Ovaj članak se bavi pitanjem kako GPDR uredba utječe na privatne iznajmljivače.
Što je GDPR uredba?
GDPR je Europska uredba čiji cilj je izjednačiti sve zakone vezane za zaštitu osobnih podataka na cijelom prostoru Europske Unije. Uvođenje uredbe je dalo pojedincima više kontrole nad upravljanjem i djeljenjem osobnih podataka sa trećim stranama.
Ukratko, za uzimanje osobnih podataka (osim ako nije po zakonskoj osnovi) morate imati dobiti pisanu ili usmenu privolu. Pravnici preporučuju uzimanje pisane dozvole jer je usmenu teško dokazati na sudu.
Pisana privola može biti i u elektroničkom obliku.
Što Opća uredba o zaštiti podataka znači za iznajmljivače?
Iznajmljivači rukuju osobnim podacima na dnevnoj bazi. Za potrebe unosa u eVisitor, svaki iznajmljivač mora u ruku uzeti osobnu iskaznicu gosta, neki bi je i kopirali, a treći bi je čak i zadržali na neko vrijeme.
Ovo prvo je dozvoljeno. Svaki iznajmljivač ima pravo unijeti podatke sa osobne isprave u eVisitor jer je unos i prijava podataka o gostu zakonska obaveza. Ono što nije dozvoljeno je prekomjerna obrada i zadržavanje podataka.
U prijevodu, čuvanje fotokopija se NE PREPORUČUJE. A čuvanje osobnih iskaznica još i manje. Fotografiranje iskaznice mobitelom također nije preporučljivo pogotovo ako će se ta fotografija čuvati na uređaju na nepredviđeni vremenski period.
Mora li iznajmljivač informirati gosta o svrsi uzimanja njegovih podataka?
Sva pitanja vezana uz prikupljanje podataka s ciljem unosa u eVisitor su upućena na HTZ. Odgovor je prilično opsežan i sadrži dosta pravne terminologije pa ćemo izvući ono bitno.
PITANJE:
Prema novoj GDPR regulativi prije prikupljanja osobnih podataka sugerira se prikupljanje pisane dozvole od vlasnika podataka. Da li to znači da će iznajmljivači koji prijavljuju gosta u eVisitor morati dobiti pisanu dozvolu od gosta (iako je zakonska obaveza iznajmljivača da te podatke prikupi i pošalje)?Kako bi ta eventualna dozvola trebala izgledati i što sadržavati?
ODGOVOR HTZ:
(…)mišljenja smo da iznajmljivač ima pravo od gosta zatražiti identifikacijsku ispravu kako bi dobio osobne podatke koji se moraju prikupljati u posebne, izričite i zakonite svrhe, točnije radi ispunjavanja obveza koje proizlaze iz naprijed navedenih zakonskih i podzakonskih akata. Također, mišljenja smo da za unošenje podataka u sustav eVisitor nije potrebna privola ispitanika budući da se podaci prikupljaju u zakonite svrhe, s čime je potrebno upoznati ispitanika te istom objasniti da bez tih podataka iznajmljivači ne bi mogli ispuniti svoje obveze propisane zakonom, odnosno da ne mogu prijaviti gosta te mu time ne mogu pružiti uslugu smještaja.
U vrijeme odgovaranja na upit iz Kluba Iznajmljivača HTZ je imao u pripremi višejezične dokumente sa popisom zakonskih osnova temeljem kojih se moraju prikupljati osobni podaci gostiju. Danas su ti dokumenti javno dostupni i mogu se preuzeti na 13 jezičnih verzija:
– eVisitor obavijest Prikupljanje osobnih podataka_HR
– eVisitor obavijest Prikupljanje osobnih podataka_EN
– eVisitor obavijest Prikupljanje osobnih podataka_DE
– eVisitor obavijest Prikupljanje osobnih podataka_CN
– eVisitor obavijest Prikupljanje osobnih podataka_CZ
– eVisitor obavijest Prikupljanje osobnih podataka_ES
– eVisitor obavijest Prikupljanje osobnih podataka_FR
– eVisitor obavijest Prikupljanje osobnih podataka_HU
– eVisitor obavijest Prikupljanje osobnih podataka_IT
– eVisitor obavijest Prikupljanje osobnih podataka_PL
– eVisitor obavijest Prikupljanje osobnih podataka_RU
– eVisitor obavijest Prikupljanje osobnih podataka_SI
– eVisitor obavijest Prikupljanje osobnih podataka_SK
Preporučano da se taj popis isprinta i negdje jasno istakne.
