Når du som arrangør samler inn personopplysninger fra deltakerne dine, f.eks. via et påmeldingssystem, innebærer det at du betror personopplysninger til leverandøren av systemet. Dermed har du et ansvar for at leverandøren følger GDPR-regelverket.
Ulike systemleverandører har ulik grad av modenhet rundt GDPR og datasikkerhet. Du må velge en leverandør som kan dokumentere at de behandler deltakerdata i samsvar med regelverket.
Dette betyr at du må få svar på følgende:
For å få svar på dette er det fem avgjørende spørsmål du bør stille leverandøren av påmeldingssystemet du bruker eller har tenkt å kjøpe.
En virksomhet som bruker skytjenester eller nettbaserte tjenester som behandler personopplysninger, må ha en databehandleravtale.
En slik avtale regulerer hvem som eier dataene (du som bruker av f.eks. et påmeldingssystem), og hvem som samler inn og behandler disse dataene (leverandøren av systemet). Databehandleravtalen regulerer dessuten hva leverandøren kan gjøre med personopplysningene.
Det er viktig å skille mellom vanlige personopplysninger og sensitiv informasjon. Kravene er enda strengere dersom informasjonen man samler inn, er sensitiv. Dette skal også komme frem i en databehandleravtale.
Spør leverandøren om a) hva slags sikkerhetstiltak de har på plass for å beskytte data mot tap, misbruk og uautorisert bruk, og b) hvor dataene ligger lagret.
Spør leverandøren om hvilke prosedyrer de har for å melde fra dersom regler blir brutt eller data kommer på avveie.
Registrering av personopplysninger krever samtykke fra den som registreres, eller at man har et rettslig grunnlag for å gjøre det.
Du må få avklart med systemleverandøren hva slags løsninger de har laget for enkelt å innhente de samtykker du som bruker må få fra dine deltakere, både for lagring av persondata og for kommunikasjon til disse.
Hvis dataene som samles inn kun skal benyttes for å håndtere deltakeren på dette ene arrangementet (levere tjenesten som deltakeren aktivt har bestilt) og ikke benyttes videre, og det er enkel informasjon som navn/e-post som skal registreres, kan det være nok med et ekstra informasjonsfelt på registreringsskjemaet: ‘Ved å registrere deg samtykker du samtidig til …’
Ønsker du derimot å benytte innsamlet data til noe mer senere (sende ut nyhetsbrev, invitere til andre arrangementer, etc.), må du be om særskilt samtykke til dette.
Du bør også la deltaker selv bestemme om de ønsker å få navnet sitt publisert på offentlige deltakerlister eller ikke.
Deltakere som får sine personopplysninger registrert, har også rett til å bli slettet når forutsetningen for registreringen ikke lenger er til stede. I GDPR omtales det som «retten til å bli glemt».
Dersom en deltaker ber deg om å slette all informasjonen dere har om ham/henne – er det da mulig for deg som bruker å spore opp dataene?
Det er dessuten viktig å bevare historikk om tidligere arrangementer, f.eks. antall deltakere totalt, antall på ulike aktiviteter, antall rom, etc. Hvilke grep har systemleverandøren tatt for å gi mulighet for å «anonymisere» en deltaker (fjerne navn og personlig data) uten å måtte slette deltakerinformasjon?
Med GDPR er du som arrangementsplanlegger og arrangør ansvarlig for å sikre deltakerinformasjonen du behandler i forbindelse med dine arrangementer.
Når du skal velge et påmeldingssystem må derfor datasikkerhet komme høyt på prioriteringslisten. Du må forsikre deg om at leverandøren av systemet samler inn og behandler data i samsvar med regelverket.
Et GDPR-kompatibelt påmeldingssystem må ha en rekke funksjoner som gjør det enkelt for deg å følge regelverket.