GDPR za privatne iznajmljivače Hydra Consulting

GDPR vodič za privatne iznajmljivače u turizmu

Kao što smo ranije pisali, Opća uredba za zaštitu osobnih podataka ili GDPR primjenjuje se na jednom zaista širokom području. Njene odredbe se odnose na apsolutno sve tvrtke i organizacije koja obrađuju ili pohranjuju osobne podatke.

Na tom velikom popisu su, između ostalog i privatni iznajmljivači u turizmu. Za njih GDPR odredbe postaju još aktualnije u vrijeme turističke sezone. Upravo zato, donosimo ovaj kratki vodič o tome što znači GDPR za privatne iznajmljivače. Evo što trebaju znati o Uredbi za zaštitu osobnih podataka.

Što znači GDPR za privatne iznajmljivače?

Svi privatni iznajmljivači imaju zakonsku obavezu prijaviti turiste u eVisitor sustav. Upravo iz tog razloga, prema odredbama GDPR-a  imaju pravo zatražiti i obrađivati njihove osobne podatke. Obzirom da se podatci u tom slučaju prikupljaju u svrhu ispunjenja obveze iznajmljivača koja je propisana zakonom, nije potrebna privola gostiju za prikupljanje podataka.

Navedeno ne znači da iznajmljivači prema gostima s te strane nemaju nikavih obaveza. Naime, sukladno odredbama članka 13. GPDR-a, privatni iznajmljivači su dužni pružiti gostu propisane informacije prilikom prikupljanja osobnih podataka.

Dakle, goste je potrebno prethodno obavijestiti o razlozima prikupljanja njihovih osobnih podataka. Odnosno, da bez tih podataka ne mogu ispuniti svoju zakonsku obavezu prijave svakog turista, što je nužno za pružanje usluge smještaja.

Uz to, preporuča se gostima pružiti i informacije o zakonskoj osnovi temeljem koje se prikupljaju njihovi podatci, što je eVisitor sustav kao i relevantne informacije vezane uz zaštitu njihovih podataka.

Kako bi privatni iznajmljivač mogao dokazati da je gosta upoznao sa svime potrebnim informacijama, prikladno je voditi i zapisnik sa datumima kada su gostima pružene ove informacije. Pri tome je potpis gostiju u zapisniku dokaz primitka informacija.

GDPR za privatne iznajmljivače Hydra Consulting

Kada je sve iznajmljivač dužan prikupiti privolu gosta?

Osobni podatci gostiju prikupljeni s ciljem njihova upisa u sustav eVisitor mogu se koristiti isključivo u za svrhu za koju su prikupljeni. Bilo kakvo korištenje prikupljenih podataka za druge svrhe ili zadržavanje tih podataka duže nego što je potrebno za ispunjenje svrhe smatra se prekomjernom obradom i nije dopušteno. To znači da fotokopiranje ili zadržavanje osobnih iskaznica gostiju, nije dozvoljeno. Bilo koji oblik prikupljanja osobnih podataka izvan opsega potebnog za prijavu u eVistor dopušten je samo uz postojanje valjane pravne osnove. Najčešće je to prethodna privola gosta.

Kada je riječ o marketinškim aktivnostima, GDPR za privatne iznajmljivače donosi ista pravila kao i za bilo koje drugo poslovanje. Privatni iznajmljivač je dužan unaprijed obavijestiti svoje goste o tome da namjerava koristiti njihove podatke u marketinške svrhe. Pod time se misli na slanje bilo kakvih obavijesti, ponuda ili informacija o akcijskim ponudama te newslettera.

Također, obavezan je za to zatražiti njihovu privolu te ih informirati o njihovom pravu da ne moraju pristati na ovakav oblik  obrade i korištenja osobnih podataka. Jednako kao i da u bilo kojem trenutku mogu povući svoju privolu.

Hydra Consulting Zagreb

Privatni iznajmljivači i pitanje službenika za zaštitu osobnih podataka

U jednom od ranijih blogova definirali smo kada tvrtka ili organizacija ima obavezu imenovati službenika za zaštitu osobnih podataka te na koga se sve odnosi ova obaveza. No, kakve odredbe po tom pitanju donosi GDPR za privatne iznajmljivače?

Privatni iznajmljivači nisu obavezni angažirati službenika za zaštitu informacija. Ipak, ukoliko se njihov posao s vremenom bude razvijao i rastao, primjerice u mali obiteljski hotel, to može postati korisna opcija u budućnosti.  U tom slučaju je eksternalizirani službenik za zaštitu podataka komercijalno najisplativija opcija, jer garantira stručnu uslugu bez nesrazmjernih troškova.

