<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=1029501197232858&amp;ev=PageView&amp;noscript=1">

Lyyti Blogi > GDPR: 5 käytännön asiaa, jotka askarruttavat tapahtumajärjestäjää

GDPR: 5 käytännön asiaa, jotka askarruttavat tapahtumajärjestäjää

Mitkä ovat EU:n uuden tietosuoja-asetuksen käytännön vaikutukset tapahtumajärjestäjien työhön? Kokosimme yhteen viisi tapahtuma-alan käytäntöä, jotka askarruttavat tapahtumajärjestäjiä GDPR:n suhteen.

Koska uuden tietosuoja-asetuksen tulkinta muodostuu päteväksi vasta oikeuskäytännön kautta, emme ota juridista vastuuta jos päätätte toimia vastauksemme mukaisesti. Vastaukset on kuitenkin varmistettu tietosuojajuristeilta, joten varsinaista ristiriitaa lain kanssa ei vastauksissa ole. Tulee kuitenkin muistaa, että kaikki ohjeet voivat tapauskohtaisesti muuttua. Ohje, joka pätee markkinointitilaisuuteen ei välttämättä pädekään, jos kyse on lääke-alasta tai jostain muusta hyvin reguloidusta toiminnasta. Ohjeet ovat siis kirjaimellisesti ohjeellisia ja kehotamme aina varmistamaan oman toimialan tuntevalta juristilta.

GDPR roundtable-keskustelu.png

1. Pystynkö todellisuudessa hallitsemaan osallistujalistoja enää vaaditulla tavalla, jos ne ovat excel-tiedostoissa?

Mahdollisesti, mikäli tapahtumia tehdään vain muutamia vuosittain. Mutta silloinkin pitäisi muistaa tiedon “elinkaariajattelu” ja määrittää, mitä tiedostoille tehdään niiden käytön jälkeen. Mikäli osallistuja haluaa tarkistaa tai poistaa tietonsa, niin tiedot tulisi poistaa kaikista tietokannoista. On ne sitten lähetetty excel-tiedostona vaikka bussiyhtiölle tai kouluttajalle. Aika pian tulee vastaan tilanne, että homma menee mahdottomaksi, ellei tieto ole jossain yhdessä tietokannassa järkevästi hallittavissa.

2. Miten voin GDPR:n vaatimukset täyttäen näyttää tapahtuman osallistujalistan muille osallistujille?

Mikäli kaikissa tilaisuuksissasi tiedot jaetaan toisten osallistujien kesken, kannattaa tämä tuoda selkeästi esille Tietosuojaliitteessä. Jos sitä ei ole tuotu siellä esiin ja tarve on harvinaisempi, tulee suostumus tähän kysyä ilmoittautumisen yhteydessä. Toisaalta, mikäli kyseessä on esim. verkostoitumistilaisuus, ei osallistujaksi ole pakko hyväksyä henkilöä, joka ei salli tietojensa näyttämistä muille.

3. Muodostaako jokainen tapahtuma oman rekisterinsä? Tuleeko siis jokaiselle tapahtumalle olla oma rekisteriselosteensa?

Lähtökohtaisesti ei. Ja hyvin harvoin kaikki tapahtumatkaan muodostavat omaa rekisteriään, vaan tapahtumaosallistujien tiedot ovat osa jotain isompaa rekisteriä. Jos teette tapahtumia esimerkiksi vain asiakkaillenne, on tiedot yleensä osa asiakasrekisteriä. Mikäli teette tapahtumia markkinointimielessä, ovat tiedot osa markkinointirekisteriä. Joskus, jos tapahtuma on hyvin iso, sisältää vaikka useita yhteisrekisterinpitäjiä ja tapahtuma toistuu harvoin (esim. ammattimessut kahden vuoden välein), voi olla järkevää luoda tapahtumalle oma Tietosuojaseloste. Tällöin kannattaa tosin huomioida tapahtuman jatkuvuus. Mikäli osallistujatietoja on tarkoituksenmukaista hyödyntää seuraavassa tapahtumassa myös, tulee tästä mainita selosteessa.

4. Kuinka kauan osallistujatietoja on OK säilyttää?

Riippuu tiedoista. Tapahtumaspesifit tiedot, joita ei tapahtuman jälkeen ole enää tarkoituksenmukaista säilyttää, tulisi poistaa kun tietoja ei enää ko. tapahtuman toteuttamiseen tai jälkihoitoon tarvita. Joihinkin tietoihin voi olla ns. laillinen oikeus. Jos osallistujan ilmoittautumisesta muodostuu esim. lasku, tulee näitä tietoja säilyttää kirjanpitolain mukaan vähintään kuusi vuotta. Toisaalta samassa tapahtumassa ollaan voitu kysyä vaikka monon kokoa ja allergiatietoja. Näitä ei tule säilyttää kuutta vuotta. Kannattaa noudattaa tietojen minimointiperiaatetta, aina kun mahdollista.

5. Miten markkinoida tapahtumia aiemmin pidettyjen tapahtumien keräämillä osoitteistoilla?

Periaatteessa rekisteriseloste on pitänyt olla tällä hetkellä voimassa olevan Henkilötietolain perusteella jo yli 15 vuoden ajan olemassa ja näissä rekisteriselosteissa on kerrottu tietojen käyttötarkoitus. Mikäli näin on ollut ja vanhat osallistujalistat muodostavat relevantin, ajantasalla olevan osoitteiston ja osallistujat ovat antaneet suostumuksensa tietojen käyttöön markkinointitarkoituksessa, niin markkinointia voi jatkaa kuten ennenkin. Mikäli asia on vähän “niin tai näin”, niin on erittäin suositeltavaa kysyä rekisteröidyltä suostumus markkinointikäyttöön ennen toukokuuta.

 

Näitä on lisää! Järjestimme marraskuussa 2017 tapahtuman, jossa paneuduttiin GDPR-tietosuoja-asetuksen vaikutuksiin tapahtumajärjestäjien arkeen. Yleisö sai kysyä vapaasti aiheeseen liittyviä kysymyksiä, jotka on nyt koottu yksiin kansiin vastauksineenVoit ladata koko paketin ilmaiseksi tästä!

 Tapahtumajärjestäjän 39 GDPR-kysymystä

 

Kirjoittanut Kaisa Oksanen on 15.1.2018

Minut löytää: