GDPR zvuči kao još jedan od akronima kojima nas zasipaju svakodnevno iz medija i javnih službi, a koji nas se malo tiču. Je li zbilja tako ili je GDPR nešto što će promijeniti praksu poslovanja domaćina?
GDPR (General Data Protection Regulation) je
Uredba (EU) 2016/679 Europskog parlamenta i Vijeća, koja se odnosi na zaštitu pojedinaca u vezi s obradom i načinom korištenja osobnih podataka.
Što zaštita osobnih podataka ima s iznajmljivačima?
U skladu s posebnim propisima, iznajmljivač je dužan prikupiti osobne podatke gostiju pa iste unijeti u
sustav eVisitor. Ta praksa je puno starija od samog eVisitora - oduvijek je bilo propisano da iznajmljivači traže od svojih gostiju uvid u njihove identifikacijske dokumente te da ih, na temelju istih, prijavljuju u turističku zajednicu i evidentiraju u knjige gostiju.
Knjiga gostiju više nije obvezna za domaćine koji sve svoje goste upisuju u sustav eVisitor, koji služi i kao platforma za prijavu i odjavu te kao evidencija naših gostiju.
S obzirom na to da je
GDPR izglasan 27. travnja 2016. godine, a na snagu stupa 25. svibnja 2018. godine, nakon prijelaznog roka od 2 godine, posljednjih mjeseci se o ovoj Uredbi raspravlja mnogo. Zašto? Zato što je to krovni zakon EU koji se implementira u zakonodavstvo svih država članica bez naknadne (re)interpretacije. Zato što ta Uredba, čije je donošenje trajalo pune 4 godine, uređuje područje prikupljanja, obrade i korištenja osobnih podataka, što je u današnjem digitalnom dobu, najvažniji resurs i kapital bilo koje ozbiljne tvrtke.
Informacija je zlato današnjice, a pristup informacijama zlatna vrata uspjeha. Naši
osobni podaci, ponašanje, navike, kretanje, hobiji, vjersko opredjeljenje, politički stavovi, sve to zanima
"velikog brata" i to nije scenarij nekakvog znanstveno-fantastičnog filma, već slika sadašnjosti. Primjećujete li kako vas internetom slijede oglasi baš za one proizvode i usluge koje ste pretraživali i za koje ste se raspitivali nedavno?
Naši osobni podaci su izuzetno vrijedni i ključni za dizajniranje marketinških strategija različitih tvrtki, kako bi nama, krajnjim konzumentima, uspjeli prodati svoje proizvode.
Utrka u prikupljanju informacija ne zaobilazi nedopuštena sredstva i
internetske prijevare, koristi se neželjenom poštom i računalnim virusima, itd. GDPR je jedna od Uredbi koja bi trebala
"pokazati zube" nelegalnom prikupljanju i besramnom iskorištavanju osobnih podataka. Predviđene su i kazne, propisane člankom 83. Uredbe, koje se kreću i do 20 milijuna eura ili 4 % od ukupnog godišnjeg prihoda tvrtke.
Imali smo nekoliko upita članova
Zajednice iznajmljivača u vezi
primjene GDPR i na koji bi način to moglo utjecati na domaćine u turizmu. Pitali smo nadležne institucije te primili odgovor iz
Hrvatske turističke zajednice, dok onaj
Agencije za zaštitu osobnih podataka (AZOP) još čekamo.
Kako GDPR može utjecati na poslovnu praksu domaćina?
U skladu s odredbama
Zakona o ugostiteljskoj djelatnosti (NN 85/15, 112/16), fizička osoba koja pruža usluge smještaja u domaćinstvima - domaćin, dužna je voditi
popis gostiju na propisani način u skladu s
Pravilnikom o obliku, sadržaju i načinu vođenja knjige gostiju i popisa gostiju (NN 140/15).
Članak 4. navedenog Pravilnika određuje koji su osobni podaci gosta nužni za urednu prijavu, odjavu i evidenciju:
- redni broj upisa gosta
- ime i prezime
- spol
- država i datum rođenja
- državljanstvo
- vrsta i broj isprave o identitetu
- prebivalište (boravište) i adresa
- vrsta pružene usluge
- datum i vrijeme prijave
- datum i vrijeme odjave
Prema članku 21.
Zakona o boravišnoj pristojbi (NN 152/08, 59/09), domaćin je obvezan u roku od 24 sata prijaviti, odnosno odjaviti, gosta područnoj turističkoj zajednici.
Pravilnikom o načinu vođenja popisa turista te o obliku i sadržaju obrasca prijave turista turističkoj zajednici (NN 126/15) je utvrđeno da se postupak vrši na temelju podataka iz osobne iskaznice, putovnice ili neke druge identifikacijske isprave.
Pravilnikom o obliku, sadržaju i načinu vođenja knjige gostiju i popisa gostiju, člankom 3., stavak 3., određeno je kako se knjigom gostiju smatra i popis koji se vodi u
sustavu eVisitor te je dovoljno unijeti osobne podatke gosta u sustav, a
knjiga gostiju više nije obvezna.
