Chat with us, powered by LiveChat

RODO dla organizatorów imprez: co trzeba wiedzieć

by | Dec 10, 2018

25 maja tego roku w całej Unii Europejskiej wchodzi w życie ogólne Rozporządzenie o Ochronie Danych Osobowych (RODO). Skorzystaliśmy z okazji, żeby zapytać Davida Kenny’ego, dyrektora krajowego TicketCo w Wielkiej Brytanii, o konsekwencje nowego prawa dla organizatorów imprez.

Rozporządzenie ma służyć wzmocnieniu ochrony prywatności oraz zapewnieniu wszystkim osobom fizycznym „prawa do bycia zapomnianym”. Przepis zastępuje unijną dyrektywę o ochronie danych z 1995 roku. Zdaniem Davida, ze względu na postęp cyfryzacji od momentu jej przyjęcia najwyższy czas na wprowadzenie nowego prawa, bliższego rzeczywistości.

W ostatnim półroczu firma TicketCo poświęciła sporo czasu na przygotowanie się do nowych regulacji, zapowiadając gotowość w przewidywanym terminie i wdrożenie RODO do swojego systemu do 25 maja.

Chodzi o dane osobowe – co to naprawdę oznacza?

David sugeruje, abyśmy najpierw wyjaśnili kilka podstawowych pojęć:

Dane osobowe – „informacje lub oceny, które mogą być powiązane z Tobą jako osobą fizyczną, takie jak nazwisko, adres, numer telefonu, adres e-mail, adres IP, numer rejestracyjny samochodu, zdjęcie, odcisk palca, wzór tęczówki, kształt głowy (do celów rozpoznawania twarzy) oraz osobisty numer identyfikacyjny”. David wskazuje, że pojęcie to jest bardzo szerokie, i podkreśla, że konieczna jest jego weryfikacja w odniesieniu do konkretnych przechowywanych danych.

David points out that the term is very wide and stresses that it must be evaluated concretely in relation to the data being stored.

TicketCo rejestruje obecnie nazwisko, numer telefonu, adres e-mail oraz inne techniczne informacje o nabywcach biletów. Jak mówi David, jest to niezbędne do celów przekazania biletów kupującym.

Szczególnie chronione dane osobowe – „informacje o pochodzeniu rasowym lub etnicznym, poglądach politycznych, filozoficznych lub religijnych, karalności, stanie zdrowia, stosunkach seksualnych lub członkostwie w związku zawodowym”.

Przetwarzając tego typu informacje, przedsiębiorstwa muszą mieć uzasadnione powody, określone w ustawie o ochronie danych. TicketCo nie ma prawa prosić klientów o podanie szczególnie chronionych danych osobowych, wyjaśnia David.

Wyraźna zgoda

Głównym warunkiem nowych przepisów prawnych jest to, że przechowywanie danych osobowych może odbywać się tylko wtedy, gdy osoba, której dotyczą szczególnie chronione dane osobowe, udzieli wyraźnej zgody na ich przetwarzanie. Oznacza to, że musimy zaoferować możliwość wyrażenia zgody w sposób jasny i konkretny, zarówno w Internecie, jak i w aplikacji, taki jak stuknięcie lub kliknięcie pola zgody.

Wstępnie zaznaczone pole wyboru nie jest uznawane za wyraźną zgodę i nie wpisuje się w nową dyrektywę RODO, wyjaśnia David.

TicketCo gromadzi dane osobowe za pomocą plików cookie („ciasteczek”) oraz od wszystkich użytkowników rejestrujących dane w powiązaniu z zakupem dokonanym za pośrednictwem TicketCo.

Osoby odwiedzające nasze strony po raz pierwszy informujemy o naszej polityce w sprawie plików cookie. Użytkownicy wyrażają również zgodę na przechowywanie danych w ramach rejestracji w aplikacji oraz podczas zakupu biletów i towarów z wykorzystaniem TicketCo, dodaje David.

