← Torna al blog

GDPR per gli organizzatori di gara: cosa dovete fare per rimanere conformi

Stai raccogliendo dati personali: nomi, email, compleanni, dati di pagamento. GDPR si applica se lo si desidera o meno. Ecco la pratica lista di controllo della conformità.

GDPR si applica a voi

Se si raccolgono dati personali da residenti UE (che includono nome + e-mail alla registrazione), GDPR si applica. La scala non importa. Un 5K di beneficenza di 50 persone ha gli stessi obblighi di una maratona di 10.000 persone, appena a portata di mano.

Le ammende non conformi sono fino al 4% del fatturato annuo globale. Per una piccola organizzazione, può essere business-ending.

Questa guida è pratica, non consulenza legale. Per domande specifiche, consultare un DPO.

Ciò che conta come dati personali in contesto di gara

  • Nome, e-mail, telefono, indirizzo
  • Data di nascita
  • Genere
  • Dichiarazioni mediche
  • Contatto di emergenza
  • Dati di pagamento (consegnati tramite lo strato PCI-DSS, ancora sotto GDPR)
  • Foto che identificano le persone
  • Tempi di finitura associati a corridori identificati
  • Indirizzo IP

Letteralmente tutto sui vostri partecipanti.

Principi fondamentali del GDPR applicati alle razze

Limiti di finalità: Raccogliere i dati solo per scopi specificati. Usalo solo per questi scopi.

Pratico: Non raccogliere preferenze alimentari a meno che non si offre cibo. Non raccogliere le scarpe a meno che tu non dia le scarpe.

minimizzazione dei dati: Raccogli solo quello che ti serve.

Pratico: Moduli di registrazione a strisce per l'essenziale (vedi "Forme di registrazione personalizzati" guida per il minimo di 10 campi).

Limite di stoccaggio: Tenere i dati solo fino a quando necessario.

Pratico: Dopo 3-5 anni, purge record di partecipanti a meno che non attivamente registrati per gli eventi futuri.

Integrità e riservatezza: Proteggere i dati dall'accesso non autorizzato.

Pratico: SSL ovunque, password bcrypt, backup crittografati.

Contabilità: Devi essere in grado di dimostrare la conformità.

Pratico: Documenti i tuoi flussi di dati. Mantenere il percorso di audit.

Il paesaggio di consenso

Due basi per la lavorazione:

Necessità del contratto: Hai bisogno dei dati per fornire il servizio (registrazione, fattura, giornata di gara). Questa è la vostra base legale principale.

Consenso: Opt-in esplicita per le cose al di là della necessità del contratto. Bisogno di:

  • E-mail di marketing dopo l'evento
  • Condivisione dei dati dei corridori con gli sponsor
  • Utilizzo di foto in materiali di marketing
  • Condivisione con partner di temporizzazione esterni (necessità o consenso del contratto)

Non affidarti al consenso per le cose che puoi giustificare in base al contratto. Il consenso è revocabile; la necessità del contratto detiene.

La struttura del consenso del modulo di registrazione

  • ✅ Richiesto: accettazione dei termini (necessità del contratto)
  • ✅ Richiesto: medico waiver
  • ☐ Opzionale: consenso di marketing (separate checkbox)
  • ☐ Opzionale: comunicazioni di sponsor
  • ☐ Opzionale: pubblicazione del nome nei risultati

Non pre-ticcare scatole opzionali. L'utente deve optare attivamente.

Diritti che dovete onorare

I partecipanti hanno il diritto di:

  1. Accesso: Richiedi tutti i dati che tieni su di loro
  2. Rettifica: Correggere dati errati
  3. Cancellazione: Eliminare i loro dati ("diritto da dimenticare")
  4. Restrizione: Limitare il processo
  5. Portabilità: Esportare i loro dati in formato leggibile in macchina
  6. Obiezione: Possibilità di trattamento

È necessario rispondere a questi entro 30 giorni. Richiesta di documenti e risposte.

Il "diritto all'oblio" rughe

Conformità fiscale (Croazia: 11 anni di conservazione delle fatture) CONFLICI con piena cancellazione.

Risoluzione: pseudonimizzare il record del partecipante ma conservare la fattura fiscale con i dettagli richiesti. Documentare questa politica.

Time-Monkey gestisce questo comando: "anonymise partecipante" rimuove i dati personali da un record partecipante, mantenendo le fatture.

