Har du styr på lovgivningen, når du behandler personoplysninger?
Oprindeligt udgivet af Nick Ilsø og Jeannette Eis den 13. maj i Møde & Eventmagasinet: NR.2/MAJ 2019/11. ÅRGANG/KURSUSLEX
Den 25. maj er det et år siden, at EU’s databeskyttelsesforordning (GDPR) fik virkning, og databeskyttelsesloven trådte i kraft. Dog synes der stadig at være en del usikkerhed om behandling af personoplysninger i forbindelse med afholdelse af møder og events.
Af Jeannette Eis, partner hos softwarefirmaet SortKaffe og Nick Ilsø, seniorkonsulent hos Integra Advokater
Som eventarrangør har du mange bolde i luften på én gang. Reglerne for behandling af personoplysninger er en af dem. Det er nok bare ikke det, der ligger lige for i en travl hverdag. Men risikoen ved at lade stå til er stor. Ikke nok med, at I kan få store bøder, men den dårlige omtale, der følger med ved ikke at have styr på reglerne for behandling af personoplysninger, kan være af større skade.
GDPR - General Data Protection Regulation - omhandler behandling af alle typer af personoplysninger (almindelige og følsomme), som kan henføres til en fysisk person. Ikke kun direkte, men også indirekte. Derudover er der fortrolige oplysninger, som ikke nævnes udtrykkeligt i Databeskyttelsesforordningen.
Dataansvarlig eller databehandler?
Først og fremmest er det vigtigt, at du ved, om I er dataansvarlig eller databehandler – og her er der to scenarier, du sikkert kan nikke genkendende til:
- I arrangerer selv jeres konferencer og events. Som arrangør er I den dataansvarlige, hvis det er jer, der direkte arrangerer eventen. Som dataansvarlig har I ofte en eller flere IT-leverandører, der leverer platforme (tilmeldingssite, eventapp mv.) og derfor behandler personoplysninger på vegne af jer. Disse IT-leverandører er jeres databehandlere, men IT-leverandørerne har typisk en eller flere underdatabehandlere, f.eks. et hosting-center. Det betyder, at IT-leverandører skal indgå (under)databehandleraftaler med deres databehandlere med mindst de samme databeskyttelsesforpligtelser som dem, der er fastsat i databehandleraftalen mellem jer (som dataansvarlig) og IT-leverandøren.
- I arrangerer events på vegne af jeres kunder. Hvis du sidder i et eventbureau el.lign., hvor I arrangerer eventen på vegne af jeres kunde, så behandler I højst sandsynlig deltagernes personoplysninger på vegne af jeres kunde. Det kan f.eks. være, hvis I indhenter og administrerer tilmeldinger. Her er I databehandler og skal derfor huske at indgå en databehandleraftale med jeres kunde. Varetager I indhentningen af tilmeldinger via en IT-leverandør i et IT-system, hvor I har den direkte kontrakt og aftale, så er denne IT-leverandør underdatabehandler. Det betyder, at I direkte skal indgå en (under)databehandleraftale med dem.
I praksis er det databehandleren, der er den mest naturlige leverandør af databehandleraftalen. Det er denne, der kender, og dermed bedst kan beskrive, de tekniske og organisatoriske sikkerhedsforanstaltninger i forbindelse med behandling af personoplysningerne. Derudover er det også databehandleren, der ved, på hvilke vilkår en eventuel underdatabehandleraftale er indgået. Som dataansvarlig skal I naturligvis sikre jer, at databehandleraftalen medtager alle de nødvendige forhold samt, at databehandleren har implementeret sikkerhedsforanstaltninger, der er passende for jeres behandling af personoplysninger.
Det centrale i Databeskyttelsesforordningen
Der er nogle centrale ting og aktiviteter, I skal have for øje, når I som dataansvarlig behandler personoplysninger i forbindelse med jeres konference, kursus, messe eller anden event.
I skal have styr på jeres ansvar som dataansvarlig og vide, hvem der er jeres databehandler(e). I skal klarlægge formålet med behandling af personoplysninger, da I kun må behandle personoplysninger, som er nødvendige af hensyn til formålet. Disse personoplysninger må kun behandles til andre formål, hvis behandlingen er forenelig med de formål, som personoplysningerne oprindeligt blev indsamlet til.
I skal huske at slette personoplysningerne, når det ikke længere tjener formålet at opbevare dem. Beror jeres behandling på et samtykke, skal I slette personoplysningerne, hvis deltageren/den registrerede efterfølgende trækker samtykket tilbage. I skal kende reglerne for videregivelse af personoplysninger til tredjepart mv.
Før, under og efter
En måde at komme i gang på med at få styr på behandlingen af personoplysninger er at opsætte en slags tjekliste, som I skal igennem med hensyn til GDPR – lige fra planlægningsfasen til afsluttet event. Gennemgå jeres behov og jeres arbejdsprocesser, klarlæg jeres datastrømme og undersøg derfra, hvad loven foreskriver om f.eks.:
Før eventen:
Markedsføring: Ønsker vi at sende invitationer ud via deltagerlister fra tidligere events? Og/eller via nyhedsbrev-listen?
- Tilmeldinger: Hvilke personoplysninger må vi indhente lovligt, så de kun tjener formålet?
- Deling af deltagerlister: Må vi videresende og/eller offentliggøre deltagerlisterne?
- Deltagernes samtykke: Hvad skal tilmeldingsbetingelserne som minimum indeholde, for at vores deltagere er ordentligt oplyst om formålet med dataindsamlingen?
Under eventen:
Ønsker vi at afholde konkurrencer? Hvad er reglerne herfor?
- Registrering af færden: Må vi registrere deltagernes færden i udstillingsområdet, f.eks. ved hjælp af iBeacons?
- Må vi tage billeder af deltagerne – skal vi have deres tilladelse?
- Madønsker: Må vi registrere navne i forbindelse med specielle ønsker om f.eks. glutenfri mad?
Efter eventen:
Opbevaring/sletning af personoplysninger: Hvor længe må vi beholde oplysningerne? Hvad er nødvendigt?
- Fotos: Må vi offentliggøre billeder fra eventen – stemningsbilleder såvel som profilbilleder?
Om skribenterne
Jeannette Eis er partner i softwarefirmaet SortKaffe, som står bag eventplatformen ConferenceCommunicator. SortKaffe går højt op i at samarbejde med sine kunder om korrekt behandling af deres deltageres personoplysninger, både med hensyn til udformning af den tekniske platform og i sparringen med dem.
Nick Ilsø er seniorkonsulent i advokatfirmaet Integra Advokater, der er specialiseret i mange aspekter af IT, og et af hans primære arbejdsområder er persondataret, både set fra den dataansvarliges og databehandlerens perspektiv.