V dubnu letošního roku bylo přijato nové nařízení o obecné ochraně údajů (General Data Protection Regulation, GDPR), na kterém Evropská komise pracovala již od roku 2012. Klíčovými změnami v regulaci digitálního prostředí je maximální harmonizace právních předpisů členských států EU s nařízením a zavedení finančních postihů pro společnosti, které nakládají s osobními údaji, tedy i pro cestovní kanceláře a cestovní agentury.
Nařízení nemá dopad pouze na firmy v EU, ale i na zahraniční společnosti, které pracují s údaji evropských občanů, jakými jsou např. Facebook či Google. Hlavním cílem legislativního dokumentu je standardizace pravidel pro nakládání s osobními údaji, což se netýká pouze soukromých společností, ale rovněž orgánů veřejné správy, a zajištění jednotnosti těchto pravidel v rámci celé EU. Dalším účelem vzniku nařízení bylo ustanovit přísnější postihy za porušení předpisů na ochranu osobních údajů (pokuty dosahují až 4 % obratu firmy). Nařízení vnímá uživatele jako odpovědného za ochranu svých dat, a to díky tzv. právu být zapomenut, které umožňuje uživatelům požadovat, aby jejich údaje byly vymazány.
Podle Evropské komise je vznik tohoto nařízení nezbytným opatřením k posílení základních práv občanů v elektronickém světě a jejich snazšímu přístupu k osobním informacím. Nařízení přináší v rámci jednotného digitálního trhu i zjednodušení pravidel ochrany dat pro společnosti. Například odpadá povinnost registrovat se u dohledových orgánů, postačí pouze vedení podrobných interních záznamů o procesu zpracování a mechanismu ochrany dat. Státních orgánů se mj. týká i povinnost jmenovat tzv. pověřence pro ochranu údajů.
Mezi hlavní zásady zpracování dat patří zákonnost (např. že uživatel souhlasil se zpracováním svých osobních údajů pro daný účel), korektnost (právo uživatele na opravu nepřesných dat) a transparentnost (právo vědět, zda jsou data zpracovávána, pro jaký účel a po jakou dobu). Osobní údaje musejí být shromažďovány pro určité a legitimní účely, jejich nezbytný rozsah musí být přiměřený a relevantní k účelu jejich sběru.
Osobní údaje musejí být shromažďovány pro určité a legitimní účely, jejich nezbytný rozsah musí být přiměřený a relevantní k účelu jejich sběru. |
||
 |
 |
|
Na firmy je kladena zvýšená odpovědnost za řízení, kontrolu a zpracovávání osobních údajů. Automatizované zpracování údajů, včetně profilování, a jeho použití k hodnocení osobních aspektů fyzických osob je omezeno. Organizace, resp. správce údajů, musí ohlásit dozorovému úřadu (v ČR se jedná o Úřad pro ochranu osobních údajů) do 72 hodin případy porušení zabezpečení dat. Toto oznámení není v současné době povinné ve většině členských států EU.
Na co se mají firmy a organizace cestovního ruchu připravit a co by měly v průběhu dvou let učinit pro správnou implementaci tohoto nařízení, shrnujeme v následujících 6 krocích:
Správci údajů by měli informovat své zaměstnance o změnách ve zpracování osobních údajů cestujících.
Být schopni doložit, jaké osobní údaje společnost uchovává, odkud pochází a pro jaké účely je zpracovává. K tomu poslouží informační audit v rámci celé organizace či jednotlivých obchodních oblastí.
Společnosti by měly přezkoumat své stávající oznámení o ochraně osobních údajů a provést potřebné změny v souladu s nařízením. Správci údajů musejí své zákazníky informovat o jejich právech (mj. právu stěžovat si) a lhůtách pro uchovávání údajů, ve stručné a snadno pochopitelné formě.
Firemní procesy musejí zajistit dodržení práv jednotlivců, zejména právo přístupu k informacím, právo na opravu nepřesností a na informace o možnostech výmazu, právo k odmítnutí přímého marketingu, k předcházení automatickému rozhodování a profilování, a právo na přenositelnost dat.
Správci údajů musejí prokázat, že jejich zákazník poskytl souhlas se zpracováním údajů pro daný účel, a revidovat systém pro zaznamenání tohoto souhlasu.
Důležitý je rovněž mechanismus zabezpečení zpracovaných údajů a postup pro odhalování, hlášení a vyšetřování porušení ochrany osobních údajů. V případech, kdy jsou ohrožena práva a svoboda zákazníka, je společnost povinna oznámit klientovi, že jeho údaje byly předmětem porušení.
Nařízení o ochraně údajů bylo 4. května 2016 publikováno v Úředním věstníku EU spolu se směrnicí o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány a o volném pohybu těchto údajů. Nařízení je již v platnosti, avšak účinnosti nabyde 25. května 2018. Evropské podniky tak mají dva roky, aby přizpůsobily své procesy ochrany dat v souladu s nařízením.
Vážení čtenáři, Váš oblíbený portál Celyoturismu.cz bude v horizontu 3 měsíců uzavřen. To podstatné z cestovního ruchu – vývoj, statistiky, analýzy, legislativní problematiku atd. – proto nově najdete na zpravodajském portálu Hospodářské komory ČR www.komoraplus.cz a také ve...
První velká incomingová akce na podporu návštěvnosti České republiky po pandemii covid-19. Tak vnímají odborníci na cestovní ruch z celého světa Czech Republic Travel Trade Day (TTD) 2022. Ve spolupráci s Destinační agenturou Živý kraj ho uspořádala...
Kazašská nízkonákladová společnost FlyArystan spustí od 12. června přímé spojení mezi Prahou a kazašským Aktau. Odlety Airbusu A320 pro 180 cestujících jsou plánované vždy v neděli, od 6. července přibude ještě čtvrteční let. Dopravce si Českou republiku vybral jako...
