GDPR pro cestovní kanceláře

GDPR neboli Obecné nařízení o ochraně osobních údajů (původně General Data Protection Regulation) je novým nařízením, které bude mít významný dopad na řadu subjektů i cestovních kanceláří. Co je GDPR a co v praxi znamená pro cestovní kanceláře?

 

Co je GDPR

GDPR je legislativním opatřením Evropské unie. Toto nařízení má chránit osobní údaje občanů a v platnost vstoupilo konkrétně 25. května 2018. Pro firmy a podnikatele to při nakládání s těmito informacemi a jejich zpracovávání znamená celou řadu povinností.

Pod osobními údaji se pak rozumí jakékoli informace, které jsou vztaženy k identifikované či identifikovatelné fyzické osobě. Tato osoba musí udělit svůj výslovný souhlas k nakládání s takovýmito informacemi.

 

Jaké povinnosti musí firma splnit

Zásadní novinkou je institut tzv. pověřence. Jeho klíčovou povinností má být, velmi jednoduše řečeno, dohlížení nad tím, zda se s daty uživatelů opravdu nakládá v souladu s tím, co GDPR stanovuje.

Na starosti by měl mít taktéž celkovou agendu ohledem těchto dat. Zásadní totiž je, aby to, co je uváděno v dokumentech, bylo v souladu se skutečností. Ostatně samotný subjekt má vyhrazeno právo na informace, jak se s jeho osobními údaji nakládá a v případě, že by předepsaný postup nebyl dodržen, má nárok se domáhat stejně tak nápravy.

V rámci GDPR je navíc nutné rozlišit, v jaké roli ve vztahu k občanovi subjekt přesně stojí. Může být správcem nebo zpracovatelem. Rozdíl je mezi nimi definovatelný takto: Zpracovatel smí s osobními údaji nakládat pouze tak, jak jak mu správce uloží. Osobní údaje jsou mu tedy poskytnuty třetí stranou a tato i určuje konkrétní rozsah činností, jež může s těmito daty provádět. Správcem může být fyzická i právnická osoba.

 

Jaký dopad bude mít na cestovní kanceláře

GDPR se tak dotklo prakticky mnoha oblastí a ani cestovní ruch není výjimkou. Cestovní kanceláře i agentury musejí osobní údaje svých klientů nevyhnutelně distribuovat svým partnerům, a to i v zahraničí. Bez toho by nebylo možno už z podstaty službu realizovat.

Implementace GDPR do firemních procesů je tak absolutně nezbytná. V první řadě by tak měla přijít analýza typu informací, se kterými se v dotyčné cestovní kanceláři pracuje. V rámci distribuce informací v mezinárodním měřítku je pak potřeba dodržet primárně dvě klíčové zásady. Jsou jimi přiměřenost a transparentnost. Zásadně tak platí, že šířit je potřeba jen ty informace, u kterých je to nezbytně nutné a potřebné pro realizaci záměru tzn. pro organizaci zájezdu.

Dále je nutné zcela otevřeně klienta cestovní kanceláře či agentury informovat o tom, co se s jeho osobními údaji stane a kdo k nim bude mít přístup. Což by samozřejmě v individuálním měřítku bylo procesně velmi náročné. Nejschůdnější cestou, jak tato pravidla obsáhnout, proto jednoznačně je vhodná úprava všeobecných obchodních podmínek.

V případě třetích zemí, tzn. států nepatřících do EU, na které se GDPR nevztahuje, platí v první řadě stále již zmiňovaná informační povinnost vůči klientovi. Navíc by ho měla odkázat na odpovídající opatření o ochraně osobních údajů, která obdobně v této zemi platí. Alespoň pokud tedy takováto právní úprava existuje. Pakliže ne, GDPR samozřejmě cestovní kanceláři z principu nemůže zapovídat osobní údaje do této země předat.

 

Typ informací zpracovávaných cestovní kanceláří

Titul, jméno, příjmení, datum a místo narození, rodné číslo, místo trvalého pobytu (ulice a číslo, obec, PSČ), státní občanství, telefonní číslo, e-mail, číslo cestovního dokladu, platnost cestovního dokladu, bankovní spojení, kontaktní údaje na blízké osoby. V případě, že cestovní kancelář zprostředkovává stejně tak udělování víz na zastupitelských úřadech, rozsah osobních údajů se dále rozšiřuje na další údaje jako fotografie.

 

Tento materiál má pouze informační charakter a jeho text není právně závazný.