Przedsiębiorcy turystyczni gotowi na RODO?

25 maja wchodzą w życie przepisy RODO. Czy biura podróży są gotowe do nowych reguł przetwarzania danych osobowych? Czego powinni dopilnować przedsiębiorcy turystyczni? Zapytaliśmy o to prezesa Polskiej Izby Turystyki, Pawła Niewiadomskiego.

Czego koniecznie powinien dopilnować organizator turystyki w związku z wejściem w życie przepisów o RODO?

RODO, czyli unijne rozporządzenie dotyczące ochrony danych osobowych, narzuci szereg nowych wymogów na wszystkie podmioty, które gromadzą i przetwarzają informacje o swoich klientach, także te z branży turystycznej. Będą one musiały zagwarantować maksymalny poziom bezpieczeństwa danych, przeszkolić pod tym kątem pracowników, wyznaczyć wewnętrznego inspektora ochrony danych osobowych oraz wymienić większość formularzy i zgód na przetwarzanie takich informacji.

Zdaniem Polskiej Izby Turystyki, wejście w życie RODO oznacza konieczność poświęcenia dużo większej uwagi zagadnieniu ochrony danych osobowych niż dotychczas. Przede wszystkim będzie ona bardziej sformalizowana. Na przedsiębiorcę spadł obowiązek udowodnienia, na wypadek kontroli, że spełnia wymogi RODO w swojej firmie. Za ich nieprzestrzeganie przewidziano poważne kary finansowe. Wychodząc naprzeciw oczekiwaniom branży turystycznej pod auspicjami PIT przeprowadzany jest cykl szkoleń z RODO.

Co czeka organizatorów turystyki? Przede wszystkim organizator będzie musiał zweryfikować podstawę prawną przetwarzania danych osobowych u siebie w firmie i - być może - od nowa zebrać zgody od klientów. Musi także dopilnować, by wobec wszystkich osób, których dane przetwarza, był zrealizowany obowiązek informacyjny. Ważnym punktem jest także weryfikacja umów powierzenia danych z agentami, pilotami, portalem sprzedażowym, czyli wszystkimi podmiotami, z którymi współpracuje. Konieczna będzie także ocena tychże podmiotów pod kątem właściwego poziomu zabezpieczeń technicznych i organizacyjnych podczas przetwarzania danych osobowym, których administratorem jest touroperator.

W skrócie, przed 25 maja organizator musi przygotować:

• nową treść obowiązku informacyjnego wszędzie tam, gdzie pozyskuje dane osobowe,
  
• rejestr czynności przetwarzania danych osobowych oraz ocenę skutków dla ochrony danych,
  
• nową treść umowy powierzenia i sukcesywnie wymieniać umowy powierzenia.

Jakich formalności powinien dopełnić agent, który nie jest organizatorem?

Podobnie jak organizator, powinien zweryfikować podstawę prawną przetwarzania danych osobowych, a w szczególności sprawdzić, czy nie musi zebrać od nowa zgód od osób, których dane przetwarza (np. dla celu realizacji marketingu). Na jego barki spada dopilnowanie, aby w jego firmie były realizowane zasady przetwarzania danych osobowych podane w RODO, oraz sprawdzenie, czy wobec wszystkich osób, których jest administratorem danych, był zrealizowany obowiązek informacyjny. Do jego obowiązków należy także przygotowanie wszystkich dokumentów, które dotyczą przetwarzania danych, podobnie jak wspomniani wcześniej organizatorzy.

Czy biura turystyczne powinny uzupełnić swoje umowy z partnerami technologicznymi (jak systemy GDS, Merlin X?) o procedury przetwarzania danych osobowych?

To zależy od konstrukcji relacji związanych z przetwarzaniem danych osobowych. Jeżeli biura podróży mają odrębne umowy (zawierające postanowienia powierzenia przetwarzania danych osobowych) z touroperatorami, których ofertę sprzedają za pomocą portali sprzedażowych, to nie muszą odrębnie regulować kwestii przetwarzania danych osobowych.  Jeżeli jednak w umowie z touroperatorami takie postanowienia przetwarzania danych nie występują, to biuro powinno uregulować to w umowie z portalami typu GDS czy MerlinX . RODO wprowadza nowe obowiązki w relacji między powierzającym a podmiotem przetwarzającym oraz wymusza stosowanie zasad przetwarzania danych osobowych określonych w nowych przepisach. Dlatego w takim przypadku wskazane jest  podpisanie nowych umów.

Czy wejście w życie RODO będzie wymagało jakichś rozszerzenia/aneksów do umów touroperatorów z agentami?
Była już mowa o tym, że RODO wprowadza nowe obowiązki w relacji między powierzającym a podmiotem przetwarzającym dane. W takim przypadku wskazane jest  podpisanie nowych umów między touroperatorami a agentami, i to zalecamy członkom Izby w trakcie szkoleń.

Czy Pana zdaniem przedsiębiorcy turystyczni są gotowi na wejście w życie RODO? Jakie działania podejmuje Polska Izba Turystyki, by ułatwić przedsiębiorcom wdrożenie nowych przepisów?

Część przedsiębiorców turystycznych, zwłaszcza większe podmioty, finalizuje już etap przygotowań do RODO, jednak znaczna liczba biur dopiero przymierza się do wdrożenia nowych przepisów. Pozostaje także grupa takich przedsiębiorców, którzy uważają, że ich sytuacja realnie się nie zmieni i czeka na rozwój sytuacji. W tym przypadku motywująca okazać się może presja touroperatorów, którzy będą musieli wykazać się doborem odpowiednich partnerów (firm, którym powierzają przetwarzanie danych) i odpowiednim nadzorem nad przetwarzaniem i zabezpieczeniem danych osobowych u swoich partnerów.  Jednak bez wiedzy i odpowiednich wzorców trudno będzie im zrobić to dobrze.

Problem tkwi w tym, że przedsiębiorcy turystyczni w ogromnej części (ponad 90%) to małe i mikroprzedsiębiorstwa, których często nie stać na usługi profesjonalnego doradztwa. Z tego powodu konieczne są działania przybliżające im najlepsze praktyki adekwatne do prowadzonej przez nich działalności. Polska Izba Turystyki stara się wypełnić tę lukę i dostarczyć swoim członkom wiedzy, m.in. organizując szkolenia dotyczące RODO oraz podejmując działania, aby zwłaszcza tym najmniejszym podmiotom branży turystycznej ułatwić wejście w nowe przepisy dotyczące ochrony danych osobowych. W tym celu przygotowaliśmy polską wersję dokumentu opracowanego przez grupę roboczą ds. RODO w ECTAA, objaśniającą zasady i procedurę wprowadzania obowiązków nałożonych na przedsiębiorców turystycznych przez rozporządzenie RODO (Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679) w formie najczęściej zadawanych pytań i odpowiedzi (FAQ). Dokument ten już wkrótce zostanie udostępniony członkom Polskiej Izby Turystyki.