← Powrót do Blog

GDPR dla organizatorów wyścigu: Co musisz zrobić, aby pozostać Compliant

Zbierasz dane osobowe: nazwiska, maile, urodziny, dane płatnicze. GDPR stosuje się niezależnie od tego, czy tego chcesz, czy nie. Oto praktyczna lista kontrolna zgodności.

GDPR dotyczy Ciebie

Jeżeli zbierasz dane osobowe od mieszkańców UE (w tym nazwę + e-mail przy rejestracji), stosuje się GDPR. Skala nie ma znaczenia. 50-osobowa organizacja charytatywna 5K ma takie same zobowiązania jak 10 000 osób maraton, tylko w mniejszym zakresie.

Grzywny za nieprzestrzeganie przepisów wynoszą do 4% całkowitych rocznych obrotów. Dla małej organizacji, to może być koniec biznesu.

Ten przewodnik jest praktyczny, a nie porady prawnej. W przypadku konkretnych pytań należy skonsultować się z inspektorem ochrony danych.

Co liczy się jako dane osobowe w kontekście wyścigu

  • Nazwa, e-mail, telefon, adres
  • Data urodzenia
  • Płeć
  • Oświadczenia lekarskie
  • Kontakt awaryjny
  • Dane dotyczące płatności (obsługiwane przez warstwę PCI- DSS, nadal w ramach GDPR)
  • Zdjęcia identyfikujące osoby
  • Czas zakończenia związany ze zidentyfikowanymi biegaczami
  • Adresy IP

Dosłownie wszystko o swoich uczestnikach.

Podstawowe zasady GDPR stosowane do wyścigów

Ograniczenie celu: Zbieranie danych tylko w określonych celach. Użyj go tylko do tych celów.

Praktyczne: Nie zbieraj preferencji dietetycznych, chyba że oferujesz jedzenie. Nie zbieraj rozmiaru butów, chyba że dajesz buty.

Minimalizacja danych: Zbieraj tylko to, czego potrzebujesz.

Praktyczne: Formularze rejestracji Strip do zasadniczych (patrz "Formularze rejestracji" przewodnik dla minimum 10- pole).

Ograniczenie przechowywania: Przechowuj dane tylko tak długo, jak to konieczne.

Praktyczne: Po 3-5 latach, wyczyść rekordy uczestników, chyba że aktywnie zarejestrowane na przyszłe wydarzenia.

Integralność i poufność: Zabezpieczyć dane przed nieuprawnionym dostępem.

Praktyczne: SSL wszędzie, bcrypt hasła, zakodowane kopie zapasowe.

Odpowiedzialność: Musisz być w stanie wykazać zgodność.

Praktyczne: Dokumentuj przepływ danych. Utrzymać ślady audytu.

Krajobraz zgody

Dwie podstawy do przetwarzania:

Konieczność zawarcia umowy: Potrzebujesz danych do świadczenia usługi (rejestracja, faktura, dzień wyścigu). To twoja główna podstawa prawna.

Zgoda: Wyraźny opt-in dla rzeczy wykraczających poza konieczność umowy. Wymagane dla:

  • e-maile marketingowe po imprezie
  • Wymiana danych biegacza ze sponsorami
  • Wykorzystanie zdjęć w materiałach marketingowych
  • Wymiana z partnerami zewnętrznymi w czasie (argumentują konieczność zawarcia umowy lub zgoda)

Nie licz na zgodę na rzeczy, które możesz uzasadnić na podstawie umowy. Zgoda jest akceptowalna; potrzeba umowy się utrzyma.

Struktura zgody na formularz rejestracyjny

  • Wymagane: przyjęcie warunków (konieczność zawarcia umowy)
  • WYMAGANE: zwolnienie z obowiązku medycznego
  • ☐ Nieobowiązkowe: pozwolenie na dopuszczenie do obrotu (oddzielne pole wyboru)
  • ☐ Opcjonalnie: komunikacja ze sponsorem
  • ☐ Nieobowiązkowe: publikacja nazwy w wynikach

Nie zaznaczyć pola fakultatywne. Użytkownik musi aktywnie się zdecydować.

Prawa, które musisz czcić

Uczestnicy mają prawo do:

  1. Dostęp: Poproś o wszystkie dane, które na nich masz.
  2. Korekta: Prawidłowe nieprawidłowe dane
  3. Equiure: Usuń ich dane ("prawo do bycia zapomnianym")
  4. Ograniczenia: Ogranicz sposób przetwarzania
  5. Przenośność: Eksport ich danych w formacie do odczytu maszynowego
  6. Sprzeciw: Wyłączenie z niektórych procesów

Musisz na nie odpowiedzieć w ciągu 30 dni. Żądania dokumentów i odpowiedzi.

"Prawo do bycia zapomnianym" zmarszczki

Zgodność podatkowa (Chorwacja: 11 lat retencji faktury) CONFLICTS z pełnym usuwaniem.

Uchwała: pseudonimizacja rekordu uczestnika, ale zachować fakturę fiskalną z wymaganymi szczegółami. Dokumentuj tę politykę.

Time- Monkey obsługuje to: polecenie "anonimowy uczestnik" usuwa dane osobowe z rekordu uczestnika przy zachowaniu faktur.

