← Zpět na Blog

GDPR pro závodní pořadatele: Co musíte udělat, aby zůstali compliant

Shromažďujete osobní údaje: jména, e-maily, narozeniny, platební údaje. GDPR platí, ať chcete nebo ne. Zde je praktický kontrolní seznam shody.

GDPR se vztahuje na vás

Pokud shromažďujete osobní údaje od rezidentů EU (včetně jména + e-mailu při registraci), použije se GDPR. Na stupnici nezáleží. 50-osoba charita 5K má stejné povinnosti jako 10 000-osoba maraton, jen v menším rozsahu.

Pokuty za nedodržování předpisů činí až 4% celkového ročního obratu. Pro malou organizaci to může být konec byznysu.

Tento průvodce je praktický, nikoli právní poradenství. Pro konkrétní otázky se poraďte s inspektorem ochrany údajů.

Co se počítá jako osobní údaje v kontextu závodu

  • Jméno, e-mail, telefon, adresa
  • Datum narození
  • Pohlaví
  • Lékařská prohlášení
  • Nouzový kontakt
  • Platební údaje (zpracovávané prostřednictvím PCI-DSS vrstvy, stále pod GDPR)
  • Fotografie identifikující jednotlivce
  • Doba ukončení spojená s identifikovanými běžci
  • IP adresy

Doslova všechno o vašich účastnících.

Základní principy GDPR používané pro závody

Omezení účelu: Shromažďovat data pouze pro určené účely. Používejte ji pouze pro tyto účely.

Praktické: Nesbírejte dietní preference, pokud nenabízíte jídlo. Nesbírej boty, pokud je nedáváš.

Minimalizace dat: Jen posbírejte, co potřebujete.

Praktické: Strip registrační formuláře na základní (viz příručka "Vlastní registrační formuláře" pro minimum 10- pole).

Omezení skladování: Udržet data jen tak dlouho, jak je potřeba.

Praktické: Po 3-5 letech, očistit záznamy účastníka, pokud aktivně registrován pro budoucí události.

Integrita a důvěrnost: Zabezpečit data proti neoprávněnému přístupu.

Praktické: SSL všude, bkrypta hesla, zašifrované zálohy.

Odpovědnost: Musíte být schopen prokázat dodržování.

Praktické: Dokumentujte průtoky dat. Udržujte auditní stopu.

Souhlas krajina

Dvě základny pro zpracování:

Povinnost smlouvy: K poskytnutí služby potřebujete data (registrace, faktura, den závodu). Tohle je váš hlavní právní základ.

Souhlas: Explicit opt- in pro věci mimo smluvní nutnost. Potřebné pro:

  • Marketingové e-maily po akci
  • Sdílení běžeckých dat se sponzory
  • Použití fotografií v marketingových materiálech
  • Sdílení s externími partnery v načasování (argumentovat nutností smlouvy nebo souhlasem)

Nespoléhejte se na souhlas s věcmi, které můžete ospravedlnit na základě smlouvy. Souhlas je přijatelný; nutnost smlouvy platí.

Schvalovací struktura registračního formuláře

  • POTVRZENÍ: přijetí podmínek (nutnost smlouvy)
  • POVINNÉ: ZPĚTNÁ
  • ☐ Nepovinné: marketingový souhlas (samostatné políčko)
  • ☐ Nepovinné: sponzorská komunikace
  • ☐ Nepovinné: zveřejnění názvu ve výsledcích

NEZAMÍTEJTE volitelné kolonky. Uživatel se musí aktivně přihlásit.

Práva, která musíš ctít

Účastníci mají právo:

  1. Přístup: Vyžádejte si všechna data, která na nich máte.
  2. Oprava: Správné nesprávné údaje
  3. Eracure: Smazat jejich data ("právo na zapomenutí")
  4. Omezení: Omezte, jak zpracováváte
  5. Přenosnost: Exportovat jejich data ve strojově čitelném formátu
  6. Námitka: Vyloučeno z určitého zpracování

Musíte na ně reagovat do 30 dnů. Žádosti o dokumenty a odpovědi.

"Právo být zapomenut" vráska

Fiskální shoda (Chorvatsko: 11 let uchovávání faktur) CONFLICTS s plným vymazáním.

Usnesení: pseudonymizujte záznam účastníka, ale ponechte si fakturu s požadovanými údaji. Dokumentovat tuto politiku.

Time- Monkey to zvládá: "anonymizovat účastníka" Příkaz stáhne osobní údaje z záznamu účastníka při zachování faktur.

