Polako se počinje dizati prašina oko nove EU uredbe (GDPR) koja će promijeniti način na koji se iznajmljivači ophode s podatcima gostiju. Kazne za nepoštivanje Opće uredbe za zaštitu podataka mogu sezati do vrtoglavih 20 milijuna eura, tako da implementaciju treba shvatiti prilično ozbiljno.
GDPR stupa na snagu za točno mjesec dana 25. svibnja 2018., a evo što kao privatni iznajmljivač trebate znati o njoj.
Što je GDPR uredba?
GDPR je nova Europska regulativa čiji cilj je izjednačiti sve zakone vezane za zaštitu osobnih podataka na cijelom prostoru Europske Unije. Uvođenje uredbe će dati pojedincima više kontrole nad upravljanjem i djeljenjem osobnih podataka s trećim stranama.
Ukratko, za uzimanje osobnih podataka (osim ako nije po zakonskoj osnovi) morat ćete dobiti pisanu ili usmenu privolu. Pravnici preporučuju uzimanje pisane dozvole jer je usmenu teško dokazati na sudu. Pisana privola može biti i u elektroničkom obliku.
Što Opća uredba o zaštiti podataka znači za iznajmljivače?
Iznajmljivači rukuju osobnim podacima na dnevnoj bazi. Za potrebe unosa u eVisitor, svaki iznajmljivač mora u ruku uzeti osobnu iskaznicu gosta, možda je i kopirati, a neki će je čak i zadržati na neko vrijeme.
Ovo prvo je dozvoljeno. Svaki iznajmljivač ima pravo unijeti podatke sa osobne isprave u eVisitor, jer je unos i prijava podataka o gostu zakonska obaveza. Ono što nije dozvoljeno je prekomjerna obrada i zadržavanje podataka.
U prijevodu, čuvanje fotokopija se NE PREPORUČUJE. A čuvanje osobnih iskaznica još i manje.
Mora li iznajmljivač informirati gosta o svrsi uzimanja njegovih podataka?
Sva pitanja vezana uz prikupljanje podataka s ciljem unosa u eVisitor Klub iznajmljivača Hrvatske uputio je Hrvatskoj turističkoj zajednici, a evo sažetka njihovog odgovora.
Prema novoj GDPR regulativi prije prikupljanja osobnih podataka sugerira se prikupljanje pisane dozvole od vlasnika podataka. Da li to znači da će iznajmljivači koji prijavljuju gosta u eVisitor morati dobiti pisanu dozvolu od gosta (iako je zakonska obaveza iznajmljivača da te podatke prikupi i pošalje)?Kako bi ta eventualna dozvola trebala izgledati i što sadržavati?
HTZ - (...)mišljenja smo da iznajmljivač ima pravo od gosta zatražiti identifikacijsku ispravu kako bi dobio osobne podatke koji se moraju prikupljati u posebne, izričite i zakonite svrhe, točnije radi ispunjavanja obveza koje proizlaze iz naprijed navedenih zakonskih i podzakonskih akata. Također, mišljenja smo da za unošenje podataka u sustav eVisitor nije potrebna privola ispitanika budući da se podaci prikupljaju u zakonite svrhe, s čime je potrebno upoznati ispitanika te istom objasniti da bez tih podataka iznajmljivači ne bi mogli ispuniti svoje obveze propisane zakonom, odnosno da ne mogu prijaviti gosta te mu time ne mogu pružiti uslugu smještaja.
Hrvatska turistička zajednica namjerava objaviti popis zakonskih osnova, na nekoliko jezika, temeljem kojih se moraju prikupljati osobni podaci te koji se osobni podaci moraju prikupljati upravo kako bi olakšali iznajmljivačima i ostalim korisnicima eVisitora davanje jasne informacije ispitaniku. Preporučano da se taj popis isprinta i negdje jasno istakne.
Smije li iznajmljivač kopirati dokumente gostiju?
HTZ - Napominjemo kako bi prema mišljenju Agencije za zaštitu osobnih podataka, preslike/skeniranja putnih isprava gostiju, a sa stajališta Zakona o zaštiti osobnih podataka, bilo prikupljanje osobnih podataka u prekomjernom opsegu. Navedeni način obrade osobnih podataka bi eventaulno bio moguć, ali samo uz izričitu privolu gosta.
Kada je sve iznajmljivač dužan prikupiti privolu gosta?
