GDPR for arrangører
Publisert: 13.04.2021
Alle arrangører av fysiske og digitale kurs, møter eller konferanser samler inn persondata om sine deltakere. Hva er viktig for deg som arrangør å tenke på i forhold til GDPR? Hvilke hensyn må du ta? Her følger en kort innføring.
GDPR, eller General Data Protection Regulation, er EUs forordning for personvern. Denne forordningen innebærer blant annet tiltak for måten man behandler og bruker personopplysninger, i tillegg til å gi økte rettigheter for borgere som bor i EU og EØS-området. Dersom du samler inn personopplysninger fra EU- og EØS-borgere, må du forholde deg til GDPR.
Få kontroll på GDPR med aktivt samtykke
Som arrangør må du innhente et såkalt informert samtykke om bruk av persondata fra deltagere. Det betyr at du blant annet må ha en lett tilgjengelig og forståelig personvernerklæring knyttet til påmeldingen. Her kan du for eksempel ha en boks hvor det er mulig for deltaker å krysse av og gi sitt samtykke.
Et aktivt samtykke fra deltager på et arrangement innebærer at du som arrangør kun kan bruke informasjonen du har innhentet til det du har opplyst om i personvernerklæringen. Har deltageren gitt deg sin informasjon, og kun samtykket til at denne informasjonen kan brukes i forbindelse med selve arrangementet, kan du ikke bruke informasjonen på andre måter. Dersom du ønsker å bruke e-postadresse til utsendelse av nyhetsbrev eller for målrettet markedsføring, må du innhente egne tillatelser.
Hvilke personopplysninger trengs fra deltagerne?
I forkant av arrangementet må du vurdere hvilke personopplysninger det er nødvendig å innhente fra deltagerne. Du må tenke på hvorfor personopplysningene samles inn og hvordan de skal brukes. I tillegg må du vite hvordan disse personopplysningene lagres. Dersom du benytter et påmeldingssystem, har deltagerne til enhver tid oversikt over hvilken informasjon du har lagret om de.
Pass på å kun samle inn personopplysninger som er relevant for arrangementet, og unngå å innhente sensitive opplysninger dersom det ikke er nødvendig. Opplysninger om matallergier er personlig (helseopplysninger), og det vil være nødvendig å innhente samtykke fra deltager hvis disse opplysningene for eksempel skal oversendes til et hotell eller en restaurant. I etterkant av arrangementet kan denne typen av informasjon slettes, og deltagere kan selv be om å bli slettet. I praksis kan deltagere be deg om å slette all informasjon om dem i etterkant av arrangementet.
Både arrangør og leverandør av påmeldingssystem har et ansvar
Du som arrangør henter gjerne inn personopplysninger fra deltakere via ulike systemer, eksempelvis et påmeldingssystem. Med dette er du ikke bare ansvarlig for selv å følge regelverket rundt GDPR, du har også et ansvar for at leverandøren av påmeldingssystemet opererer innenfor regelverket. Din leverandør av påmeldingssystemet er dataansvarlig, mens du som arrangør er behandlingsansvarlig.
Dersom du bruker en tredjepartsleverandør til å lagre personopplysninger, for eksempel deltagerregistrering eller CRM-system, er denne leverandøren ansvarlig for datasikkerheten. Alle virksomheter som benytter seg av en underleverandør har plikt til å ha en databehandleravtale. Denne avtalen skal sikre at personopplysninger håndteres i samsvar med regelverket og setter en klar ramme for hvordan databehandleren kan behandle slike opplysninger.
Er det lov å publisere deltagerlister iht GDPR?
Ofte lurer deltagere på hvilke andre personer som også skal delta, eller de ønsker å få vite om en navngitt person har ankommet arrangementet. Ifølge GDPR er det ikke tillatt å utlevere personopplysninger om deltakere til andre. Derfor er det heller ikke tillatt å publisere deltagerlister siden disse inneholder personopplysninger. Unntaket er dersom du som arrangør har samlet inn samtykke om publisering av deltagerlister i forkant. Det er derimot lov å publisere en oversikt over deltakende virksomheter.
Hva hvis det skjer brudd på datasikkerheten og data kommer på avveie?
Dersom din virksomhet opplever sikkerhetsbrudd og det er sjanse for at data har kommet på avveie, må virksomheten ha rutiner for hvordan dette skal håndteres. Husk at alle avvik som skyldes brudd på datasikkerheten må meldes til Datatilsynet innen 72 timer. Dette gjelder også dersom virksomheten for eksempel har opplevd datainntrengning, eller dersom uvedkommende har fått tilgang til din innloggingsinformasjon.
Påmeldingssystem og GDPR
Sikkerhet burde komme høyt på listen over prioriteringer når du skal velge et påmeldingssystem, og som behandlingsansvarlig har du det største ansvaret. Et system som samler inn opplysninger om deltagere bør ha en rekke funksjoner som gjør det enkelt for deg å følge personvernprinsippene.
Trenger du hjelp eller veiledning om GDPR for deltagere? Send en e-post til gdpr@pindena.no.