InHoReCa  in your country
SRBIJA
Hoteli
19.12.2018.

SAVETI: PRVI KORACI KOJE JEDAN HOTEL TREBA DA PREDUZME DA BI USAGLASIO SVOJE POSLOVANJE SA GDPR-OM

Osnova za odgovorno i transparentno poslovanje

Autor: Svetlana Mišić
Data protection consultant
Data Guard
sveta@dataguard.rs

Opšta uredba o zaštiti podataka o ličnosti (GDPR) (Uredba (EU) 2016/679) je pravni okvir kojim se u Evropskoj uniji sprovodi namera za jačanjem prava pojedinaca na privatnost uvođenjem jedinstvenog sistema zaštite podataka o ličnosti za celu teritoriju EU. Evropski parlament ju je izglasao u aprilu 2016. a stupila je na snagu 25. maja ove godine.

Ovaj drugi datum u mesecima koji su mu prethodili najavljivan je kao dan apokalipse za sve one kompanije koje ga ne dočekaju u potpunosti usklađenje sa novim zahtevima, međutim, istraživanja su pokazala da se izuzetno mali broj kompanija može pohvaliti takvom potpunom usklađenošću. Ovo je delom zbog izuzetne sveobuhvatnosti i opširnosti ovog propisa, a delom i zbog toga što se kroz njegovu složenost provuklo i dosta nejasnoća oko načina primene za čije se razjašnjenje još čeka - pravni mehanizmi za sprovođenje GDPR van EU i dalje su nedefinisani.
Pokušavajući da usklade interese zainteresovanih strana i potrošača, zakonodavci su ostavili dosta prostora za tumačenje, pa se na dosta pitanja čekaju mišljenja Evropskog odbora za zaštitu podataka i praksa sudova.

Ovo ne znači bilo kakvo odlaganje primene. Prva sudska presuda na osnovu načela o obradi podataka iz GDPR-a doneta je u Nemačkoj početkom jula.

Neka od pravila koja čine novi standard su već postojala u okviru prethodnog sistema zaštite, uređenim Direktivom iz 1995 – kao što su ključni principi na kojima obrada podataka počiva - neka su izmenjena, a neka sasvim nova. Neke od novina koje je GDPR doneo su prošireno teritorijalno važenje propisa, pooštrene kazne za prekršioce do vrtoglavih nivoa, proširena prava pojedinaca, i znatno je proširen opseg podataka koji su predmet regulisanja.

GDPR donosi obavezu odgovornog i transparentnog postupanja sa svim podacima koji se odnose na fizičko lice i prema novoj i proširenojj definiciji, čine podatke o ličnosti. Njime se u Evropi uspostavlja i odatle širi novi standard u poslovanju koji zahvata gotovo sve privredne sektore uključujući i hotelsku industriju.

Utvrđivanje primenljivosti GDPR-a
Da li su hoteli u Srbiji u obavezi da usklade poslovanje sa GDPR-om?

Uredba se odnosi na obradu podataka o ličnosti koju bilo gde u svetu vrši organizacija sa sedištem u EU. Organizacije koje nemaju sedište u EU, uredbi podležu onda kada nude robu i usluge licima u EU ili ako prate ponašanje istih lica, koje se odvija u EU. Kada državljanin EU putuje izvan EU, uredba ga ne štiti od aktivnosti obrade podataka koje vrše ogranizacije van EU.

Ako se podaci gostiju dele sa trećom stranom, treba obezbediti ugovor o obradi podataka (DPA), treba utvrditi tačno koji podaci su podeljeni i korišćeni i to navesti u izjavi o privatnosti.

Ono što je za hotele iz Srbije najvažnije da znaju jeste to da se proces onlajn rezervisanja koji se dešava između osobe u EU i hotela van EU smatra pokrivenim GDPR-om. Podaci koji se prikupljaju tokom tog procesa su aktivnost koja se dešava unutar EU i njihova obrada čini GDPR primenljivim na poslovanje hotela.

Bez obzira da li hotel u Srbiji već podleže ekstrateritorijalnom principu primene, u Narodnoj skupštini Republike Srbije je početkom novembra izglasan Zakon o zaštiti podataka o ličnosti kojim se ova oblast uređuje po uzoru na GDPR. Zakon je adaptirani prevod GDPR-a i stupio je na snagu 21. novembra, a primena počinje po isteku devet meseci od dana stupanja na snagu.

Utvrđivanje odgovornosti u okviru organizacije
Da li je potrebno angažovati službenika za zaštitu podataka?

Usklađivanja poslovanja i održavanje uspostavljenih procesa ne bi trebalo da zaobiđe gotovo nijedan sektor organizacije hotela, a naročito će se ticati administracije, pravne službe, prodaje i marketinga i IT-ja. Podaci se moraju čuvati i fizički, pa je, stoga i obezbeđenje sektor kojeg se GDPR tiče.

Počevši od najvišeg menadžmenata koji treba da planira i sprovede potrebne izmene pa naniže kroz hijerarhiju organizacije, upoznavanje sa novim standardom zaštite podataka je neophodnost za gotovo sve zaposlene i zato je potrebno sprovoditi kontinuiranu obuku o pravilnom i nedozvoljenom rukovanju podacima i o procedurama za postupanje u slučaju bezbednosnih incidenata.

