Arrangementer medfører gjerne at store mengder deltakerdata blir samlet inn – via påmeldingssystemer/-skjemaer, apper, spørreskjemaer, evalueringer, osv. De fleste arrangører ønsker ikke å lagre og behandle deltakerdata lenger enn nødvendig.
Hva med din bedrift? Har dere kontroll på hvilken deltakerinformasjon dere har liggende i databaser og systemer fra tidligere arrangementer?
Dette kan være alt fra e-postlister til utsendelse av invitasjoner, oppsamlede deltakerdata fra tidligere avholdte arrangementer, svar på evalueringer, samt opplysninger om foredragsholdere, utstillere og sponsorer.
Spørsmål du bør stille deg selv:
La oss se nærmere på disse spørsmålene.
Svaret på når du bør slette deltakerdata fra ditt forrige arrangement, avhenger av hvilken informasjon du har samlet inn, og hva deltakerne har samtykket til.
Det er viktig å skille mellom vanlige personopplysninger og sensitiv informasjon. Kravene er enda strengere dersom informasjonen man samler inn, er sensitiv.
Dette skal også fremkomme i en databehandleravtale (se neste punkt).
Informasjonen må ikke benyttes til annet enn det deltakeren har samtykket til.
Bruker dere et påmeldingssystem som samler inn data på vegne av dere, har dere helt sikkert signert en databehandleravtale. Denne regulerer hva databehandleren (f.eks. leverandøren av påmeldingssystemet) kan gjøre med personopplysningene.
Informasjonen kan ikke under noen omstendighet lagres lenger enn det som er definert i en slik avtale. Ofte er det definert at informasjon skal slettes etter ett, tre eller fem år.
Etter at arrangementet er avholdt, bør dere slette informasjon som ikke er relevant å lagre. Dette kan være informasjon om matallergier, romdeling ved overnatting, etc.
Samtidig kan det være viktig for deg som arrangør å beholde oversikt både over hvem som deltok sist, tilbakemeldinger på evalueringer, og antall på ulike aktiviteter.
Du må gjøre en vurdering om hva som er relevant og nødvendig å spare på.
Historikk må ofte lagres lenger ved kurs- og medlemsadministrasjon enn ved påmelding til “tilfeldige” arrangementer.
Forutsetningen er at det kommer klart frem i samtykker at informasjonen lagres, og hva den brukes til (og at den ikke brukes til noe annet). Dette kan henge sammen med sertifikater og annen form for kompetansebevis.
Dersom dere fakturerer deltakere, er det lovpålagt å lagre fakturainformasjonen i minst fem år. Denne loven går foran loven om GDPR og retten til å bli glemt (se neste punkt).
Hvis det derimot ikke finnes betaling på arrangementet, er fem år unødvendig lenge å lagre informasjon om deltakere.
Les også:Arrangementsdeltakere og samtykke – slik gjør du det riktig
Husk at GDPR har gitt enkeltindivider større bestemmelsesrett over sine egne data og økt kontroll med hvem som vet hva. Dersom en deltaker tar kontakt og ber om å få vite hva slags informasjon som er lagret om ham eller henne, og ønsker at det skal slettes, så må dette være mulig.
GDPR krever at dere svarer innen 30 dager, med mindre «særlige forhold» gjør det umulig. I så fall må dere begrunne forsinkelsen.
Er leverandøren av systemet dere bruker til håndtering og påmelding av deltakere, behjelpelig med å spore opp og slette dataene? Hva med de samme dataene som er registrert i CRM-systemet dere bruker?
Et godt påmeldingssystem gjør det mulig å anonymisere deltakere og slette svar som ikke er relevante å spare på, uten at historikken blir borte.
I utgangspunktet bør dere slette deltakerdata etter at et arrangement er over. Alternativt kan dere anonymisere deltakere. Det vil si at deltakerinformasjonen (antallet) ikke blir slettet, men at navn og personlig data blir fjernet (dersom deltaker ønsker det).
På den måten vil statistikk og nyttig informasjon til senere arrangementer fortsatt være tilgjengelig.
De fleste seriøse leverandører av påmeldingssystem har gode rutiner for sletting av deltakerdata. Som nevnt lenger opp reguleres det gjerne i databehandleravtalen når data skal slettes. Deltakerdata kan ikke lagres lenger enn det som er definert i en slik avtale.
I tillegg har de beste leverandørene også muligheter til å “anonymisere” personlig informasjon. Det vil si at deltakeren ikke kan gjenkjennes, men statistikken består. Dette kan være en fin måte å bevare historikk og annen relevant informasjon på, uten å lagre persondata unødvendig lenge.
Les mer: Bruker du et påmeldingssystem? Spør leverandøren om hvordan de etterlever GDPR
En annen ting som er viktig å huske på, er hvilken type informasjon dere samler inn.
Dersom man har matservering, registrerer gjerne deltaker informasjon om mathensyn. Dette er en helseopplysning, og slik informasjon skal ikke lagres unødvendig eller komme på avveie.
De aller beste påmeldingssystemene har funksjoner som gjør at man kan velge å slette enkelte svar med én gang arrangementet er over. Informasjon om mathensyn er eksempel på et slikt svar.
Når deltakerdata fra ditt forrige arrangement bør slettes, beror hovedsakelig på tre faktorer:
Dersom deltakere faktureres, er du i henhold til norsk lov pålagt å lagre informasjonen i minst fem år.
En god tommelfingerregel: Ikke spør om mer enn du trenger å få svar på for å håndtere deltakelsen på en god måte.
Bruker du et godt påmeldingssystem, er det mulig for deg å anonymisere deltakere og slette svar som ikke er relevante å spare på, uten at historikken blir borte.