Turistički sektor u Hrvatskoj primjenu Opće uredbe o zaštiti osobnih podataka (GDPR) od 25. svibnja većinom dočekuje spremno, a hotelske kuće poručuju da gosti kao i do sada mogu biti sigurni da su njihovi podaci zaštićeni i da će se koristiti isključivo za ono za što su dali pristanak. Uredba GDPR (General Data Protection Regulation) u EU na snagu je stupila u travnju 2016. s ciljem jače kontrole nad osobnim podacima, koji su često, namjerno i nenamjerno, izloženi zlouporabi. Obvezujuća primjena uredbe kreće 25. svibnja, pa to znači i primjenu strožih pravila o baratanju i korištenju osobnih podataka, kao i visoke kazne za one koje ih se ne pridržavaju u EU i za one koje posluju s EU-om.
Uredbom se uz ostalo za najteže prekršaje predviđaju kazne i do 20 milijuna eura.
Jedno od temeljnih pravila uredbe je da će tvrtke i drugi koji traže osobne podatke potrošača i korisnika, od datuma rođenja, obrazovanja, fizičkih i online adresa do brojeva kartičnih i bankovnih računa, fotografija, videa i drugog, morati dobiti pristanak da bi ih mogli koristiti za marketinške ili druge svrhe. Bez toga više ne smiju sms-om, mailom, putem društvenih mreža ili slično slati na mobitele, online adrese i profile promotivne materijale, newslettere itd.
Iz nekih od vodećih hotelskih kuća u Hrvatskoj, Valamar Rivijere, Maistre, Plave lagune, Jadranke, Bluesuna odnosno Sunce koncerna i Dogus grupe, kao i iz nekih manjih hotela, poput Pinije u Petrčanima, te iz nacionalne udruge putničkih agencija UHPA-e i hotelijera UPUHH-a, kao i iz HGK-ove Zajednice obiteljskog smještaja na upit Hine većinom su kazali da su zbog Uredbe angažirali konzultante i osnovali stručne timove. Neki od njih investirali su u nadogradnju odnosno u nove knjigovodstveno-financijske softvere, koji jamče veću sigurnost i čije se cijene kreću od nekoliko stotina do nekoliko desetaka tisuća kuna.
Svi su se složili u ocjeni da su i do sada, svjesni osjetljivosti osobnih podataka i važnosti njihove zaštite, s tim njima postupali pažljivo, ali i da je postupak prilagodbe GDPR uredbi dugotrajan, multidisciplinaran i traži usku suradnju gotovo svih organizacijskih jedinica. Unatoč tome, tvrde da su spremni i da će poštivati regulativu, ne želeći riskirati plaćanje kazni.
Kako bi se uredba što 'bezbolnije' primijenila u sektoru turizma, u organizaciji Agencije za zaštitu podataka, HGK, HOK-a i HTZ-a zadnjih mjeseci održavane su brojne radionice s tom temom, a HGK je, kako ističe direktor njezinog Sektora za turizam Želimir Kramarić, pokrenula izradu Kodeksa ponašanja po udruženjima HGK za djelotvorniju primjenu GDPR-a.
Prednost eVisitora
Direktor Glavnog ureda HTZ-a Kristjan Staničić poručio je kako vjeruje da su turističke zajednice dodatno uskladile poslovne procese sukladno odredbama GDPR-a te poduzele i odgovarajuće tehničke, kadrovske i organizacijske mjere zaštite osobnih podataka. To se najviše odnosi na baze osobnih podataka odnosno kontakata koje su TZ stvorile tijekom poslovanja, a za što i dalje postoji legitimni interes da se prikuplja.
"Prema našim saznanjima veće turističke zajednice su zbog GDPR-a angažirale konzultantske tvrtke, mnoge su sudjelovale na radionicama i seminarima. Podaci od turista se prikupljaju temeljem zakona i unose u jedinstveni sustav eVisitor, koji je za razliku od prijašnjeg načina prikupljanja osobnih podataka siguran i adekvatan", poručio je Staničić, a pozitivnim eVisitor u svjetlu primjene GDPR-a ocjenjuju i iz domaće zajednice GDPR Informer.
Turizam i rizičniji od drugih sektora, opasnost od hakera
Turistička i industrija putovanja se zbog velikog protoka ljudi i čestog, karakterističnog za tu industriju, užurbanog načina rada i obrade podataka, smatra i rizičnijim za povrede i gubitak podataka, te se prema GDPR Informeru tom sektoru preporučuje i dodatni oprez, pogotovo pri obradi podataka u plaćanju kreditnim karticama i putem Interneta, što privlači pozornost hakera.
"Posebnost turizma leži u klijenteli i prirodi posla, pa je i veća izloženost povredama, a kako se rukuje s mnogo osobnih podataka, važna je dobra priprema da ne bi došlo do pada ugleda pružatelja usluge, čiji je važan element kvalitete i zaštita osobnih podataka", kažu iz te zajednice.
Tvrtkama s velikim brojem zaposlenih, poput hotelskih lanaca, turoperatora, zrakoplovnih kompanija i sličnih, obveza je imenovati i službenika za zaštitu podataka, dok to nisu obvezni 'mali' iznajmljivači, ali se i njima kao i ostalima preporuča vođenje evidencije kao dokaz da su podatke obrađivali po propisima.
Zabranjeno fotokopiranje dokumenata i 'zatrpavanje' mailovima
Oko te uredbe preporuča se i pravovremena, po potrebi i višekratna komunikacija kako bi se izbjegli nesporazumi i problemi, poput primjerice kada iznajmljivači ili hotelski recepcionari zbog brže usluge i nestrpljenja gosta kod njegove prijave fotokopiraju osobne dokumente. To je GDPR-om zabranjeno, jer je riječ o tzv. prekomjernoj obradi podataka.
"Najsigurnije je gostu nakon unošenja podataka u sustav vratiti dokument, bez ikakve daljnje obrade, kao što je važno da web stranice tvrtke uskladite s tom uredbom, što znači i prevesti ju na više stranih jezika, ponuditi 'keksiće' i izjave o privatnosti. Ako na web stranicama nudite i mogućnost rezerviranja smještaja i online plaćanja, dužni ste zaštititi korisnike i njihove podatke korištenjem tehnologija kriptiranja i slično", upozoravaju iz GDPR Informera, poručivši da će najviše promjena biti u marketingu.
Podatke koji se prikupe primjerice zbog evidencije ne smije se koristiti za marketing bez izričitog pristanka osobe, za što se pak preporučuje ispunjavanje obrazaca, fizički ili online. Konkretno, bez toga gostu se ne smiju slati novosti u ponudi, čestitke i drugo, kao što ga se ne smije ni zvati telefonom ako je za kontakt ostavio samo e-mail.
Prekršaj može biti i ako osobe koje su dale pristanak 'zatrpava' porukama, a važno je i dokumentirati sve privole koje pružatelji usluga pribave, jer to može biti jedini dokaz da se podaci obrađuju na zakonit način. (Tatjana Miščančuk, Hina/FaH)
Ostale vijesti