Deltager.no er blitt LetsReg- Norges ledende påmelding og betalingsløsning

GDPR

Sist oppdatert: 05.06.2018

Hva er GDPR?

GDPR (General Data Protection Regulation) er EUs nye forordning for personvern og innebærer blant annet strengere tiltak for måten man behandler og bruker personopplysninger, i tillegg til å gi økte rettigheter for borgere som bor i EU og EØS-området. Det betyr at så lenge du samler inn personopplysninger fra EU- og EØS-borgere, vil du måtte du forholde deg til GDPR.

Årsaken til det nye lovverket skyldes utviklingen av datainnsamling og at dagens regelverk (EU-direktiv fra 1995) ikke gjenspeiler hvordan bedrifter og organisasjoner ivaretar de enorme datamengdene som samles inn via digitaliserte løsninger.

Vi må allikevel huske på at man i Norge, og Norden generelt, har i lang tid hatt sterke rettigheter rundt vårt personvern – men da det er store ulikheter mellom de ulike landene i resten av Europa vil de nye direktivene tre i kraft unisont i hele EU og EØS-området.

Siste nytt om GDPR

I Norge skulle GDPR tredd i kraft 25. mai 2018 men det har allerede vært utsettelser fordi Stortinget har måtte behandle den nye personopplysningsloven (EUs personvernforordning GDPR) og den må bli en formell del av EØS-avtalen.

22. mai vedtok Stortinget den nye personopplysningsloven, men i følge Rett24 vil EØS-komiteen først behandle regelverket i starten av juli. Deretter tar det 30 dager før  Liechensteins konstitusjonelle forbehold kan heves og forordningen innlemmes i EØS-avtalen.

I praksis betyr dette at GDPR tidligst kunne tre i kraft 1. august 2018.

Denne siden vil bli oppdatert fortløpende og du kan se når den sist ble oppdatert øverst på denne siden.

Hvordan og hvorfor berører GDPR meg som arrangør?

Tommelfingerregelen er at så lenge du som arrangør samler inn personopplysninger om EU- og / eller EØS-borgere er du pliktig til å følge GDPR. Ved bruk av en tredjepart (slik som påmeldingssystemet til Deltager.no) for å samle inn persondata vil vi som leverandør være Databehandleren og du som arrangør være Behandlingsansvarlig.

Behandlingsansvarlig- den som bestemmer formålet med behandlingen av personopplysningene og hvilke hjelpemidler som skal brukes. Den behandlingsansvarlig behøver nødvendigvis ikke være en fysisk person, men kan også være en bedrift eller annen juridisk person

Databehandler - den som behandler personopplysninger på vegne av den behandlingsansvarlige. Det kan ofte være en tredjepart, slik som et påmeldingssystem, som bistår med innsamling av personopplysninger. Databehandleren kan ikke behandle personopplysninger på annen måte enn hva som er skriftlig avtalt med den behandlingsansvarlige

Jfr. §2 i Personopplysningsloven

Ved påmelding og betaling til et arrangement kan innsamling av personopplysninger bety store mengder persondata, da det kan samles inn via påmeldingsskjemaer, apper, evalueringsskjemaer, invitasjoner, meldinger (SMS / e-post) m.fl. Det er derfor viktig at du som arrangør, og de som skal behandle personopplysninger på dine vegne, har god kontroll på hvilke personopplysninger som samles inn og hvorfor.

På et generelt grunnlag, vil det aldri være anbefalt å samle inn mer persondata enn hva som er absolutt minimum for å kunne melde seg på dine arrangementer, samtidig som at du må tilrettelegge for at dine deltagere kan gi- og trekke eventuelle samtykke for å bruke persondata (dette kan for eksempel være til egne nyhetsbrev).