Umowa o przetwarzaniu danych (DPA)

Jeśli korzystasz z jakiejkolwiek usługi trzeciej strony, która przetwarza dane uczestników, potrzebujesz z nimi DPA. Twój wykaz DPA prawdopodobnie obejmuje:

  • Time- Monkey (platforma wyścigowa)
  • Stripe / Stripe (procesor płatności)
  • Firma czasu / RaceResult
  • Usługa e-mail (Mailgun, SendGrid)
  • Hosting provider
  • Analityka (Google Analytics)

Każdy dostawca ma dostępny standardowy DPA. Podpisz je wszystkie. Zatrzymaj kopie.

Polityka prywatności (publiczna)

Strona wydarzenia musi zawierać link do polityki prywatności, która wyjaśnia:

  • Jakie dane zbierasz
  • Dlaczego (podstawa prawna)
  • Jak długo go trzymasz?
  • Z kim się podzielisz (w szczególności z osobami trzecimi)
  • Prawa uczestników i sposób wykonywania
  • Twój kontakt (DPO lub równoważny)

Aktualizacja raz do roku lub gdy praktyki się zmieniają.

Dane dla dzieci

Uczestnicy poniżej 16 roku życia potrzebują zgody rodziców. Formularze rejestracyjne dla dzieci wyścigów muszą zbierać:

  • Pole wyboru zgody rodzica / opiekuna
  • Nazwa rodzica / opiekuna i kontakt

Dane dotyczące małoletnich są przetwarzane na podstawie bardziej rygorystycznych przepisów. Skonsultuj się z lokalnymi przepisami.

Środki bezpieczeństwa

  • HTTPS na wszystkich stronach (Let 's Encrypt is free)
  • bcrypt hashing hashing (nigdy zwykły tekst)
  • Kontrola dostępu (kto może zobaczyć dane uczestnika?)
  • Rejestry kontroli (kto miał dostęp do czego, kiedy)
  • Zaszyfrowane kopie zapasowe
  • Plan reagowania na incydenty (co zrobić, jeśli naruszone?)

Time- Monkey domyślnie implementuje wszystkie powyższe.

Powiadomienie o uszkodzeniu

Jeśli dane uczestnika są zagrożone, masz 72 godziny na powiadomienie właściwego organu ochrony danych (AZOP w Chorwacji).

Należy również powiadomić uczestników, których to dotyczy, jeśli naruszenie może spowodować zagrożenie dla ich praw.

Mam pisemny plan reakcji. Wiem, kto dzwoni.

Zgoda na zdjęcie

Fotografie zdarzeń są istotne, ponieważ zdjęcia identyfikują osoby. Wspólna praktyka:

  • Zawiadomienie przy rejestracji: "Zdjęcia zostaną zrobione i mogą być wykorzystane do celów promocyjnych. Wyszedł przy rejestracji".
  • Signage at event: "Fotografia w toku. Wyszedł, mówiąc każdemu pracownikowi".
  • Uczestnicy mogą zażądać usunięcia konkretnych zdjęć po zdarzeniu

Szybka lista kontrolna zgodności

  1. ☐ Polityka prywatności opublikowana i powiązana ze stroną wydarzenia
  2. ☐ Formularz rejestracyjny posiada fakultatywną zgodę na dopuszczenie do obrotu (oddzielna opcja)
  3. ☐ DPA podpisane ze wszystkimi przetwórcami z państw trzecich
  4. ☐ udokumentowany plan reagowania na incydenty
  5. ☐ Uczestnicy mogą zażądać dostępu do danych / usunięcia danych
  6. ☐ Polityka zatrzymywania danych (maksymalnie 3-5 lat po zdarzeniu)
  7. ☐ SSL na wszystkich stronach
  8. ☐ Przekazana zgoda na zdjęcie
  9. ☐ Personel przeszkolony w zakresie podstaw GDPR

Kąt czasu - małpa

Time- Monkey zapewnia:

  • Konfiguracja domyślna zgodna z Glasgow
  • Dostęp do danych + usuwanie samoobsługi dla uczestników
  • Polecenie anonymizacji dla scenariuszy retencji szczelinowej z usuwaniem
  • Ścieżka audytu wszystkich operacji danych
  • DPA gotowy do podpisania
  • Praktyki bezpieczeństwa dostosowane do wymogów GDPR

Korzystanie z narzędzi Gideon -natywnych oszczędza miesiące pracy zgodności.

Zacznij od zgodnego zarządzania wyścigami →

Artykuły pokrewne

Jak poradzić sobie z DNF (Nie ukończył) Uczestnicy w wynikach wyścigu

Zarządzanie wolontariatem: Rekrutacja, Szkolenie i zachowanie bohaterów Dnia Wyścigu

Tworzenie strony zdarzenia, które konwertuje przeglądarki do rejestrujących

Jak zorganizować swój pierwszy wyścig 5K: Step- by- Step Guide dla nowych dyrektorów

Przydział numerów BIB: Sequential vs First- Free vs Manual - Która strategia pasuje do Twojego wyścigu?

Gotowy na następny wyścig?

Utwórz konto organizatora i opublikuj swoje pierwsze wydarzenie w ciągu 10 minut.

Zacznij →