Niezależne, samorządne i wolne miejsce wirtualnych spotkań Administratorów Bezpieczeństwa Informacji i przyszłych IOD
Witam wszystkich,
jeden z klientów zarzucił nam, że wymagamy zbyt wielu danych osobowych przy zakupie biletu (tj. imię i nazwisko, adres i telefon) i że jest to niezgodne z ustawą o ochronie danych osobowych.
Moim zdaniem, są to dane standardowo zbierane przy "zakupie" internetowym (sama takich udzielam), ale może robię to zbyt pochopnie?
Wiola ("abi" Teatru)
Offline
Zajrzałem sobie na strone o której mowa, tam gdzie kupuje sie bilety :) i co tam znajdujemy:
imię*:
nazwisko*:
E-mail*:
powtórz e-mail*:
telefon:
format: 48xxxxxxxxx
48
ulica i numer domu*:
kod pocztowy*:
format: xx-xxx
miejscowość*:
chce otrzymac fakture:
Faktura do odbioru w kasie
akceptuję postanowienia regulaminu sprzedaży biletów elektronicznych*:
przeczytaj
Wyrażam zgodę na otrzymywanie newslettera ??????????? na podany adres e-mail*:
Rozumiem ze to gdzie sa gwiazdki to dane, które na pewno musimy podać. Czy do zakupu biletu on line konieczne jest podanie adresu? Nie wiem, jeśli planujecie Państwo wysyłać bilety pocztą to może tak. wydaje się że imię i nazwisko, adres mailowy i ew. numer telefonu wystarczy w zupełności. Adres domowy jest tu daną zdecydowanie nadmiarową, chyba że o czymś nie wiem.
Kłóciłbym się też z obowiązkiem zamówienia newslettera - w żadnym razie zamówienie newslettera nie jest konieczne do zawarcia umowy.
Reasumując. Zbieramy tylko to co jest konieczne do wykonania zadania i NIC więcej (przesłanka adekwatności), nie zbieramy danych na zapas. Zastanówcie się Państwo po co Wam adres kupującego? jak nie przyjdzie i nie odbierze biletów to mu je wyślecie pocztą? Tak nie wolno. Kiedy klient zamawia bilet i potem musi przyjść go odebrać i ZAPŁACIĆ to jeszcze można by jakoś uzasadnić dane imię, nazwisko i numer telefonu ale przy płatności on-line nawet te dane nie są do niczego potrzebne. Jeśli nie przemawia do Państwa argument o nadmiarowości to przypominam że na administratorze danych ciąży jeszcze jeden obowiązek. Tzw obowiązek informacyjny. Brakuje mi tej stronie tzw polityki prywatności czyli poinformowania o tym, kto jest administratorem danych i prawie kupującego do zmiany/aktualizacji swoich danych osobowych. Poza tym każdy z kupujących może zażądać udzielenia mu informacji na temat danych, które Państwo zebraliście a które jego dotyczą. Chcecie jeszcze jeden kłopot na głowę. Zbiór o takim zakresie raczej trudno nazwać tymczasowym, nie jest to też zbiór danych "przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej".
Rozumiem, że te zakwestionowane dane konieczne są do wystawienia faktury, chociaż z kolei nie widzę NIP. Sądzę, że trzeba by trochę przemyśleć przebudowę tej strony i na pewno uzależnić ją od tego czy klient chce fakturę czy nie, czy płaci on-line czy w kasie. Pamiętajcie Państwo, że takie pytanie jak klient mogą zadać kontrolerzy i wtedy trzeba mieć mocne argumenty żeby ich przekonać do naszych racji.
Offline
Może to naiwne pytanie, ale kto powinien stworzyć tą politykę prywatności. Przeglądałam strony różnych teatrów i każda się trochę różni. Czy są jakieś wytyczne? Czy można "zwalić" jakiegoś gotowca? Ja nie jestem informatykiem i połowy pojęć nie rozumiem?
Offline