Vi skal gi dere en kort oppsummering på hva som er viktig å passe på ift. GDPR, men husk å hold deg oppdatert om personvernregler, bl.a. via Datatilsynet sine hjemmesider:

  • Informasjonsplikten skjerpes - man må gi god og forståelig beskrivelse av hva det innebærer for eierne av opplysningene å gi de fra seg. Dette kan f.eks. fremkomme i egen personvernerklæring
  • Risikovurdering – man må ha god oversikt over hvilken risiko man utsetter personer i eget registre for og konsekvenser for personvernet dersom opplysninger kommer på avveie
  • Innebygd personvern – et prinsipp om at et teknisk system eller en løsning blir utviklet slik at personvernet blir ivaretatt. I korte trekk betyr det at man ivaretar og behandler personopplysninger i selve løsningen
  • Krav til personvernombud – alle offentlige virksomheter må ha eget personvernombud i tillegg til bedrifter som behandler personopplysninger som en del av kjernevirksomheten.
  • Berører virksomheter utenfor EU – dvs. at alle som samler inn eller bruker personopplysninger om borgere av EU / EØS området omfattes av forordningen
  • Avtaler og regler for de som behandler data for din virksomhet – dette er databehandlere og den virksomhet / bedrift som behandler opplysninger på vegne av deg. Det stilles krav og rutiner for hvordan de innsamler personopplysninger og avvik mv.
  • Strenger krav til håndtering av avvik – generelt skal man rapportere raskere og oftere enn hva man gjør i dag dersom det er avvik i håndteringen av personopplysningen. Hovedregelen er brudd på informasjonssikkerheten skal rapporteres til Datatilsynet – innen 72 timer.
  • Borgerens rettigheter må oppfylles – vi snakker her om «retten til å bli glemt» og retten til å få innsyn i hvilke personopplysninger som er lagret på den enkelte og at man kreve å få med seg opplysningene i et filformat som er vanlig å bruke når man ønsker det (portabilitet). Man skal også ha retten til å motsette seg profilering / markedsføringspåvirkning. Her er det spesielt viktig at man kan dokumentere samtykke ved bruk av personopplysninger i markedsføringsøyemed.

Hva gjør vi for å imøtekomme GDPR?

1

LANSERER NY FUNKSJONALITET


Egne samtykkeerklæringer - den nye funksjonaliteten vil la våre arrangører lage sine egne samtykkeerklæringer som kan brukes på tvers av alle arrangement som opprettes via våre løsninger. Målet og hensikten med denne funksjonaliteten er at du kan administrere dine samtykkeerklæringer et sted og velge om du vil aktivere de på alle dine arrangement eller administrere dem på arrangementnivå. Du som arrangør kan derfor opprette egen samtykkeerklæring for "Nyhetsbrev" og egne personvernerklæringer. Her kan du se et eksempel på et slikt samtykke.

Egne rapporter – for å gjøre det enklere å kunne hente ut rapporter på de som har gitt samtykke, vil vi også gi dere tilgang til en rapport-funksjonalitet som enkelt kan filtreres på de forskjellig samtykkeerklæringene samtidig som du skal kunne eksportere de til Excel. Vi minner om at på det tidspunktet du eksporterer listene er du, eller den du har gitt tilgang til på arrangørkontoen, ansvarlig for å behandle personopplysningene i tråd med GDPR.

Lansering - vi forventer ha funksjonaliteten lansert mot slutten av juni / starten av juli, men husk å følge med på vårt nyhetsbrev slik at du alltid er oppdatert :)

2

OPPDATERER PERSONVERNVILKÅR (DATABEHANDLERAVTALE) OG BETINGELSER FOR BRUK

Når personopplysninger behandles på vegne av andre, skal det foreligge en avtale som regulerer databehandlingen. Denne avtalen kan enten være en selvstendig kontrakt (eksempelvis en databehandleravtale) eller en del av en kontrakt som også regulerer andre ytelser (eksempelvis betingelser for bruk og personvernerklæring).

Mer informasjon om dette finner du på Datatilsynet sine hjemmesider .

