<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=1029501197232858&amp;ev=PageView&amp;noscript=1">

Lyyti Blogi > GDPR: tapahtumanjärjestäjän vastuut ja osallistujan oikeudet

GDPR: tapahtumanjärjestäjän vastuut ja osallistujan oikeudet

GDPR tuo velvoitteita yrityksille ja kasvavia oikeuksia EU:n kansalaisille. Se, kuinka tietosuoja-asetusta tullaan tulkitsemaan käytännössä selviää vasta siinä vaiheessa, kun ensimmäinen ennakkotapaus ennemmin tai myöhemmin tulee julki. Tietosuoja-asetusta tulkitaan aina käyttötapauksen kautta, sillä suoria ohjeita pykälien käytäntööntuomiseen ei luonnollisesti voida tarjota. Listaamme alle tapahtumaviestintään ja tapahtumanhallintaan liittyviä vaiheita, joihin GDPR tulee jatkossa vaikuttamaan sekä osallistujan oikeuksien että tapahtumanjärjestäjän velvollisuuksien kautta:

 Osallistujan oikeudet:

  • Saada pyydettäessä koonti yrityksen hallussa olevista henkilötiedoistaan
  • Saada tarkka ja selkokielinen selvitys siitä, missä hänen henkilötietojaan säilytetään ja mihin niitä käytetään
  • Saada virheelliset tiedot korjattua pyynnöstä
  • Saada omat tietonsa poistettua tai osittaiseen käsittelynestoon pyynnöstä
  • Vaatia datamuotoista listausta henkilötiedoista sekä tietojen siirtoa muille toimijoille (esim. kilpailijoillesi)
  • Vaatia tietojen anonymisointia tai poistamista

 

Järjestäjän velvollisuudet

  • Käsitellä, säilyttää ja ylläpitää henkilötietoja turvallisesti ja suojattuna mahdollisilta tietosuojariskeiltä
  • Vastata osallistujien mahdollisiin tietoselvityspyyntöihin
  • Hyödyntää dataa läpinäkyvästi ja asianmukaisesti
  • Ylläpitää prosesseja, joiden avulla mahdollistetaan tietojen ylläpidettävyys sekä tietoturva
  • Poistaa dataa, jonka säilyttämiselle ei ole perusteita
  • Ilmoittaa mahdollisista tietosuojarikkomuksista 72 tunnin sisällä tapahtuneesta

 Tietosuojaliite.png

Huomioi nämä tapahtumaa järjestäessä!

Tietojen käsittelyn hyväksyminen

Tietosuoja-asetuksen myötä jokaisella yrityksellä on oltava todistettava lupa yksilölle kohdennettuun viestintään, hänen tietojensa käsittelyyn ja niiden säilyttämiseen. Kaikki lähtee siis hyväksyntäprosessista, johon on syytä kiinnittää erityistä huomiota tapahtumaa järjestettäessä. Mikäli henkilö ei hyväksy tietojen käsittelyä, hänestä ei saa jäädä mitään tietoa talteen tapahtuman järjestäjälle. 

Kenelle tietoja jaetaan

Yrityksen tulee myös aina ilmaista selkeästi ja läpinäkyvästi mihin tietoja tullaan hyödyntämään. Mikäli tietoja luovutetaan esimerkiksi yhteistyökumppaneille, on tästä ilmoitettava ja pyydettävä lupa joko rekisteriselosteen tai erillisen tapahtumailmoittautumisen yhteydessä. Isot yleistykset, kuten ”tietoja voidaan luovuttaa kolmansille osapuolille” eivät ole jatkossa enää kovin suositeltavia GDPR:n mittapuulla. Vain jos kumppani nimetään selkeästi, sekä eritellään mihin he tietoja tulevat käyttämään, on tietojen jakaminen yhteistyötahojen kanssa tietosuoja-asetuksen puolesta hyväksyttävää.

Missä muodossa hyväksyntä annetaan?

GDPR ei suoranaisesti ota kantaa siihen, missä muodossa hyväksyntä annetaan. On kuitenkin hyvä muistaa, että esimerkiksi suullisesti vastaanotettua hyväksyntää on todella vaikeaa todistaa jälkikäteen. Mikäli lupa pyydetään puhelimitse, on siitä hyvä säilyttää esimerkiksi nauhoite – josta myös vastakeskustelijan tulee olla tietoinen.

Tietojen ylläpitäminen ajan tasalla

Tapahtuman osallistujalla on myös aina oikeus peruuttaa antamansa lupa henkilötietojen käsittelyyn. Selvitä, missä hyväksyntätietoa säilytetään niin, että päivitetty tieto löytyy kaikista yrityksessä olevista järjestelmistä, joissa kyseinen tieto sijaitsee. Jos henkilö esimerkiksi haluaa peruuttaa viestintä- ja käsittelyoikeuden ”unsubscribe”-linkin avulla markkinointiautomaatioviestinnässä, tulee tiedon siirtyä myös esimerkiksi CRM-järjestelmään, erillisiin uutiskirjelistoihin ja tapahtumanhallintajärjestelmään. Tietojen päivitykseen liittyvät prosessit kannattaa automatisoida, sillä manuaalisella ylläpidolla inhimillisten virheiden todennäköisyys kasvaa.

Tietoturvariskit

Tapahtumiin liittyy usein monia tahoja talon sisä- ja ulkopuolelta. Tähän liittyy aina suuri tietosuojariski, joten GDPR:n myötä yrityksen tulee tarkoin määritellä kenellä on oikeus päästä käsiksi järjestelmiin, joissa henkilötietoja käsitellään. Tapahtumaan liittyvien listojen ja raporttien toimittaminen sähköpostitse on selkeä tietosuojauhka. Miten valvot dokumenttien hävittämistä tai riittävää tietosuojaa mikäli olet luovuttanut ne ulkopuoliselle taholle, esimerkiksi freelance-tapahtumatuottajalle, tapahtumatoimistolle tai cateringyritykselle?

 

New Call-to-action 

 

Kirjoittanut Tiina Kilpelänaho on 27.11.2017