EVENTARRANGØR: Er GDPR gået lidt i glemmebogen?
Oprindeligt udgivet den 28. januar 2019 af Jeannette Eis på Meetly.dk
Nu er det 8 måneder siden, at den europæiske Databeskyttelsesforordning (GDPR) fik virkning. Der var en masse omtale og måske endda lidt panik, tiden op til d.25.maj 2018, men hvad nu? Husker du på, at det stadig er vigtigt, at du som eventarrangør overholder lovgivningen? Eller er det med persondata gået lidt i glemmebogen?
Er det der GDPR (General Data Protection Regulation) virkelig nødvendigt for mig som eventarrangør at vide noget om? Spørger du måske. Og ja, så absolut! For når du indhenter tilmeldinger til jeres event, indhenter og behandler du typisk personoplysninger som navn, adresse, email og måske madpræferencer samt interesseområder mv.. Derfor er det super vigtigt, at du og dine kollegaer ved hvad I skal være opmærksomme på, og hvad I skal gøre for at sikrer jer, at I behandler persondata i overensstemmelse med lovgivningen. For det er jer som arrangør, der er dataansvarlig (og din tekniske leverandør, der er databehandler).
Hvad er det nu Databeskyttelsesforordningen handler om?
Databeskyttelsesforordningen (også kaldet Persondataforordningen eller GDPR) omhandler behandling af persondata, som er oplysninger om en fysisk person, der kan identificeres på baggrund af data. Formålet er at beskytte den enkeltes ret til privatliv ved at minimere risikoen for at persondata (fysisk som digitalt) “flyder rundt” og misbruges.
Behandling af persondata er et begreb, der blandt andet omfatter:
- Indsamling og registrering af data
- Systematisering og opbevaring af data
- Brug og viderekørsel af data
- Samkøring og sletning af data
Husk at Forordningen både gælder ”almindelige” persondata (som navn, firma, email, adresse mv..) og ”personfølsomme” data (som etnicitet, politisk orientering, sundhedsoplysninger mv..) samt fortrolige data (som CPR-nummer). Uanset datakategori skal alle persondata, der kan henledes til en person, behandles korrekt i forhold til lovgivningen. Du skal blot være opmærksom på, at der kan være forskellige krav til behandlingen.
Når du indhenter tilmeldinger til din event skal du have gjort dig vigtige overvejelser om informationen, du indhenter samt systemerne, du bruger. Her kommer jeg blot ind på nogle af overvejelserne, I bør gøre jer, når I indhenter oplysninger fra jeres deltagere i forbindelse med jeres event (det er ikke udtømmende).
GDPR har til formål at styrke og harmonisere beskyttelsen af personoplysninger i EU, og blev virkelighed i maj sidste år. Den gælder ikke kun for europæiske virksomheder, men for alle virksomheder der har europæiske kunder.
Hvad er formålet med indhentning af oplysningerne? Og hvilke slags data indhenter I?
Et af de vigtigste principper i lovgivningen, er at du kun må indhente de nødvendige data for din event. Det betyder, at du kun må indhente data, som er i overensstemmelse med dit formål. Så du kan spørge dig selv hver gang om bestemte data er nødvendige for at deltagerne kan registreres, og at I kan udføre de nødvendige services forbundet med tilmeldingen og jeres event.
Indhentning af basis-oplysninger
Indhentning af navn, titel, organisation og email er typiske data, du som eventarrangør registrerer med formålet at kunne registrere deltagernes (og udstilleres) tilmelding og at kunne sende email-bekræftelse på tilmeldingen samt nyttige beskeder vedrørende eventen.
Indhentning af data som madpræferencer
Noget så umiddelbart simpelt som at spørge deltagerne, om der er mad de ikke kan tåle eller undgår, kan måske henledes til at være en sundhedsoplysning. Prøv at undgå at spørge direkte om fx glutenallergi, men spørg i stedet lidt mere åbent, om de skulle have særlige madpræferencer, hvis du absolut skal spørge. Og lad være med at videregive informationen forbundet til navngivne personer til catering – blot videregive informationerne om 10 glutenfri sandwiches olign..
Hvor længe må I opbevare deltagernes data? Med andre ord, hvornår skal de slettes?
I må kun opbevare deltagernes data, så længe det er nødvendigt. Tager du betaling for din event, ja så skal du opbevare oplysningerne forbundet hermed i 5 år (ifølge bogføringsloven). Men er der ikke en lovgivning, der foreskriver at du skal opbevare data x antal måneder eller år, ja så skal du faktisk opbevare data så kort tid som muligt.
Tag en fornuftig beslutning, og husk nu at slette data, når tid er. En ting er at gøre sig overvejelserne og oplyse deltagerne om hvor længe I behandler og opbevare deres data, men en anden ting er at huske at få det gjort. Det er dit ansvar som dataansvarlig at data slettes, ikke din leverandør. Men måske har du et teknisk system, hvor du på forhånd kan opsætte data for sletning. Så behøver du ikke og huske på det senere….
Hvem deler I (eller videregiver I) data med – og hvorfor?
En meget vigtig detalje i din håndtering af personoplysninger er deling og videregivelse af data. Du skal gøre dig klart, om det er nødvendigt at dele og videregive data og være tydelig omkring formålet hermed. Hvis du bruger et tilmeldingssystem, er det jo klart, at du deler data med din leverandør, som er databehandler. Dette skal blot oplyses i tilmeldingsbetingelserne, samt det skal oplyses hvordan du og din databehandler behandler oplysningerne.
Men hvis du ønsker at videregive kontaktoplysninger på dine deltager (eller bare navn og firma/organisation) til 3.part, f.eks. til udstillere eller sponsorer, ja så skal du indhente aktivt samtykke (fx ved tydelig særskilt afkrydsning via tilmeldingen). Du skal huske, at du skal gøre dine deltagere opmærksom på, at de kan trække deres samtykke tilbage.
Hvordan er det nu med offentliggørelsen af deltagerliste?
Det er meget normalt, at du som eventarrangør ønsker at omdele deltagerlisten, enten digitalt eller på print. Det er jo en service overfor deltagerne, at de ved hvem andre, der deltager, tænker du nok. Vær blot opmærksom på, at selv hvis du kun offentliggøre navn og organisation (og ikke kontaktoplysninger) er det stadig personhenførbart. Nogle synes, at de godt kan publicere denne liste uden et særskilt samtykke fra deltagerne, så længe de skriver formålet med det i deres tilmeldingsbetingelser. Mens andre gerne vil have aktivt samtykke fra deltagerne, så de selv tager stilling.
Det gør de ved at have et særskilt afkrydsningsfelt i deres tilmelding. Uanset, så anbefaler jeg, at du kun gør deltagerlisten synlig for de andre deltagere – altså ikke offentlig til alle. Samt overvejer nøje, om det er en god idé at offentliggøre uden samtykke, hvis du også har udstillere (da deltagere sjældent synes det er fedt, hvis udstillere finder frem til dem og kontakter dem uden samtykke. Her kan du i stedet tilbyde udstillerne at gemme deltagernes kontaktoplysninger digitalt under selve messen ved aktivt samtykke fra deltagerne på stedet).