Dohoda o zpracování údajů

Pokud používáte službu třetích stran, která zpracovává data účastníka, potřebujete s nimi DPA. Váš inventář DPA pravděpodobně zahrnuje:

  • Time- Monkey (vaše závodní platforma)
  • Stripe / Stripe (platební procesor)
  • Časová společnost / RaceResult
  • E-mailová služba (Mailgun, SendGrid)
  • Poskytovatel hostingu
  • Analytika (Google Analytics)

Každý poskytovatel má k dispozici standardní DPA. Podepište je všechny. Nechte si kopie.

Ochrana soukromí (veřejnost)

Vaše stránka musí obsahovat odkaz na zásady ochrany osobních údajů, které vysvětlují:

  • Jaké údaje shromažďujete
  • Proč (právní základ)
  • Jak dlouho si ho necháš?
  • S kým ji sdílíte (konkrétně jmenujte třetí strany)
  • Práva účastníků a způsob výkonu
  • Vaše kontaktní osoba Korejská republika

Aktualizovat každý rok nebo kdy se změní praxe.

Údaje o dětech

Účastníci do 16 let potřebují rodičovský souhlas. Registrační formuláře pro dětské závody musí shromažďovat:

  • Zaškrtnutí souhlasu rodiče / opatrovníka
  • Jméno rodiče / opatrovníka a kontakt

Údaje pro nezletilé osoby jsou zpracovávány podle přísnějších pravidel. Poraďte se s místními předpisy.

Bezpečnostní opatření

  • HTTPS na všech stránkách (Zašifrovat je zdarma)
  • bcrypt heslo hashing (nikdy prostý text)
  • Kontrola přístupu (kdo může vidět data účastníka?)
  • Auditní záznamy (kdo se dostal kam, kdy)
  • Zašifrované zálohy
  • Plán reakce na mimořádné události (co uděláte, pokud dojde k porušení?)

Time- Monkey implementuje všechny výše uvedené ve výchozím nastavení.

Oznámení o porušení

Pokud jsou údaje vašeho účastníka ohroženy, máte 72 hodin na oznámení příslušného orgánu pro ochranu údajů (Azop v Chorvatsku).

Rovněž musíte informovat dotčené účastníky, pokud je pravděpodobné, že porušení povede k riziku pro jejich práva.

Napiš plán reakce na incident. Vím, kdo volá.

Souhlas fotografie

Fotografování událostí je důležité, protože fotografie identifikují jednotlivce. Běžná praxe:

  • Oznámení při registraci: "Fotografie budou pořízeny a mohou být použity pro propagační účely. Vystupte při registraci."
  • Signatura na akci: "Fotografie probíhá. Vyloučeno tím, že to řekne každému zaměstnanci."
  • Účastníci mohou požádat o odstranění konkrétních fotografií po akci

Rychlý kontrolní seznam shody

  1. ☐ Zásady ochrany soukromí zveřejněné a propojené z stránky události
  2. ☐ Registrační formulář má volitelný souhlas k uvedení na trh (samostatné políčko)
  3. ☐ DPA podepsané u všech zpracovatelů třetích stran
  4. ☐ zdokumentovaný plán reakce na mimořádné události
  5. ☐ Účastníci mohou požádat o přístup k údajům / výmaz
  6. ☐ Podmínky uchovávání údajů (max. 3-5 let po události)
  7. ☐ SSL na všech stránkách
  8. ☐ Sdělený souhlas s fotografií
  9. ☐ Zaměstnanci vyškoleni na základech GDPR

The Time-Monkey angle

Time- Monkey poskytuje:

  • Defaultní konfigurace Gellow - vyhovující
  • Přístup k údajům + vymazání vlastních služeb pro účastníky
  • Anonymizační příkaz pro fiscal- retention- with -erasure scénářů
  • Auditní stopa všech datových operací
  • DPA připraven k podpisu
  • Bezpečnostní postupy v souladu s požadavky GDPR

Použití Gellow-domorodé nástroje šetří měsíce práce v souladu.

Začněte s vyhovujícím řízením závodů →

Související články

Jak zvládnout DNF (nedokončil) Účastníci v závodě výsledky

Dobrovolnictví Management: Nábor, školení, a zachování Race Day Hrdinové

Vytvoření stránky událostí, která převádí prohlížeče do registrátorů

Jak uspořádat svůj první 5K závod: krok-by-Step průvodce pro nové ředitele

BIB číslo přiřazení: sekvenční vs First- Free vs Manual - Která strategie se hodí Váš závod?

Připraven zorganizovat další závod?

Vytvořte si účet organizátora a publikujte první událost do 10 minut.

Začít →