Arrangementer flest medfører at store mengder personopplysninger blir samlet inn – via påmeldingssystemer/-skjemaer, apper, spørreskjemaer, evalueringer, osv.
Har du kontroll på hvilken deltakerinformasjon dere har liggende i databaser og systemer fra forrige arrangement? Dette kan være alt fra e-postlister til utsendelse av invitasjoner, oppsamlede deltakerdata fra tidligere avholdte arrangementer, svar på evalueringer og til opplysninger om foredragsholdere, utstillere og sponsorer.
Vet du når denne informasjonen bør slettes? Her får du svaret på det.
Hva har deltakerne samtykket til?
Spørsmålet om når du bør slette informasjon om deltakerne fra ditt forrige arrangement, avhenger av hvilken informasjon du har samlet inn, og hva deltakerne har samtykket til.
Det er viktig å skille mellom vanlige personopplysninger og sensitiv informasjon. Kravene er enda strengere dersom informasjonen man samler inn, er sensitiv. Dette skal også fremkomme i en databehandleravtale (se neste punkt).
Informasjonen må ikke benyttes til annet enn det som er samtykket til.
Hva sier databehandleravtalen?
Bruker dere et påmeldingssystem som samler inn data på vegne av dere, har dere helt sikkert signert en databehandleravtale. Denne regulerer hva databehandleren (f.eks. leverandøren av påmeldingssystemet) kan gjøre med personopplysningene.
Informasjonen kan ikke under noen omstendighet lagres lenger enn det som er definert i en slik avtale. Ofte er det definert at informasjon skal slettes etter ett, tre eller fem år.
Hvilken informasjon er det relevant og nødvendig å ta vare på?
Etter at arrangementet er avholdt, bør dere slette informasjon som ikke er relevant å lagre. Dette kan være informasjon om matallergier, romdeling ved overnatting, etc.
Samtidig kan det være viktig for deg som arrangør å beholde oversikt både over hvem som deltok sist, tilbakemeldinger på evalueringer, og antall på ulike aktiviteter.
Du må gjøre en vurdering om hva som er relevant og nødvendig å spare på.
Skal informasjonen brukes til kurs- og medlemsadministrasjon eller til enkeltstående arrangementer?
Historikk må ofte lagres lenger ved kurs- og medlemsadministrasjon enn ved påmelding til “tilfeldige” arrangementer.
Forutsetningen er at det kommer klart frem i samtykker at informasjonen lagres, og hva den brukes til (og at den ikke brukes til noe annet). Dette kan henge sammen med sertifikater og annen form for kompetansebevis.
Finnes det betalingsinformasjon knyttet til deltakeren?
Dersom dere fakturerer deltakere, er det lovpålagt å lagre fakturainformasjonen i minst fem år. Denne loven går foran loven om GDPR og retten til å bli glemt (se neste punkt).
Hvis det derimot ikke finnes betaling på arrangementet, er fem år unødvendig lenge å lagre informasjon om deltakere.
Hva med retten til å bli glemt?
Husk at GDPR har gitt enkeltindivider større bestemmelsesrett over sine egne data og økt kontroll med hvem som vet hva. Dersom en deltaker tar kontakt og ber om å få vite hva slags informasjon som er lagret om han eller henne, og ønsker at det skal slettes, så må dette være mulig.
GDPR krever at dere svarer innen 30 dager, med mindre «særlige forhold» gjør det umulig. I så fall må dere begrunne forsinkelsen.
Er systemet dere bruker til håndtering og påmelding av deltakere, behjelpelig med å spore opp og slette dataene? Hva med de samme dataene som er registrert i CRM-systemet dere bruker?
Oppsummering
Når du bør slette deltakerinformasjonen fra ditt forrige arrangement, beror hovedsakelig på tre faktorer:
- Hvilken informasjon du har samlet inn
- Hva deltakerne har samtykket til
- Hva databehandleravtalen sier
Dersom deltakere faktureres, er du i henhold til norsk lov pålagt å lagre informasjonen i minst fem år.
En god tommelfingerregel er å spørre om det du trenger å få svar på for å håndtere deltakelsen på en god måte, verken mer eller mindre.
Som et grunnprinsipp skal du ikke lagre mer enn du trenger, og ikke lenger enn du må.
Et godt system bevarer historikken
Gode digitale systemer for deltakerhåndtering gjør det mulig å både anonymisere deltakere og slette svar som ikke er relevante å spare på etter at arrangementet er avholdt, uten å ødelegge statistikker og annen relevant informasjon for arrangør.