← Natrag na blog

GDPR za organizatore utrka: što morate činiti da ostanete usklađeni

Prikupljate osobne podatke: imena, mailove, datume rođenja, podatke o plaćanju. GDPR se primjenjuje htjeli vi to ili ne. Evo praktične liste usklađenosti.

GDPR se odnosi na vas

Ako prikupljate osobne podatke od rezidenata EU (što uključuje ime + mail pri prijavi), GDPR se primjenjuje. Veličina nije bitna. Humanitarna 5K utrka za 50 ljudi ima iste obveze kao maraton sa 10.000 sudionika, samo u manjem opsegu.

Kazne za neusklađenost idu do 4% globalnog godišnjeg prometa. Za malu organizaciju to može značiti kraj poslovanja.

Ovaj vodič je praktičan, a ne pravni savjet. Za konkretna pitanja obratite se službeniku za zaštitu podataka (DPO).

Što se računa kao osobni podatak u kontekstu utrke

  • Ime, mail, telefon, adresa
  • Datum rođenja
  • Spol
  • Medicinske izjave
  • Kontakt u slučaju hitnosti
  • Podaci o plaćanju (obrađuju se kroz PCI-DSS sloj, i dalje pod GDPR-om)
  • Fotografije koje identificiraju pojedince
  • Vremena na cilju povezana s identificiranim trkačima
  • IP adrese

Doslovno sve o vašim sudionicima.

Osnovna GDPR načela primijenjena na utrke

Ograničenje svrhe: Prikupljajte podatke samo za točno određene svrhe. Koristite ih samo za te svrhe.

U praksi: ne prikupljajte prehrambene sklonosti ako ne nudite hranu. Ne prikupljajte broj cipela ako ne dajete cipele.

Minimizacija podataka: Prikupljajte samo ono što stvarno trebate.

U praksi: svedite prijavne obrasce na osnovno (vidjeti vodič "Prilagođeni prijavni obrasci" za minimum od 10 polja).

Ograničenje pohrane: Držite podatke samo onoliko dugo koliko treba.

U praksi: nakon 3-5 godina, očistite zapise sudionika osim ako su aktivno prijavljeni za buduće događaje.

Integritet i povjerljivost: Osigurajte podatke od neovlaštenog pristupa.

U praksi: SSL posvuda, bcrypt lozinke, enkriptirane sigurnosne kopije.

Odgovornost: Morate moći pokazati usklađenost.

U praksi: dokumentirajte svoje tokove podataka. Održavajte trag revizije.

Krajolik suglasnosti

Dvije osnove za obradu:

Nužnost ugovora: Trebate podatke za pružanje usluge (prijava, račun, dan utrke). Ovo je vaša glavna pravna osnova.

Suglasnost: Eksplicitno uključivanje za stvari izvan nužnosti ugovora. Potrebno za:

  • Marketinške mailove nakon događaja
  • Dijeljenje podataka trkača sa sponzorima
  • Korištenje fotografija u marketinškim materijalima
  • Dijeljenje s vanjskim partnerima za mjerenje vremena (moguće argumentirati kroz nužnost ugovora ili suglasnost)

Nemojte se oslanjati na suglasnost za stvari koje možete opravdati kroz ugovor. Suglasnost se može povući; nužnost ugovora vrijedi.

Struktura suglasnosti u prijavnom obrascu

  • Obvezno: prihvaćanje uvjeta (nužnost ugovora)
  • Obvezno: medicinska izjava
  • Neobavezno: suglasnost za marketing (zasebni checkbox)
  • Neobavezno: komunikacija sponzora
  • Neobavezno: objava imena u rezultatima

NEMOJTE unaprijed označavati neobavezne kućice. Korisnik se mora aktivno uključiti.

Prava koja morate poštivati

Sudionici imaju pravo na:

  1. Pristup: zatražiti sve podatke koje imate o njima
  2. Ispravak: ispraviti netočne podatke
  3. Brisanje: obrisati svoje podatke ("pravo na zaborav")
  4. Ograničenje: ograničiti način na koji obrađujete
  5. Prenosivost: izvesti svoje podatke u strojno čitljivom formatu
  6. Prigovor: odustati od određene obrade

Morate odgovoriti na te zahtjeve unutar 30 dana. Dokumentirajte zahtjeve i odgovore.

Zavrzlama s "pravom na zaborav"

Fiskalna usklađenost (Hrvatska: 11 godina čuvanja računa) u SUKOBU je s potpunim brisanjem.

Rješenje: pseudonimizirajte zapis sudionika, ali zadržite fiskalni račun s potrebnim detaljima. Dokumentirajte ovu politiku.

Time-Monkey to rješava: naredba "anonimiziraj sudionika" uklanja osobne podatke iz zapisa sudionika, a čuva račune.

