Chat with us, powered by LiveChat

Skal du arrangere et event? Vi har GDPR-svarene…

Det er fort gjort å gå seg vill i GDPR-jungelen. GDPR i forbindelse med event er relativt nytt, og det er få artikler skrevet om temaet. Fremover vil vi forhåpentligvis se flere gode eksempler på GDPR i praksis ved et event. Vi ønsker å presisere at vi ikke er jurister, men har etter beste evne forsøkt å samle de viktigste punktene innenfor GDPR og event.

 

Av: Veronica Fredriksen og Linn Fjæstad

 

GDPR i planleggingsfasen

Det er i planleggingsfasen at GDPR gjør seg mest gjeldene. Det er vanskelig å planlegge og gjennomføre et event med mindre deltakere kan registreres og kontaktes. Som arrangør må dere tenke igjennom hvordan dere skal samle inn kontaktopplysninger og hvordan dere skal markedsføre og promotere eventet.

 

GDPR event

 

Innsamling av personopplysninger – Need to know, nice to know

I forkant av arrangementet må dere vurdere hvilke personopplysninger som skal innhentes, hvorfor de samles inn og hvordan de brukes. I tillegg må dere tenke igjennom hvordan de skal oppbevares. Det finnes egne systemer for deltakerhåndtering og de fleste tillater at deltakere registrerer seg selv. Deltakeren selv vil dermed ha oversikt over hvilken informasjon som er gitt.

Dere som arrangør bestemmer hvilken informasjon som innhentes. Pass på at dere kun samler inn personopplysninger som er relevant for ditt arrangement. Unngå å innhente sensitive opplysninger dersom det ikke er nødvendig. Merk at opplysninger om matallergier er sensitive personopplysninger (helseopplysninger), og det vil være nødvendig å innhente samtykke fra deltaker hvis disse opplysningene skal oversendes til hotell/restaurant. Hvis denne informasjonen skal sendes via e-post må den være kryptert. I etterkant av eventet kan denne typen av informasjon slettes.

Hvis man bruker en tredjepartsleverandør til å lagre personopplysninger (f.eks deltakerregistrering, CRM system e.l.) er denne ansvarlig for datasikkerheten. Alle virksomheter som benytter seg av en underleverandør har plikt til å ha en databehandleravtale. Avtalen skal sikre at personopplysninger er i samsvar med regelverket og setter en klar ramme for hvordan databehandleren kan behandle opplysninger.

 

Personvernerklæring

Personvernerklæringen forteller hvordan firmaet samler inn og bruker personopplysninger. Sørg for at firmaets personvernerklæring er lett tilgjengelig. For eksempel kan erklæringen være tilgjengelig på arrangementets webside, i epost utsendelser til deltakere og i sosiale medier knyttet til arrangementet.

 

Markedsføring av eventet

Markedsføringsloven § 15 forbyr, som hovedregel, utsendelse av elektroniske markedsføringshenvendelser til fysiske personer som ikke har samtykket til å motta slik markedsføring.
Hvordan skal man da promotere sitt event? Dere må sørge for at personen aktivt har meldt seg på i forkant eller abonnerer på nyhetsbrev e.l. Dere kan sende ut invitasjoner såfremt dere har et behandlingsgrunnlag som legitimerer behandlingen av personopplysninger. Samtykke er et behandlingsgrunnlag, men ikke det eneste. Det er også tillatt å sende markedsføring til e-postadresser som ikke tilhører en bestemt fysisk person, f.eks. info@firma.no. Husk at det er et skille mellom personvernloven og markedsføringsloven

Når det gjelder markedsføring i sosiale medier, vil markedsføringsloven § 15  også gjelde for sosiale medier hvis man sender meldinger direkte til en innboks, eller gir mottakeren notifikasjoner. Loven må forstås teknologinøytralt. 

 

GDPR under eventet

GDPR setter føringer under selve eventet, som f.eks utdeling av navneskilt og distribusjon av deltakerlister.

GDPR event

 

Navneskilt

Ved utdeling av navneskilt velger mange arrangører å legge disse ut på et bord i alfabetisk rekkefølge. Å ha navneskiltene liggende på et bord vil nok ikke være det mest inngripende overfor de påmeldte, all den tid de påmeldte likevel går rundt med navneskiltet synlig overfor andre under arrangementet. Dersom noen imidlertid ikke ønsker navneskilt eller ytrer et spesifikt ønske om at de ikke vil at navneskiltet deres skal ligge åpent og synlig, bør dette etterkommes. Alternativt kan man sende ut navneskiltene elektronisk i forkant av eventet slik at deltakeren selv skriver ut og tar det med. Dette vil spare både deltaker og arrangør tid ved åpning av arrangementet. 