Trzy podstawowe koncepcje dla organizatorów imprez

Wprowadzenie nowego przepisu oznacza konieczność zrozumienia przez wszystkich organizatorów trzech podstawowych koncepcji.

Osoba fizyczna/ osoba, której dane dotyczą
W naszej branży jest to każdy nabywca biletu. Podlega on ochronie w myśl nowych przepisów.

Administrator danych
W TicketCo oznacza to organizatora wydarzenia.

Podmiot przetwarzający dane
W naszym przypadku podmiotem przetwarzającym dane jest TicketCo.

Właścicielem danych klienta jest organizator wydarzenia

David informuje, że w TicketCo właścicielem danych jest organizator wydarzenia. Ma to dla Ciebie jako organizatora następujące konsekwencje:

  • Dane, które są rejestrowane w powiązaniu ze sprzedażą odbywającą się za pośrednictwem TicketCo, należą do Ciebie. Dlatego w związku z nowymi zasadami RODO to Ty ponosisz za nie odpowiedzialność.
  • Na mocy prawa stajesz się administratorem danych osobowych.
  • Nowe rozporządzenie RODO nakłada na Ciebie jako organizatora wydarzenia i administratora danych osobowych kilka obowiązków. Więcej informacji na ten temat znajdziesz w Information Commissioner’s Office (Biurze Komisarza ds. Informacji).

TicketCo jako podmiot przetwarzający dane

TicketCo przechowuje dane Twoich klientów w swoich systemach i jest podmiotem przetwarzającym dane w Twoim imieniu jako organizatora wydarzenia i administratora danych osobowych.

David wyjaśnia, że nowe przepisy wprowadzają zmiany do tej roli TicketCo w wielu dziedzinach:

  • TicketCo podpisze z Tobą jako organizatorem wydarzenia umowę o ochronie danych.
  • Zostanie to przeprowadzone poprzez aktualizację prawnych warunków korzystania z usługi TicketCo.
  • W przypadku gdy TicketCo korzysta z podwykonawców do celów przechowywania Twoich danych, dopilnujemy, aby podwykonawca przestrzegał przepisów RODO.

Tutaj możesz przeczytać więcej na temat ładu korporacyjnego w zakresie umowy o przetwarzaniu danych osobowych, którą TicketCo podpisze z Tobą jako organizatorem wydarzenia:
https://ico.org.uk/media/for-organisations/documents/1546/data-controllers-and-data-processors-dp-guidance.pdf

Musisz sprawować nadzór nad miejscem przechowywania danych osobowych

David ostrzega o konieczności sporządzenia przez Ciebie wykazu systemów stosowanych do celów przechowywania danych osobowych. Sugeruje podjęcie następujących kroków:

  • Sprawdź, czy podpisałeś umowę o przetwarzaniu danych osobowych (DPA) ze wszystkimi dostawcami systemów.
  • Jeśli eksportujesz dane z TicketCo, pamiętaj, że zgodność z RODO będzie dotyczyć również nowych miejsc ich przechowywania.
  • Korzystając z usług TicketCo, możesz w celu przeniesienia danych o sprzedaży użyć naszego łącznika TicketCo Zapier, naszego interfejsu użytkownika lub funkcji eksportu arkusza kalkulacyjnego. Dane te zawierają również dane osobowe, dlatego podlegają wymogowi zgodności z RODO. Upewnij się, że sprawujesz nadzór nad docelowym miejscem składowania tych danych.

Obowiązek usunięcia danych identyfikacyjnych

Jako administrator danych jesteś zobowiązany do usunięcia wszelkich danych identyfikujących osobę, której dane dotyczą, na jej wniosek. Oznacza to, że musisz być w stanie:

  • Usunąć dane osobowe w taki sposób, aby zidentyfikowanie osoby, której dotyczą, było niemożliwe (deidentyfikacja).
  • Dokonać anonimizacji danych osobowych w taki sposób, aby niemożliwe było zidentyfikowanie ich posiadacza.
  • Dokonać pseudonimizacji danych osobowych w taki sposób, aby niemożliwe było zidentyfikowanie ich posiadacza.

