Från den 1:a december gäller nya regler för att arrangera sammankomster med mer än 100 deltagare. På rekordtid har man tagit fram ett nytt regelverk för att kunna tillåta sammankomster för individer som har covidbevis. Det finns även en app som man kan ladda ned för att säkerställa att alla deltagare uppfyller kraven.
För dig som arrangör ställs ett antal krav enligt GDPR då känsliga personuppgifter (hälsa) hanteras! Vi har sammanfattat dessa i sex viktiga punkter som du måste hantera innan du kan ha ditt arrangemang.
Det finns 2 tillvägagångssätt för eventanordnare:
- Anordnaren kan använda den applikation och lösning som har utvecklats av DIGG för att verifiera deltagarnas vaccinationsbevis
- Anordnaren utvecklar en egen lösning, eller använder en lösning utvecklad av någon annan, för att verifiera deltagarnas vaccinationsbevis. För att stödja detta har DIGG publicerat användningen av öppen kod, publika nycklar samt regler och riktlinjer som open-source.
Oavsett lösning måste följande säkerställas
- Rättslig grund – Omfattas jag av restriktionerna
Det måste alltid finnas en giltig anledning till att få behandla personuppgifter och det är ni som arrangör som måste säkerställa att ni har stöd i GDPR för det. Det finns sex rättsliga grunder ex. avtal, intresseavvägning och myndighetsutövning och uppgift av allmänt intresse. Utan en rättslig grund är personuppgiftsbehandlingen inte laglig.
2. Konsekvensbedömning – Kartlägg riskerna för deltagarna
Konsekvensbedömning innebär att ni som ansvariga analyserar och identifierar risker vid behandling av uppgifter. Därefter ska ni vidta lämpliga åtgärder.
3. Information till registrerade – Alla deltagare måste få information
Alla personer som ni samlar in personuppgifter om har en rättighet att få information om behandlingen. Detta gäller såväl innan personuppgifter blir behandlade som efter de redan är behandlade. Här gäller det att ni kommunicerar tydligt så att personer kan förstå den. Det ska även vara lättillgängligt för den enskilde. I informationen ska det exempelvis framgå i vilket syfte personuppgifterna är inhämtade för och vilken rättslig grund ni stödjer er på.
4. Intern vägledning för hur frågor hanteras/besvaras (incidenthantering, registrerades rättigheter etc.)
Behandling av känsliga personuppgifter kräver högre säkerhetskrav vilket innebär att ni behöver se över såväl tekniska som organisatoriska lösningar för att skydda personuppgifter. Det är viktigt att det hanteras rätt i organisationen och ni som är ansvarige behöver säkerställa att det finns rutiner, instruktioner och utbildning för hur personalen ska hantera personuppgifter på rätt sätt.
5. Informationssäkerhet vid behandlingen – Vilken teknik kommer jag att använda?
Vilken teknik ni använder är upp till er. Ni ska dock vara medvetna om att ni är ansvarige för att leva upp till kraven och om det händer något med personuppgifterna ex. om någon obehörig skulle ta del av dem.
6. Upprättande av personuppgiftsbiträdesavtal – Måste jag skriva några avtal?
Tänker ni dela personuppgifterna som ni samlar in? Om ni anlitar någon (ex. en molntjänstleverantör) måste ni skriva under ett avtal. Det är ni som är ansvarige som ska se till att sådant upprättas. I avtalet ska det bl.a. framgå hur biträdet (de ni anlitar) får behandla personuppgifterna och en tydlig ansvarsfördelning mellan er.
Känner du att du behöver hjälp med någon av dessa punkter, kontakta oss så hjälper vi dig!
0709 – 249 250
