Tvrtke i iznajmljivači u sektoru turizma i hotelijerstva rukuju velikim količinama osobnih podataka, što u prijevodu znači da se i na njih primjenjuju odredbe iz novog zakona, Opće uredbe o zaštiti podataka (GDPR-a). GDPR donosi strože propise za obradu osobnih podataka koje se odnose na sve tvrtke, udruge i javne ustanove – pa tako i na iznajmljivače.
U ovome ćemo vam članku prikazati koje su vaše obveze kao pružatelja turističkih usluga te posebno naglasiti situacije na koje je potrebno dodatno pripaziti. Naravno, dosta toga ovisi o vašim neposrednim okolnostima, ali ovi bi vam savjeti mogli poslužiti kao dobar vodič.
Otkud „problemi“ s turizmom?
Ne čudi da se u raznim analizama hotelijerska i turistička industrija smještaju u sam vrh prema riziku od povreda i gubitka podataka. Turističku industriju karakterizira veliki protok ljudi, užurbani rad i obrada poprilične količine osobnih podataka, što može biti osobito pogubno po njihovu sigurnost. Nedostaje obrazovanih stručnjaka, a zbog dinamike posla za obrazovanje novih zaposlenika nema previše vremena.
I vrsta samih podataka tu igra ulogu, jer se danas sve češće plaća kreditnim karticama, a osobito preko Interneta. Takvi podaci su kriminalcima posebno zanimljivi. Ne treba zaboraviti ni činjenicu da se često radi o stranim turistima čija je svijest o zaštiti osobnih podataka u pravilu veća nego u domaćih turista.
Zbog niske razine svijesti o zaštiti osobnih podataka, njima se ne pridaje osobita važnost pa se oni koriste u razne svrhe, i to najčešće bez sankcija, što dodatno pogoršava situaciju. Ipak, novom su uredbom za najteže prekršaje predviđene kazne i do 20 milijuna eura, pa se više ne radi o pukoj pravnoj formalnosti.
Slijedi pregled spornih točaka po kategorijama.
DPO i evidencije
Mali iznajmljivači ne podliježu obavezi imenovanja službenika za zaštitu podataka (Data Protection Officer – DPO), a što se tiče evidencija svakako preporučujemo da ih vodite jer vam to može poslužiti kao dokaz da ste podatke obrađivali prema propisima. O obaveznom sadržaju evidencija i uvjetima za njihovo vođenje saznajte više ovdje.
Tvrtke s manje od 250 zaposlenih u pravilu ne moraju voditi evidencije, osim ako obrađuju zaštićene kategorije osobnih podataka (podatke vezane uz religijsku i političku pripadnost osobe, medicinske kartone, itd.). Budući da to u turizmu uglavnom nije slučaj, ne postoji izravna obveza vođenja evidencija.
Veće tvrtke poput hotelijerskih lanaca vrlo će vjerojatno trebati imenovati službenika za zaštitu podataka, što zbog administrativne obveze, što zbog stvarnih potreba.
Administracija je općenito pojednostavljena uvođenjem eVisitor sustava koji služi i kao svojevrsna evidencija obrade.
Što s eVisitor sustavom?
Od 1. siječnja 2016. u Hrvatskoj se za evidentiranje turista koristi mrežni eVisitor sustav. Svi iznajmljivači i ostali pružatelji usluga smještaja dužni su u sustav prijavljivati odnosno odjavljivati dolaske turista. Za turiste izvan Europskog gospodarskog prostora potrebna je i dodatna prijava policijskoj upravi (koja se doduše uglavnom odvija automatski preko istog sustava).
Kako biste to mogli napraviti, potrebni su vam osobni podaci turista.
VI imate pravo te podatke prikupljati i koristiti u svrhu unosa u eVisitor sustav, a to pravo proizlazi iz vaše zakonske obveze. Takva je obrada u potpunosti u skladu s GDPR-om.
Jasno, ako vam gost odbije dati svoje osobne podatke, vi mu imate pravo odbiti pružiti uslugu. Kako biste spriječili nastanak neugodnih situacija, gosta o činjenici da tražite osobne podatke možete obavijestiti prije ili tijekom samog postupka bukiranja (pogotovo ako smještaj oglašavate na Internetu).