Co ma wspólnego TicketCo z RODO?

TicketCo będzie stosować się do rozporządzenia RODO od 25 maja, zgodnie z przepisami Unii Europejskiej, w następujący sposób:

Nasze warunki prawne dla organizatorów wydarzeń zostaną uzupełnione o umowę o przetwarzanie danych, obowiązującą od 25 maja 2018 r. Zaktualizowane zostaną również warunki prawne dla użytkowników końcowych („nabywców biletów”), mówi David.
Wszyscy podwykonawcy, z których usług korzysta TicketCo do celów przechowywania danych, będą przechowywali dane na terenie Unii Europejskiej. Wszystkie takie obiekty będą zgodne z nowym rozporządzeniem RODO, dodaje.

Usunięcie danych osobowych

Co robi TicketCo w przypadku, gdy ktoś zażąda usunięcia danych osobowych?

TicketCo nie usunie danych osobowych jako podmiot przetwarzający dane, lecz przekaże żądanie administratorowi danych (tj. organizatorowi wydarzenia), mówi David.

Od 25 maja 2018 r. Ty, jako administrator danych, będziesz mógł nakazać TicketCo usunięcie danych osobowych umożliwiających identyfikację osoby, której dotyczą. Można to wykonać za pomocą formularza dostępnego na stronach administracyjnych TicketCo, dodaje.

Po złożeniu żądania TicketCo przeprowadzi procedurę usunięcia z danych osobowych identyfikatorów osoby (imię, nazwisko, adres e-mail i numer telefonu).

Wkrótce usługa samodzielnego maskowania danych klientów

W 2018 r. TicketCo wprowadzi dla Ciebie jako administratora danych funkcję samoobsługi, umożliwiającą Ci samodzielne przeprowadzenie procedury usunięcia identyfikatorów z danych osobowych bezpośrednio z platformy TicketCo.
Metoda ta oznacza, że TicketCo pozwoli Ci zamaskować imię, nazwisko, adres e-mail i numer telefonu osoby żądającej usunięcia danych. W ten sposób nie stracisz pozostałych cennych informacji sprzedażowych. Transakcje sprzedaży nie zostaną usunięte, zapewnia David.

Nabywca a posiadacz biletu

A co z danymi różnych posiadaczy biletu? Czy organizatorzy wydarzeń będą mieć możliwość przechowywania tych informacji po wprowadzeniu w życie RODO?

TicketCo będzie gromadzić i przechowywać jedynie dane osobowe osoby, która jest nabywcą biletów. Dzieje się tak dlatego, że jest to jedyna osoba, która może złożyć wyraźną zgodę dotyczącą zakupu, wyjaśnia David.

TicketCo nie będzie zatem przechowywać danych innych „posiadaczy biletu”.

Jeśli chcesz uzyskać takie informacje jako organizator wydarzenia, skorzystaj z naszego Modułu zapytań. Należy zauważyć, że jeśli gromadzisz i przechowujesz dane osobowe w ramach takiego modułu, osoba, której dotyczą rejestrowane dane, nie będzie mogła złożyć wyraźnej zgody. Rejestr taki musi więc podlegać regule do wyjątku z powodów dotyczących interesów handlowych. Przeprowadź test bilansujący takiej rejestracji w kontekście konsekwencji przetwarzania tych danych dla osoby fizycznej, przestrzega David.
Jeśli masz wątpliwości, skontaktuj się z naszym zespołem ds. sukcesu klienta, który udzieli Ci wsparcia, podsumowuje David Kenny – dyrektor krajowy TicketCo w Wielkiej Brytanii.

Skontaktuj się z nami

Napisz do nas pod adresem help@ticketco.pl, jeśli potrzebujesz więcej informacji na temat RODO, a my zrobimy wszystko, co w naszej mocy, aby Ci pomóc.