Hva er GDPR?

I 2018 (i sommer ligger det an til nå, men vi får se) vedtas EUs personvernreform som lov i Norge noe som har vesentlig påvirkning på alle som behandler personopplysninger. Den nye personvernloven (også omtalt som GDPR) gir flere plikter for alle som behandler personopplysninger og flere rettigheter for enkeltpersoner. For alle som driver med arrangementer blir dette spesielt viktig siden det å behandle persondata er kjernen av mye av driften rundt det å registrere deltagere, administrere frivillige, registrere gjester osv. 

arkon har alltid tatt personvern og sikkerhet på alvor og har som mål å være best i klassen på å tilby gode løsninger for personvern slik at dere som arrangører kan oppfylle disse kravene på en så enkel, fleksibel og sikker måte som mulig.

Vi skal hjelpe dere til å være best i klassen på personvern!

Under følger en liten gjennomgang av noen nøkkelbegreper innenfor GDPR og litt mer om arkons rolle. 

Behandlingsansvarlig og databehandler

Behandlingsansvarlig er den som bestemmer formålet med behandlingen av personopplysningene og er dermed den som er juridisk ansvarlig for at man samler inn og håndterer disse dataene på en riktig måte. Behandlingsansvarlig er som oftest et selskap, og i tilfellet et arrangement, festival eller lignende så er behandlingsansvarlig det selskapet (registrert i Brønnøysund) som står bak arrangementet.

Databehandler er et selskap som prosesserer og lagrer data på vegne av den behandlingsansvarlige. Når du bruker arkon for å gjennomføre ditt arrangement så er selskapet Arkon Event DA din databehandler. (Men husk at du sannsynligvis har mange databehandlere, alle selskaper du har avtale med som du utveksler noe personinformasjon med er i prinsippet en databehandler.) Databehandleren sitt ansvar er hovedsakelig å sørge for informasjonssikkerheten, men får også noen flere krav ifm. GDPR. (Les mer hos Datatilsynet). Det er viktig at du har en databehandleravtale med alle dine databehandlere, arkon vil komme med en standard databehandleravtale til alle sine kunder som vi sender ut for signering til alle kunder som har aktive arrangementer hos oss.

Brudd på GDPR 

En av de store forskjellen med den nye loven, er at GDPR har potensielt meget store bøter for organisasjoner som bryter loven. Loven sier at man kan gi bøter opp til 4% av selskapets omsetning, noe som er vesentlig mer enn det som ligger i dagens lovverk. 

En persons rettigheter under GDPR

Her er det mye å nevne, men i forbindelse med arrangementer er det spesielt to som er ekstra verdt å tenke på og som krever en del av ditt arrangementssystem:

•  Retten til å bli glemt er viktig. Dvs. at alle har rett til å kreve sletting av sin personinformasjon når formålet med behandlingen er over (eksempelvis når et arrangement er avsluttet).
  • Man kan ha samtykket til at informasjonen skal kunne lagres lenger, men da må man samtykket til spesifikke formål, samt at man skulle kunne trekke samtykket tilbake når som helst (og dermed bli slettet).
• Retten til dataportabilitet innebærer at personen kan kreve en eksport av alle data en virksomhet har registrert om seg. 

Datatilsynet har en lengre artikkel om dette også.

Hva gjør jeg som arrangør?

Dere som arrangører får vesentlig mer ansvar og krav som følger av GDPR, samtidig så er dette en klar styrke for personvernet som vi ønsker velkommen. Arkon jobber med å utvikle løsninger som skal gjøre det så enkelt som mulig for deg å gjennomføre arrangementet ditt og fortsatt være i tråd med loven. Men, selv om vi lager systemer som gir deg muligheten så er det fortsatt en del ting dere må ha klart. Spesielt vil vi nevne to områder:

• Personvernerklæring dere må ha en personvernerklæring som gir god og enkel informasjon om hvem som samler inn data, hva formålet med innsamlingen er og hva er behandlingsgrunnlaget. (Les mer på Datatilsynet sine sider)
• Lagring av data: Hvor lenge har dere lov til å lagre dataene dere samler inn og etablere rutiner for å slette det som dere ikke trenger etter endt arrangement.
• Trenger jeg samtykke? Dette er en del av behandlingsgrunnlaget og samtykker må planlegges når man lager registreringsskjema og lignende. Du trenger typisk samtykke for å behandle informasjon utover det som er strengt tatt nødvendig for å gjennomføre et arrangement. Eksempelvis hvis du ønsker å lagre kontaktinformasjon etter arrangementer er over for å sende e-post/SMS i etterkant.

Altså, det er en del å tenke igjennom for dere som arrangører og vi i arkon er gjerne med på å diskutere problemstillinger. Men, det er viktig å merke seg at arkon ikke kan gi juridiske råd ifm. GDPR, så er man på usikker grunn så bruk interesseorganisasjoner og/eller advokater.

MEN, det arkon skal gjøre er å lage systemer som gir deg minst mulig administrasjon for å kunne gjøre dette riktig. Hvilken funksjonalitet vi bygger for dette kan du lese mer om her.