Når du som arrangør samler inn personopplysninger fra deltakerne dine, f.eks. via et påmeldingssystem, innebærer det at du betror personopplysninger til leverandøren av systemet. Dermed har du et ansvar for at leverandøren følger GDPR-regelverket.
Ulike systemleverandører har ulik grad av modenhet rundt GDPR og datasikkerhet. Du må velge en leverandør som kan dokumentere at de behandler deltakerdata i samsvar med regelverket.
Dette betyr at du må få svar på følgende:
- Hvilke tiltak gjør leverandøren for å beskytte deltakerdataene du samler inn?
- Hvordan legger leverandøren til rette for at du kan samle inn og benytte deltakeres data på en lovlig måte?
For å få svar på dette er det fem avgjørende spørsmål du bør stille leverandøren av påmeldingssystemet du bruker eller har tenkt å kjøpe.
Spørsmål 1: Har dere utarbeidet en databehandleravtale mellom dere og deres kunder?
En virksomhet som bruker skytjenester eller nettbaserte tjenester som behandler personopplysninger, må ha en databehandleravtale.
En slik avtale regulerer hvem som eier dataene (du som bruker av f.eks. et påmeldingssystem), og hvem som samler inn og behandler disse dataene (leverandøren av systemet). Databehandleravtalen regulerer dessuten hva leverandøren kan gjøre med personopplysningene.
Det er viktig å skille mellom vanlige personopplysninger og sensitiv informasjon. Kravene er enda strengere dersom informasjonen man samler inn, er sensitiv. Dette skal også komme frem i en databehandleravtale.
Spørsmål 2: Hvordan sørger dere for sikker datalagring?
Spør leverandøren om a) hva slags sikkerhetstiltak de har på plass for å beskytte data mot tap, misbruk og uautorisert bruk, og b) hvor dataene ligger lagret.
Spørsmål 3: Hvilke rutiner har dere for håndtering av sikkerhetsbrudd?
Spør leverandøren om hvilke prosedyrer de har for å melde fra dersom regler blir brutt eller data kommer på avveie.
Spørsmål 4: Hvordan tilrettelegger dere systemet teknisk for å innhente relevant samtykke fra deltakere?
Registrering av personopplysninger krever samtykke fra den som registreres, eller at man har et rettslig grunnlag for å gjøre det.
Du må få avklart med systemleverandøren hva slags løsninger de har laget for enkelt å innhente de samtykker du som bruker må få fra dine deltakere, både for lagring av persondata og for kommunikasjon til disse.
Hvis dataene som samles inn kun skal benyttes for å håndtere deltakeren på dette ene arrangementet (levere tjenesten som deltakeren aktivt har bestilt) og ikke benyttes videre, og det er enkel informasjon som navn/e-post som skal registreres, kan det være nok med et ekstra informasjonsfelt på registreringsskjemaet: ‘Ved å registrere deg samtykker du samtidig til …’
Ønsker du derimot å benytte innsamlet data til noe mer senere (sende ut nyhetsbrev, invitere til andre arrangementer, etc.), må du be om særskilt samtykke til dette.
Du bør også la deltaker selv bestemme om de ønsker å få navnet sitt publisert på offentlige deltakerlister eller ikke.
Spørsmål 5: Hvordan er det lagt til rette for muligheten til å bli glemt/slettet eller evt. anonymisert?
Deltakere som får sine personopplysninger registrert, har også rett til å bli slettet når forutsetningen for registreringen ikke lenger er til stede. I GDPR omtales det som «retten til å bli glemt».
Dersom en deltaker ber deg om å slette all informasjonen dere har om ham/henne – er det da mulig for deg som bruker å spore opp dataene?
Det er dessuten viktig å bevare historikk om tidligere arrangementer, f.eks. antall deltakere totalt, antall på ulike aktiviteter, antall rom, etc. Hvilke grep har systemleverandøren tatt for å gi mulighet for å «anonymisere» en deltaker (fjerne navn og personlig data) uten å måtte slette deltakerinformasjon?
Oppsummert
Med GDPR er du som arrangementsplanlegger og arrangør ansvarlig for å sikre deltakerinformasjonen du behandler i forbindelse med dine arrangementer.
Når du skal velge et påmeldingssystem må derfor datasikkerhet komme høyt på prioriteringslisten. Du må forsikre deg om at leverandøren av systemet samler inn og behandler data i samsvar med regelverket.
Et GDPR-kompatibelt påmeldingssystem må ha en rekke funksjoner som gjør det enkelt for deg å følge regelverket.
- Leverandøren skal legge til rette for at du som bruker av deres påmeldingssystem kan samle inn og bruke deltakeres data på en lovlig måte.
- Leverandøren skal sørge for sikker datalagring og gode rutiner dersom data skulle komme på avveie.
- Du som kunde er ansvarlig for at dataene benyttes slik deltaker har gitt samtykke til, og at du sletter data dersom en deltaker ønsker det.