Prilikom same prijave od gosta dodatno možete tražiti da potpiše formular u kojem se dodatno objašnjavaju razlozi obrade. U formularu jasno naznačite koje ćete podatke obrađivati:
- broj identifikacijske isprave
- ime i prezime gosta
- spol
- prebivalište
- država rođenja
- datum rođenja
- državljanstvo
- način dolaska turista
Formular smije sadržavati i dodatne zamolbe, kao recimo za kontaktiranje u marketinške svrhe, no to mora biti jasno odijeljeno i naznačeno i tu mogućnost gost mora jasno zaokružiti ili označiti da bi privola bila valjana. Očekujemo od turističkih zajednica da olakšaju život malim iznajmljivačima donošenjem višejezičnih predložaka formulara/obavijesti. Nadamo se da će to uskoro zaživjeti.
Dodatno, turist može biti oslobođen plaćanja boravišne pristojbe ako zadovoljava određene kategorije izvan gore navedenih, npr. invaliditet. Isto tako, u eVisitor sustavu postoji polje za unos telefonskog broja i/ili e-mail adrese turista, no budući da unos tih podataka nije obavezan, za obradu takvih podataka treba vam izričita privola gosta.
Prijava dnevnog boravka zakonski nije obavezna, ali se preporučuje. U tome slučaju najbolje je od gosta tražiti privolu kao i u prethodnim slučajevima.
No što s tim podacima nakon što ih unesete?
“Uzeli su mi osobnu, a nemam pojma zašto!” Izbjegnite nesporazume i nezadovoljstvo pravovremenom komunikacijom.
Pohrana podataka gostiju
Stvar koju iznajmljivači (a i neki veći pružatelji turističkih usluga) često rade jest kopiranje osobnih dokumenata „radi lakšeg unosa“ i slično. Dobronamjerni domaćini često posežu za time jer uzimanje identifikacijskih dokumenata gostima može stvarati neugodnosti, osobito ako će vam za unos tih podataka trebati više vremena. Budući da bez identifikacijskog dokumenta u načelu krše zakon ako odu u šetnju, svima je u cilju te formalnosti oko check-ina riješiti što je prije moguće.
Međutim, izrada preslika osobnih dokumenata nije dozvoljena. To se smatra prekomjernom obradom i prema GDPR-u je zabranjeno. Osobito je zabranjeno ako te podatke planirate pohraniti za daljnju upotrebu, čime radite grubu povredu propisa. Načelno, vi imate pravo izraditi presliku dokumenta samo ako od gosta dobijete izričitu privolu (ili vas ovaj to zatraži), no onda tu obradu temeljite na privoli. Savjetujemo da to izbjegavate jer si time samo na leđa svaljujete dodatne brige – treba te privole i dokumentirati, pa zatim preslike uništiti i sl.
Osobne podatke bilo koje vrste ne biste trebali pohranjivati duže no što je potrebno da se ispuni svrha radi koje ste ih prikupili.
Najsigurnije je gostu nakon unošenja podataka vratiti identifikacijski dokument bez ikakve daljnje obrade. Vi ste svoju zakonsku obavezu ispunili. Hoće li vam gost na vaš zahtjev dati broj mobitela ili podatke da ga možete kontaktirati u hitnom slučaju, to je njegova stvar na koju vi nemate utjecaja.
O obradi u svrhu marketinga više u idućim odjeljcima…
Mrežne stranice
Ako se oglašavate na raznim servisima poput Bookinga ili AirBnba, nemate previše briga jer poslove usklađivanja stranica s novim zakonom provode oni sami. Međutim, ako imate svoju web-stranicu, morate se pobrinuti da je uskladite s GDPR-om.
A što to znači? To znači da svim posjetiteljima morate jasno navesti koristite li mrežne kolačiće (i omogućiti im da ih odbiju). Također, Izjavu o privatnosti morate sročiti lako razumljivim i jednostavnim jezikom, pri tome navodeći sve svrhe u koje podatke namjeravate obrađivati i razloge za njihovu obradu. Budući da se usluge pružaju i strancima, trebali biste ih i prevesti na nekoliko svjetskih jezika.
Ako na svojoj stranici nudite i mogućnost rezerviranja smještaja i mrežnog plaćanja, dužni ste na adekvatan način zaštititi korisnike i njihove podatke (korištenjem tehnologija kriptiranja poput SSL-a i slično). Ako koristite usluge obrade plaćanja ostalih tvrtki (poput PayWay sustava i sl.), onda je ta tvrtka izvršitelj obrade, a međusobni odnos vi odnosno vaša tvrtka s njome regulira zasebnim ugovorom. Nadalje, vaš bi web-poslužitelj trebao biti smješten na području Europske unije jer se u suprotnom na vas primjenjuju propisi za iznošenje podataka izvan EU-a.