HTZ - Ukoliko iznajmljivač prikuplja i obrađuje osobne podataka gostiju u svrhe marketinga, odnosno za slanje newslwttera, za navedenu obradu osobnih podataka dužan je pribaviti njihovu privolu, odnosno dužan je ispitanika unaprijed obavijestiti o namjeravanoj obradi osobnih podataka u svrhe marketinga i o pravu da se takvoj obradi usprotivi.
Da li iznajmljivač mora imati službenika za zaštitu osobnih podataka
HTZ - Prema članku 37. Uredbe službenik za zaštitu podataka imenuje se u svakom slučaju u kojem:
a) obradu provodi tijelo javne vlasti ili javno tijelo, osim za sudove koji djeluju u okviru svoje sudske nadležnosti,
b) osnovne djelatnosti voditelja obrade ili izvršitelja obrade sastoje se od postupaka obrade koji zbog svoje prirode, opsega i/ili svrha iziskuju redovito i sustavno praćenje ispitanika u velikoj mjeri, ili
c) osnovne djelatnosti voditelja obrade ili izvršitelja obrade sastoje se od opsežne obrade posebnih kategorija podataka na temelju članka 9. i osobnih podataka u vezi s kaznenim osudama i kažnjivim djelima iz članka 10.
Agencija za zaštitu osobnih podataka mišljenja je da to ne bi bio slučaj kod iznajmljivača, odnosno da isti nisu obvezni imenovati službenika za zaštitu osobnih podataka.
Što kažu stručnjaci za zaštitu podataka?
Pitanje vezano uz prikupljanje privole kod unosa podataka u eVisitor Klub iznajmljivača Hrvatske uputo je i voditelju zaštite podataka za Crionis, Ozrenu Ćuku, čija se tvrtka između ostalog bavi i usuglašavanjem poslovanja sa novom GDPR regulativom. Evo što je odgovorio:
(..) ako postoji zakonska osnova za skupljanje osobnih podataka, tj. ako prikupljate osobne podatke na temelju nekog zakona, onda Vam nije potrebna privola. Ipak, napominjem da prema članku 13. GPDR-a imate obvezu prilikom skupljanja podataka pružiti gostu određene informacije.
Zato bi bilo dobro da prilikom skupljanja podataka gostima ponudite papir s takvim informacijama koji im objašnjava temeljem kojeg zakona prikupljate osobne podatke i tko je njihov primatelj (npr. evisitor sustav).
Ako se želite dodatno osigurati, vodite zapisnik gdje ćete upisati datum kad ste gostu predali te informacije, i gdje će se onda kraj datuma gost potpisati, čime će potvrditi da je doista od Vas primio te informacije.
Sva Vaša pitanja također možete poslati Agenciji za zaštitu podataka na azop@azop.hr, a oni su dužni u zakonskom roku od 30 dana u pisanom obliku odgovoriti na njih.
Ozren Ćuk, Data Protection Officer
Kako bi sve trebalo izgledati u praksi?
Sa stajališta Turističke zajednice bit će dovoljno upozoriti gosta na svrhu prikupljanja te ga za više informacija usmjeriti na dokument koji HTZ uskoro namjerava objaviti. Isti dokument isprintajte i postavite na vidljivo mjesto.
GDPR će zauvijek promijeniti način na koji prikupljamo i obrađujemo podatke. Za svaku aktivnost za čije provođenje Vam trebaju osobni podaci korisnika, morat ćete dobiti izričitu privolu (najčešće napismeno ili zabilježeno putem nakog od računalnih programa).
Primjeri:
- Želite poslati svom starom gostu čestitku za rođendan. Ne smijete ukoliko ga prethodno niste zatražili dozvolu.
- Želite gosta obavijestiti o posebnom popustu ili novim sadržajima svojih apartmana. Ne smijete ukoliko od gosta niste dobili dozvolu da ga kontaktirate sa promotivnim ponudama.
- Želite koristiti sliku sa ljetovanja starih gostiju i postaviti je na svoju web stranicu? Odgovor znate.
Iz navedenog proizlazi, ako niste dobili dozvolu, bilo kakav sadržaj pomoću kojeg se može identificirati pojedinca a da Vam on za to nije dao dozvolu, ne možete koristiti u marketinške svrhe.
Ostali sigurnosni naputci:
Provjerite antivirus na svojim računalima. Lozinke za pristupanje sustavu eVisitor ne dijelite.
ŽELITE ZNATI VIŠE?
Za sve koji bi htjeli znati više o navedenoj uredbi Klub iznajmljivača Hrvatske pripremio je PDF vodič koji možete preuzeti OVDJE.