Ugovor o obradi podataka (DPA)

Ako koristite bilo koju uslugu trećih strana koja obrađuje podatke sudionika, trebate DPA s njima. Vaš inventar DPA-ova vjerojatno uključuje:

  • Time-Monkey (vaša platforma za utrke)
  • Stripe / Stripe (procesor plaćanja)
  • Tvrtka za mjerenje vremena / RaceResult
  • Mail servis (Mailgun, SendGrid)
  • Hosting provider
  • Analitika (Google Analytics)

Svaki provider ima standardni DPA dostupan. Potpišite ih sve. Zadržite kopije.

Politika privatnosti (javna)

Stranica vašeg događaja mora linkati na politiku privatnosti koja objašnjava:

  • Koje podatke prikupljate
  • Zašto (pravna osnova)
  • Koliko dugo ih čuvate
  • S kime ih dijelite (konkretno imenujte treće strane)
  • Prava sudionika i kako ih ostvariti
  • Vaš kontakt (DPO ili ekvivalent)

Ažurirajte godišnje ili kada se prakse promijene.

Podaci djece

Sudionici ispod 16 godina trebaju suglasnost roditelja. Prijavni obrasci za dječje utrke moraju prikupljati:

  • Checkbox suglasnosti roditelja/skrbnika
  • Ime i kontakt roditelja/skrbnika

Podaci maloljetnika obrađuju se pod strožim pravilima. Konzultirajte lokalne propise.

Sigurnosne mjere

  • HTTPS na svim stranicama (Let's Encrypt je besplatan)
  • bcrypt hashiranje lozinki (nikada čisti tekst)
  • Kontrola pristupa (tko smije vidjeti podatke sudionika?)
  • Revizijski zapisi (tko je pristupio čemu i kada)
  • Enkriptirane sigurnosne kopije
  • Plan odgovora na incident (što radite u slučaju proboja?)

Time-Monkey implementira sve navedeno zadanim postavkama.

Obavijest o proboju

Ako su podaci vaših sudionika kompromitirani, imate 72 sata da obavijestite relevantno nadzorno tijelo za zaštitu podataka (AZOP u Hrvatskoj).

Također morate obavijestiti pogođene sudionike ako je vjerojatno da će proboj rezultirati rizikom za njihova prava.

Imajte pisani plan odgovora na incident. Znajte tko obavlja pozive obavještavanja.

Suglasnost za fotografije

Fotografiranje na događaju relevantno je za GDPR jer fotografije identificiraju pojedince. Uobičajena praksa:

  • Obavijest pri prijavi: "Fotografije će se snimati i mogu se koristiti u promotivne svrhe. Odjavite se pri prijavi."
  • Oznake na događaju: "Fotografiranje u tijeku. Odjavite se tako što ćete reći bilo kojem članu osoblja."
  • Sudionici mogu zatražiti uklanjanje određenih fotografija nakon događaja

Brza lista usklađenosti

  1. Politika privatnosti objavljena i linkana sa stranice događaja
  2. Prijavni obrazac ima neobaveznu suglasnost za marketing (zasebni checkbox)
  3. Potpisani DPA-ovi sa svim trećim stranama koje obrađuju podatke
  4. Plan odgovora na incident dokumentiran
  5. Sudionici mogu zatražiti pristup podacima / brisanje
  6. Politika čuvanja podataka (maksimum 3-5 godina nakon događaja)
  7. SSL na svim stranicama
  8. Suglasnost za fotografije komunicirana
  9. Osoblje osposobljeno u osnovama GDPR-a

Kut Time-Monkeyja

Time-Monkey nudi:

  • GDPR-usklađenu zadanu konfiguraciju
  • Samouslužni pristup + brisanje podataka za sudionike
  • Naredbu za anonimizaciju u scenarijima fiskalnog čuvanja-uz-brisanje
  • Revizijski zapis na svim operacijama s podacima
  • DPA spreman za potpis
  • Sigurnosne prakse usklađene s GDPR zahtjevima

Korištenje alata izgrađenih s GDPR-om u temeljima štedi mjesece posla na usklađenosti.

Započnite s usklađenim upravljanjem utrkom →

Povezani članci

Kako postupati s DNF sudionicima (nisu završili utrku) u rezultatima

Upravljanje volonterima: regrutiranje, obuka i zadržavanje heroja dana utrke

Kako kreirati stranicu događaja koja pretvara posjetitelje u prijavljene sudionike

Kako organizirati prvu 5K utrku: vodič korak-po-korak za nove organizatore

Dodjela startnih brojeva: sekvencijalno vs prvi slobodan vs ručno — koja strategija odgovara vašoj utrci?

Spremni organizirati sljedeću utrku?

Kreirajte organizatorski račun i objavite prvi događaj u manje od 10 minuta.

Započni →