Temat: dane przechowywane w systemie biletowym

Mam problem z dostosowaniem regulaminu zakupu biletów na wydarzenia kulturalne. Chodzi o bilety on line oraz o rezerwacje telefoniczne. Z chwilą zakupu biletów online lub rezerwacje telefoniczne osoba rezerwująca podaje swoje dane w celu dokonania rezerwacji w systemie biletowym a także nr telefonu w celu przypomnienia/ponaglenia odbioru rezerwacji. Te dane zostają w systemie zapisane i się nie usuwają. Są one archiwizowane na naszym serwerze w celach raportowych. Jak więc określić czas przetwarzania tych danych? Dla mnie czas określa się do realizacji celu - czyli sprzedaży biletu, ale danych nie da się usunąć ani zanonimizować - taka mam informację od formy, która robiła program. Dane jednak pojawiają się, kiedy osoba rezerwująca zaczyna wpisywać kolejne litery nazwiska....
Michał Sadowski

Michał Sadowski IOD/ADO/ASI/IT
Administrator @
IODInspektor.pl

Temat: dane przechowywane w systemie biletowym

Agnieszka J.:
... ale danych nie da się usunąć ani zanonimizować - taka mam informację od formy, która robiła program. Dane jednak pojawiają się, kiedy osoba rezerwująca zaczyna wpisywać kolejne litery nazwiska....

No to macie mega problem i nie jesteście w stanie wypełnić obowiązków wynikających z RODO (z GIODO zresztą też nie). Bo nie usuniecie zarówno po zakończeniu przetwarzania, ani na wypadek, gdy osoba zechce skorzystać z prawa do bycia zapomnianym. Jedyne rozwiązanie, które widzę to dogadać się z dostawcą i zamówić modyfikację albo wyrzucić system i zamówić inne rozwiązanie. Wiem, wiem, że to masakra :(

Temat: dane przechowywane w systemie biletowym

Agnieszka J.:
Dane jednak pojawiają się, kiedy osoba rezerwująca zaczyna wpisywać kolejne litery nazwiska....
Samo to jest naruszeniem. Dowolna osoba może podawać dowolne ciągi by w ten sposób dowiedzieć się jaka osoba zrobiła rezerwację.
Paweł G.

Paweł G. IOD, podmiot danych

Temat: dane przechowywane w systemie biletowym

Agnieszka J.:
Dla mnie czas określa się do realizacji celu
Słusznie.
danych nie da się usunąć ani zanonimizować - taka mam informację od firmy, która robiła program.
No to ich produkt wypada z rynku - proste.
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: dane przechowywane w systemie biletowym

Polecenie zamiany rekordów w polach imię, nazwisko i nr telefonu na dowolne ciągi. Bez jaj, że się nie da... Nie da się usunąć (da, ale wysypie bazę).

Temat: dane przechowywane w systemie biletowym

Gadałam z firmą, która dla nas robiła system jak to rozwiązują z innymi podmiotami. Dane przechowywane w bazie na czas nieokreślony w celu raportowania, prowadzenia statystyk rezerwacji, rzetelnej obsługi klienta. Powiedzieli, że na maila mogą wysłać dokładny opis co i jak i że będzie to stanowiło dupochron. Ale czy w regulaminie sprzedaży i rezerwacji mogę określić czas jako "nieokreślony" ?
Paweł G.

Paweł G. IOD, podmiot danych

Temat: dane przechowywane w systemie biletowym

Agnieszka J.:
Gadałam z firmą, która dla nas robiła system jak to rozwiązują z innymi podmiotami. Dane przechowywane w bazie na czas nieokreślony w celu raportowania, prowadzenia statystyk rezerwacji, rzetelnej obsługi klienta.
Każdy cel się kiedyś kończy.

Temat: dane przechowywane w systemie biletowym

Agnieszka J.:
Gadałam z firmą, która dla nas robiła system jak to rozwiązują z innymi podmiotami. Dane przechowywane w bazie na czas nieokreślony w celu raportowania, prowadzenia statystyk rezerwacji, rzetelnej obsługi klienta. Powiedzieli, że na maila mogą wysłać dokładny opis co i jak i że będzie to stanowiło dupochron. Ale czy w regulaminie sprzedaży i rezerwacji mogę określić czas jako "nieokreślony" ?
bardziej ważne jest jak Twoja Organizacja chce mieć chronione dane. Firma może próbować iść po najniższej linii oporu. Prawdopodobnie takie stanowisko będzie podyktowane tym, że dostosowanie obecnie istniejącego oprogramowania do wymogów rodo jest sporym wydatkiem finansowym, którego nie chcą(nie są w stanie) ponieść.
Cele jakie wskazali (raportowanie, statystyki, ocena rzetelnej obsługi) są bardzo mało wiarygodne dla nieokreślonego w czasie przechowywania d.o. (łatwe do zakwestionowania).

Oprogramowanie ma umożliwiać prawo do bycia zapomnianym. To wiąże się z przechowywaniem przez określony czas. Jeśli firma nie wdroży tej funkcjonalności, to ... pojawia się problem. Wasz problem jako ADO, nie firmy robiącej system.

Następna dyskusja:

Czy to nadal dane osobowe?




Wyślij zaproszenie do