Szerintem először is olvasd el legalább egyszer a GDPR-t (esetedben a preambulum kihagyható, így már nem olyan hosszú), és nem árt az Infotv. átlapozása sem.
Pár tipp:
- Személyes adatok kezelése során, a legfontosabb az adatkezelés elveinek (GDPR 5. cikk) betartása.
- Ebből a célhoz kötöttség máris teljesül, bár kicsit konkréttabban kellene megfogalmaznod a célt.
- Jogalapként az érintett hozzájárulását kell megszerezned (praktikusan írásban); ezen túlmenően nincs szükséged más engedélyre.
- Az adattakarékosság elvének betartásához viszont már tenni kellene. A személyi igazolvány másolata nem túl szerencsés, kifejezetten ellenkezik a Hatóság álláspontjával. Mivel azokat az egyedi azonosítókat, amelyek önmagukban is azonosítják az érintetteket (pl. adóazonosító, TAJ), csak a vonatkozó jogszabályban meghatározott esetekben lehet kezelni, valamint az 1996. évi XX: törvény kimondja, hogy "a polgárt a természetes személyazonosító adataival kell azonosítani" (ezek a családi és utóneve, születési családi és utóneve, születési helye és ideje, valamint az anyja születési családi és utóneve), így leginkább ebben az irányban kellene elindulnod véleményem szerint. A személyi bemutatásával, felveszed az adatokat valami adatbázisba, esetleg a csak a személyi igazolvány számot (adott időpontban az is beazonosít egy adott érintettet), és annyi. Már ha tényleg ennyire fontos szempont, hogy tiszta legyen a játék, hogy megérje a sok adminisztráció...
- A korlátozott tárolhatóság elvének való megfelelés miatt, meg kellene fogalmaznod, hogy meddig tárolod ezeket az adatokat. Ez nem igazán derül ki abból, amit írtál: egy adott játék (kör, forduló, akármi) tisztaságának védelme a cél, vag ha valaki egyszer nyert nálatok, az soha többet nem nyerhet? Előbbi esetben az adott játék végéig, utóbbi esetben meghatározott ideig (pl. az érintett hozzájárulásának visszavonásáig) tárolhatod az adatokat. Ez persze azt is jelenti, hogy egy, az adatkezelési szabályokban jártas egyén, simán kijátszhatja ezeket a szabályokat, hiszen bármikor visszavonhatja a hozzájárulását az adatkezelésedhez, és akkor nem marad jogalapod (jogos érdekből pedig nem gondolnám, hogy kezelheted az adatokat). Mondjuk egy adott játékon belül, feltétele lehet a játékban való résztvételnek az adatkezeléshez való hozzájárulás.
- Az egyik legfontosabb követelmény az érintettek tájékoztatása az adatkezelésről: a helyszínen és/vagy a neten el kell készítened egy jól megfogalmazott adatkezelési tájékoztatót (kicsit túrsz a neten, és találsz példákat). Ebben le kell írnod az adatkezelés legfontosabb paramétereit (adatkezelő beazonosítása, cél, jogalap, kezelés időtartama, esetleges adattovábbításra vonatkozó infók stb.).

[ Szerkesztve ]