Rozporządzenie RODO obowiązuje już od 2018 roku ale nadal wiele biur podróży ma spore problemy z jego wdrożeniem. Postanowiliśmy poprosić o odpowiedź na najczęściej pojawiające się pytania specjalistę ds. RODO, członka zarządu w Data Protection sp. z o.o. firmie świadczącej usługi wdrożeniowe, audyty, szkolenia w zakresie ochrony danych osobowych – Mariusza Butlera.
Pakiet RODO w biurze podróży – oferta
Czy RODO obowiązuje wszystkie biura podróży? Zgłaszają się do nas przedstawiciele „małych” często jednoosobowych firm z pytaniami czy oni też powinni wdrożyć w pełni przepisy wynikające z rozporządzenia RODO.
Zdecydowanie – tak! Wszystkie biura podróży, nawet jednoosobowe. Ale proszę popatrzeć na to „z drugiej strony”. Zawsze podczas szkoleń czy audytów, mówiąc o danych osobowych klientów, proszę o pomyślenie o swoich danych osobowych: jak chciałbym, aby moje własne dane osobowe były chronione (przetwarzane)? RODO naprawdę nie jest kolejnym represyjnym przepisem wymyślonym przez biurokratów z Brukseli! Jeżeli chodzi o RODO – „dołożenie należytej staranności” (jak mawiają prawnicy) w małej organizacji naprawdę nie wymaga nadzwyczajnych sił i środków.
Czy z faktu, że biura podróży często zmuszone są do przetwarzania danych dotyczących schorzeń medycznych, diety i szczepień wynikają jakieś specjalne obowiązki?
Dane dotyczące m.in. zdrowia należą, wg RODO, do szczególnych kategorii danych osobowych, których przetwarzanie, co do zasady, jest zabronione! Fakt, iż biura podróży są zmuszone do przetwarzania takich danych (imprezy typu SPA, specjalne wymagania klienta – dieta, uczulenia, pobyty w sanatoriach) powoduje, iż bezwzględnie powinny one dołożyć należytej staranności przetwarzając dane tego typu. Powinny prowadzić „Rejestr czynności przetwarzania” (zgodnie z art. 30 RODO) oraz wdrożyć stosowne procedury, aby zarówno pracownicy, jak i właściciel (jednoosobowa działalność gospodarcza), który jest Administratorem Danych Osobowych swoich klientów, byli w stanie wykazać wymienioną powyżej „należytą staranność”.
Czy biuro podróży może przetwarzać dane uczestników wycieczki, którzy nie są stroną umowy? Czy powinno dopełnić jakiś szczególnych obowiązków w związku z tym?
Tak, może, ale… Zacznijmy od tego, że każdy z nas chciałby wiedzieć kto, gdzie, jak i po co przetwarza nasze dane osobowe. Wg powszechnej wiedzy i RODO mamy prawo do tej wiedzy, co oznacza, iż podmiot przetwarzający nasze dane ma obowiązek (art. 13 RODO) wyczerpująco poinformować nas o fakcie przetwarzania. Określenie „uczestnicy wycieczki, którzy nie są stroną umowy” wydaje mi się nieprecyzyjne i podejrzewam, że chodzi o sytuację, gdy klient, podpisując umowę z biurem, zgłasza jako uczestników – strony umowy – dodatkowe osoby (żonę, dzieci, itp.). Rozumiem element niespodzianki-zaproszenia na wycieczkę, ale chciałbym wiedzieć, że moje dane (imię, nazwisko, adres, e-mail, data urodzenia, PESEL, nr telefonu) są udostępnione i przetwarzane przez jakąś firmę turystyczną. Sytuację taką opisuje art. 14 RODO – obowiązek poinformowanie osoby, której dane dotyczą o pozyskaniu danych „w inny sposób niż od osoby, której dane dotyczą”. Mówiąc po prostu: jeżeli np. mąż, kupując imprezę dla swojej rodziny, poda dane żony, dzieci, kogoś jeszcze, to biuro podróży ma obowiązek poinformować te osoby, że pozyskało ich dane osobowe, że będzie je przetwarzać w określonym celu i od kogo je pozyskało.
Czy realizacja działań marketingowych za pomocą środków elektronicznych wymaga uzyskania zgody?
Bezwzględnie TAK. I nie chodzi tu o RODO. Wysłanie każdej informacji marketingowej za pomocą poczty elektronicznej, SMS-a, faksu, czy telefonu (informacja głosowa) wymaga posiadania zgody adresata informacji i jest to bezwzględny wymóg wynikający zarówno z Prawa Telekomunikacyjnego (art. 172) oraz Ustawy o świadczeniu usług drogą elektroniczną (art. 10).
Jakie grożą sankcje właścicielowi biura podróży, który nie przestrzega obowiązujących przepisów?
Wysokość sankcji wynikających z RODO jest wprost legendarna – do 20 000 000 € lub do 4% rocznego światowego obrotu przedsiębiorstwa! W praktyce sankcje orzekane przez tzw. „organ nadzorczy” czyli Prezesa Urzędu Ochrony Danych Osobowych są każdorazowo obliczane proporcjonalnie do stopnia naruszenia. Owszem, były wielomilionowe kary, ale generalnie Urząd Ochrony Danych Osobowych zobowiązany jest do określenia stosownych zaleceń pokontrolnych i niekoniecznie od razu wymierzania sankcji finansowej. Oczywiście, jeżeli podmiot kontrolowany nie będzie współpracował z organem nadzorczym, mataczył, nie wdrażał procedur naprawczych to kary finansowe są nieuchronne.