Slik behandler du personopplysinger til ditt arrangement

Usikker på hva GDPR legger av føringer når du lager deltagerlister? Vi tok en prat med advokat Christine Stousland hos advokatfirmaet Bull & Co. For sikkerhets skyld.


Skrevet av Amund Hestsveen

«Reklame? Nei, takk!» Hvem husker vel ikke disse klistremerkene på postkassen? Ønsket man ikke oversvømmelse av reklame for alt mulig, måtte man selv si fra. Tydelig. Det var forbrukerens ansvar.

I dag har dette ansvaret blitt løftet av våre skuldre, og plassert hos den som ønsker å formidle noe til oss. De må be om lov. For den digitale generasjonen er dette helt logisk.

Prinsippet

GDPR (General Data Protection Regulation) er EUs lov om hvordan bedrifter skal håndtere og lagre personopplysninger. Norge forplikter seg til å følge GDPR gjennom EØS-avtalen og personopplysningsloven.
Et av hovedprinsippene er at behandlingen må være lovlig, rettferdig og åpen. Dette innebærer at enhver som behandler personopplysninger må ha et lovlig grunnlag på plass før behandlingen skjer, sier Christine Stousland, advokat hos advokatfirmaet Bull & Co og medlem av personvernfabrikken.no.

Hun beskjeftiger seg særlig med saker som berører personvern og markedsføring.

Behandlingsgrunnlaget kan være et samtykke, men det finnes også andre alternative behandlingsgrunnlag som for eksempel at behandlingen er nødvendig for å oppfylle en avtale, oppfylle rettslige forpliktelser eller at behandlingen er nødvendig for å ivareta en berettiget interesse som veier tyngre enn hensynet til den enkeltes personvern.

Hver enkelt av oss kan blant annet kreve innsyn i hva andre har lagret av personopplysninger om oss, be om at uriktige opplysninger korrigeres eller slettes. 

Hvis du utøver dine rettigheter etter GDPR så har du krav på et svar uten ugrunnet opphold, og senest innen én måned, sier Stousland.

Kan du beholde påmeldingslisten?

Ok, så du skal arrangere en stor konferanse og trenger selvsagt navn og kanskje opplysninger om bedriften de representerer.

Du gjør dette for å sende ut billetter og nødvendig informasjon om konferansen. Trenger du å innhente samtykke for å gjøre dette?

- Nei. Veldig mange tror det må innhentes samtykke for alt. Det stemmer ikke. I det eksempelet du nevner vil henvendelsen være informasjon om konferansen deltakeren allerede har meldt seg på og derfor ikke markedsføring.

Siden henvendelsen ikke gjelder markedsføring vil ikke markedsføringslovgivningens hovedregel om samtykke komme til anvendelse.


Det behandles likevel personopplysninger for å sende billetten og den nødvendige informasjonen til rette vedkommende. Denne behandlingen må ha behandlingsgrunnlag etter GDPR. I dette tilfellet vil behandlingen av personopplysninger være nødvendig for å oppfylle en avtale som mottakeren er part i, sier Stousland. Og nettopp her finner vi det første behovet for opprydningen i begreper og lovverk:

- Vi må både ta stilling til om henvendelsen er markedsføring og trenger et kommunikasjonsgrunnlag etter markedsføringsloven og hva som er behandlingsgrunnlaget etter GDPR, sier Stousland.

For nå begynner utfordringene. Kan du beholde listen? I etterkant vil du kanskje sende ut epost der du takker for sist og minner om neste års event. Er det lov? Kan du bruke påmeldingslisten din til dette? Må du slette den?

Foranledningen

For vår foreldregenerasjon var ikke reklamefremstøt et stort problem. Man risikerte til og med et stempel som grinebiter hvis man klistret et «NEI TAKK!» på postkassen.
Er det virkelig så farlig om andre har adressen vår?

- 
Det er en misforstått greie at behandling av personopplysninger som navn og epost er så nøye siden dette ikke er sensitive opplysninger. Dersom personopplysningene deles uten samtykke eller annet gyldig behandlingsgrunnlag og brukes av andre, kan det oppleves som en invasjon av eget privatliv.
Du kan for eksempel ikke videresende lister eller overføre dem til andre samarbeidspartnere for deres markedsføring eller annonsenettverk som Facebook uten at de som står oppført på listen har samtykket til dette.


- Ønsker du å bruke epost, telefonnummer eller adresse du har mottatt gjennom en brukerundersøkelse til markedsføring, må de registrerte samtykke dersom de samme personopplysningene skal brukes til et annet formål enn det personopplysningene opprinnelig ble innhentet for.
Ber man om sensitive opplysninger, vil det normalt kreves samtykke.
Loven krever at du opplyser tydelig om hva du ber om samtykke til. Fra punkt til punkt.

Hva med matallergi?