Ettersom Deltager AS leverer en én-til-mange-tjeneste vil vi ikke ha muligheten til å overholde individuelle databehandleravtaler med hver enkeltkunde. Dette også sett opp mot at hver enkelt arrangør vil samle inn forskjellig type personopplysninger.

Med dette som utgangspunkt vil vi oppdatere våre vilkår for bruk og personvernerklæring der vi vil følge artikkel 28 i GDPR i tillegg til Datatilsynets anbefalinger om innhold i en slik avtale. I korte trekk vil avtalen måtte beskrive:

  • Selve behandlingen (herunder avtalens tema og behandlingens art, formål og varighet)
  • Den behandlingsansvarlige plikter og rettigheter (herunder også retten til innsyn, retting, sletting og innsigelsesretten for sluttbrukeren)

Nye vilkår for bruk og personvernerklæring vil bli publisert på våre hjemmesider, og du som kunde, vil bli informert per e-post og ved innlogging til våre løsninger. Som en direkte konsekvens av GDPR er vi også pliktig å opplyse om våre personvernerklæringer til sluttbrukeren (dine deltagere eller medlemmer). Dette vil fremkomme på alle påmeldingssider der man aktivt må samtykke å ha forstått Deltager AS personvernerklæring.

På denne måten vil vi tilfredsstille kravene som stilles for å regulere behandlingen av personopplysninger på vegne av våre arrangører og mot sluttbrukeren.
3

OPPRETTER PERSONVERNOMBUD

Dagens personvernombudsordning er frivillig, men med GDPR vil det det være mange virksomheter som pliktes til å ha personvernombud. De som ikke må opprette ombud, kan selvsagt også velge å følge ordningen på frivillig basis. Følgende virksomheter må ha personvernombud:

  • offentlige virksomheter (unntatt domstolene)
  • virksomheter hvis kjerneaktivitet består i å regelmessig og systematisk overvåke personer i stort omfang
  • virksomheter som behandler sensitive personopplysninger i stor omfang
Hensikten med å ha et personvernombud er blant annet at man skal være et kontaktpunkt for de registrerte (de som gir fra seg personopplysninger) og at man skal opptre uavhengig for å sikre at deres rettigheter og behandling av personopplysningene er i tråd med den nye personvernforordningen. 

Deltager AS har opprettet et personvernombud ([email protected]), slik at kan bistå våre arrangører (Behandlingsansvarlig) å opprettholde sluttbrukerens rettigheter. Skulle du som arrangør ikke være pliktig å opprette et slikt personvernombud vil det være anbefalt å tildele en ansatt en slik rolle der man fokuserer på eventuelle utfordringer tilknyttet innsamling og behandling av personopplysninger i forbindelse med deres arrangementer. På denne måten har de som setter opp arrangementer et internt kontaktpunkt som kan bistå med rådgivning.


4

SLETTING AV DATA

En del av den nye personvernforordningen innebærer brukerens (økte) rettigheter til innsyn i personopplysninger som er lagret på den enkelte og «retten til å bli glemt». Vi, som databehandler, vil etterkomme de krav som den enkelte bruker har ift. GDPR, men gjør oppmerksomme på at bokføringsloven om oppbevaring av regnskapsmateriale vil være rådende ift. sletting av personopplysninger. Det refereres her også til hvitvaskingsloven.

I praksis betyr dette at vi som leverandør er bokføringspliktig og må oppbevare regnskapsmateriell (primærdokumentasjon) i minimum 5 år før det kan slettes.

I de tilfeller vi vil motta henvendelser på å slette personopplysninger vil det ovennevnte derfor være vårt utgangspunkt, men vi vil måtte vurdere om det er sekundærdokumentasjon som kan slettes da kravet om oppbevaring av dette er 3,5 år og / eller om aktuelle personopplysninger kan slettes og gå utenfor disse reglene.

Kontakt oss:

Hvis du trenger hjelp eller har spørsmål om GDPR, kan du ta kontakt med Kundeservice på 23 27 35 01 i tidsrommet 09:00 - 17:00 alle hverdager eller sende oss en e-post