← Späť na Blog

GDPR pre Race Organizers: Čo musíte urobiť, aby zostali v súlade

Zhromažďujete osobné údaje: mená, e-maily, narodeniny, platobné údaje. GDPR platí, či chcete alebo nie. Tu je praktický kontrolný zoznam zhody.

GDPR platí pre vás

Ak zhromažďujete osobné údaje od obyvateľov EÚ (vrátane názvu + e-mailu pri registrácii), uplatňuje sa GDPR. Na stupnici nezáleží. 50-osobná charita 5K má rovnaké povinnosti ako 10 000-osobný maratón, len v menšom rozsahu.

Pokuty za nedodržanie predpisov predstavujú až 4% celkového ročného obratu. Pre malú organizáciu to môže byť koniec podnikania.

Táto príručka je praktická, nie právna rada. Pokiaľ ide o konkrétne otázky, obráťte sa na úradníka pre ochranu údajov.

Čo sa počíta ako osobné údaje v kontexte pretekov

  • Meno, e-mail, telefón, adresa
  • Dátum narodenia
  • Pohlavie
  • Lekárske vyhlásenia
  • Núdzový kontakt
  • Údaje o platbách (vybavené prostredníctvom PCI-DSS vrstvy, stále v rámci GDPR)
  • Fotografie, ktoré identifikujú jednotlivcov
  • Doba dokončenia spojená s identifikovanými bežcami
  • IP adresy

Doslova všetko o vašich účastníkoch.

Základné zásady GDPR uplatňované na preteky

Obmedzenie účelu: Zhromažďovať údaje len na špecifikované účely. Používajte ho len na tieto účely.

Praktické: Nezhromažďujte potravinové preferencie, pokiaľ neponúkate jedlo. Nezbierajte veľkosť topánok, pokiaľ nedávate topánky.

Minimalizácia dát: Len zbierať, čo naozaj potrebujete.

Praktické: Strihanie registračných formulárov pre základné prvky (pozri "Colné registračné formuláre" sprievodca pre 10-poľné minimum).

Obmedzenie skladovania: Údaje uchovávať len tak dlho, ako je to potrebné.

Praktické: Po 3-5 rokoch, očistiť záznamy účastníkov, ak aktívne registrované pre budúce udalosti.

Integrita a dôvernosť: Zabezpečené údaje proti neoprávnenému prístupu.

Praktické: SSL všade, bcrypt heslá, šifrované zálohy.

Zodpovednosť: Musíte byť schopní preukázať súlad.

Praktické: Dokumentujte tok dát. Udržujte audit trail.

Miesto súhlasu

Dva základy pre spracovanie:

Nevyhnutnosť zmluvy: Na poskytnutie služby potrebujete údaje (registrácia, faktúra, pretekový deň). Toto je váš hlavný právny základ.

Súhlas: Výslovná voľba pre veci, ktoré sú mimo zmluvnej potreby. Potrebné pre:

  • Marketingové e-maily po udalosti
  • Zdieľanie dát z bežcov so sponzormi
  • Používanie fotografií v marketingových materiáloch
  • Zdieľanie s externými partnermi v časovom rámci (nutnosť zmluvy alebo súhlas so zmluvou v danej oblasti)

Nespoliehajte sa na súhlas na veci, ktoré môžete odôvodniť na základe zmluvy. Súhlas je možné odňať; potreba zmluvy platí.

Štruktúra súhlasu prihlasovacieho formulára

  • ☐ Nepovinný: súhlas s uvedením na trh (osobitné políčko)
  • ☐ Nepovinné: sponzorské oznámenia
  • ☐ Nepovinné: uverejnenie názvu vo výsledkoch

NEPODÁVAJTE nepovinné políčka. Užívateľ sa musí aktívne rozhodnúť.

Práva, ktoré musíte rešpektovať

Účastníci majú právo:

  1. Prístup: Vyžiadajte si všetky dáta, ktoré máte na nich.
  2. Oprava: Opraviť nesprávne údaje
  3. Erasure: Odstrániť ich údaje ("právo byť zabudnutý")
  4. Obmedzenie: Obmedzte spôsob spracovania
  5. Prenosnosť: Exportovať svoje údaje v strojovo čitateľnom formáte
  6. Námietka: Výstup z určitého spracovania

Na ne musíte odpovedať do 30 dní. Žiadosti o dokumenty a odpovede.

"Právo byť zabudnutý" vrásky

Fiškálny súlad (Chorvátsko: 11 rokov uchovávania faktúry) KONFLIKTY s úplným vymazaním.

Riešenie: pseudonymizovať záznam účastníka, ale zachovať fiškálnu faktúru s požadovanými údajmi. Dokumentujte túto politiku.

Time-Monkey rieši toto: "Anonymizácia účastníka" príkaz strips osobné údaje z záznamu účastníka pri zachovaní faktúr.

