Prema novoj općoj uredbi o zaštiti osobnih podataka (GDPR) koja 25.05.2018. stupa na snagu, donosimo očitovanje AZOP-a (agencije za zaštitu podataka).
1. Tko su obveznici nove GDPR uredbe?
U odnosu na vaše pitanje, ističemo da su obveznici primjene Opće uredbe sve pravne i fizičke osobe (kada obrađuju osobne podatke izvan okvira potreba kućanstva) koji u obavljanju određene profesionalne aktivnosti obrađuju osobne podatke, što uključuje i turistički sektor.
2. Prema novoj regulativi prije prikupljanja osobnih podataka sugerira se prikupljanje pisane dozvole od vlasnika podataka. Da li to znači da će iznajmljivači koji prijavljuju gosta u eVisitor morati dobiti pisanu dozvolu od gosta (iako je zakonska obaveza iznajmljivača da te podatke prikupi i pošalje)?
Člankom 6., stavkom 1. Opće Uredbe je propisano da je obrada zakonita samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećega:
(a) ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha;
(b) obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora;
(c) obrada je nužna radi poštovanja pravnih obveza voditelja obrade;
(d) obrada je nužna kako bi se zaštitili ključni interesi ispitanika ili druge fizičke osobe;
(e) obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade;
(f) obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.
Ako je pravni temelj za obradu osobnih podataka pravna obveza voditelja obrade, tada ta pravna osnova mora biti utvrđena u pravu Unije ili pravu države članice kojem voditelj obrade podliježe, a tom pravnom osnovom mora biti određena i svrha obrade.U konkretnom slučaju, pravni temelj za obradu osobnih podataka gostiju — turista je Zakon o boravišnoj pristojbi (NN 152/08, 59/09, 97/13, 158/13 i 30/14) te Pravilnik o načinu vođenja popisa turista te o obliku i sadržaju obrasca prijave turista turističkoj zajednici (NN126/15). S tim u vezi nije potrebno dodatno tražiti suglasnost / privolu gosta za obradu njegovih osobnih podataka.
3. Prema GDPR, gost mora biti obaviješten u koju svrhu će se njegovi podaci koristiti. Kako bi ta eventualna dozvola trebala izgledati i što sadržavati?
Člankom 5., stavkom 2. navedenog Pravilnika propisano je da obrazac prijave i odjave turista, a koji se dostavlja turističkoj zajednici putem sustava eVisitor, sadrži sljedeće podatke o turistima: prezime i ime; mjesto, država i datum rođenja, državljanstvo; vrsta i broj isprave o identitetu; prebivalište (boravište) i adresa; datum i vrijeme dolaska, odnosno odlaska iz objekta; spol; napomena i broj prijave.
Nadalje, Opća uredba o zaštiti podataka sukladno načelu transparentnosti zahtjeva od svakog voditelja obrade (dakle i od iznajmljivača) da poduzme odgovarajuće mjere kako bi se ispitaniku pružile sve informacije u vezi s obradom osobnih podataka te da da svaka informacija namijenjena javnosti ili ispitaniku bude sažeta, lako dostupna i razumljiva. Takva bi se informacija također mogla dati u elektroničkom obliku, na primjer na internetskim stranicama. To je osobito bitno u situacijama u kojima ispitaniku nije lako prepoznati i razumjeti prikupljaju li se osobni podaci o njemu, tko ih prikuplja i u koju svrhu, kao što je slučaj internetskog oglašavanja.
Zaključno, čl. 24. Opće uredbe o zaštiti podataka propisano je da, uzimajući u obzir prirodu, opseg, kontekst i svrhe obrade, kao i rizike različitih razina vjerojatnosti i ozbiljnosti za prava i slobode pojedinaca, svaki voditelj obrade provodi odgovarajuće tehničke i organizacijske mjere kako bi osigurao i mogao dokazati da se obrada provodi u skladu s ovom Uredbom.
Kako smo zakonski obvezani prikupiti podatke gosta privolu pisanu ne trebamo dobivati (ovo se odnosi na prikupljanje podataka za potrebe unosa u eVisitor).
Za sve druge svrhe je potrebno dobiti privolu. Isto tako goste se mora informirati na sažet i transparentan način o svrsi prikupljanja osobnih podataka.
Još jednom vas podsjećamo na obavijest za iznajmljivače vezano za GDPR koji možete skinuti na ovom LINKU.
Preuzeto sa: klub iznajmljivača