Hvordan påvirker GDPR løpsarrangører?

Personvernforordningen (GDPR) har vært i kraft siden mai 2018 og har hatt stor innvirkning på hvordan bedrifter og organisasjoner håndterer personopplysninger. Dette gjelder selvsagt også løpsarrangører og alle andre typer organisasjoner som arrangerer arrangementer der deltakerne oppgir personopplysninger i løpet av påmeldingsprosessen. I denne artikkelen ser vi nærmere på hvordan GDPR påvirker deg som løpsarrangør, og hva du må gjøre for å sikre at reglene overholdes.

Hva er GDPR?

La oss begynne med det grunnleggende. GDPR er en EU-forordning som fastsetter regler for innsamling, behandling og lagring av personopplysninger. Personopplysninger omfatter all informasjon som kan brukes til å identifisere en person, for eksempel navn, adresse, e-postadresse og telefonnummer.

GDPR gjelder for alle organisasjoner som behandler personopplysninger om EU-borgere, uavhengig av hvor organisasjonen er basert. Merk: Dette betyr at løpsarrangører med base utenfor EU som samler inn personopplysninger fra EU-borgere, også er underlagt GDPR.

Hvordan påvirker GDPR løpsarrangører?

Løpsarrangører samler inn en betydelig mengde personopplysninger fra deltakerne, inkludert navn, adresse, fødselsdato og kontaktinformasjon. GDPR krever at løpsarrangører innhenter eksplisitt samtykke fra deltakerne til å samle inn og behandle personopplysningene deres. Det betyr at løpsarrangører må informere deltakerne om formålet med innsamlingen av opplysningene, hvordan de skal brukes og hvem som har tilgang til dem.

Løpsarrangører må også sørge for at personopplysninger oppbevares sikkert og kun er tilgjengelige for dem som trenger dem. De må ha egnede tiltak på plass for å forhindre uautorisert tilgang, utilsiktet tap eller ødeleggelse av personopplysninger. I tillegg må de informere deltakerne hvis det skjer et datainnbrudd som kan påvirke personopplysningene deres.

Deltakerne har også rett til å få tilgang til personopplysningene som løpsarrangørene har om dem, og be om at de slettes eller korrigeres om nødvendig. Løpsarrangører må svare på slike forespørsler innen én måned.

Hva kan løpsarrangører gjøre for å sikre at GDPR overholdes?

For å sikre at GDPR overholdes, kan løpsarrangører gjøre følgende:

Innhent eksplisitt samtykke: Innhent eksplisitt samtykke fra deltakerne til å samle inn og behandle personopplysningene deres. Dette kan gjøres ved hjelp av et samtykkeskjema eller en personvernerklæring som deltakerne må godta når de melder seg på løpet.
Oppbevar personopplysninger på en sikker måte: Sørg for at personopplysninger oppbevares sikkert og kun er tilgjengelige for dem som trenger dem. Dette kan gjøres ved hjelp av sikre registreringssystemer på nettet og kryptering av sensitive data.
Vær åpen: Vær åpen om formålet med å samle inn personopplysninger, hvordan de skal brukes og hvem som har tilgang til dem. Dette kan gjøres gjennom en klar og tydelig personvernerklæring som er lett tilgjengelig for deltakerne.
Svar på forespørsler: Svar raskt på forespørsler fra deltakerne om å få tilgang til, korrigere eller slette personopplysningene sine.
Regelmessig gjennomgang av retningslinjer og prosedyrer: Gå regelmessig gjennom retningslinjer og prosedyrer for å sikre at de er oppdaterte og i samsvar med gjeldende GDPR-krav.

Heldigvis for deg kan de fleste av punktene ovenfor håndteres effektivt og enkelt gjennom EMS- eller registreringsleverandøren din. RaceID har for eksempel en innebygd samsvarsprosedyre der deltakerne godtar RaceID-vilkårene (inkludert GDPR-datapolitikken for hvordan dataene deres lagres og brukes på plattformen) når de registrerer seg og oppretter en konto. Men hvis du lagrer deltakeropplysninger et annet sted eller skal bruke opplysningene du samler inn via systemet, til andre aktiviteter, kan det hende du må legge til dine egne retningslinjer og gjøre deltakerne oppmerksomme på dem.

Hvis du har ditt eget nettsted, må du også ha en data- og GDPR-policy tilgjengelig og overholde alle punktene ovenfor når det gjelder typen data du samler inn og hvordan du bruker dem. Dette inkluderer informasjonskapsler på nettstedet (for eksempel sporing av brukeratferd via Google eller andre tredjeparter) og andre måter du kan overvåke besøkende på.

Hva skjer med løpsarrangører som ikke overholder GDPR?

Det sier seg selv at løpsarrangører som ikke overholder personvernforordningen, kan få alvorlige konsekvenser. Noen av disse inkluderer

Bøter: Organisasjoner som bryter GDPR, kan ilegges bøter på opptil 4 % av sin globale årlige omsetning eller 20 millioner euro (avhengig av hva som er størst). det høyeste) for de mest alvorlige bruddene.
Rettslige skritt: Personer som har fått sine data feilbehandlet eller kompromittert, kan saksøke organisasjonen som er ansvarlig for datainnbruddet, og kreve erstatning.
Skade på omdømmet: Manglende beskyttelse av personopplysninger kan skade organisasjonens omdømme og tilliten til kundene/deltakerne. Dette vil åpenbart ha langsiktige konsekvenser for organisasjonens suksess.
Tap av kunder: Løpsarrangører kan miste deltakere og kunder hvis de ikke er i samsvar med GDPR, ettersom deltakerne vil nøle med å dele personopplysningene sine med en organisasjon som ikke tar personvern på alvor.

Konklusjon

For å oppsummere har GDPR hatt en betydelig innvirkning på hvordan løpsarrangører kan håndtere personopplysninger. Du må innhente eksplisitt samtykke fra deltakerne, oppbevare personopplysningene på en sikker måte, være åpen om formålet med å samle inn personopplysninger, svare på forespørsler fra deltakerne og regelmessig gjennomgå retningslinjer og prosedyrer for å sikre at de er i samsvar med GDPR. Ved å ta disse stegene, eller sørge for at disse stegene er ivaretatt via EMS- eller registreringsplattformen, kan du sikre at du overholder GDPR og beskytter deltakernes personopplysninger.

Husk at manglende overholdelse av GDPR-regelverket kan få alvorlige konsekvenser for løpsarrangører, inkludert bøter, søksmål, omdømmetap og tap av virksomhet. Det er viktig å ta de nødvendige grepene for å sikre at de er i samsvar med GDPR og beskytter deltakernes personopplysninger.