← Nazaj na blog

GDPR za organizatorje tekmovanja: Kaj morate storiti, da ostanete skladni

Zbirate osebne podatke: imena, e-pošto, rojstne dneve, podatke o plačilu. GDPR velja, če to želite ali ne. Tukaj je seznam praktične skladnosti.

GDPR velja za vas

Če zbirate osebne podatke od prebivalcev EU (ki ob registraciji vključujejo ime + e-pošto), se uporablja GDPR. Skala ni pomembna. 50-osebna dobrodelna organizacija 5K ima enake obveznosti kot maraton 10.000 oseb, le na manjšem obsegu.

Kazni za neskladnost znašajo do 4 % svetovnega letnega prometa. Za majhno organizacijo je to lahko poslovno.

Ta priročnik je praktičen, ne pravni nasvet. Za posebna vprašanja se obrnite na UOVP.

Kaj šteje za osebne podatke v tekmovalnem kontekstu

  • Ime, e-pošta, telefon, naslov
  • Datum rojstva
  • Spol
  • Zdravstvene deklaracije
  • Kontakt v sili
  • Podatki o plačilih (obravnavani s plastjo PCI-DSS, še vedno pod GDPR)
  • Fotografije, ki identificirajo posameznike
  • Končni časi, povezani z opredeljenimi tekači
  • Naslovi IP

Dobesedno vse o vaših udeležencih.

Temeljna načela GDPR, ki se uporabljajo za dirke

Omejitev namena: Zbiranje podatkov samo za določene namene. Uporabljajte ga samo za te namene.

Praktično: ne zbirajte prehranjevanja, razen če ponujate hrano. Ne zbiraj velikosti čevljev, če ne daješ čevljev.

Pomanjšanje podatkov: Zbiraj samo, kar potrebuješ.

Praktično: Obrazci za registracijo Strip na bistvene elemente (glej "Obrazci za registracijo blaga" vodnik za najmanj 10 polj).

Omejitev skladiščenja: Podatki se hranijo le toliko časa, kot je potrebno.

Praktično: Po 3-5 letih, očistite evidence udeležencev, razen če je aktivno registrirana za prihodnje dogodke.

Integriteta in zaupnost: Zavarujte podatke pred nepooblaščenim dostopom.

Praktično: SSL povsod, bcryp gesla, šifrirane varnostne kopije.

Odgovornost: Morate biti sposobni dokazati skladnost.

Praktično: Dokumentirajte svoje podatke. Ohranite revizijsko sled.

Področje soglasja

Dve bazi za obdelavo:

Potreba po pogodbi: Potrebujete podatke za zagotavljanje storitve (registracija, račun, dan dirke). To je tvoja glavna pravna podlaga.

Soglasje: Eksplicitna možnost za stvari, ki niso nujne po pogodbi. Potrebno za:

  • Trženje e-pošte po dogodku
  • Izmenjava podatkov o tekaču s sponzorji
  • Uporaba fotografij v tržnem gradivu
  • Izmenjava z zunanjimi partnerji za določanje časa (potreba po pogodbi ali soglasje)

Ne zanašaj se na privolitev. Soglasje se lahko umakne; potreba po pogodbi je.

Struktura potrdila o registraciji

  • ☐ Neobvezno: dovoljenje za promet (ločeno potrditveno polje)
  • ☐ Neobvezno: sponzorska komunikacija
  • ☐ Neobvezno: objava imena v rezultatih

Ne odkljukaj neobveznih polj. Uporabnik se mora aktivno vključiti.

Pravice morate spoštovati.

Udeleženci imajo pravico:

  1. Dostop: Zahtevajte vse podatke, ki jih imate na njih
  2. Popravek: Pravilni nepravilni podatki
  3. Izbruh: Izbrišite njihove podatke ("pravica biti pozabljen")
  4. Omejitev: Omeji način obdelave
  5. Prenosljivost: Izvozi svoje podatke v strojno berljivi obliki
  6. Ugovor: Opt iz določene predelave

Na to se morate odzvati v 30 dneh. Zahteve za dokumente in odgovori.

"Pravica biti pozabljen" guba

Davčna skladnost (Hrvaška: 11 let hrambe računov) CONFLICTS s popolnim izbrisom.

Resolucija: psevdonimizira evidenco udeležencev, vendar hrani fiskalni račun z zahtevanimi podrobnostmi. Dokumentirajte to politiko.

Time-Opica ravna s tem: "anonimiziraj udeleženca" ukazi trakovi osebne podatke iz zapisa udeležencev, medtem ko se hranijo računi.

