Prakticky na všechny firmy v oblasti cestovního ruchu dopadne nové evropské nařízení o ochraně osobních údajů. Obecné nařízení o ochraně osobních údajů nebo také GDPR (General Data Protection Regulation) bude účinné od 25. května 2018. Byť se to zdá daleko, není tomu tak. Tento článek nastíní, co nové nařízení znamená pro aktéry v cestovním ruchu a doporučí, jaké kroky je potřeba udělat právě teď.
Do centra pozornosti se evropské nařízení dostává především díky astronomickým sankcím, které lze za jeho porušení uložit. Dvacet milionů eur nebo 4 procenta celosvětového obratu není málo. Pokuty jsou stanoveny v takové výši, aby byly „odrazující“, ale také „účinné a přiměřené“, tudíž by neměly být v konkrétním případě uděleny v takové výši, aby byly likvidační. V každém případě se ale jedná o předpis, který je třeba brát vážně.
U evropských předpisů jsme běžně zvyklí na směrnice, které je potřeba provádět našimi zákony. To v případě nařízení neplatí. Nařízení je totiž bezprostředně závazné pro celou EU a žádného prováděcího zákona nebude potřeba. Kromě toho má vyšší právní sílu než naše běžné zákony.
Nařízení reguluje zpracovávání jakýchkoliv osobních údajů zaměstnanců, klientů nebo dalších osob. Jednoduše všech lidí. Mezi osobní údaje přitom patří především jejich jména, příjmení, data narození, ale i všechny další údaje, ze kterých lze někoho přímo či nepřímo identifikovat. Je třeba upozornit, že osobním údajem je bez pochyb i fotografie, kamerový záznam s tváří člověka nebo údaj o poloze. Nařízení se vztahuje jak na počítačové, tak i manuální zpracovávání osobních údajů. Nařízení se tak dotkne prakticky každé firmy v Evropské unii.
Zorientovat se v novém nařízení není jednoduché. Nejen kvůli délce textu normy, ale především proto, že řada ustanovení není vysvětlena výkladovými stanovisky a v současnosti ještě nejsou tomuto nařízení přizpůsobeny další předpisy. Pro základní představu lze vybrat jen několik nejdůležitějších povinností.
Správci osobních údajů, tedy v našem případě cestovní kanceláře, hotely, restaurace a jakékoliv další subjekty v oblasti cestovního ruchu, musejí v první řadě zajistit, aby tam, kde je to potřeba, získali od subjektu údajů ke sběru osobních údajů souhlas. Souhlas musí být vyjádřen na základě srozumitelného vysvětlení a poučení. Souhlasy musí být správce schopen doložit kontrolnímu orgánu. Správce musí také zavést způsob pro odvolání udělení souhlasu. Zvláštní podmínky jsou upraveny pro případ, že souhlas se zpracováním osobních údajů udělí děti.
V souvislosti se souhlasy zakotvuje nařízení rovněž povinnost správce informovat dotčenou osobu o způsobu nakládání s jejími osobními údaji. V případě automatizovaného zpracování budou správci muset umět exportovat sbírané osobní údaje, pokud o to člověk, kterého se údaje týkají, požádá. Nařízení zakotvuje také široce medializované změny, jako právo osob, aby jejich údaje byly po určité době vymazány, tedy tzv. „právo být zapomenut“.
Nově bude nutné v některých případech, kdy jsou práva osob dotčena nejvíce, průběžně posuzovat vliv zamýšlených operací na ochranu osobních údajů. V některých případech bude muset správce a zpracovatel osobních údajů jmenovat tzv. pověřence pro ochranu osobních údajů (DPO – „Data Protection Officer“). Pověřenec má být nezávislou osobou, která se vyzná v ochraně osobních údajů a ideálně také v činnosti, kterou správce nebo zpracovatel vykonávají.
Těžištěm GDPR je ale praktické fungování. Správcům i zpracovatelům je uložena povinnost vést záznamy o činnostech zpracování osobních údajů a na jejich základě přijmout opatření k ochraně osobních údajů. Pokud k porušení zabezpečení osobních údajů z jakéhokoliv důvodu přece jen dojde, musí správce osobních údajů bez zbytečného odkladu, zpravidla však do 72 hodin, na to upozornit dozorový úřad.
Řada povinností není v tento moment dostatečně určitě dořešena. Vznikne řada doprovodných předpisů a výkladových stanovisek, které implementaci během podzimu 2017 zjednoduší. V každém případě je třeba ale začít následujícími kroky již nyní:
Advokát, který se zabývá poradenstvím ohledně GDPR a ochrany osobních údajů. Je partnerem advokátní kanceláře Holubová advokáti s. r. o., specializující se na cestovní ruch.
Vážení čtenáři, Váš oblíbený portál Celyoturismu.cz bude v horizontu 3 měsíců uzavřen. To podstatné z cestovního ruchu – vývoj, statistiky, analýzy, legislativní problematiku atd. – proto nově najdete na zpravodajském portálu Hospodářské komory ČR www.komoraplus.cz a také ve...
Asociace hotelů a restaurací ČR (AHR) ve spolupráci se společností Data Servis – informace zveřejnila výsledky vývoje tržeb v ubytovacích a stravovacích zařízeních za první čtvrtletí letošního roku. Z průzkumu vyplývá, že provozovatelé restaurací zažívají postupný návrat hostů na...
Během 84. valného shromáždění konfederace HOTREC, které se uskutečnilo v Praze, obdržel Pavel Hlinka evropské ocenění za svůj mimořádný přínos k propagaci odvětví cestovního ruchu a pohostinství v České republice. V tiskové zprávě to uvedla Asociace hotelů a restaurací České republiky (AHR...