Dohoda o spracovaní údajov (DPA)

Ak použijete akúkoľvek službu tretích strán, ktorá spracováva údaje účastníkov, potrebujete DPA s nimi. Váš DPA inventár pravdepodobne zahŕňa:

  • Time-Monkey (preteková platforma)
  • Stripe / Stripe (platobný procesor)
  • Načasovanie spoločnosti / RaceResult
  • E-mailová služba (Mailgun, SendGrid)
  • Hostiteľ
  • Analytika (Google Analytics)

Každý poskytovateľ má štandardnú DPA k dispozícii. Podpíšte ich všetky. Nechajte si kópie.

Ochrana osobných údajov (verejné)

Vaša stránka udalostí musí odkazovať na zásady ochrany osobných údajov, ktoré vysvetľujú:

  • Aké údaje zhromažďujete
  • Prečo (právny základ)
  • Ako dlho si ho necháš?
  • S kým ho zdieľate (osobitne uveďte tretie strany)
  • Práva účastníka a spôsob výkonu
  • Váš kontakt (DPO alebo ekvivalent)

Aktualizovať ročne alebo v prípade zmeny postupov.

Údaje o deťoch

Účastníci mladší ako 16 rokov potrebujú súhlas rodičov. Registračné formuláre pre detské preteky musia zbierať:

  • Zaškrtnutie súhlasu rodiča/opatrovateľa
  • Meno rodiča/opatrovateľa a kontakt

Údaje o maloletých sa spracúvajú podľa prísnejších pravidiel. Poraďte sa s miestnymi predpismi.

Bezpečnostné opatrenia

  • HTTPS na všetkých stránkach (Zašifrovať je zadarmo)
  • hashing hesla (nikdy jednoduchý text)
  • Kontrola prístupu (kto môže vidieť údaje účastníkov?)
  • Audit logy (kto sa dostal čo, kedy)
  • Zašifrované zálohy
  • Plán reakcie na incidenty (čo robíte v prípade porušenia?)

Time-Monkey implementuje všetky vyššie uvedené predvolené.

Oznámenie o porušení

Ak sú vaše údaje o účastníkoch ohrozené, máte 72 hodín na oznámenie príslušného orgánu na ochranu údajov (AZOP v Chorvátsku).

Musíte tiež informovať dotknutých účastníkov, ak je pravdepodobné, že porušenie spôsobí riziko pre ich práva.

Majú písomný plán reakcie na incidenty. Vedieť, kto telefonuje.

Foto súhlas

Fotografovanie udalostí je GDPR-relevantné, pretože fotografie identifikovať jednotlivcov. Bežná prax:

  • Oznámenie pri registrácii: "Fotky sa budú brať a môžu sa používať na propagačné účely. Vyberte sa pri registrácii."
  • Podpis na podujatí: "Prebieha fotografia. Vyberte sa tým, že to povie každému zamestnancovi."
  • Účastníci môžu požiadať o odstránenie konkrétnych fotografií po podujatí

Kontrolný zoznam rýchleho plnenia

  1. ☐ Zásady ochrany osobných údajov uverejnené a prepojené na stránke podujatia
  2. ☐ Registračný formulár má voliteľný súhlas na uvedenie na trh (osobitné políčko)
  3. ☐ DPA podpísané so všetkými spracovateľmi tretích strán
  4. ☐ zdokumentovaný plán reakcie na incidenty
  5. ☐ Účastníci môžu požiadať o prístup k údajom / vymazanie údajov
  6. ☐ Politika uchovávania údajov (max. 3-5 rokov po udalosti)
  7. ☐ SSL na všetkých stranách
  8. ☐ Poskytnutý súhlas s fotografiou
  9. ☐ Zamestnanci vyškolení na základe GDPR

Uhol času - Monkey

Čas Monkey poskytuje:

  • Štandardná konfigurácia v súlade s GDPR
  • Prístup k údajom + vymazanie samoobsluhy pre účastníkov
  • Anonymizácia príkazu pre fiškálne-retention-s-erasure scenáre
  • Audit trail na všetkých dátových operáciách
  • DPA pripravený podpísať
  • Bezpečnostné postupy zosúladené s požiadavkami GDPR

Používanie nástrojov GDPR šetrí mesiace práce na dodržiavaní súladu.

Začnite s vyhovujúcim manažmentom pretekov →

Súvisiace články

Ako zvládnuť DNF (Nedokončil) Účastníci pretekov výsledky

Manažment dobrovoľníkov: Nábor, školenie, a udržanie Race Day Heroes

Vytvorenie stránky udalostí, ktorá konvertuje prehliadačov do registrov

Ako organizovať svoj prvý 5K závod: Step-by-Step Guide pre nových riaditeľov

BIB Number Pridelenie: Sequencial vs First-Free vs Manual ?

Pripravený zorganizovať ďalší závod?

Vytvorte si svoj organizačný účet a publikujte svoje prvé podujatie do 10 minút.

Začnite →