gdpr på datamaskin

Med arrangementer hører det som regel til å samle inn persondata om deltagere, foredragsholdere, artister, frivillige med fler. Som arrangør henter man gjerne inn denne informasjonen via ulike systemer. Dette kan være påmeldingssystem, eller en egen event-app. Dermed er man ikke bare ansvarlig for at en selv etterlever det nye regelverket – GDPR, men også for at leverandører av systemene har orden i sakene. Et eksempel på dette, er det forholdet som eksisterer mellom deg som arrangør, og oss i Deltager.no. I vårt tilfelle er vi Databehandler, mens du/dere er behandlingsansvarlig.

Med bakgrunn i dette, vil GDPR påvirke deg som arrangør direkte, uansett om du avholder tegnekurs for barn, eller konferanser og messer i bedriftsmarkedet.

Dette blogginnlegget er ment som en kort innledning til hva du må tenke på for å sikre at du etterlever GDPR, og er på ingen måte utfyllende. Fullstendig informasjon om hvordan vi overholder GDPR, samt nye funksjoner som hjelper deg, vil bli sendt ut før ordningen trer i kraft. Meld deg på vårt nyhetsbrev for å være sikker på at du mottar informasjon fra oss.

Deltagerens nye rettigheter med GDPR

I Norge har vi fra før av strenge regler for personvern og datalagring. GDPR setter derimot klare føringer for hvilke rettigheter hver enkelt har. En av de viktigste og mest omdiskuterte, er retten til å bli glemt. Dette betyr at du må innhente samtykke fra deltageren for lagring av deres data (informasjon). Deltageren også har rett til å bli slettet dersom forutsetningen for lagring av deres persondata ikke lenger er til stede. Det vil si at i praksis kan deltageren be deg slette all informasjon om dem. Samtidig kan de ikke kreve at du sletter dem fra økonomiske rapporter, dersom forutsetningen for lagring av denne dataen fortsatt er til stede. Man er pålagt å lagre informasjon knyttet til betaling i 5 år. Her har vi altså en særnorsk regel, som overstyrer GDPR – nemlig regnskapsloven.

Personvernserklæring og aktivt samtykke

Det er mange ting du som arrangør må gjøre for å tilpasse deg de nye reglene. Det vil om ikke lenge komme informasjon til alle våre arrangører om hvordan de skal forholde seg til innsamling av data på Deltager.no. Du kan melde deg på vårt nyhetsbrev her, så du ikke går glipp av nyheter og viktig informasjon. Blant annet må alle som samler inn persondata innhente informert samtykke fra de som registrerer seg. Det betyr at du blant annet må ha en lett forståelig personvernserklæring, og gjøre denne tilgjengelig for deltageren. Dette vil delvis automatiseres i vår løsning, slik at du får en avmerkningsboks på dine arrangementer, som deltagere må krysse av på.

Aktivt samtykke betyr betyr at du kun kan bruke informasjonen du har innhentet, til det du har opplyst om. Har deltageren gitt deg sin informasjon, og kun samtykket til at det kan brukes i forbindelse med arrangementet, kan du ikke bruke denne dataen på andre måter. Dersom du eksempelvis ønsker å bruke e-postadresse og annen informasjon til utsendelse av nyhetsbrev eller for målrettet markedsføring, må du hente inn egne tillatelser for hver enkelt av disse bruksmåtene. Påmelding til nyhetsbrev kan ikke være en forutsetning for å registrere seg på arrangementet.

Hvilken data er nødvendig?

Vi vil ikke kontrollere hvilken data du samler inn i påmeldingssystemet. Du bør tenke nøye gjennom hvilken informasjon du henter inn, og om du har grunnlag for å innhente den. Du bør også sørge for at du unngår å innhente sensitiv informasjon som personnummer, legning, religion, da reglene for innhenting av slik data er svært strenge.

Arrangører må kartlegge hvilken data de har og innhenter, samt hvordan og hvor denne brukes, og hvilke endringer som må gjøres. Som nevnt ovenfor, kan du ikke bruke data på noen annen måte enn det det er gitt aktivt samtykke til. Det betyr at du ikke kan sende markedsføring til deltagerne dine, selvom du har deres e-postadresse og annen informasjon. Unntaket er selvfølgelig dersom du har innhentet aktivt samtykke for dette. Laster du data inn i tredjeparts-systemer, som eksempelvis Mailchimp eller CRM, må du skaffe deg oversikt over hvor dataen ligger, og rutiner for håndtering og sletting av denne dataen.

Sannsynligvis betyr de nye reglene at du må slette data flere steder innen 1. juli, dersom du ikke kan dokumentere at personen har gitt aktivt samtykke til bruk av deres data på denne måten.

Hvis data kommer på avveie

Dersom dere opplever sikkerhetsbrudd, og det er sjanse for at data har kommet på avveie, skal dere ha rutiner for hvordan dette håndteres. Alle avvik som skyldes brudd på datasikkerheten skal meldes fra til Datatilsynet innen 72 timer. Dette gjelder om du f. eks har opplevd datainntrengning, eller om uvedkommende har fått tilgang til din innloggingsinformasjon.

Til slutt

GDPR betyr mye jobb, og det kan virke som en umulig oppgave. Men GDPR styrker hver enkelt borgers rettigheter, og sikrer at man får bedre kontroll på hvem som lagrer informasjon om deg, og hva de bruker den til. For Deltager.no medfører GDPR endringer i teknologi, vilkår og håndtering av data, men vi kan forsikre deg om at du er trygg når du velger oss. Som nevnt innledningsvis, har vi i Norge allerede strenge regler for personvern og lagring av data, og Deltager.no har til enhver tid etterlevd disse reglene.

Husk å melde deg på vårt nyhetsbrev så du alltid er oppdatert på nyheter og funksjonalitet, samt gode tilbud!