid er oppdatert på nyheter og funksjonalitet, samt gode tilbud!