U ovom trenutku, i iznajmljivači mogu kontaktirati stručnjaka za zaštitu osobnih podataka i potražiti savjete glede obrade osobnih podataka gostiju i zaposlenika.

GDPR za privatne iznajmljivače Hydra Consulting

GDPR za privatne iznajmljivače– kako to izgleda u praksi?

Dakle, svaki privatni iznajmljivač trebao bi na vidljivo mjesto staviti pisanu obavijest za sve goste i turiste  u kojem pojašnjava zakonsku osnovu prikupljanja njihovih osobnih podataka. Jednako tako, treba istaknuti kako će prikupljene podatke koristiti isključivo u svrhu ispunjavanja zakonske obveze. U ovom slučaju, to je upis njihovih podataka u eVisitor sustav.

Evo još nekih savjeta u praksi u vezi toga što privatni iznajmljivači ne smiju činiti sukladno odredbama GDPR-a;

  • Nije dozvoljeno korištenje i objavljivanje fotografija gostiju i turista na web stranicama privatnih iznajmljivača bez izričite dozvole gostiju. Riječ je o materijalima uz pomoću kojih se može identificirati pojedinca. U skladu s tim, nije ih dozvoljeno koristiti niti u bilo kakve marketinške svrhe bez prethodne privole
  • Nije dozvoljeno kontaktirati goste kako bi ih se informiralo o novim sadržajima, posebnim popustima ili promotivnim ponudama. Osim ako su gosti na to dali privolu
  • Bez prethodne privole, nije dozvoljeno ni dijeliti podatke gostiju s turističkim agencijama i organizatorima izleta

Trebate stručnu pomoć ili informacije vezane uz zaštitu osobnih podataka? Nemojte više čekati. Obratite nam se sa povjerenjem, a naši stručnjaci će riješiti svaki vaš problem.

Razlika između GDPR-a i ePrivacy-Hydra Consulting Zagreb

Hydra Consulting savjeti: Razlika između GDPR-a i ePrivacy uredbe

Europska Unija oduvijek je radila na stvaranju jedinstvenih pravnih propisa koji se jednako primjenjuju u svim zemljama članicama.  Kada je riječ o elektroničkim komunikacijama i online tržištu, tijekom posljednjih godina na ovom je području došlo do značajnih izmjena. Upravo su napredak i razvoj tehnologija ukazali na snažnu potrebu za proširenjem pravnog okvira koji regulira elektroničke komunikacije na području čitave Europske Unije.

Generalno gledano, zaštita osobnih podataka u EU regulirana je GDPR-om. Ipak, Europska komisija je shvatila da će za učinkovitiju zaštitu osobnih podataka na području elektroničkih komunikacija biti nužno donijeti lex specialis. Tako je nastala ePrivacy uredba i trebala bi stupiti na snagu već krajem ove ili početkom iduće godine.

Eprivacy uredba će biti lex specialis u odnosu na GDPR. To znači da će imati prednost u odnosu na GDPR na području elektroničkih komunikacija. Njeni obveznici su sve tvrtke koje koriste internetske tehnologije praćenja, pružaju bilo kakav oblik komunikacijske usluge ili se bave izravnim marketingom.

Dakle, ePR ima jedan vrlo široki krug obveznika. Stoga je vrlo važno da tvrtke ali i njihovi korisnici shvate koja je razlika između GDPR-a i ePrivacy uredbe.

Razlika između GDPR-a i ePrivacy-Hydra Consulting Zagreb

Zašto ePrivacy uredba?

Jedna od ključnih razlika između GDPR-a i ePrivacy uredbe tiče se razloga njihova donošenja. GDPR je donesen kako bi korisnicima osigurao veći nadzor u procesu prikupljanja i obrade njihovih osobnih podataka. Istovremeno, on štiti korisnike od zloupotrebe osobnih podataka. Odnosi se na sve poslovne subjekte na području EU koji se bave obradom osobnih podataka. To mogu biti i udruge i nevladine organizacije, državna uprava i javna tijela, male i velike tvrtke.

S druge strane, ePrivacy uredba preciznije pojašnjava te unaprijeđuje pojedine odredbe GDPR-a koje se tiču elektroničkih komunikacija. Njenom primjenom pitanja komunikacijskog sadržaja, tajnosti podataka i meta podataka u elektroničkim komunikacijama te pravila o kolačićima postaju jasnije definirana.

Također, njen cilj je proširiti područje primjene postojeće Direktive o obradi osobnih podataka i zaštiti privatnosti u području elektroničkih komunikacija. Istovremeno, ePR-om će se uskladiti i različiti propisi s područja elektorničkih komunikacija koji postoje u zemljama članicama EU.

