<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=1029501197232858&amp;ev=PageView&amp;noscript=1">

Lyyti Blogi > Miksi GDPR koskee juuri sinua, tapahtumajärjestäjä

Miksi GDPR koskee juuri sinua, tapahtumajärjestäjä

25. toukokuuta 2018 kovennettuna voimaan astuva EU:n uusi tietosuoja-asetus on yksi merkittävimmistä tietosuojaan liittyvistä kansainvälisistä lakimuutoksista vuosikymmeniin. Asetuksen tarkoituksena on lisätä yksilön oikeuksia oman henkilötietonsa hallinnassa ja käsittelyssä, sekä yhtenäistää lainsäädäntöä Euroopan Unionin sisällä.

tiedostot_talteen_mauno (1).pngGDPR on herättänyt paljon keskustelua ja keskustelu kiihtyy entisestään mitä lähemmäs siirrymme ensi kevättä. Toimenpiteisiin on ryhdyttävä heti, jotta kaikki asiat olisivat kunnossa ennen toukokuussa koittavaa toimeenpanoa. GDPR:n keskeinen tavoite on lisätä yritysten läpinäkyvyyttä sekä tuoda tietojen omistamiseen ja hallintaan liittyviä oikeuksia takaisin yksilölle. Tietosuoja-asetus koskettaa erityisesti yrityksen markkinoinnin ja viestinnän prosesseja mutta tapahtumien henkilötietokeskeisen roolin vuoksi, ovat ne erityisen herkkiä GDPR:n asettamille vaatimuksille.

Tapahtumajärjestäjä, näiltä osin GDPR vaikuttaa työhösi:

Olet virallisesti rekisterinpitäjä

GDPR ei kosketa pelkkää IT- tai tietosuojaosastoa, vaan se koskettaa käytännön tasolla kaikkia yrityksessä tapahtuvia toimintoja, jotka liittyvät henkilötietojen käsittelyyn. Tapahtumanjärjestäjänä olet virallisesti rekisterinpitäjä ja käyttämäsi järjestelmän tarjoaja puolestaan rekisterinkäsittelijä. 25.toukokuuta 2018 lähtien olet vastuussa siitä, että omat sisäiset tapahtumaprosessinne vastaavat GDPR:n vaatimuksia:

Suostumus: Kuinka varmistan, että minulla on kirjallinen suostumus tietojen käsittelyyn?
Tietojen saatavuus: Saanko kaikki yksittäistä henkilöä koskevat tiedot helposti ja nopeasti esiin?
Selvitys: Miten koostan yksilön tiedot dataluettavaan muotoon, mikäli henkilö niin toivoo?
Oikeus tulla unohdetuksi: Kuinka toimin tilanteessa, jossa henkilö haluaa anonymisoida tietonsa eli "tulla unohdetuksi"?
Järjestelmät: Onko käytössäni oleva järjestelmä GDPR-yhteensopiva?
Tietosuojavaltuutettu: Onko yrityksessämme oma tietosuojavastaava eli DPO (Data Protection Officer), joka voi auttaa minua valmistautumaan GDPR:n vaatimuksiin?
Datan kerääminen ja käsittely

Tapahtumanjärjestäjänä keräät osallistujadataa tapahtumaasi osallistuvista ihmisistä. Jatkossa sinun tulee erityisesti kiinnittää huomiota siihen, että saat tarvittavan suostumuksen tietojen käsittelyyn – yksinkertaisimmillaan jopa muistutusten, vahvistusviestien ja palautekyselyiden lähettämiseen. GDPR liittyy keskeisesti siihen kuinka tietoa kerätään ja käsitellään, joten tapahtumat ovat todellinen malliesimerkki tapauksesta, johon tietosuoja-asetusta voidaan soveltaa käytännön tasolla. Tapahtumien yhteydessä keräämme osallistujista paljon tietoa, yleensä osittain myös sensitiiviseksi luokiteltua, joten tapahtumajärjestäjällä ei ole mahdollisuutta ohittaa tulevan asetuksen vaatimuksia.

Missä tietoa säilytetään ja kenellä siihen on pääsy

Tapahtumat linkittyvät usein laajaan toimijaverkostoon. Vaikka olisit varmistanut omien prosessien yhteensopivuuden GDPR:n kanssa, riskit voivat piillä järjestelmäkumppanisi puolella. Varmista siis, että käyttämäsi tietojenhallintajärjestelmät toimivat GDPR-yhteensopivasti myös siltä osin, että kaikki järjestelmään syötetty data säilytetään EU:n rajojen sisäpuolella. EU-alueella operoiva toimija, jonka serverit sijaitsevat esimerkiksi Yhdysvalloissa, ei täytä tietosuoja-asetuksen vaatimuksia mikäli heillä ei ole erillistä lupaa kyseisen henkilön tietojen sijoittamiseen EU-alueen ulkopuolelle.

Huomioi myös tapahtumatoimistokumppanisi, jotka välillisesti osallistuvat tapahtumanne osallistujatietojen käsittelyyn. Selvitä tarkkaan missä tietoja säilytetään ja kenellä tietoihin on pääsy. Jos jaat tapahtuman osallistujatietoja tapahtumakumppaneiden kanssa, muistathan mainita tämän rekisteriselosteessa. Jos osallistuja haluaa tulla unohdetuksi, tämän tiedon pitää välittyä myös yrityksenne ulkopuolisten toimijoiden hallinnoimiin rekistereihin (esim. tapahtuma- ja viestintätoimistot).

Viime marraskuussa GDPR puhutti Lyyti järjestämässä tapahtuma-alan GDPR-tapahtumassa Helsingin Pörssitalolla. Tapahtuman osallistujat saivat esittää vapaasti kysymyksiä GDPR:ään liittyen, ja meidän asiantuntijamme vastasivat. Kysymykset ja vastaukset on nyt koottu yksiin kansiin. Voit ladata koko paketin ilmaiseksi tästä!

Tapahtumajärjestäjän 39 GDPR-kysymystä

Kirjoittanut Tiina Kilpelänaho on 08.1.2018