Što se plaćanja tiče, osobne podatke u tom slučaju obrađujete na zakonskoj osnovi nužnosti obrade za izvršavanje ugovornih obveza (u ovom slučaju, kupoprodaje).
Muke po marketingu
Šećer na kraju! Što se marketinga tiče, tu će biti najviše promjena, i to na gore. Bilo da ste veliki hotel, hostel ili mali iznajmljivač, na vas se primjenjuju isti propisi koji su prilično strogi.
Dakle, osobne podatke koje prikupite od gostiju za svrhu evidentiranja u eVisitor sustav ne smijete zadržati i koristiti za marketing bez izričite privole gosta (preporučujemo potpisani dokument). Ako osobne podatke prikupljate preko Interneta, onda je potrebno korisniku ponuditi potvrdni okvir koji je potrebno označiti za valjanost privole.
To se načelo naziva ograničenjem svrhe, a ukratko znači da podatke smijete obrađivati samo u one svrhe izričito navedene u privoli. Ako vam gost da dozvolu samo da ga kontaktirate s novim ponudama za smještaj, to ne znači da mu smijete slati čestitke ili njegove podatke prosljeđivati ostalim voditeljima obrade. Jednako tako, ako ste dobili dozvolu samo za kontakt putem e-maila, ne smijete gosta zvati na telefon ili slati ponude poštom.
Ima toga još: podatke koje trenutno posjedujete nakon 25. svibnja nećete smjeti koristiti, osim ako su prikupljeni u skladu s GDPR-om (a vjerojatno nisu). Nasreću, postojeće korisnike koje imate u bazi pretplatnika smijete tražiti potvrdu da i dalje od vas žele primati promotivne materijale. To je tzv. „osvježavanje privole“. Nažalost, to znači i da ćete iz svojih baza morati ukloniti sve kontakte koji vam to ne potvrde.
Čak i ako dobijete privole korisnika, nemojte ih prečesto zatrpavati poštom. Osim što možda činite prekršaj, to je i kontraproduktivno. Ako korisnici od vas zatraže uklanjanje adrese s mailing liste, dužni ste zahtjev uvažiti što je prije moguće. Korisnici imaju još nekoliko važnih prava o kojima više možete saznati ovdje. Kupovina tuđih mailing lista nije dozvoljena.
S druge strane, nemojte biti previše plahi: ako vam potencijalni gost pošalje upit o smještaju ili usluzi, naravno da mu smijete odgovoriti bez traženja privole. I ovdje se, kao kod plaćanja, radi o osnovi izvršavanja ugovorne obveze jer se ona primjenjuje i na iskazivanje namjere za sklapanje ugovora. Ključno je da tog gosta ne smijete dalje gnjaviti s promotivnim porukama.
Dokumentirajte sve privole koje pribavite, jer to će vam najčešće biti jedini dokaz da podatke obrađujete na zakonit način. Više informacija o privolama i ispravnom načinu pribavljanja privole možete pronaći ovdje.
U slučaju najgoreg…
Ako dođe do povrede podataka (krađe, gubitka, neovlaštenog rukovanja), dužni ste o tome obavijestiti Agenciju za zaštitu podataka što je prije moguće, a najkasnije u roku od 72 sata. O povredi morate obavijestiti i osobe čiji su podaci izloženi riziku. Ako je povreda razmjerno bezazlena, niste dužni obavještavati nikoga, no tu se javlja drugi problem – kako bez stručnjaka znati je li povreda bezazlena ili nije? Teško… Zato je uvijek bolje prijaviti nepravilnosti.
Turizam na udaru?
Možda se ne čini tako, ali pružatelji usluga u turizmu u očima GDPR-a ne predstavljaju nikakav izuzetak. Svi propisi koji se primjenjuju na ostale tvrtke i javna tijela primjenjuju se i na turističke djelatnosti; posebnost leži u klijenteli i prirodi posla. Veća je izloženost mogućim povredama, a i rukuje se s mnogo osobnih podataka.
Zato je važno pripremiti se na vrijeme kako ne bi došlo do naglog pada vašeg ugleda kao pružatelja kvalitetne usluge koji brine o svakom gostu. Baš kao što je važno gostima pružiti udoban i kvalitetan smještaj, od sada će pažnju biti potrebno obratiti i na zaštitu njihovih osobnih podataka.
Za više općenitih informacija o GDPR-u, posjetite naš vodič za početnike.
