← Vissza a Blog

GDPR a verseny szervezők: Mit kell tennie, hogy maradjon compliant

Személyes adatokat gyűjt: nevek, e-mailek, születésnapok, fizetési adatok. A GDPR érvényes, akár akarod, akár nem. Itt van a gyakorlati megfelelési lista.

GDPR vonatkozik rád

Ha Ön személyes adatokat gyűjt az EU lakosaitól (beleértve a nevet + e-mailt a regisztráció során), a GDPR alkalmazandó. A skála nem számít. Egy 50 fős jótékonysági 5K-nak ugyanazok a kötelezettségei, mint egy 10 000 fős maratonnak, csak kisebb hatótávolságú.

A nem megfelelő bírságok a globális éves forgalom 4% -át teszik ki. Egy kis szervezetnek ez lehet az üzleti vége.

Ez az útmutató gyakorlati, nem jogi tanácsadás. Konkrét kérdések esetén forduljon adatvédelmi tisztviselőhöz.

Ami a verseny kontextusában személyes adatnak számít

  • Név, e-mail, telefon, cím
  • Születési idő
  • Nem
  • Egészségügyi nyilatkozatok
  • Vészhelyzet
  • Fizetési adatok (PCI- DSS rétegen keresztül kezelve, még a GDPR alatt)
  • Fényképek, amelyek azonosítják az egyéneket
  • Az azonosított futókkal kapcsolatos befejezési idők
  • IP-címek

Szó szerint mindent a résztvevőidről.

A versenyekre alkalmazott alapvető GDPR elvek

Cél korlátozása: Adatgyűjtés csak meghatározott célokra. Csak ezekre a célokra használd.

Gyakorlati: Ne gyűjtsd össze az étrendi preferenciákat, hacsak nem kínálsz ételt. Ne gyűjtsd össze a cipő méretét, hacsak nem adsz cipőt.

Adatminimalizálás: Csak azt gyűjtsd össze, amire szükséged van.

Gyakorlati: Strip regisztrációs űrlapok alapvető (lásd "Egyéni regisztrációs űrlapok" útmutató a 10- field minimum).

Tárolási korlátozás: Az adatokat csak addig tárolja, amíg szükséges.

Gyakorlati: 3-5 év után törölje a résztvevők nyilvántartásait, kivéve, ha a jövőben aktívan regisztrálják.

Tisztesség és titoktartás: A jogosulatlan hozzáférés elleni védelem.

Gyakorlati: SSL mindenhol, bcrypt jelszavak, titkosított mentések.

Elszámolhatóság: Be kell tudnia bizonyítani a megfelelést.

Gyakorlati: Dokumentálja adatáramlásait. Nyomon kell tartani az ellenőrzést.

A hozzájárulási helyzet

Két bázis a feldolgozásra:

A szerződés szükségessége: A szolgáltatás nyújtásához szükség van az adatokra (regisztráció, számla, versenynap). Ez a fő jogalapja.

Jóváhagyás: Explicit opt-in a szerződések szükségességén túl. Szükséges:

  • Marketing e-mailek az esemény után
  • A futó adatok megosztása a szponzorokkal
  • Képek használata marketing anyagokban
  • A külső időzítő partnerekkel való megosztás (a szerződés szükségességének vagy jóváhagyásának vitatása)

Ne bízzon a beleegyezésben olyan dolgokban, amiket a szerződés alapján meg tud indokolni. A beleegyezés elfogadható; a szerződés szükségessége fennáll.

A regisztrációs űrlap hozzájárulási szerkezete

  • Kötelező: a feltételek elfogadása (a szerződés szükségessége)
  • Kötelező: orvosi ellátás
  • ☐ Nem kötelező: marketingengedély (külön ellenőrződoboz)
  • ☐ Nem kötelező: szponzor-kommunikáció
  • ☐ Nem kötelező: név közzététele az eredményekben

NE nevezze meg az opcionális mezőket. A felhasználónak aktívan be kell lépnie.

Jogok, amiket tiszteletben kell tartanod

A résztvevőknek joguk van:

  1. Hozzáférés: Kérjen meg minden adatot, amit megtart.
  2. Felújítás: Helytelen adatok
  3. Eredet: Adataik törlése ("a felejtés joga")
  4. Korlátozás: Korlátozza a folyamat módját
  5. Porulabilitás: Adataik exportálása gépi olvasású formátumban
  6. Tiltakozom! Bizonyos feldolgozásból való kilépés

30 napon belül válaszolnia kell ezekre. Dokumentumkérések és válaszok.

A "jog, hogy elfelejtsék" ráncok

Adószabályok betartása (Horvátország: 11 év számla-megőrzés)

Feladat: álnév a résztvevő nyilvántartása, de tartsa meg a költségvetési számla a szükséges részleteket. Dokumentálja ezt a politikát.

Time- Monkey kezeli ezt: "anonimise résztvevő" parancs csík személyes adatok a résztvevő rekordot, miközben a számlák.

