25 maja wchodzą w życie przepisy RODO.
RODO, czyli unijne rozporządzenie dotyczące ochrony danych osobowych, narzuci szereg nowych wymogów na wszystkie podmioty, które gromadzą i przetwarzają informacje o swoich klientach, także te z branży turystycznej. Będą one musiały zagwarantować maksymalny poziom bezpieczeństwa danych, przeszkolić pod tym kątem pracowników, wyznaczyć wewnętrznego inspektora ochrony danych osobowych oraz wymienić większość formularzy i zgód na przetwarzanie takich informacji.

Czy biura podróży są gotowe do nowych reguł przetwarzania danych osobowych? Czego powinni dopilnować przedsiębiorcy turystyczni?

Co czeka organizatorów turystyki? Przede wszystkim organizator będzie musiał zweryfikować podstawę prawną przetwarzania danych osobowych u siebie w firmie i - być może - od nowa zebrać zgody od klientów. Musi także dopilnować, by wobec wszystkich osób, których dane przetwarza, był zrealizowany obowiązek informacyjny. Ważnym punktem jest także weryfikacja umów powierzenia danych z agentami, pilotami, portalem sprzedażowym, czyli wszystkimi podmiotami, z którymi współpracuje. Konieczna będzie także ocena tychże podmiotów pod kątem właściwego poziomu zabezpieczeń technicznych i organizacyjnych podczas przetwarzania danych osobowym, których administratorem jest touroperator.

W skrócie, przed 25 maja organizator musi przygotować:

nową treść obowiązku informacyjnego wszędzie tam, gdzie pozyskuje dane osobowe,
rejestr czynności przetwarzania danych osobowych oraz ocenę skutków dla ochrony danych,
nową treść umowy powierzenia i sukcesywnie wymieniać umowy powierzeni

Jakich formalności powinien dopełnić agent, który nie jest organizatorem?

Podobnie jak organizator, powinien zweryfikować podstawę prawną przetwarzania danych osobowych, a w szczególności sprawdzić, czy nie musi zebrać od nowa zgód od osób, których dane przetwarza (np. dla celu realizacji marketingu). Na jego barki spada dopilnowanie, aby w jego firmie były realizowane zasady przetwarzania danych osobowych podane w RODO, oraz sprawdzenie, czy wobec wszystkich osób, których jest administratorem danych, był zrealizowany obowiązek informacyjny. Do jego obowiązków należy także przygotowanie wszystkich dokumentów, które dotyczą przetwarzania danych, podobnie jak wspomniani wcześniej organizatorzy.

Czy biura turystyczne powinny uzupełnić swoje umowy z partnerami technologicznymi (jak systemy GDS, Merlin X?) o procedury przetwarzania danych osobowych?

To zależy od konstrukcji relacji związanych z przetwarzaniem danych osobowych. Jeżeli biura podróży mają odrębne umowy (zawierające postanowienia powierzenia przetwarzania danych osobowych) z touroperatorami, których ofertę sprzedają za pomocą portali sprzedażowych, to nie muszą odrębnie regulować kwestii przetwarzania danych osobowych. Jeżeli jednak w umowie z touroperatorami takie postanowienia przetwarzania danych nie występują, to biuro powinno uregulować to w umowie z portalami typu GDS czy MerlinX . RODO wprowadza nowe obowiązki w relacji między powierzającym a podmiotem przetwarzającym oraz wymusza stosowanie zasad przetwarzania danych osobowych określonych w nowych przepisach. Dlatego w takim przypadku wskazane jest podpisanie nowych umów.

Czy wejście w życie RODO będzie wymagało jakichś rozszerzenia/aneksów do umów touroperatorów z agentami?

Była już mowa o tym, że RODO wprowadza nowe obowiązki w relacji między powierzającym a podmiotem przetwarzającym dane. W takim przypadku wskazane jest podpisanie nowych umów między touroperatorami a agentami, i to zalecamy członkom Izby w trakcie szkoleń.

Część przedsiębiorców turystycznych, zwłaszcza większe podmioty, finalizuje już etap przygotowań do RODO, jednak znaczna liczba biur dopiero przymierza się do wdrożenia nowych przepisów. Pozostaje także grupa takich przedsiębiorców, którzy uważają, że ich sytuacja realnie się nie zmieni i czeka na rozwój sytuacji. W tym przypadku motywująca okazać się może presja touroperatorów, którzy będą musieli wykazać się doborem odpowiednich partnerów (firm, którym powierzają przetwarzanie danych) i odpowiednim nadzorem nad przetwarzaniem i zabezpieczeniem danych osobowych u swoich partnerów. Jednak bez wiedzy i odpowiednich wzorców trudno będzie im zrobić to dobrze.