Accordo sul trattamento dei dati (DPA)

Se si utilizza un servizio di terze parti che elabora i dati dei partecipanti, è necessario un DPA con loro. Il tuo inventario DPA probabilmente include:

  • Time-Monkey (la tua piattaforma di gara)
  • Stripe / Stripe (processore di pagamento)
  • Timing company / RaceResult
  • Servizio e-mail (Mailgun, SendGrid)
  • Hosting provider
  • Analisi (Google Analytics)

Ogni fornitore ha un DPA standard disponibile. Firmateli tutti. Tieni le copie.

Informativa sulla privacy (pubblico)

La pagina degli eventi deve collegarsi a una politica sulla privacy che spiega:

  • Quali dati raccogli
  • Perché (base giuridica)
  • Quanto tempo ci tieni
  • Con chi lo condividi (specificamente nome terzi)
  • Diritti partecipativi e come esercitare
  • Il tuo contatto (DPO o equivalente)

Aggiornare ogni anno o quando le pratiche cambiano.

Dati dei bambini

I partecipanti al di sotto di 16 hanno bisogno del consenso dei genitori. I moduli di registrazione per le corse dei bambini devono raccogliere:

  • Controllo del consenso del genitore/guardiano
  • Nome del genitore/guardiano e contatto

I dati per i minori sono trattati secondo regole più severe. Consultare le normative locali.

Misure di sicurezza

  • HTTPS su tutte le pagine (La crittografia di Let è gratuita)
  • bcrypt password hashing (mai testo normale)
  • Controllo di accesso (chi può vedere i dati dei partecipanti?)
  • Audit logs (che ha accesso a cosa, quando)
  • Backup crittografati
  • Piano di risposta incidente (che cosa fai se violato?)

Time-Monkey implementa tutto quanto sopra per impostazione predefinita.

Notifica di Breach

Se i dati dei partecipanti sono compromessi, hai 72 ore per informare l'autorità di protezione dei dati (AZOP in Croazia).

È inoltre necessario informare i partecipanti interessati se la violazione rischia di provocare rischi per i loro diritti.

Avere un piano di risposta agli incidenti scritto. Sappiate chi fa le chiamate di notifica.

consenso della foto

La fotografia di evento è RGPD-rilevante perché le foto identificano gli individui. Pratica comune:

  • Avviso alla registrazione: "Le foto saranno prese e possono essere utilizzate per scopi promozionali. Opt out alla registrazione."
  • Segnale all'evento: "Fotografia in corso. Opt out dicendo a qualsiasi membro del personale."
  • I partecipanti possono richiedere la rimozione di foto specifiche dopo l'evento

Controllo rapido della conformità

  1. ☐ Informativa sulla privacy pubblicata e collegata alla pagina degli eventi
  2. ☐ Il modulo di registrazione ha il consenso di marketing facoltativo (separate checkbox)
  3. ☐ DPA firmati con tutti i processori di terze parti
  4. ☐ Piano di risposta incidente documentato
  5. ☐ I partecipanti possono richiedere l'accesso ai dati / cancellazione
  6. ☐ Politica di conservazione dei dati (max 3-5 anni post-evento)
  7. ☐ SSL su tutte le pagine
  8. ☐ Consenso fotografico comunicato
  9. ☐ Personale formato sulle basi del GDPR

L'angolo Time-Monkey

Time-Monkey fornisce:

  • Configurazione predefinita conforme al GDPR
  • Accesso ai dati + cancellazione self-service per i partecipanti
  • Comando di anonimizzazione per scenari fiscali-retention-with-erasure
  • Percorso di verifica su tutte le operazioni di dati
  • DPA pronto a firmare
  • Pratiche di sicurezza allineate ai requisiti GDPR

L'utilizzo di strumenti nativi GDPR consente di risparmiare mesi di conformità.

Iniziare con la gestione della gara conforme →

Articoli correlati

Come gestire DNF (Did Not Finish) Partecipanti ai risultati di gara

Gestione del Volontariato: Reclutamento, Formazione e Redging Race Day Heroes

Creazione di una pagina di eventi che converte i browser in Registrants

Come Organizzare la tua prima gara 5K: una guida passo-passo per i nuovi amministratori

BIB Numero Assegnazione: Sequential vs First-Free vs Manual — Quale strategia si adatta alla tua gara?

Pronto per organizzare la tua prossima gara?

Crea il tuo account organizzatore e pubblica il tuo primo evento in meno di 10 minuti.

Iniziare →