Adatfeldolgozási megállapodás (DPA)

Ha a résztvevő adatait feldolgozó harmadik fél szolgáltatásait használja, DPA-ra van szüksége. A DPA leltár valószínűleg tartalmazza:

  • Idő- Majom (a verseny platform)
  • Stripe / Stripe (fizetési processzor)
  • Időzítő vállalat / RaceResult
  • E-mail szolgáltatás (Mailgun, SendGrid)
  • Hosting szolgáltató
  • Analytics (Google Analytics)

Minden szolgáltató rendelkezik egy szabványos DPA áll rendelkezésre. Írd alá mindet. Tartsa meg a másolatokat.

Adatvédelmi irányelvek (nyilvános)

A rendezvény oldalának egy adatvédelmi irányelvhez kell kapcsolódnia, amely megmagyarázza:

  • Milyen adatokat gyűjt
  • Miért (jogalap)
  • Meddig tartod meg?
  • Hogy kivel osztod meg (konkrétan harmadik fél neve)
  • A résztvevők jogai és a gyakorlás módja
  • Kapcsolattartója (adatvédelmi tisztviselő vagy annak megfelelője)

Az éves frissítés vagy a gyakorlat megváltozása.

Gyermekadatok

A 16 év alatti résztvevőknek szülői beleegyezésre van szükségük. A kölykök versenyeinek regisztrációs űrlapjait össze kell gyűjteni:

  • Szülői / gyámsági hozzájárulás jelölődoboz
  • Szülő / gondviselő neve és kapcsolattartója

A kiskorúakra vonatkozó adatokat szigorúbb szabályok szerint dolgozzák fel. Konzultáljon a helyi előírásokkal.

Biztonsági intézkedések

  • HTTPS minden oldalon (A titkosítás ingyenes)
  • bcrypt jelszó hashing (soha nem egyszerű szöveg)
  • Hozzáférés ellenőrzése (ki láthatja a résztvevők adatait?)
  • Könyvvizsgálati naplók (akik hozzáfértek mihez, mikor)
  • Titkosított mentések
  • Incidens választerv (mit csinál, ha megsérül?)

Idő- Majom végrehajtja az összes fenti alapértelmezés szerint.

Áttörés bejelentése

Amennyiben a résztvevő adatai veszélybe kerülnek, 72 órája van, hogy értesítse az illetékes adatvédelmi hatóságot (az AZOP Horvátországban).

Értesítenie kell az érintett résztvevőket is, ha a jogsértés a jogaikat veszélyeztetheti.

Van egy írásos választerv. Tudja, ki telefonál.

Fotójóváhagyás

Esemény fotózás Gideon-releváns, mert a fotók azonosítják az egyének. Általános gyakorlat:

  • Értesítés a regisztrációnál: "Fényképek készülnek és promóciós célokra használhatók." Kihagytam a regisztráció előtt ".
  • Jelzés az eseményen: "Fényképezés folyamatban. Kiment, és elmondta a személyzetnek".
  • A résztvevők az esemény után kérhetik bizonyos fotók eltávolítását

Gyors megfelelési ellenőrző lista

  1. ☐ Az eseményoldalon közzétett és összekapcsolt adatvédelmi politika
  2. ☐ A regisztrációs űrlap fakultatív forgalomba hozatali engedéllyel rendelkezik (külön ellenőrződoboz)
  3. ☐ Az összes harmadik fél feldolgozóval aláírt DPA-k
  4. ☐ Az eseményekre adott választerv dokumentálása
  5. ☐ A résztvevők kérhetik az adatokhoz való hozzáférést / törlést
  6. ☐ Adatmegőrzési politika (legfeljebb 3-5 évvel az esemény után)
  7. ☐ SSL az összes oldalon
  8. Kérjük, adja meg, hogy az engedély milyen mértékben került benyújtásra.
  9. ☐ A GDPR-alapokon képzett személyzet

A Time-Monkey szög

Idő- Majom biztosítja:

  • Gideon-kompatibilis alapértelmezett konfiguráció
  • Adathozzáférés + törlés a résztvevők számára
  • Névtelenítési parancs a fis cal- retention -with -ericure scripts
  • Minden adatművelet ellenőrzési nyomvonala
  • DPA aláírásra kész
  • A GDPR-követelményekkel összhangban lévő biztonsági gyakorlatok

Gideon-natív eszközök segítségével több hónapnyi megfelelési munkát takarít meg.

Kezdje a megfelelő verseny menedzsment →

Kapcsolódó cikkek

Hogyan kell kezelni DNF (nem végzett) résztvevők a verseny eredménye

Önkéntes menedzsment: toborzás, képzés és a verseny napi hősök megtartása

Eseményoldal létrehozása, amely a böngészőket konfigurálttá alakítja

Hogyan kell megszervezni az első 5K verseny: A Step- by- Step útmutató az új igazgatók

BIB szám kijelölés: Szekvenciális vs First- Free vs Manual - Melyik stratégia illik a verseny?

Készen állsz a következő versenyed megszervezésére?

Hozzon létre egy szervező fiókot, és tegye közzé az első eseményt 10 perc alatt.

Kezdés →