Den nye persondataforordning, kort kaldet GDPR, påvirker også Roskilde Festival og den måde, de håndterer de frivilliges data.

For at være frivillig i år har du i People givet samtykke til, at Roskilde Festival må håndtere dine data. Samtykket er udtryk for, at GDPR er også er kommet til Roskilde Festival.

“Der er mange forskellige aspekter i GDPR. Noget af det, vi har brugt mest tid på, det er at finde ud af, hvad vi gør med de data, vi har om vores frivillige, og det, vi registrerer om vores frivillige.” forklarer it-chef Steen Bechmann Henningsen.

GDPR: Kort om persondataforordningen
Forordningen har flere formål; primært at beskytte privatlivet og fokus på, at al databehandling skal have et klart og legitimt formål. Forordningens grundprincip er ‘Beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger er en grundlæggende rettighed’.

Ifølge it-chefen er det vigtigste, at Roskilde Festival overholder den ifølge ham ‘heftige’ lovgivning, der ligger bag den nye persondataforordning.

“Vi har brugt mange penge på at få tilrettet systemerne i People, penge på ekstern advokatbistand og arbejdstid, så vi ikke laver fodfejl.” fortæller Ida Nielsen, juridisk konsulent hos Roskilde Festival.

Og helt grundlæggende er der en række data, som Roskilde Festival er nødt til at have om sine frivillige, så organisationen kan fungere rent praktisk.

“Vi er nødt til at have nogle data på de folk, som skal have løn. Det samme gælder for dem, der skal have kørselsgodtgørelse, der bliver jo skrevet nogle blanketter, som vi selvfølgelig skal passe ordentligt på.” siger Steen Bechmann Henningsen.

Er du i tvivl om, hvordan du skal håndtere personfølsomme data? Læs denne artikel

Ingen interesse i misbrug

Ifølge Steen Bechmann Henningsen har festivalen et godt udgangspunkt, da de aldrig har indsamlet data om frivillige til videresalg, men blot at praktiske årsager.

“Vi har jo ikke nogen interesse i at opbevare data, og sælge dem til nogle andre eller lave segmentering af folk. Det handler grundlæggende at have de frivillige i nogle hold, få registreret at de skal have et armbånd, at de skal have nogle spise- og drikkekupponer, at de skal have en t-shirt, gæster og lignende, som ligger registreret i People.” siger it-chefen.

Som Steen Beckmann Henningsen pointerer, har festivalen sagt nej til at deltagerne kan betale med deres armbånd, ligesom den har kæmpet mod videoovervågning på steder, hvor det ikke var strengt nødvendigt i forhold til sikkerhed.

“Andre arrangementer som vores får mange flere problemer med det, for de får jo pludselig en del data.” siger han.

Dog skal den frivillige være opmærksom på, at deres udleverede madkort er personligt og registreret med telefonnummer.

Formålet med den nye GDPR-lov er, at den enkelte borger tager retten til sine data tilbage. Derfor har man ret til at vide, hvilke data diverse organisationer har om en, ligesom man kan bede om at blive slettet.

“Vi har jo en slette-politik der hedder, hvis du vil slettes, så fint med os, men ikke så længe du skal arbejde på festivalen, fordi der bliver vi nødt til at have data om dig. Men så snart vi er på den anden side af festivalen, kan vi godt slette dig, hvis man ønsker det.” siger Steen Bechmann Henningsen.

Rent praktisk bliver man ikke slettet, man bliver anonymiseret, da festivalen gerne vil beholde informationerne omkring frivilligsammensætningen det givne år.

“Vi kan godt beholde køn, alder, nationalitet – de ting, som ikke kan føre tilbage til en specifik person. Måske byen, men ikke adressen.” siger it-chefen.

Andre procedurer vedrørende People og sletning er, at man automatisk bliver slettet efter to år, hvis man ikke har været aktiv. Med en undtagelse, hvis man er medlem af foreningen Roskilde Festival, da man skal have informationer i forbindelse med betaling af kontingent.Desuden bliver man ikke slettet, hvis man af den ene eller anden årsag er blevet blacklisted.

