Što je GDPR uredba?
GDPR je nova Europska regulativa čiji cilj je izjednačiti sve zakone vezane za zaštitu osobnih podataka na cijelom prostoru Europske Unije. Uvođenje uredbe će dati pojedincima više kontrole nad upravljanjem i djeljenjem osobnih podataka sa trećim stranama.
Ukratko, za uzimanje osobnih podataka (osim ako nije po zakonskoj osnovi) morat ćete dobiti pisanu ili usmenu privolu. Pravnici preporučuju uzimanje pisane dozvole jer je usmenu teško dokazati na sudu.
Pisana privola može biti i u elektroničkom obliku.
Što Opća uredba o zaštiti podataka znači za iznajmljivače?
Iznajmljivači rukuju osobnim podacima na dnevnoj bazi. Za potrebe unosa u eVisitor, svaki iznajmljivač mora u ruku uzeti osobnu iskaznicu gosta, možda je i kopirati, a neki će je čak i zadržati na neko vrijeme.
Ovo prvo je dozvoljeno. Svaki iznajmljivač ima pravo unijeti podatke sa osobne isprave u eVisitor jer je unos i prijava podataka o gostu zakonska obaveza. Ono što nije dozvoljeno je prekomjerna obrada i zadržavanje podataka.
U prijevodu, čuvanje fotokopija se NE PREPORUČUJE. A čuvanje osobnih iskaznica još i manje.
Mora li iznajmljivač informirati gosta o svrsi uzimanja njegovih podataka?
Sva pitanja vezana uz prikupljanje podataka s ciljem unosa u eVisitor su upućena na HTZ. Odgovor je prilično opsežan i sadrži dosta pravne terminologije pa ćemo izvući ono bitno.
PITANJE:
Prema novoj GDPR regulativi prije prikupljanja osobnih podataka sugerira se prikupljanje pisane dozvole od vlasnika podataka. Da li to znači da će iznajmljivači koji prijavljuju gosta u eVisitor morati dobiti pisanu dozvolu od gosta (iako je zakonska obaveza iznajmljivača da te podatke prikupi i pošalje)?Kako bi ta eventualna dozvola trebala izgledati i što sadržavati?
ODGOVOR HTZ:
(…)mišljenja smo da iznajmljivač ima pravo od gosta zatražiti identifikacijsku ispravu kako bi dobio osobne podatke koji se moraju prikupljati u posebne, izričite i zakonite svrhe, točnije radi ispunjavanja obveza koje proizlaze iz naprijed navedenih zakonskih i podzakonskih akata. Također, mišljenja smo da za unošenje podataka u sustav eVisitor nije potrebna privola ispitanika budući da se podaci prikupljaju u zakonite svrhe, s čime je potrebno upoznati ispitanika te istom objasniti da bez tih podataka iznajmljivači ne bi mogli ispuniti svoje obveze propisane zakonom, odnosno da ne mogu prijaviti gosta te mu time ne mogu pružiti uslugu smještaja.Hrvatska turistička zajednica namjerava objaviti popis zakonskih osnova, na nekoliko jezika, temeljem kojih se moraju prikupljati osobni podaci te koji se osobni podaci moraju prikupljati upravo kako bi olakšali iznajmljivačima i ostalim korisnicima eVisitora davanje jasne informacije ispitaniku. Preporučano da se taj popis isprinta i negdje jasno istakne.
PITANJE:
Smije li iznajmljivač kopirati dokumente gostiju?
ODGOVOR HTZ:
Napominjemo kako bi prema mišljenju Agencije za zaštitu osobnih podataka, preslike/skeniranja putnih isprava gostiju, a sa stajališta Zakona o zaštiti osobnih podataka, bilo prikupljanje osobnih podataka u prekomjernom opsegu. Navedeni način obrade osobnih podataka bi eventaulno bio moguć, ali samo uz izričitu privolu gosta.
PITANJE:
Kada je sve iznajmljivač dužan prikupiti privolu gosta?
