Databeskyttelse: Hvad skal du som minimum medtage i dine tilmeldingsbetingelser?


Oprindeligt udgivet den 25. maj 2018 af Jeannette Eis på LinkedIn

Når dine deltagere skal tilmelde sig dit kursus, konference eller messe skal de have læst og accepteret dine tilmeldingsbetingelser for, at de kan afslutte deres tilmelding. Det er der jo (absolut) ikke noget nyt i. Men forskellen på i dag og i går, er at med virkning af den europæiske Databeskyttelsesforordning og den danske Databeskyttelseslov (pr.25.05.2018), har alle fornyet fokus på hvad man SKAL og BØR. Har du også?

Som eventarrangør og mødeplanlægger er det en god idé, at vide hvad du som minimum skal have med i tilmeldingsbetingelserne, som dine deltagere skal læse og acceptere. For via tilmeldingsbetingelserne kan du overholde oplysningspligten mht. hvilke date du indsamler og hvordan du og din databehandler behandler deltagernes data. Deltagerne skal have læst disse betingelser og accepteret dem idne de kan tilmelde sig dit event. Det er derfor vigtigt at dine tilmeldingsbetingelser medtager al nødvendigt information for at dine deltageres bekræftelse kan betragtes som det, man kalder "et informeret samtykke".

Nedenstående er ikke nødvendigvis udtømmende - selvom det måske kan virke af lidt meget - men kan (forhåbentlig) give dig et praj om hvad der kan være nødvendige - og nogle punkter som man kan medtage:

A. Generelle betingelser

1. Dataansvarlig og Databehandler: arrangør og leverandør

Dataansvarlig: Du skal naturligvis skrive hvem der er arrangør, og dermed Dataansvarlig, for afholdelse af eventen - og dermed ansvarlig for persondataene. Der skal stå navn på dit firma/organisation og adresse (og CVR) samt kontaktinformationer til dig eller en anden navngivende person.

Databehandler: Du skal medtage hvilket tilmeldingssystem du bruger og hvem der er Databehandler, altså varetager behandlingen af dine deltageres personoplysninger på dine vegne (din leverandør af tilmeldingssystemet).

  • Du skal skrive at aftalen indgås mellem de registrerede og dig som arrangør
  • Din leverandør af tilmeldingssystemet ønsker hel klart, at der skal stå at denne kun leverer - og er formidler af - tilmeldingssystemet og ikke kan stilles til ansvar for dit event (mht. indhold, fejl og mangler, aflysning mv.).

2. Bekræftelse og adgang til eventen

  • Du kan evt. medtage at ved tilmelding modtager deltagerne en tilmeldingsbekræftelse på email - og evt. inklusiv navneskilt/deltagerbillet.
  • Og måske medtage, at hvis de ikke har denne adgangsbillet - eller modtaget bekræftelse - har du som arrangør ret til at nægte dem adgang til arrangementet.

3. Ændringer fra arrangørens side og ændringer fra den registrerede

  • Du kan evt. medtage hvilke rettigheder/forbehold I som arrangør tager jer i forhold til flytning eller aflysning af arrangementet.
  • Og medtag hel sikkert hvilke rettigheder de registrerede har i forhold til ændring og afbestilling af billet.

4. Betingelserne skal være læst og accepteret ved særskilt afkrydsning

  • Du skal blot have en linie med, der beskriver at disse betingelser skal være læst og accepteret ved særskilt afkrydsning.

B. Købsbetingelser

  • Tager du imod betaling skal du medtage jeres købsbetingelser - bl.a. hvilke former for betaling I modtager (faktura, EAN faktura, kreditkort - og hvilke), og om I tager et håndteringsgebyr - samt om de fx kun kan modtage 50% af betalingen, hvis deltagerne afmelder sig.

C. Persondatapolitik

Det er her, at du skal huske og medtage al det, som lovgivningen foreskriver, så dine deltagere er velinformeret om din behandling og opbevaring af deres personoplysninger.

1.Generelt

  • System du bruger: Du skal skrive igennem hvilket system, at dine deltageres oplysninger behandles og opbevares - dvs. nævn tilmeldingssystemet (igen).
  • Håndtering i henhold til lovgivning: Du skal henvise til, at du håndterer personoplysningerne i henhold til gældene lovgivning på området - her vil det højst sandsynligt både være henvisning til den danske Databeskyttelseslov og til den Europæiske Databeskyttelsesforordning.
  • Tydeliggøre hvem der er Dataansvarlig og Databehandler: Du skal skrive at det er jer, som arrangør, der er Dataansvarlig, og at det er jeres leverandør af tilmeldingssystemet, der er Databehandler.
  • Kontaktinfo til Dataansvarlig: Du skal medtage, at deltagerne kan henvende sig til jeres dataansvarlige (evt. navngivende, og minimum email og evt. også tlf.) vedrørende spørgsmål til behandlingen.
  • Accept af tilmeldingsbetingelserne: Skriv at ved accept af tilmeldingsbetingelserne, accepterer deltagerne at du som arrangør og din leverandør af tilmeldingssitet behandler deres personoplysninger i overensstemmelse med beskrivelsen i betingelserne.

