Corona og GDPR: Hvordan håndterer du lovligt registrering og dokumentation i en ”Corona-tid”?
Kan du huske tilbage til tiden, hvor alle arrangører (og mange andre) havde fået tudet ørene fulde med, at man altså nu skulle få styr på indsamling og behandling af persondata?
Derfor kom GDPR på alles læber
I 2018 var et massivt fokus på behandling af persondata i tiden op til at EU’s databeskyttelsesforordning (GDPR: General Data Protection Regulation) fik virkning d.25. maj, og den danske databeskyttelseslov trådte i kraft.
Det var jo altså ikke nyt, at man selvfølgelig skal indsamle og behandle data i overensstemmelse med lovgivningen på området. Men det nye var, at pludselig blev det alle mands (m/k) viden, at man som arrangør selvfølgelig skulle passe på deltagerens data. Herunder være meget bevidst om kun at indsamle de data, der er nødvendige og passer til formålet med indsamlingen. Og at man selvfølgelig ikke må videregive data til 3. part sådan bare uden videre. For ikke at tale om, at man selvfølgelig skal slette deltagernes data, når man ikke længere har brug for dem. Mon ikke der var mange arrangører, der havde data liggende i mange år? Det tror jeg …
Har du, som arrangør, NU helt styr på behandlingen af dine deltageres data?
Nu er der jo så gået lidt over to år, siden GDPR fik sin virkning. Så har du fået helt styr på det med GDPR? Hvis ikke, så er jeg sikker på, at der er mange i samme båd. Ikke sagt, at der ikke længere er fokus på det. Det er der (jo nok). Men jeg tror også – uden at fornærme nogen – at det for mange er gået lidt i glemmebogen.
Derfor tillader jeg mig at komme med et par opfriskningspunkter – inden jeg perspektiverer det med denne Coronatid. Altså, hvordan kan du både tage hensyn til databeskyttelsesreglerne og samtidig hjælpe myndighederne med opsporing, hvis det bliver nødvendigt?
Hvad skal du huske med hensyn til GDPR – sådan meget kort fortalt?
1. Først og fremmest skal du gøre dig klart, med hvilket formål du indhenter persondata
Du må KUN indhente de data, som er nødvendige for formålet. Det betyder, at når deltagerne skal registrere sig, er det jo formålsbestemt, at de registrerer sig med kontaktoplysninger som navn, firma og e-mail og evt. telefonnummer. Men er det nødvendigt at vide, hvilke interesser de har?
Måske skal du bruge denne information til din event – enten som nyttig baggrundsviden for dig som arrangør eller som del af deltagerinvolveringen. Men du skal kunne forklare deltagerne (og eventuelt forsvare), hvorfor du indsamler de data, du gør. Og hold dig for så vidt muligt fra at spørge om personfølsomme data, som f.eks. glutenallergi, religiøse eller politiske interesser. Glutenallergi er faktisk en sundhedsoplysning.
2. Brug et sikkert system til indhentning og behandling af deltagernes data
GDPR omfatter indsamling og behandling af persondata, uanset formen. Om du indhenter registreringerne manuelt eller elektronisk. Det er nok sjældent, at du ville indhente manuelle registreringer til din event, men blot for at sige, at GDPR ikke kun omfatter elektronisk behandling.
Når du så (nok) bruger et digitalt system, hvad enten det er deciderede registreringssystemer eller e-mail kommunikation, skal der naturligvis være styr på behandlingen af data. Det betyder, at du skal vælge en leverandør, som du har tillid til. En leverandør, som tilbyder et system med respekt for sikker indsamling og opbevaring af data. Oftest ses dette af databehandleraftalen mellem dig som dataansvarlig og leverandøren som databehandler. Heri står behandlingen og processerne beskrevet.
3. Opbevar kun data, så længe det giver mening! Slet dem, når tid er …
Et meget centralt budskab med hensyn til opbevaring af persondata er, at du kun må opbevare dem, så længe det er nødvendigt. Data skal altså slettes, når de ikke længere er nødvendige at gemme.
Og hvad er så nødvendigt? Det er et godt spørgsmål. Og noget, som I skal gøre jer klart fra start. Det kan være, at I sletter data efter 14 dage, 30 dage eller 90 dage. Eller måske et år? Men igen, I må kun beholde data, så længe det er nødvendigt. Og har I taget imod betalinger, og derfor har ordretranskationer, ja, så skal I jo beholde dem i 5 år.
Hvis I bruger et digitalt system, som automatisk kan slette data efter en vis periode, vil jeg anbefale jer at gøre det. For hvor mange husker at slette data efter endt event? Jeg spørger bare…Og vi har hørt om store bøder til hoteller, som har beholdt data – uden nogen god grund – alt for længe.
4. Videregiv IKKE data til 3.part, medmindre det er oplyst og nødvendigt!
Et af de vigtigste budskaber med hensyn til behandling af persondata er, at du ikke må videregive data til 3. part sådan uden videre. Medmindre det er nødvendigt for behandlingen. Eller bliver pålagt af myndighederne. ELLER hvis du oplyser dine deltagere om en frivillig videregivelse, hvor de selv skal give accept ved aktivt samtykke (ved et særskilt afkrydsningsfelt).