Sporazum o obdelavi podatkov (DPA)

Če uporabljate katero koli storitev tretjih oseb, ki obdeluje podatke udeležencev, potrebujete DPA z njimi. Vaš inventar DPA verjetno vključuje:

  • Time-opica (vaša dirka)
  • Stripe / Stripe (predelovalec plačil)
  • Časovno podjetje / RaceResult
  • E-pošta (Mailgun, SendGrid)
  • Ponudnik storitev gostovanja
  • Analytics (Google Analytics)

Vsak ponudnik ima na voljo standardno DPA. Podpišite vse. Obdrži kopije.

Politika zasebnosti (javna)

Stran dogodka se mora povezati s politiko zasebnosti, ki pojasnjuje:

  • Katere podatke zbirate?
  • Zakaj (pravna podlaga)
  • Kako dolgo ga boš obdržal?
  • S kom ga delite (posebej poimenujte tretje osebe)
  • Pravice udeležencev in način uveljavljanja
  • Vaš stik (DPO ali enakovredno)

Letno ali ko se praksa spremeni.

Podatki za otroke

Udeleženci, mlajši od 16 let, potrebujejo soglasje staršev. Obrazci za prijavo za otroške dirke morajo biti zbrani:

  • Kontrolno polje za soglasje staršev/skrbnikov
  • Ime in kontakt staršev/varuhov

Podatki za mladoletnike se obdelujejo v skladu s strožjimi pravili. Posvetujte se z lokalnimi predpisi.

Varnostni ukrepi

  • HTTPS na vseh straneh (šifrirajmo je brezplačno)
  • bšifriranje gesla (nikoli navadno besedilo)
  • Nadzor dostopa (kdo lahko vidi podatke o udeležencih?)
  • Revizijski dnevniki (kdo je dostopal do česa, kdaj)
  • Šifrirane varnostne kopije
  • Načrt odziva na incidente (kaj storite, če ste kršili?)

Time-Opica implementira vse zgoraj privzeto.

Obvestilo o kršitvi

Če so podatki o vašem udeležencu ogroženi, imate na voljo 72 ur za obveščanje ustreznega organa za varstvo podatkov (AZOP na Hrvaškem).

Opozorite tudi prizadete udeležence, če obstaja verjetnost, da bo kršitev povzročila tveganje za njihove pravice.

Imam pisni načrt za odziv na incident. Vedite, kdo kliče.

Soglasje za fotografijo

Fotografija dogodkov je pomembna za GDPR, saj fotografije identificirajo posameznike. Pogosta praksa:

  • Obvestilo ob registraciji: "Fotografije bodo posnete in se lahko uporabljajo za promocijske namene. Opt ven na registracijo."
  • Podpis na prireditvi: "Fotografija v teku. Opt ven s tem, da pove vsak uslužbenec. "
  • Udeleženci lahko zahtevajo odstranitev posebnih fotografij po dogodku

Hiter kontrolni seznam skladnosti

  1. ☐ Politika zasebnosti je objavljena in povezana s strani dogodka
  2. ☐ Registrski obrazec ima neobvezno dovoljenje za promet (ločeno potrditveno polje)
  3. ☐ DPA, podpisan z vsemi predelovalci tretjih strani
  4. ☐ dokumentiran načrt odziva na incidente
  5. ☐ Udeleženci lahko zahtevajo dostop do podatkov / izbris
  6. ☐ Politika hrambe podatkov (največ 3–5 let po dogodku)
  7. ☐ SSL na vseh straneh
  8. ☐ Sporočeno soglasje za fotografijo
  9. ☐ Osebje, usposobljeno za osnove GDPR

Kot časovna opica

Časovna opica določa:

  • Privzeta konfiguracija, skladna z GDPR
  • Dostop do podatkov + samopostrežba za izbris za udeležence
  • Ukaz za anonimizacijo za scenarije fiskalnega zadržanja z izbrisom
  • Revizijska sled za vsemi podatkovnimi operacijami
  • DPA pripravljen za podpis
  • Varnostne prakse, usklajene z zahtevami GDPR

Z uporabo orodij GDPR se prihrani več mesecev dela na področju skladnosti.

Začnite s skladnim upravljanjem tekem →

Sorodni izdelki

Kako ravnati DNF (ni končal) Udeleženci v rezultatih dirke

Vodenje prostovoljcev: Zaposlovanje, usposabljanje in ohranjanje dan dirke junaki

Ustvarjanje strani dogodka, ki spreminja brskalnike v registratorje

Kako organizirati svojo prvo 5K dirko: Vodnik korak za korakom za nove direktorje

BIB številka dodelitev: zaporedna vs First-free vs priročnik — Katera strategija ustreza vaši rasi?

Si pripravljen organizirati naslednjo dirko?

Ustvarite svoj organizator račun in objavite svoj prvi dogodek v manj kot 10 minutah.

Začni →