Har du spørgsmål til dine data?

Mailadressen GDPR@roskilde-festival.dk er bemandet før og under festivallen, hvis man har spørgsmål.

Deling af data med tredjepart

I forbindelse med afvikling af festivalen bliver der udvekslet en del data frem og tilbage med tredjeparter. Det har foreningen fået tilladelse til gennem tidligere nævnte privatlivspolitik i People.

“Vi leverer data til andre parter, hvilket vi gør til en del af de mange foreninger, som beskæftiger omkring 20.000 af de frivillige. Her giver vi dem data over de frivillige, som registrerer sig hos os.” forklarer Steen Bechmann Henningsen.

I de tilfælde gør festivalen foreningerne opmærksomme på, at de bliver dataansvarlige i det øjeblik, de modtager data over de frivillige, og at de derfor nu står til ansvar over for de frivillige.

Også festivalens vagtplanlægningsfirma er en tredjepart, som data om de frivillige bliver delt med.

“En af vore tredjeparter er Volt som styrer vores garderober, som registrerer navne og telefonnumre på de folk, som indleverer ting, så de kan få fat i folk igen, hvis de ikke kommer og henter deres ting.” siger it-chefen.

Alt i alt har den nye persondataforordning fyldt meget for Steen Bechmann Henningsen og jurist Ida Nielsen. Og meget tyder på, at den nye lov er noget, der kommer til at fylde meget fremover.

“Det har fyldt meget at få et overblik over vores data, hvem har data og hvilke programmer vi har til at behandle data. Og det kommer det til at blive ved med.” siger Ida Nielsen.

Behandling af persondata i People-VOL

Kære Festivalven

Når du melder dig til at være frivillig hos Roskilde festival, så betyder det, at vi går i gang med at behandle de personoplysninger, du giver os om dig selv, i vores systemer. For at vi kan gøre det, så skal vi have dit samtykke, og sådan et samtykke stiller lovgivningen mange krav til. Vi har samlet det hele sammen i teksten her, og vi håber, at det hele giver god mening. Du skal vide, at dit samtykke er nødvendigt for at du kan være frivillig på Roskilde Festival, og giver du os ikke dit samtykke, kan vi ikke udlevere dit armbånd til dig i Check-In.

Det er vigtigt for os at understrege, at vi kun behandler dine personoplysninger i det mindst mulige omfang og så lidt som muligt, da det eneste formål og interesse, vi har i at behandle dine persondata, er at skabe gode rammer for festivalen.

Hvem er Roskilde Festival?

Først og fremmest skal du vide, at når vi skriver Roskilde Festival, så mener vi Foreningen Roskilde Festival, CVR-nr.: 39122715. Det er den juridiske enhed, som er dataansvarlig for dine personoplysninger.

Hvorfor behandler vi dine personoplysninger?

Vores hovedformål som festival er at arrangere en god musikfestival, og det gør vi blandt andet ved at have en masse frivillige som dig, og de frivillige, vil vi meget gerne skabe gode rammer for.

Når det kommer til dig, dine forhold og rammer, så behandler vi særligt dine oplysninger i forbindelse med at sikre, at du kun har en profil i vores frivillige system, People-VOL. Det vil sige, at vi bruger dine oplysninger til blandt andet at slette dubletter i systemet. Derudover bruger vi dine oplysninger til at kommunikere med dig, ligesom vi sørger for at bruge dine personoplysninger til at lave den gode planlægning af festivalen. Dette betyder blandt andet, at andre frivillige på dit hold kan se dit navn, telefonnummer og e-mailadresse, mens dine holdleder kan se alle dine oplysninger og også kan lave rettelser i dem, hvis du for eksempel skifter adresse, nummer eller andet.

