RODO w biurze podróży
RODO w biurze podróży. To jak biura podroży traktują temat ochrony danych osobowych w swojej codziennej działalności powinno nas interesować. Moje doświadczenia prywatne, lektura dokumentacji ogólnych warunków uczestnictwa, czy umów zawieranych z uczestnikami imprez turystycznych, skłoniła mnie do tego, aby przeanalizować temat RODO w biurze podróży.
Czy my w ogóle musimy coś z RODO robić ...
Wieloletnie praktyki polegające na ignorowaniu zapisów o ochronie danych osobowych sprawiły, że zdarza się, iż biura potrafią zadać pytanie. Pytanie o to, czy one w ogóle muszą coś z RODO robić. Często słyszę tutaj argumentację, że RODO nie dotyczy małych przedsiębiorstw, że nie dotyczy jednoosobowych działalności gospodarczy.
Przypomnijmy tylko, iż zgodnie z art. 2 ust. 1 RODO
cyt.: „(…)Niniejsze rozporządzenie ma zastosowanie do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych.(…)”.
My nie mamy jakichś ważnych danych ...
Biura podróży zdarza się, iż nie traktują tematu przetwarzania danych osobowych uczestników imprez poważnie. Wychodzą bowiem z założenia, że dane jakie gromadzą nie wymagają szczególnych mechanizmów zabezpieczania ich. Co jednak w sytuacji, kiedy to organizowany wyjazd wymusza na biurze posiadanie np. danych o stanie zdrowia turysty? Oczywiście sytuacja się zmienia i ewentualna ocena dokonywana w związku ze zdarzeniem będącym naruszeniem ochrony danych osobowych będzie wyglądała już zupełnie inaczej. Przetwarzanie danych szczególnej kategorii, tj. danych o jakich mowa w art. 9 ust. 1 RODO ma swoje konsekwencje. Czy kiedykolwiek otrzymaliście Państwo Umowę z wypełnionymi swoimi danymi oraz danymi np. członków swojej rodziny, z którymi udawaliście się na wyjazd, jako zaszyfrowany zabezpieczony hasłem plik załączony do korespondencji email?
Przypomnijmy tylko, iż zgodnie z art. 30 ust. 5 RODO
cyt.: „(…)Obowiązki, o których mowa w ust. 1 i 2, [dop. obowiązek prowadzenia Rejestru Czynności Przetwarzania Danych Osobowych] nie mają zastosowania do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1, lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.(…)”.
Obowiązek informacyjny RODO ...
Wielość klauzul informacyjnych, z jakimi spotykamy się w życiu codziennym, sprawiła iż obowiązek informacyjny przynajmniej jest dostrzegany przez biura. Nie oznacza to oczywiście, że każde biuro realizuje go poprawnie, ale próby sa podejmowane. Spotkałem się z przypadkami, kiedy to biuro wyrywkowo jedynie informowało podmioty danych o przysługujących im prawach.
cyt.: „(…)Podanie danych osobowych przez Klientów jest dobrowolne i mają oni prawo dostępu do treści swoich danych osobowych a także prawo do ich poprawienia.(…)”.
O ile sytuacja realizacji obowiązku informacyjnego z art. 13 RODO wygląda przyzwoicie. Niestety realizacja obowiązku informacyjnego z art. 14 RODO nie jest taka, jaka być powinna. Biura zdarza się że nie rozpoznają sytuacji, w których to przetwarzają dane osobowe, które pozyskały nie od podmiotu danych. Na skutek tego, w ogóle nie realizują takiego obowiązku informacyjnego. Jednak spotkałem się z OWU, w których to osoba dokonująca rezerwacji imprezy zobowiązywana była do realizacji obowiązku informacyjnego względem innych zgłaszanych przez nią uczestników.
Chcemy tylko wysłać ofertę na przyszły sezon ...
Marketing z wykorzystaniem środków komunikacji elektronicznej, czy też telefoniczne oferowanie usług – to problem nie tylko branży turystycznej. Wciąż panuje przekonanie o tym, iż przesyłanie email z katalogami ofertowymi, możliwe jest w każdym przypadku. Czytałem OWU, w których zapisano, że skutkiem podpisania umowy jest automatycznie wyrażenie zgody na przetwarzanie danych osobowych w celach marketingowych.
cyt.: „(…)Oświadczam, iż dane osobowe w Umowie-Zgłoszeniu podane zostały dobrowolnie i zostałem/łam poinformowana o ich przetwarzaniu w celach niezbędnych do realizacji Umowy-Zgłoszenia, przygotowania i peronalizowania oferty marketingowej(…)”.
Przypominam treść art. 172 ust.1Ustawy z dnia 16 lipca 2004r., prawo telekomunikacyjne
cyt: „(…)Zakazane jest używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego, chyba że abonent lub użytkownik końcowy uprzednio wyraził na to zgodę.(…)”.
Zwracam także uwagę na art. 10 ust. 1 i 2 Ustawy z dna 18 lipca 2002r. o świadczeniu usług drogą elektroniczną,
cyt: „(…) Zakazane jest przesyłanie niezamówionej informacji handlowej skierowanej do oznaczonego odbiorcy będącego osobą fizyczną za pomocą środków komunikacji elektronicznej, w szczególności poczty elektronicznej.(…)”.