2.Hvilke personoplysninger indhentes (og til hvilket formål)

Formålet - og midlet - med indsamlingen af deltagernes personoplysninger:

  • Du skal tydeliggøre formålet med at indhente de oplysninger, som du gør, samt midlet (tilmeldingssite, og evt. event-app mv.). Fx at du indhenter oplysningerne gennem "x tilmeldingssite" til at kunne foretage registreringen af dem mhp. opfyldelse af tilmeldingen (olign.) samt kommunikation vedrørende eventen.
  • Og skulle du også bruge event-app mv., udover dit tilmeldingssite, så vil jeg anbefale dig at medtage det her, samt hvad det opfylder af services for dine deltagere.

HUSK at du kan dele formålet med indhentning af personoplysninger op i:

  • Det "generelle" formål med indhentning af oplysningerne - altså til at tilmelde deltagerne (og evt. til information og kommunikation via event-app).
  • OG de ekstra formål, der måtte være - dét som du evt. spørger deltagerne om i separate afkrydsningsbokse, og som de derved skal give særskilt samtykke til (husk at et samtykke kan tages tilbage).

Former for personoplysninger:

  • Du skal beskrive hvilke former for personoplysninger du indsamler, fx om det er "almindelige" personoplysninger som navn, firma, email mv., eller det også kan være personfølsomme oplysninger, fx hvis du ønsker at spørge til madpræferencer (ja, så kan det betragtes som værende personfølsomt - og så skal du som minimum have særskilt samtykke).

Informering om hvad oplysningerne bruges til:

Du skal præcisere at hverken du som arrangør eller din leverandør videregiver personoplysningerne til 3.part MEDMINDRE:

  • Det er nødvendigt for udførsel af det primære formål - fx er det normalt at din Databehandler har underdatabehandlere til at varetage nogle af servicene, fx en sms-udbyder og en hosting leverandør mv..
  • Hvis deltagerne selv har givet aktivt samtykke til andre handlinger, fx videregivelse af deres informationer til udstillere olign., eller skrevet madpræferencer (husk, at ved hver ekstra handling skal du indhente særskilt samtykke via selve tilmeldingssystemet.

Cookies og log:

Højst sandsynligt bruger dit tilmeldingssite cookie (tekstfil) til at genkende brugernes computer samt logging, for at kunne servicere deres handling i forbindelse med registreringen (evt. at kunne komme tilbage til et sted, de var på da de blev afbrudt af en kollega i mens de var ved at registrere sig olign.). Dette kan du evt. også medtage i dine betingelser.

Opbevaring og sletning af data:

  • I forhold til Databeskyttelseslovgivningen må I kun beholde data, så længe det er nødvendigt for at opfylde formålet (med eventen) - MEN vær opmærksom på, om der er andre regulativer, som bevirker at du fx skal SKAL beholde data i fx 5 år (som Regnskabslovgivningen, hvis du modtager betaling).
  • Uanset, så må I jo kun beholde data, så længe det er nødvendigt (om det så er af den ene eller anden grund), og I skal informere deltagerne om, hvor længe I opbevarer deres data og forklare hvorfor.
  • I har selv ansvaret for at få data slettet efter endt event - eller hvornår I nu skal have slettet data - men I kan bede jeres databehandler om at slette data for jer. Og måske er det endda en leverandør til jeres tilmeldingssite, der har indlagt en automatisk sletning af data (ved jeres angivelse af dato for sletning). 

Deltagerens ret til indsigt og indsigelse mod en registrering mv.:

I henhold til Databeskyttelsesforordningen har en registreret ret til følgende vedrørende dennes personoplysninger (og som du skal informere dem om):

  • Indsigt (i hvilke personoplysninger, der opbevares)
  • Berigtigelse (hvis der er forkerte oplysninger)
  • Retten til sletning (i visse tilfælde)
  • Retten til begrænsning af behandling
  • Retten til dataportabilitet
  • Retten til indsigelse

Og sidst men ikke mindst, HUSK at henvise til Datastyrelsen, hvis den registrerede har klager, og skriv tydelige kontaktdata på jer som arrangør.

Det var mine input til hvad du med fordel kan og skal have med i dine tilmeldingsbetingelser - håber det kan bruges - men husk, at det ikke nødvendigvis er udtømmende, og tag evt. nogle specialister på området med på råd...SAMT spørg din leverandør af dit tilmeldingssite om de kan bidrage med en skabelon til tilmeldingsbetingelser. Men vær opmærksom på, at det netop kun er en skabelon - og at du selv skal sørge for at have styr på hvad, der skal stå i jeres tilmeldingsbetingelser.

GDPR ekspertise

Se Integra Advokater

GDPR i glemmebogen?

Se blogindlæg

Styr på lovgivningen?

Se blogindlæg