ODGOVOR HTZ:
Ukoliko iznajmljivač prikuplja i obrađuje osobne podataka gostiju u svrhe marketinga, odnosno za slanje newslwttera, za navedenu obradu osobnih podataka dužan je pribaviti njihovu privolu, odnosno dužan je ispitanika unaprijed obavijestiti o namjeravanoj obradi osobnih podataka u svrhe marketinga i o pravu da se takvoj obradi usprotivi.
PITANJE:
Da li iznajmljivač mora imati voditelja obrade odataka i druge stručne osobe za obradu, prikupljanje i čuvanje informacija o gostu?
ODGOVOR HTZ:
Ne treba. Voditelja obrade podataka moraju imati kompanije koje zapošljavaju 250 i više zaposlenika.
Što kažu stručnjaci za zaštitu podataka?
Pitanje vezano uz prikupljanje privole kod unosa podataka u eVisitor smo uputili i voditelju zaštite podataka za Crionis , Ozrenu Ćuku pa prenosimo odgovor u nastavku:
(tvrtka se između ostalog bavi i usuglašavanjem poslovanja sa novom GDPR regulativom)
(..) ako postoji zakonska osnova za skupljanje osobnih podataka, tj. ako prikupljate osobne podatke na temelju nekog zakona, onda Vam nije potrebna privola. Ipak, napominjem da prema članku 13. GPDR-a imate obvezu prilikom skupljanja podataka pružiti gostu određene informacije.
Zato bi bilo dobro da prilikom skupljanja podataka gostima ponudite papir s takvim informacijama koji im objašnjava temeljem kojeg zakona prikupljate osobne podatke i tko je njihov primatelj (npr. evisitor sustav).
Ako se želite dodatno osigurati, vodite zapisnik gdje ćete upisati datum kad ste gostu predali te informacije, i gdje će se onda kraj datuma gost potpisati, čime će potvrditi da je doista od Vas primio te informacije.
Sva Vaša pitanja također možete poslati Agenciji za zaštitu podataka na azop@azop.hr, a oni su dužni u zakonskom roku od 30 dana u pisanom obliku odgovoriti na njih.
Ozren Ćuk
Data Protection Officer
Kako bi sve trebalo izgledati u praksi?
Kao što vidimo sa stajališta Turističke zajednice bit će dovoljno upozoriti gosta na svrhu prikupljanja te ga za više informacija usmjeriti na dokument koji HTZ uskoro namjerava objaviti. Isti dokument isprintajte i postavite na vidljivo mjesto.
Ovakve upite smo poslali i na AZOP međutim nismo dobili odgovor. Do odgovora ovog, glavnog državnog tijela zaduženog za provedbu i kontrolu implementacije uredbe, držat ćemo se smjernica iz HTZ-a.
GDPR će zauvijek promijeniti način na koji prikupljamo i obrađujemo podatke. Za svaku aktivnost za čije provođenje Vam trebaju osobni podaci korisnika, morat ćete dobiti izričitu privolu (najčešće napismeno ili zabilježeno putem nakog od računalnih programa).
Primjeri:
– Želite poslati svom starom gostu čestitku za rođendan. Ne smijete ukoliko ga prethodno niste zatražili dozvolu.
– Želite gosta obavijestiti o posebnom popustu ili novim sadržajima svojih apartmana. Ne smijete ukoliko od gosta niste dobili dozvolu da ga kontaktirate sa promotivnim ponudama.
– Želite koristiti sliku sa ljetovanja starih gostiju i postaviti je na svoju web stranicu? Odgovor znate.
Iz navedenog proizlazi, ako niste dobili dozvolu, bilo kakav sadržaj pomoću kojeg se može identificirati pojedinca a da Vam on za to nije dao dozvolu, ne možete koristiti u marketinške svrhe.
Ostali sigurnosni naputci:
Provjerite antivirus na svojim računalima. Lozinke za pristupanje sustavu eVisitor ne dijelite.
Izvor: Klub iznajmljivača