Jednostavnija pravila o kolačićima

Razlika između GDPR-a i ePrivacy uredbe je i u tome što nova uredba detaljno definira područje primjene kolačića na web stranicama. Istovremeno, donosi jednostavnija pravila o kolačićima za korisnike.  Primjenom ePrivacy uredbe korisnici će moću puno lakše odbiti ili prihvatiti prateće kolačiće ili druge identifikatore. Točnije, više neće trebati na svakoj web stranici davati pristanak na korištenje kolačića, nego će to unaprijed odrediti u postavkama svog pretraživača.

Dakle, s jedne strane ePR olakšava samim korisnicima zaštitu njihove privatnosti. No, jednako tako, pružateljima usluga olakšava korištenje podataka koji ne zadiru u privatnost korisnika, a važni su za pružanje usluge. Primjerice, više neće biti potrebno zatražiti suglasnost korisnika kada je riječ o kolačićima pomoću kojih web stranice bilježe broj posjetitelja.

ePrivacy uredba Hydra Consulting Zagreb

Tajnost podataka; komunikacijski sadržaj i meta podatci

Tržište elektroničkih komunikacija se nevjerojatno razvilo tijekom posljednjih deset godina. Upravo zato, postojeća ePrivacy Direktiva, čija je posljednja revizija učinjena 2009. godine, nije usklađena sa novim komunikacijskim trendovima. EPrivacy uredba to će promijeniti.

Što to znači? Prije svege, da kompanije koje stoje iza komunikacijskih alata poput Gmaila, Skypa, Facebooka, Vibera ili Whatsapa dobivaju obvezu osigurati svojim korisnicima jednaku razinu povjerljivosti kao i tradicionalni tele operateri. Dakle, pružatelji usluga u elektroničkim komunikacijama dužni su osigurati tajnost komunikacijskog sadržaja njihovih korisnika u skladu sa najvišim standardima na tržištu.

Jednako tako, ePrivacy uredba garantira privatnost cjelokupnog komunikacijskog sadržaja. To se odnosi i na podatke o vremenu i lokaciji telefonskog poziva. Također, meta podatci su definirani kao iznimno privatne informacije. Bez pristanka korisnika, pružatelji usluga su dužni izbrisati meta podatke ili ih učiniti anonimnima. Osim kada ih koriste s ciljem obračuna potrošnje.

Glavna razlika između GDPR-a i ePrivacy uredbe

Obje uredbe, i GDPR i ePrivacy,  odraz su snažne potrebe za jasnijim propisima na područje zaštite osobnih podataka EU građana. Ipak, glavna razlika među njima je slijedeća.

GDPR je donesen kao svojevrsna razrada članka 8. Povelje Europske Unije o temeljnim pravima koji definira pravo na zaštitu osobnih podataka te na zakonitost njihove obrade i prikupljanja. S druge strane, ePrivacy uredba razrađuje članak 7. iste Povelje koji definira da svatko ima pravo na poštivanje njegova privatnog i obiteljskog života te privatnost komunikacije.

Eprivacy uredba regulira upravo područje privatnosti krajnjeg korisnika u svim fazama i oblicima elektroničke komunikacije. To se odnosi na tradicionalne oblike elektroničke komunikacije poput sms poruka i emailova. No, jednako tako i na danas češće korištene oblike komunikacija na web stranicama, društvenim mrežama, ili putem aplikacija, video i audio kanala. Pri tome se ne smije zaboraviti da ePR i nadopunjuje pojedine dijelove GDPR-a, zbog čega su njegove odredbe uvijek relevatne u primjeni nove uredbe.

Definiranjem svake pojedinačne situacije u kojoj se krajnji korisnici mogu zateći, uredbe zapravo imaju sinergijski učinak u zaštititi osobnih podataka online korisnika. Također, njihove međusobno nadopunjujuće odredbe obvezuju pružatelje usluga elekektroničke komunikacije da prikupljaju i obrađuju podatke korisnika na način koji garantira zaštitu osobnih podataka.

Kao i u slučaju GDPR-a, za nepoštivanje odredbi ePrivacy uredbe (ovisno o vrsti prekršaja) kazne mogu iznositi i do 20 milijuna eura ili 4 % ukupnog godišnjeg prometa pravne osobe u prethodnoj godini, odnosno što god je veće. Upravo iz tog razloga ključno je da na vrijeme angažirate stručnjake koji će vam pomoći u pripremi za sve promjene koje ePR donosi.