Din holdleder kan enten være organiseret direkte i Roskilde Festival eller i en af de mange tilknyttede foreninger. Holdledere fra både Roskilde Festival og fra de tilknyttede foreninger kan udtrække holdlister for at organisere data på anden måde til eget brug. Når du accepterer vores betingelser, accepterer du altså også, at vi kan videregive dine personoplysninger til tredjemand i form af den forening, hvor du har sagt ja til at være frivillig. Vi har orienteret holdlederne fra foreningerne om, at de selvfølgelig skal sørge for at få et samtykke fra dig til deres behandlinger, ligesom de selv skal oplyse dig om hvordan de sikkert behandler dine data.

De udtræk som vores egne holdledere laver fra People-VOL gemmes maksimalt indtil efter afviklingen af den kommende festival og senest den 31. august.

Vælger din holdleder at lave fælles planlægning i værktøjet Heap360, så overfører vi dine oplysninger til systemet, og benytter du dig af vores garderobe, så behandler vi også dine oplysninger i vores garderobesystem, så vi altid kan finde dine ting hurtigst muligt.

Hvis du benytter dig af elektroniske mad- og drikkebilletter, så overfører vi desuden dine oplysninger til det fælles kasseapparat system, Online POS, så du altid via sms og app kan se din status, ligesom du også kan overdrage kuponer til andre frivillige.

Sådan gør vi

Samlet set, så skriver vi til dig løbende med informationer om dit virke som frivillig, ligesom vi taler med dig i telefonen og pr. e-mail. Ud over den almindelige drift, så bruger vi også People VOL til at holde styr på de ting, du får som frivillig, som for eksempel madbilletter, tøj, adgang for din familie, osv.

Hvordan behandler vi dine data?

For at vi kan tilbyde dig at være frivillig, er det altså nødvendigt for os at behandle dine personoplysninger. Vi behandler oplysninger ved at indsamle, systematisere, opbevare, bruge, gemme, slette, overføre og videregive de oplysninger, vi har om dig. Som hovedregel opbevarer vi dine oplysninger, så længe du er medlem af Foreningen Roskilde Festival, og er du ikke det, så sletter eller anonymiserer vi løbende alle dine personoplysninger, når du ikke har været aktiv frivillig i en periode ud over afholdelsen af to Roskilde Festivaler, og til enhver tid opbevarer vi ikke dine oplysninger i mere end tre år efter, at du sidst har været frivillig hos os.

Er det sikkert?

De oplysninger, som du giver os, eller som vi får om dig fra andre, sørger vi for at opbevare sikkert og fortroligt. Hovedparten af vores databehandlere er placeret inden for EU, men vi benytter os også af enkelte databehandlere uden for EU. Vi har selvfølgelig sikret os, at alle vores databehandlere har den samme sikkerhed omkring dine oplysninger, som vi har, og internt organisatorisk hos os er vi opmærksomme på at uddanne og undervise hinanden i at sørge for en høj datasikkerhed. Når det er hensigtsmæssigt, sørger vi også for at kryptere, pseudonymisere eller anonymisere dine oplysninger.

Vi vil til enhver tid sikre, at vi overholder den gældende persondatalovgivning.

Har du spørgsmål?

Hvis du har nogle spørgsmål til vores behandling af dine personlige oplysninger, kan du altid kontakte os på gdpr@roskilde-festival.dk. Her kan du også tage fat i os, hvis du vil have indsigt i de oplysninger, vi behandler om dig, hvis du vil have rettet oplysninger om dig, som du ikke mener er korrekte, hvis du gerne vil have dine oplysninger slettet, eller hvis du vil trække dit samtykke tilbage. Du skal selvfølgelig være opmærksom på, at vores behandling af dine personoplysninger er nødvendig for, at du kan være frivillig. Det betyder, at hvis du tilbagetager dit samtykke til vores behandling af dine personoplysninger, så kan du ikke længere være frivillig på Roskilde Festival.

Klagemulighed

Hvis du ønsker at klage over vores behandling af dine personoplysninger, så kan du klage til Datatilsynet, som du kan finde her: Borgergade 28, 1300 København K, tlf.: 33193200, eller via e-mail: dt@datatilsynet.dk.

Skriv en kommentar