Dette bruges ofte, hvis du vil give dine udstillere eller sponsorer mulighed for at sende materiale til deltagerne. Så skal deltagerne kunne give aktivt samtykke. Formålet skal være tydeligt formuleret. Der må ikke være tvivl! Ønsker du at vise deltagerlisten, bør du også spørge deltagerne om aktivt samtykke til at blive vist offentligt.
Og så er der lige den med, at du kan risikere at blive pålagt at udlevere data til myndighederne. Det kan jo måske (desværre) blive nødvendigt i disse tider med sundhedsrisici i forhold til COVID-19. Men mon ikke sådan en videregivelse i dette tilfælde kan siges at være o.k.? Hvis man tænker, hvad formålet er …???
5. Husk at oplyse dine deltagere om behandling af data samt have styr på jeres datapolitik
Det er vigtigt, at du oplyser dine deltagere om, hvordan du behandler deres data. Det gør du typisk i din tilmeldingsbekræftelse. Det vil sige, at de skal aktivt acceptere at have læst betingelserne, inden de kan klikke ‘Tilmeld’. Heri skal du huske og oplyse hvem, der er dataansvarlig (dig som arrangør) og databehandler (din it-leverandør). Og du skal selvfølgelig oplyse, hvilke data I indsamler, og om de bliver videregivet og hvorfor – i hvilke situationer. I skal også oplyse om deres rettigheder til indsigt, samt oplyse kontaktinformationer til jer som arrangør og til Datatilsynet.
Arrangørens dilemma i en Corona-tid: Deltagerregistrering – hvad må du?
I lyset af Corona, hvor der selvfølgelig er stor fokus på faren for smittespredning, er der kommet fokus på smitteopsporing. Og ja, der er jo en smittesporingsapp. Det er efter min mening et fint redskab til, at man som privatperson registrerer sig og melder ind, hvis man er syg. Det betyder jo, at dem, der vel at mærke bruger app’en, kan blive testet. Men den er lige som lagt ud i folks private hænder. Og det er desværre langt fra alle, der bruger den.
Så hvad gør du som arrangør?
Forestil dig en masse konferencedeltagere, hvor en person (eller flere), der har deltaget til din konference, konstateres smittet. Hvordan kan du som arrangør sikre dig, at du kan hjælpe myndighederne med smitteopsporing – i tilfælde af, at du blev kontaktet herom?
Du kan registrere dine deltageres ankomst og afgang
Som jeg har skrevet i mit tidligere blogindlæg ‘Social distance ved fysiske konferencer – sådan gør du’ er en af metoderne til at registrere deltagernes ankomst og afgang til din konference (eller messe) at scanne deltagerne via en app. Det kan være en funktion, som er en naturlig del af en konference app med program og praktisk information med videre. Eller app’en kan bruges alene til denne funktion. Sådan en app er kædet sammen med tilmeldingssystemet, hvorigennem deltagerne tilmeldte sig. Når deltageren så scannes ved ankomst, kan du se på dine data, at ”Pernille” er ankommet. Og hvis du også scanner Pernille ud igen, vil du kunne se, i hvilket tidsrum hun har været der.
Men overvej selvfølgelig, om det er nødvendigt at registrere deltagernes ankomst og afgang. Hvis du holder et mindre kursus, så er det måske o.k. at kontakte de 25, der var tilmeldt. Men hvis du holder større events, kan det give god mening at få lidt mere styr på deltagernes ankomst og afgang.
Hvilket dilemma kan registrering af deltagerne stille dig i?
Jo, altså nogle af dine deltagere ville måske ikke synes, at det er så fedt IGEN at blive scannet ind og ud af din event. De ville måske føle sig unødigt overvåget. Mens andre synes, at det er helt fint, da formålet jo må være at hjælpe dem og andre.
Det vigtige er, at du som arrangør gør det helt klart over for deltagerne, hvorfor du registrerer ankomst og afgang. Og gør du det via en event app, ja, så overvåger du dem jo ikke med hensyn til deres færden rundt i området. Du får blot nødvendig viden om, hvornår,de har deltaget på din event.
Og så må du selvfølgelig ikke misbruge data. Du må kun udlevere data til COVID-19 sporing, hvis det bliver pålagt af myndighederne.
Men skal registreringen ved ankomst og afgang være frivillig?
Et spørgsmål, der nok presser sig på, er om registreringen af deltagerne skal være frivilligt? Hånden på hjerte, jeg mener personligt godt, at du kan forsvare at registrere dine deltager som minimum ved ankomst uden at skulle bede om samtykke til det. Så længe du har informeret dem om det og om formålet, og at du kun videregiver data til myndighederne, hvis du bliver pålagt dette. Men andre vil måske mene, at det skal være frivilligt …
Disclaimer! Jeannette Eis er ikke juridisk konsulent. Er du i tvivl om hvordan, du skal behandle personoplysninger, skal du spørge rette profession til råds.
