Он-лайн продаж квитків неможливий без збору персональної інформації відвідувачів. Робота з персональною інформацією знаходиться як в полі уваги вітчизняного законодавства, так і законодавства ЄС. Зважаючи на процес гармонізації законодавства України з законодавством та вимогами Європейського союзу, варто приділити увагу вимогам ЄС.
Порядок обробки та зберігання персональних даних описаний у Загальному регламенті про захист даних (General Data Protection Regulation, GDPR), покликаний надати громадянам та резидентам ЄС контроль за їхніми персональними даними.
До персональних даних відносяться будь-які відомості про людину, які відображають її фізичну, фізіологічну, генетичну, економічну, соціальну або культурну ідентичність. В контексті застосування АСПК це:
- Прізвище та ім’я
- Контактний телефон
- Дата замовлення
- Склад та сума замовлення
- Додаткова інформація, яка була надана відвідувачем при замовленні
Відповідно до регламенту перед початком обробки персональних даних необхідно отримати згоду на їх передавання та обробку. Запит на отримання згоди на передавання персональних даних мусить бути представлений у зрозумілій і доступній формі.
GDPR значно розширив права осіб, чиї дані обробляються. Вони можуть отримувати інформацію про те, які саме дані збираються, з якою метою, де зберігаються, які процедури передавання третім особам. А також мають право вимагати видалити або припинити поширювати інформацію. Це ще називають «право бути забутим».
Практично це означає, що необхідно:
- Описати, які персональні дані відвідувача зберігаються і як вони обробляються
- Описати, чи передаються ці дані третім особам і яка процедура передачі
- Отримати згоду на обробку персональних даних до початку такої обробки
- Згоду на обробку даних має бути проявлено активною дією
- Використовувати «згоду за замовченням» заборонено