Sensitive opplysninger du bør innhente samtykke til er blant annet «en persons rasemessige eller etniske bakgrunn, politiske oppfatning, religion, filosofiske overbevisning eller medlemskap i fagforening». Også helseforhold, som allergier, sykefravær, legebesøk og graviditet, og seksuelle forhold og orientering vil være sensitive opplysninger.

Behandling av sensitive personopplysninger krever et ekstra behandlingsgrunnlag etter GDPR art.9 I konferansesammenheng vil behandling av sensitive personopplysninger typisk kreve samtykke.


Selv om det å ivareta deltagerens helse eller religiøse overbevisning når man melder seg på til en middag, kan anses et aktverdig formål, stilles det krav til at opplysninger om matallergier eller preferanse på f.eks. halal-kjøtt kreve et samtykke fra den det gjelder.

Nice to know?

-Du må som sagt tenke over hvilke personopplysninger du faktisk trenger å behandle. Hva er relevant for påmeldingen? Ta en konkret vurdering.Forordningen krever at du må ha et legitimt formål.

- En fin huskeregel er at man kun skal behandle personopplysninger på en «need to know, ikke nice to know»-basis, sier Christine Stousland.
Det er nemlig bare lov til å innhente og behandle personopplysninger dersom det er nødvendig for å oppfylle formålet personopplysningene er innhentet for. Det vil typisk være nødvendig å vite navnet på dem som har meldt seg på og hvilke selskaper de representerer.

Men hvis du som arrangør ønsker å formidle til andre potensielle deltakere hvilke selskaper som foreløpig har meldt sin deltakelse, er det kanskje ikke nødvendig å dele hele deltakerlisten med fullt navn på alle deltakerne?

- Arrangøren trenger mest sannsynlig heller ikke å vite hva slags religion eller livssyn deltakerne har, sivilstatus, antall barn eller hobby, selv om det sikkert er mulig å se for seg tilfeller hvor denne informasjonen ville være fint å ha. Det er viktig at man finner ut nøyaktig hva man trenger av informasjon før man går ut og ber om påmelding.

- Vær bevisst

- Når Datatilsynet kommer, vil de blant annet vite at du har orden og oversikt over de personopplysninger du behandler.

Det er derfor viktig å ha et bevisst forhold til hva slags opplysninger du har samlet på – og til hvilket formål, minner hun om.
Man kan tenke seg at det å sende ut epost i etterkant der du takker for konferansen og gir avsluttende informasjon, som powerpoint-presentasjoner fra foredragene m.m. vil være en del av tjenesten man leverer til deltakerne av konferansen.

- Henvendelsen vil da ikke anses som markedsføring som krever samtykke etter markedsføringslovgivningen, men oppfylle krevet til behandlingsgrunnlaget «nødvendig for å oppfylle en avtale som mottakeren er part i, sier hun.
Dersom den etterfølgende e-posten i realiteten og etter en konkret innebærer markedsføring, så vil det imidlertid stilles krav til samtykke etter markedsføringsloven.

Informert samtykke

Dersom du ønsker å benytte deg av samtykke for behandlingsgrunnlag må dette være:

  • Frivillig, spesifikt og utvetydig- det vil ikke være mulig å bake inn flere samtykker i ett.
  • Informert
  • Gitt gjennom en aktiv handling
  • Dokumenterbart
  • Mulig å trekke tilbake like lett som det ble gitt uten negative konsekvenser for den registrerte.

Sveitserosten

Når det gjelder sikkerhet for hvilke data og informasjon man håndterer til enhver tid, forklarer advokaten at man må ha en beredskapsplan hvis noe går galt.
- Godt håndtert personvern er tillitsskapende. Er man ryddig, får man økt tillit, i stedet for bøter og erstatningskrav. Og et ødelagt rykte.
Hun foreslår å bedrive risikobegrensning gjennom å ha flere lag med enkelttiltak for å hindre at det oppstår utilsiktede brudd på loven.

- Jeg kaller det sveitserostprinsippet. En skive sveitserost har alltid noen huller i seg på samme måte som at ingen enkelttiltak kan begrense all risiko. Dersom du legger flere skiver med sveitserost i lag på lag, øker det imidlertid sjansene for at minst mulig personvernfarer trenger gjennom virksomhetens sikkerhetstiltak.

Hvor starter man?

- Før du starter behandlingen av personopplysninger bør du ha klart for deg svaret på tre overordnede spørsmål, forklarer Stousland:

  1. Hva er formålet med innhentingen av personopplysningene?
  2. Hvilke personopplysninger trenger du faktisk å behandle for å oppnå formålet?
  3. Hvordan overholde informasjonsplikten ovenfor den personopplysningene omhandler best mulig?

Er du klar for å få vite mer om et påmeldingssystem på nett hvor du får full kontroll? 

Opprett en gratis konto for å se selv.

Opprett gratis arrangørkonto