Hvordan påvirker GDPR deg som event-arrangør?

Hvordan påvirker GDPR deg som event-arrangør?

Det er fort gjort å gå seg vill i GDPR-jungelen når dere skal arrangere et event. Vi har gjort det lettere for deg ved å samle de viktigste punktene innenfor GDPR og event.

GDPR i planleggingsfasen

Det er i planleggingsfasen at GDPR gjør seg mest gjeldene.

Det er vanskelig å planlegge og gjennomføre et event med mindre deltakere kan registreres og kontaktes. Som arrangør må du tenke igjennom hvordan dere skal samle inn kontaktopplysninger og markedsføre og promotere eventet.

Innsamling av personopplysninger

I forkant av arrangementet må det vurderes hvilke personopplysninger som skal innhentes, hvorfor de samles inn og hvordan de brukes. I tillegg må du tenke igjennom hvordan de skal oppbevares.

Det finnes egne systemer for deltakerhåndtering og de fleste tillater at deltakere registrerer seg selv. Deltakeren selv vil dermed ha oversikt over hvilken informasjon som er gitt.

Som arrangør bestemmer du hvilken informasjon som innhentes. Pass på at det kun samles inn personopplysninger som er relevant for arrangementet. Unngå å innhente sensitive personopplysninger dersom det ikke er nødvendig. Merk at opplysninger om matallergier er sensitive personopplysninger fordi det er helseopplysninger. Det vil derfor være nødvendig å innhente samtykke fra deltaker om at disse opplysningene kan oversendes til hotell/restaurant og lignende. Hvis denne informasjonen skal sendes via e-post må den være kryptert. I etterkant av eventet bør denne typen informasjon slettes.

Hvis man bruker en tredjepartsleverandør til å lagre personopplysninger (f.eks deltakerregistrering, CRM system e.l.) er denne leverandøren ansvarlig for datasikkerheten. Alle virksomheter som benytter seg av en underleverandør har plikt til å ha en databehandleravtale. Avtalen skal sikre at personopplysninger blir lagret i samsvar med regelverket og setter en klar ramme for hvordan databehandleren skal behandle opplysninger.

Promotering av eventet i sosiale medier

Sosiale medier er egnede kanaler for å skape engasjement, øke synligheten og nå ut til potensielle deltakere.

Velg de kanalene hvor dere treffer målgruppene best, og bruk gjerne flere kanaler for å øke rekkevidden. Vær oppmerksom på at det ikke er lov å kontakte personer direkte gjennom f.eks Messenger uten samtykke fra mottakeren. I tillegg må dere være obs på at firmaet – sammen med Facebook – er behandlingsansvarlig for profilsiden som er opprettet.

Epost markedsføring

Markedsføringsloven § 15 forbyr, som hovedregel, utsendelse av elektroniske markedsføringshenvendelser til fysiske personer som ikke har samtykket til å motta slik markedsføring. Det er tillatt å  sende e-markedsføring til tidligere deltakere av samme arrangement, og til e-postadresser som ikke tilhører en bestemt fysisk person, f.eks. info@firma.no.

GDPR under eventet

Navneskilt

Arrangøren må selv vurdere hvordan dere velger å dele ut navneskiltene, basert på hva som er mest personvernvennlig og praktisk gjennomførbart.

Å ha navneskiltene liggende alfabetisk på et bord vil nok ikke være det mest inngripende overfor de påmeldte, all den tid de påmeldte likevel går rundt med navneskiltet synlig overfor andre under arrangementet. Dersom noen imidlertid ikke ønsker navneskilt eller ytrer et spesifikt ønske om at de ikke vil at navneskiltet deres skal ligge åpent og synlig, bør dette etterkommes.

Deltakerlister

Etter GDPR kan man ikke utlevere personopplysninger til andre, derfor er det ikke lov til å publisere deltakerlister pga. innholdet av personopplysninger. Unntaket er hvis dere har samlet inn samtykke fra deltakerne i forkant hvor deltakeren kan be om å ikke få sitt navn på listen. Det er lov å publisere en oversikt over deltakende firmaer.

Ofte lurer deltakere på hvilke andre personer som også skal delta eller om denne personen har ankommet eventet. Det er ikke lov å gi ut slik informasjon uten samtykke.

GDPR etter eventet

Sletting eller anonymisering av personopplysninger

I etterkant av arrangementet er det viktig med gode rutiner for sletting av personopplysninger.

Som arrangør har du lov til å lagre opplysninger om en deltaker/besøkende så lenge det er nødvendig, dette skal være beskrevet i formålet i personvernerklæringen. Husk å slette sensitive opplysninger, som f.eks helseopplysninger og medlemsnummer, hvis det ikke lenger er nødvendig å beholde de.

Hvis man har et gjentagende event og ønsker å beholde deltakerstatistikk, men ikke lenger har hjemmel i loven til å beholde personopplysningene, kan man anonymisere dataene. Det fleste event-systemer muliggjør anonymisering.

Retten til å bli glemt/slettet

En deltaker kan kreve å få slettet sine opplysninger med mindre et av unntakene gjelder, f.eks regnskapsloven. Arrangøren skal gjennomføre sletting uten ugrunnet opphold og normalt senest innen én måned.

Deltakeren har rett til å få vite hvem som har mottatt opplysningene. Dersom dere som arrangør på et tidligere tidspunkt har utlevert opplysninger om deltakerne, har arrangøren plikt til å informere mottakeren av opplysningene om at deltakeren har bedt om sletting.

Personvernerklæring

Personvernerklæringen forteller hvordan firmaet samler inn og bruker personopplysninger. Sørg for at bedriftens personvernerklæring er lett tilgjengelig. For eksempel kan erklæringen være tilgjengelig på arrangementets webside, i epost utsendelser til deltakere og i sosiale medier knyttet til arrangementet.

I firmaets personvernerklæring må dere informere om hvilke sosiale medier dere benytter og hva slags type informasjon dere innhenter. Facebook har nå gjort det enkelt å lenke personvernerklæring til firmaets Facebook-side.

Generelle tips og råd

  • Ikke benytt forhåndskryssede samtykkebokser og uklare formuleringer i registreringsskjemaer.
  • Det er viktig å ha systemer på plass i forbindelse med innhenting og lagring av samtykke.
  • Ikke del deltakerlister fritt med arrangører/lokaler, forelesere og andre deltakere.
  • Ha oversikt over hva slags type data/informasjon innleid personale/ressurser har tilgang til.
  • Vær oppmerksom på hva slags type informasjon som sendes per epost. Dersom innholdet består av sensitiv informasjon må eposten krypteres.

Dette må du som arrangør sørge for i forbindelse med GDPR:

  • Personopplysninger er lagret på sikre servere.
  • At dere kan håndtere henvendelser vedrørende deltakerens personopplysninger innen 30 dager.
  • Gode rutiner for håndtering av personopplysninger, hvor lenge disse lagres, når og hvordan man skal slette.
  • Rapporter avvik/brudd på datasikkerhet så snart som mulig hvis et avvik blir oppdaget, og senest innen 72 timer.

I denne artikkelen har vi samlet råd for hvordan du som arrangør kan håndtere personvern på en best mulig måte. Ikke minst hvordan du kan bruke personvernlovgivningen til din fordel.  Ved å ta en gjennomgang av egne prosedyrer vil man få bedre kjennskap til egne systemer, i tillegg kan man rydde opp i eksisterende databaser og dermed få mer relevante e-post lister.

Skal vi ta en prat?

NPG Kontaktskjema (NO)

Grunnleggende kontaktskjema

Ditt navn(Påkrevd)

Vi vil gjerne høre fra deg!