GDPR og arrangement

GDPR og arrangement

Publisert: 13.04.2021

Alle arrangører av fysiske og digitale kurs, møter eller konferanser samler inn persondata om sine deltakere. Hva er viktig for deg som arrangør å tenke på i forhold til GDPR? Hvilke hensyn må du ta? Her følger en kort innføring.

GDPR, eller General Data Protection Regulation som disse bokstavene står for, er EUs forordning for personvern. Denne forordningen innebærer blant annet tiltak for måten man behandler og bruker personopplysninger, i tillegg til å gi økte rettigheter for borgere som bor i EU og EØS-området. Dersom du samler inn personopplysninger fra EU- og EØS-borgere, må du forholde deg til GDPR.


Personvernerklæring og aktivt samtykke
Som arrangør må du innhente såkalt informert samtykke om bruk av persondata fra de som registrerer seg på arrangementet ditt. Det betyr at du blant annet må ha en lett tilgjengelig og forståelig personvernerklæring knyttet til påmeldingen. Her kan man for eksempel ha en boks hvor det er mulig for deltaker å krysse av og gi sitt samtykke.

Et aktivt samtykke fra deltaker på et arrangement innebærer at du som arrangør kun kan bruke informasjonen du har innhentet til det du har opplyst om i personvernerklæringen. Har deltakeren gitt deg sin informasjon, og kun samtykket til at denne informasjonen kan brukes i forbindelse med selve arrangementet, kan du ikke bruke informasjonen på andre måter. Dersom du eksempelvis ønsker å bruke e-postadresse og annen informasjon til utsendelse av nyhetsbrev eller for målrettet markedsføring, må du innhente egne tillatelser for hver enkelt av disse bruksmåtene. 

Hvilke personopplysninger trengs fra deltakerne?
I forkant av arrangementet må du som arrangør vurdere hvilke personopplysninger det er nødvendig å innhente fra deltakerne, hvorfor personopplysningene samles inn og hvordan de skal brukes. I tillegg må du tenke igjennom hvordan disse personopplysningene skal oppbevares. Det er smart med et påmeldingssystem for deltakerhåndtering hvor deltakere har mulighet til å registrerer seg selv. Her vil deltakeren få oversikt over hvilken informasjon som blir gitt til arrangør.

Du som arrangør bestemmer hvilken informasjon som skal innhentes. Pass på at det kun samles inn personopplysninger som er relevant for selve arrangementet, og unngå å innhente sensitive opplysninger dersom det ikke er nødvendig. Vær oppmerksom på at opplysninger om matallergier er sensitive personopplysninger (helseopplysninger), og det vil være nødvendig å innhente samtykke fra deltaker hvis disse opplysningene for eksempel skal oversendes til et hotell eller en restaurant. Hvis denne informasjonen skal sendes via e-post må den også være kryptert. I etterkant av arrangementet kan denne typen av informasjon slettes. Deltakere har også rett til å bli slettet dersom forutsetningen for lagring av deres persondata ikke lenger er til stede. Det vil si at i praksis kan deltakere be deg som arrangør slette all informasjon om dem i etterkant av arrangementet. 

Både du som arrangør og din leverandør av påmeldingssystem har et ansvar

Du som arrangør henter gjerne inn personopplysninger fra deltakere via ulike systemer, eksempelvis et påmeldingssystem. Med dette er du ikke bare ansvarlig for selv å følge regelverket rundt GDPR, du har også et ansvar for at leverandøren av påmeldingssystemet operer innenfor dette regelverket. Din leverandør av påmeldingssystemet er dataansvarlig, mens du som arrangør er behandlingsansvarlig. 

Dersom du bruker en tredjepartsleverandør til å lagre personopplysninger, for eksempel deltakerregistrering eller CRM-system, er denne leverandøren ansvarlig for datasikkerheten. Alle virksomheter som benytter seg av en underleverandør har plikt til å ha en databehandleravtale. Denne avtalen skal sikre at personopplysninger håndteres i samsvar med regelverket og setter en klar ramme for hvordan databehandleren kan behandle slike opplysninger.

Er det lov å publisere deltakerlister?
Ofte lurer deltakere på hvilke andre personer som også skal delta, eller de ønsker å få vite om en navngitt person har ankommet arrangementet. Ifølge GDPR er det ikke tillatt å utlevere personopplysninger om deltakere til andre. Derfor er det heller ikke tillatt å publisere deltakerlister siden disse inneholder personopplysninger. Unntaket er dersom du som arrangør har samlet inn samtykke om publisering av deltakerlister i forkant. Det er derimot lov å publisere en oversikt over deltakende virksomheter. 

Hva hvis det skjer brudd på datasikkerheten og data kommer på avveie?

Dersom din virksomhet opplever sikkerhetsbrudd og det er sjanse for at data har kommet på avveie, må virksomheten ha rutiner for hvordan dette skal håndteres. Husk at alle avvik som skyldes brudd på datasikkerheten må meldes til Datatilsynet innen 72 timer. Dette gjelder også dersom virksomheten for eksempel har opplevd datainntrengning, eller dersom uvedkommende har fått tilgang til din innloggingsinformasjon.

Påmeldingssystem og GDPR
Trenger du et påmeldingssystem som tar hensyn til GDPR på en god måte?
Pindena påmeldingssystem er både sikkert, funksjonelt og enkelt å administrere.