PITANJE:
Smije li iznajmljivač kopirati dokumente gostiju?
ODGOVOR HTZ:
Napominjemo kako bi prema mišljenju Agencije za zaštitu osobnih podataka, preslike/skeniranja putnih isprava gostiju, a sa stajališta Zakona o zaštiti osobnih podataka, bilo prikupljanje osobnih podataka u prekomjernom opsegu. Navedeni način obrade osobnih podataka bi eventaulno bio moguć, ali samo uz izričitu privolu gosta.
PITANJE:
Kada je sve iznajmljivač dužan prikupiti privolu gosta?
ODGOVOR HTZ:
Ukoliko iznajmljivač prikuplja i obrađuje osobne podataka gostiju u svrhe marketinga, odnosno za slanje newslewttera, za navedenu obradu osobnih podataka dužan je pribaviti njihovu privolu, odnosno dužan je ispitanika unaprijed obavijestiti o namjeravanoj obradi osobnih podataka u svrhe marketinga i o pravu da se takvoj obradi usprotivi.
PITANJE:
„Da li iznajmljivač mora imati službenika za zaštitu osobnih podataka“
ODGOVOR HTZ:
„U svezi dijela Vašeg upita o imenovanju službenika za zaštitu osobnih podataka, prema članku 37. Uredbe službenik za zaštitu podataka imenuje se u svakom slučaju u kojem:
a) obradu provodi tijelo javne vlasti ili javno tijelo, osim za sudove koji djeluju u okviru svoje sudske nadležnosti,
b) osnovne djelatnosti voditelja obrade ili izvršitelja obrade sastoje se od postupaka obrade koji zbog svoje prirode, opsega i/ili svrha iziskuju redovito i sustavno praćenje ispitanika u velikoj mjeri, ili
c) osnovne djelatnosti voditelja obrade ili izvršitelja obrade sastoje se od opsežne obrade posebnih kategorija podataka na temelju članka 9. i osobnih podataka u vezi s kaznenim osudama i kažnjivim djelima iz članka 10.
Agencija za zaštitu osobnih podataka mišljenja je da to ne bi bio slučaj kod iznajmljivača, odnosno da isti nisu obvezni imenovati službenika za zaštitu osobnih podataka.“
Što kažu stručnjaci za zaštitu podataka?
Pitanje vezano uz prikupljanje privole kod unosa podataka u eVisitor smo uputili i voditelju zaštite podataka za Crionis , Ozrenu Ćuku pa prenosimo odgovor u nastavku:
(tvrtka se između ostalog bavi i usuglašavanjem poslovanja sa novom GDPR regulativom)
(..) ako postoji zakonska osnova za skupljanje osobnih podataka, tj. ako prikupljate osobne podatke na temelju nekog zakona, onda Vam nije potrebna privola. Ipak, napominjem da prema članku 13. GPDR-a imate obvezu prilikom skupljanja podataka pružiti gostu određene informacije.
Zato bi bilo dobro da prilikom skupljanja podataka gostima ponudite papir s takvim informacijama koji im objašnjava temeljem kojeg zakona prikupljate osobne podatke i tko je njihov primatelj (npr. evisitor sustav).
Ako se želite dodatno osigurati, vodite zapisnik gdje ćete upisati datum kad ste gostu predali te informacije, i gdje će se onda kraj datuma gost potpisati, čime će potvrditi da je doista od Vas primio te informacije.
Sva Vaša pitanja također možete poslati Agenciji za zaštitu podataka na azop@azop.hr, a oni su dužni u zakonskom roku od 30 dana u pisanom obliku odgovoriti na njih.
Kolike su kazne za nepoštivanje GDPR uredbe
Kazne za nepoštivanje uredbe mogu sezati do vrtoglavih 20 milijuna eura, tako da je većina kompanija implementaciju shvatila prilično ozbiljno.
Pingback: itemprop="name">Sažet pregled – sve na jednom mjestu – UHA