Trebate stručnu pomoć ili informacije vezane uz zaštitu osobnih podataka? Nemojte više čekati. Obratite nam se sa povjerenjem, a naši stručnjaci će riješiti svaki vaš problem.

 

GDPR izazovi Hydra Consulting

GDPR izazovi – implementacija GDPR-a u praksi

Europska komisija i Europski parlament donijeli su Uredbu o zaštiti osobnih podataka kako bi sustavno i temeljito riješili problem neujednačene prakse zaštite osobnih podataka na području Europske Unije. GDPR izazovi tako su postali stvarnost za brojne tvrtke, organizacije i druge poslovne subjekte koji se bave obradom podataka EU građana.

GDPR je donio velike izazove za menadžemnt brojnih tvrtki, a evo i zašto. Prije svega, GDPR izazovi obuhvaćaju vrlo zahtjevne te opsežne radnje u smislu usklađivanja sa odredbama Uredbe. Usklađivanje sa GDPR-om često zahtjeva i organizacijske promjene unutar tvrtki, jednako kao i promjene u tehničkom segmentu njihova poslovanja.

Uz to, za nepridržavanje odredbi GDPR-a predviđene su i iznimno visoke kazne. One iznose do 20 milijuna eura ili 4 % ukupnog godišnjeg prometa u prethodnoj godini, odnosno što god je veće.

GDPR Hydra Consulting Zagreb

Da, GDPR je donio značajne izmjene za njegove obveznike, a nove odredbe čine sedam osnovnih načela zaštite osobnih podataka;

  • Zakonitost i transparentnost prikupljanja osobnih podataka
  • Ograničavanje svrhe obrade osobnih podataka
  • Točnost podataka koji se obrađuju
  • Smanjenje količine podataka
  • Cjelovitost i povjerljivost podatka
  • Ograničavanje trajanja pohrane osobnih podataka
  • Pouzdanost, odnosno, dokazivost ispunjenja prethodnih načela

Stupanjem na snagu GDPR-a, tvrtke su dobile nove, velike odgovornosti u smislu zaštite osobnih podataka. Upravo zato, kako bi ispoštovale njegove odredbe te izbjegle predviđene kazne, mnoge od njih zatražile su GDPR konzultantske usluge.

GDPR izazovi u praksi –  ustrojavanje novih sustava kontrole

GDPR se u mnogočemu razlikuje od Zakona o zaštiti osobnih podataka. Osim ranije spomenutih kaznenih odredbi, Uredba je donijela i čitav niz novosti vezanih uz samu definiciju osobnog podatka ali i zahtjeve vezane uz njihovu obradu. Uvedeni su i novi pojmovi poput pseudonimizacije.

Također, poseban naglasak stavljen je na prava ispitanika. Ovdje se ističu obrada podataka na temelju privole, pravo ispitanika da bude informiran te pravo na zaborav. Glavni zadatak GDPR-a je onemogućiti i spriječiti narušavanje integriteta i povjerljivosti osobnih podataka te spriječiti njihovu neovlaštenu upotrebu i obradu.

U tom smislu, GDPR se ne razlikuje puno od općih zahtjeva vezanih uz pojam sigurnosti informacijskih sustava. Ipak, za usklađivanje sa GDPR odredbama, tvrtke jednostavno moraju uskladiti postojeće ili ustrojiti nove upravljačke, fizičke i logičke kontrole.

Takvi novi sustavi kontrole zahtijevaju se i od izvršitelja obrade osobnih podataka. Naime,  preuzimanjem poslova od voditelja obrade preuzimaju i sve obveze koje je definirao GDPR.  Isto tako, važno je naglasiti da odgovornost za zaštitu osobnih podataka obuhvaća sve segmente poslovanja neke organizacije ili tvrtke – od uprave do korisničke podrške.

GDPR izazovi Hydra Consulting Zagreb

GDPR izazovi u praksi- što je osobni podatak i kako se obrađuje?

GDPR uzima u obzir daleko veći broj identifikatora koji u međusobnoj kombinaciji čine osobni podatak pojedinca. Identifikatori su ime pojedinca, čimbenici svojstveni za njegov fizički, genetski, fiziološki, kulturni, ekonomski ili socijalni identitet. Zatim to su podatci o lokaciji, identifikacijski broj te mrežni identifikatori ( identifikator mobitela, IP adresa).

Zasebno gledano, neki od ovih identifikatora nisu osobni podatci. Ipak, često je kombiniranjem dva ili više identifikatora moguće neizravno ili izravno utvrditi identitet određenog pojednica. Upravo na taj način identifikatori mogu postati osobnim podatkom.