Opći uvjeti korištenja sustava eVisitor su mudro formulirani tako da je odgovornost za zaštitu osobnih podataka na iznajmljivaču. Sustav koristi visoke razine zaštite - TAN-lista za pristup sučelju spada u 3. razinu sigurnosti i uvedena je sukladno naputku Agencije za zaštitu osobnih podataka, upravo zato što se prijavom na sustav eVisitor pristupa osobnim podacima turista.
To znači da, ako podaci prikupljeni u svrhu registracije gosta završe u nečijim bazama podataka, krivica je domaćinova jer se sustav eVisitor, ugovornim klauzulama i visokim standardima sigurnosti, ogradio od daljnje i neprimjerene eksploatacije informacija.
Imaju li domaćini uopće pravo tražiti od gosta identifikacijske isprave?
Na AZOP-ovim stranicama stoji naputak koji nedvojbeno upućuje na to da
iznajmljivači, pružatelji usluga smještaja u domaćinstvu, imaju pravo od svojih gostiju tražiti osobne dokumente na uvid.
"Osobnu iskaznicu i podatke sadržane u osobnoj iskaznici imaju pravo i ovlast tražiti samo nadležna tijela i pravne osobe sukladno posebnim propisima i uvjetima poslovanja, tj. policija te davatelji usluga – banke i operatori telekomunikacijskih usluga, a u svrhu nedvojbene identifikacije građana/klijenata..."
Jasno je da domaćin mora utvrditi identitet svoga gosta. Sva komunikacija i prethodna rezervacija gosta, uplata
akontacije za smještaj i slično, se odvija elektroničkim putem te je utvrđivanje identiteta nužno i kako bismo potvrdili da je osoba koja je rezervirala smještaj zaista stigla do nas.
Iz
HTZ-a potvrđuju kako domaćini imaju pravo od gosta zatražiti identifikacijsku ispravu kako bi dobili osobne podatke
"koji se moraju prikupljati u posebne, izričite i zakonite svrhe, točnije radi ispunjavanja obveza koje proizlaze iz zakonskih i podzakonskih akata, te ga, sukladno članku 9. Zakona o zaštiti osobnih podataka, informirati o identitetu voditelja zbirke osobnih podataka, o svrsi obrade u koju su podaci namijenjeni, o korisnicima ili kategorijama korisnika osobnih podataka".
Informacije prikupljene od gostiju se smiju koristiti isključivo za prijavu i odjavu gosta, odnosno za popisivanje gostiju u sustav eVisitor, sukladno pravilnicima.
No,
GDPR nedvosmisleno i izričito nalaže, i to člankom 4., točkom 11. kako gost (u Uredbi definiran kao ispitanik) mora dati privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha. Ona mora biti dobrovoljna, informirana i nedvosmislena.
Privola može biti izjava ili jasna potvrdna radnja.
Stoga iz HTZ-a poručuju kako gost ne mora nužno potpisati pisanu izjavu privole o korištenju podataka, ali sugeriraju da ipak tražimo pismeni pristanak od gosta.
Članak 7. Uredbe kaže da, kada se obrada podataka temelji na privoli gosta, voditelj obrade (domaćin) mora moći dokazati da je ispitanik (gost) dao privolu za obradu podataka. To znači da ako dođe do bilo kakvih problema, moramo imati dokaz da je gost dao svoj pristanak za korištenje njegovih osobnih podataka i to, naravno, isključivo u svrhu prijave, odjave i evidencije gosta u našem smještajnom objektu.
Ako se pisana izjava koju dajemo gostu na potpis, odnosi i na druga pitanja, točka 2. istoga članka propisuje da izjava privole mora biti
"jasno razlučiva od ostalih pitanja, napisana u razumljivom i lako dostupnom obliku uz uporabu jasnog i jednostavnog jezika".
Gost mora biti nedvosmisleno informiran u koju svrhu se njegovi osobni podaci prikupljaju te se isti ne smiju koristiti ni u kakve druge svrhe.
"Prema mišljenju AZOP-a, preslikavanje/skeniranje identifikacijskih isprava gostiju, a sa stajališta Zakona o zaštiti osobnih podataka, bi bilo prikupljanje osobnih podataka u prekomjernom opsegu jer je posebnim propisima izričito određeno koji se osobni podaci gostiju moraju prikupljati prilikom vođenja propisa gostiju. Navedeni način bi bio moguć samo uz izričitu privolu gosta."
Prema svemu navedenom,
utjecaj GDPR-a na dosadašnju praksu prikupljanja osobnih podataka gostiju ćemo tek vidjeti u skoroj budućnosti, kada će se provesti nadzorne aktivnosti AZOP-a utvrđivanja usklađenosti sustava eVisitor s GDPR-om. Budući da je suradnja AZOP-a i HTZ-a uspostavljena od samog pokretanja sustava eVisitor, ne bi trebalo biti promjena, a o svim eventualnom nadopunama i izmjenama prakse, domaćini će biti obaviješteni preko svojih područnih turističkih zajednica.