 

Deltakerlister

Etter GDPR kan man ikke utlevere personopplysninger til andre, derfor er det ikke lov til å publisere deltakerlister pga. innholdet av personopplysninger. Unntaket er hvis dere har samlet inn samtykke fra deltakerne i forkant. Det er derimot lov å publisere en oversikt over deltakende firmaer.
Ofte lurer deltakere på hvilke andre personer som også skal delta eller om denne personen har ankommet eventet. Det er ikke lov å gi ut slik informasjon uten samtykke.

 

GDPR etter eventet

Eventet er gjennomført; hva gjør dere nå med personopplysningene som er samlet inn?

GDPR event

 

Sletting eller anonymisering av personopplysninger

I etterkant av arrangementet er det viktig med gode rutiner for sletting av personopplysninger. Som arrangør har dere lov til å lagre opplysninger om en deltaker/besøkende så lenge det er nødvendig, dette skal være beskrevet i formålet. Husk å slette sensitive opplysninger hvis det ikke lenger er nødvendig å beholde de.

Hvis man har et gjentagende event og ønsker å beholde statistikken, men ikke lenger har hjemmel i loven til å beholde personopplysningene, kan man anonymisere dataene. Det fleste event-systemer muliggjør anonymisering.

 

Retten til å bli glemt/slettet

En deltaker kan kreve å få slettet sine opplysninger med mindre et av unntakene gjelder (f.eks regnskapsloven). Arrangøren skal gjennomføre sletting uten ugrunnet opphold og normalt senest innen én måned.

Deltakeren har rett til å få vite hvem som har mottatt opplysningene. Dersom dere som arrangør på et tidligere tidspunkt har utlevert opplysninger om deltakerne, har arrangøren plikt til å informere mottakeren av opplysningene om at deltakeren har bedt om sletting.

 

Generelle tips og råd

  • Det er ikke lov å benytte forhåndskryssede samtykkebokser og uklare formuleringer i registreringsskjemaer.
  • Innhent samtykker ved påmelding for å spare mye arbeid i etterkant
  • Det er viktig å ha systemer på plass i forbindelse med innhenting og lagring av samtykke.
  • Det er ikke lenger lov å dele deltakerlister fritt med arrangører/lokaler, forelesere og andre deltakere.
  • Det er viktig å ha en oversikt over hva slags type data/informasjon innleid personale/ressurser har tilgang til.
  • Vær oppmerksom på hva slags type informasjon som sendes per epost. Dersom innholdet består av sensitiv informasjon må eposten krypteres.

 

Dette må dere som arrangør ha kontroll på i forbindelse med GDPR

  • At deres personopplysninger er lagret på sikre servere.
  • At dere kan håndtere henvendelser vedrørende deltakerens personopplysninger innen 30 dager.
  • At man har gode rutiner for håndtering av personopplysninger, hvor lenge man skal lagre disse, når og hvordan man skal slette.
  • At dere kan rapportere inn avvik/brudd på personopplysningssikkerheten så snart som mulig etter at avviket er oppdaget, og senest innen 72 timer.

I denne artikkelen har vi samlet våre råd for hvordan dere som arrangør kan håndtere personvern på en best mulig måte. Ikke minst hvordan dere kan bruke personvernlovgivningen til deres fordel. På sikt vil arrangører som er «GDPR compliant» fremstå som en seriøs, profesjonell og troverdig blant eksisterende og potensielle kunder. Ved å ta en gjennomgang av egne prosedyrer vil man få bedre kjennskap til egne systemer, i tillegg kan man rydde opp i eksisterende databaser og dermed få mer relevante e-post lister. 

 

Vi vil gjerne høre fra deg

Vi har god erfaring med å levere alt innen events, enten det gjelder et mindre oppdrag eller større arrangementer. Vi hjelper deg med å skape lønnsomme møteplasser. 

 

Kilder:
Datatilsynet
Forbrukertilsynet
Eventforce
https://www.linkedin.com/in/sandtro/

Oppdatert: 08.01.2019

 


Siste nyheter

Pin It

Comments are closed.

« Tilbake til oversikt Tilbake til oversikt »

Til toppen