GDPR izazovi u praksi velikim dijelom su vezani i uz postupak obrade osobnih podataka. Prema definiciji Uredbe, obradu podataka predstavlja „svaki postupak ili skup postupaka koji se obavljaju na osobnim podacima ili na skupovima osobnih podataka, bilo automatiziranim bilo neautomatiziranim sredstvima kao što su prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje. „

Također, neka od ključnih pitanja, zbog kojih tvrtke vrlo često zatraže GDPR konzultantske usluge, su kako definirati tko i pod kojim uvjetima koristi osobne podatke te na koji način se osobni podatci štite u svakoj fazi njihove obrade.

Naime, sukladno odredbama GDPR-a jasno je da se one ne odnose samo na obradu podataka korisnika usluga neke tvrtke ili organizacije. One se odnose i na obradu svih ostalih osobnih podataka kojima tvrtka raspolaže. Dakle, riječ je i o osobnim podatcima zaposlenika tvrtke te osobnim podatcima vanjskih suradnika ili dobavljača.

Upravo zbog velike količine osobnih podataka koje obuhvaćaju različiti poslovni procesi, usklađivanje sa odredbama GDPR-a je zaista velik izazov za čitavu tvrtku. To se ponajviše odnosi na Upravu i menadžment tvrtke koji su dužni osigurati potrebne resurse.

GDPR izazovi Hydra Consulting Zagreb

GDPR izazovi za menadžment

Ranije smo spomenuli drakonske kazne za nepoštivanje odredbi GDPR-a. No, kada su ispitaniku narušena prava definirana Uredbom, on ima i druge opcije na raspolaganju. Naime, može pokrenuti i postupak protiv voditelja ili izvršitelja obrade podataka pred nadležnim sudom.

Ipak, tvrke se ne izlažu samo financijskom riziku zbog nepoštivanja odredbi GDPR-a. Tu je i operativni rizik te jednako važan reputacijski rizik kod nezakonite obrade osobnih podataka.

Operativni rizici ovdje se odnose na uspostavu odgovarajućih internih kontrola te definiranje odgovornosti i nadležnosti svih sudionika u procesu obrade osobnih podataka. Službenik za zaštitu osobnih podataka ovdje ima jednu od ključnih uloga.

Zbog svega navedenog, uprave tvrtki moraju pravovremeno donijeti nužne odluke te osigurati potrebna sredstva. Jednako je važno da pruže maksimalnu podršku pri implementaciji odredbi GDPR-a u poslovanje te zatraže GDPR konzultanstske usluge kada je to potrebno.

Operativni procesi i GDPR

GDPR izazovi s kojima su tvrtke suočene u njihovom svakodnevnom poslovanju velikim dijelom su vezani uz široko područje koje on obuhvaća. Naime, gotovo da nema segmenta poslovanja u kojem se u nekom obliku ne obrađuju osobni podatci.

Primjerice, kada je riječ o procesu obrade osobnih podataka zaposlenika tvrtke, on započinje već prijavom kandidata na oglas te distribucijom životopisa u natječajnom postupku. Nakon toga slijedi potpisivanje ugovora o radu te registri koje su poslodavci dužni voditi prema zakonskim propisima,. Također, učlinkovitost zaposlenika se ocjenjuje kroz različite analitičke postupke, a tu su i programi za obračun plaća zaposlenika.

Upravo zato, procesu usklađivanja i implementaciji GDPR-a u poslovanje te kasnijoj primjeni nužnih internih kontrola, treba pristupiti sistematično i detaljno. Neizostavan dio analize procesa obrade osobnih podataka u tvrtki je i analiza informacijskog sustava koje ona koristi. Potrebno je uključiti i zaposlenike ili organizacijske jedinice koje su odgovorne za IT infrastrukturu te sve ostale službe ili zaposlenike koji rade na poslovima pohrane i arhiviranja podataka. Ovo se odnosi i na vanjske suradnike uključene u pojedine dijelove postupka obrade podataka.

U čitavom ovom procesu iznimno je važno kooridirano djelovanje službenika za zaštitu osobnih podataka te uprave tvrtke. Jedino na takav način mogu se pravovremeno procijeniti rizici, utvrditi sve obveze čuvanja osobnih podataka te ispuniti svi zahtjevi koje je GDPR-a donio.

Zanima Vas je li i Vaše poslovanje u potpunosti usklađeno sa GDPR-om? Trebate stručnu pomoć ili informacije vezane uz zaštitu osobnih podataka? Nemojte više čekati. Obratite nam se sa povjerenjem, a naši stručnjaci će riješiti svaki vaš problem.