Czy soft delete to dobra praktyka?

0

Chciałbym usłyszeć wasze opinie. Dotąd spotykałem się z podejściem że to jest zawsze dobra praktyka, i rzeczywiście czasami się to przydawało. Ale teraz po RODO mam wątpliwości.
A ostatnia wpadka Morele utwierdza mnie w tym że lepiej usuwać dane bezpowrotnie.

0

Historia aktywności jest ważna, bo jakby trzeba zbadać okoliczności ewentualnych roszczeń/błędów, to możemy chociaż tyle poprzeglądać. Powinniśmy mieć wgląd do wszystkiego co robią użytkownicy naszej platformy.

0

A co z anonimizowaniem danych?

0

Dane archiwalne mógłby oglądać tylko admin, ewentualnie jeszcze użytkownik, co tam trzeba anonimizować?

1

Czy zła czy dobra praktyka, to wynika z wymagań prawnych i biznesowych :-)

1
Spine napisał(a):

Dane archiwalne mógłby oglądać tylko admin, ewentualnie jeszcze użytkownik, co tam trzeba anonimizować?

Na przykład tu: https://niebezpiecznik.pl/post/morele-350k-zlamanych-hasel-i-wyciek-danych-usunietych-uzytkownikow/ - w skrócie, wyciekły dane klientów, między innymi klient który wcześniej usunął konto dostał powiadomienie z morele na swój email z przedrostkiem "USUNIETY_" że jego dane też wyciekły. Pewnie na to można nałożyć jakąś karę w związku z RODO.

1

Tylko dodawanie prefiksu do maila, to nie jest soft delete tylko jakaś patologia umysłowa.
Cały system powinien być tworzony z myślą o soft delete, a więc także komponent odpowiedzialny za wysyłanie maili powinien sprawdzać czy adres jest aktywny i nie wysyłać jeśli nie.

0

Kontaktowałem się niedawno z ministerstwem cyfryzacji i według nich coś takiego jak soft delete przy zastosowaniu prawa do bycia zapomnianym, nie wchodzi w grę. Dane mają być po prostu usunięte z bazy danych.

0

Czy zdaniem Ministerstwa Cyfryzacji mogę zwrócić się do Urzędu Skarbowego z żądaniem zapomnienia mnie i usunięcia wszystkich informacji o fakturach wystawionych przeze mnie?

0

Tak długo, jak pozostajesz z publiczną instytucją w relacji, która wymaga Twoich danych, to nie możesz. Jakie relacje Cię łaczą z US, to już nie wnikam.

0

Kontaktowałem się niedawno z ministerstwem cyfryzacji i według nich coś takiego jak soft delete przy zastosowaniu prawa do bycia zapomnianym, nie wchodzi w grę. Dane mają być po prostu usunięte z bazy danych.

To moze niech sie doedukuje. Nawet w czasach kiedy mamy GDPR soft delete jest nadal dobra opcja. Trzeba po prostu upewnic sie ze dane zostana zaszyfrowane a klucz usuniety.

1

mogę zwrócić się do Urzędu Skarbowego z żądaniem zapomnienia mnie i usunięcia wszystkich informacji o fakturach wystawionych przeze mnie

Jest jedna podstawowa zasada/sprawa związana z RODO - liczy się cel oraz przyczyna przetwarzania danych. I o ile mam prawo żądać wykasowania moich danych, bo kiedyś się zapisałem do newslettera albo sporządzili dla mnie ofertę, z której nie skorzystałem (ale do jej sporządzenia musiałem podać swoje dane), to w przypadkach chociażby faktur - nie mam takiego prawa. Wynika to z tego, że poza RODO jest jeszcze wiele innych przepisów, które nakładają na firmy pewne obowiązki - chociażby konieczność trzymania dokumentów księgowych za okres minionych 5 lat.

W każdym razie - moim zdaniem sprawa wygląda tak, że jeśli wystawiłeś klientowi jakieś faktury, to przez 5 lat nie masz powodów, żeby go kasować, czy to soft czy hard. Owszem, na jego żądanie MUSISZ go wywalić ze swojej bazy wykorzystywanej w celach marketingowych. Ponadto (to także jedno z założeń RODO) możesz mieć konieczność usunięcia z systemu księgowego informacji, które nie są konieczne (np. 3 numery telefonu, mail, PESEL itp.) - bo do spraw księgowych potrzebne jest jedynie imię, nazwisko, adres oraz czasami NIP. Dodatkowe informacje możesz sobie zostawić przez jakiś czas - np. do zakończenia udzielonej klientowi gwarancji, ale dobrze by było, żeby przed zamówieniem towaru/usługi został o tym poinformowany i wyraził zgodę.

Natomiast jeśli z klientem nie łączą Cię faktury w okresie ostatnich 5 lat, to powinieneś go usunąć. Ewentualnie, jeśli kasowanie brutalne nie wchodzi w grę, to przecież można ustawić flagę deleted a następnie we wszystkie pola wpisać xxxxxxxxxxxxx.

0
sabat24 napisał(a):

Tak długo, jak pozostajesz z publiczną instytucją w relacji, która wymaga Twoich danych, to nie możesz. Jakie relacje Cię łaczą z US, to już nie wnikam.

Czyli mogę nakazać komuś określoną implementację usuwania, a nie mogę zostać zapomnianym? To w końcu łołołoło mamy RODO, czy nie?

cerrato napisał(a):

Natomiast jeśli z klientem nie łączą Cię faktury w okresie ostatnich 5 lat, to powinieneś go usunąć.

Świetnie, ale ja nie pisałem nic o klientach.

1 użytkowników online, w tym zalogowanych: 0, gości: 1