Imenovanje službenika za zaštitu podataka (DPO) nije nužno uslov - hotelima procesuiranje podataka nije osnovna delatnost niti se smatra da je obrada podataka u hotelima visokog rizika - ipak je važno imati zaposlenog ili angažovati spoljnog saradnika koji će biti u prilici da prati složen i dugotrajan proces usklađivanja. Ako među zaposlenima hotela nema nikoga sa odgovarajućim znanjem ili vremenom za ulaganje, preporuka je da hotel angažuje stručnjaka koji će da izvrši uvid u trenutno stanje i sastavi plan za sprovođenje neophodnih izmena. Odluka o imenovanju ili tome da je ono nepotrebno mora biti dokumentovana u skladu sa principom odgovornosti koji teret dokazivanja usklađenosti stavlja na rukovaoce.

Popis i kategorizacija svih podataka o ličnosti i ispitivanje bezbednosnih mera
Svaka informacija koja pojedinačno ili uparena sa drugim informacijama može da identifikuje pojedinca jeste ili može postati podatak o ličnosti. Ovo može uključiti bilo šta od nečijeg imena do fizičkog izgleda.

Usklađenost sa GDPR-om podrazumevaće razumevanje i praćenje životnog ciklusa ovih podataka: odakle dolaze i kako se prikupljaju; za koju se svrhu i po kom zakonskom osnovu koriste; sa kim se i pod kojim uslovima dele, kako se štite i na kraju, kada njihovo čuvanje više nije neophodno ili opravdano - brišu.

Zakonita obrada podataka u okviru poslovanja hotela biće ona koja je zasnovana na jednom od sledećih pravnih osnova - Dobijenoj saglasnosti tj. pristanku, zakonskoj obavezi, neophodnosti radi izvršenja ugovorne obaveze, ili ostvarivanja legitimnog interesa.

Iako se o saglasnosti najviše govori i koja je do sada bila i najpraktičniji način za sticanje osnova za obradu podataka, GDPR je uslove koji prate pribavljanje saglasnosti dosta usložio. Saglasnost mora biti data za svaku svrhu obrade ponaosob i može biti povučena u svakom trenutku. Stoga je za hotele praktičnije da se, kad god mogu, oslanjaju na neki od preostalih navedenih osnova.

Prethodno se odnosi na obradu “običnih” podataka o ličnosti.

Neke informacije - rasno ili etničko poreklo, politička uverenja, medicinski, genetski ili biometrijski podaci, verska ili filozofska ubeđenja, pripadnost sindikatu, podaci o seksualnom životu ili seksualnoj orijentaciji fizičkog lica - podležu posebnom režimu zaštite kao posebne kategorije podataka o ličnosti. Hoteli će biti u prilici da dođu u posed takvih podataka prilikom organizovanja događaja kojom prilikom bi se otkrilo članstvo u sindikatu učesnika. Informacije o posebnim dijetama ili alergijama gosta, kao medicinski podaci, takođe su iz posebne kategorije podataka o ličnosti.

Često se usklađenost sa GDPR-om izjednačuje sa uvođenjem složenih i skupih IT mera. Na ovaj način se mogu zadovoljiti samo određeni zahtevi. Pre nego što se sa implementacijom novih tehničkih i bezbedonosnih mera počne, potrebno je sagledati i suočiti celokupan poslovni proces sa zahtevima propisa i tek onda doneti odluku o adekvatnosti određenih mera. U suprotnom možete završiti sa skupim i nesvrsishodnim rešenjem.

Uvođenje novih procedura u politiku privatnosti
Bez obzira na osnov obrade, hoteli moraju da saopšte pojedincima koje informacije se prikupljaju, za šta se koriste i koliko dugo će biti zadržane. Ti podaci treba da budu lako dostupni korisnicima usluga, da obuhvate sve relevantne informacije i da budu napisani lako razumljivim rečnikom.

Kroz principe zaštite podataka iz GDPR-a je naglašeno da organizacije mogu prikupljati podatke samo ako je to neophodno za određenu svrhu i zadržati ih samo onoliko koliko tu svrhe i ispunjavaju. Idealno je da sve relevantne informacije o prikupljenim podacima, kao što je npr. razlog za prikupljanje i vremenski period čuvanja saopštite u trenutku prikupljanja.

Jedan od najčešćih saveta na koje možete naići u vezi sa implementacijom GDPR-a je da je odmah neophodno ažurirati pravilnik i izjavu o privatnosti tako da one odgovaraju GDPR-u. To je svakako tačno, ali i nedovoljno ako one ne odgovaraju u potpunosti onome što je po tom pitanju zaista praktikovano u vašoj organizaciji. Privacy policy ili Pravilik o zaštiti privatnosti je interni dokument koji uređuje postupanje sa podacima o ličnosti. On treba da dokumentuje sva pravila, organizacione i tehničke mere koje proizlaze iz GDPR-a i da sa njime svi zaposleni budu upoznati.

Svaka informacija koja pojedinačno ili uparena sa drugim informacijama može da identifikuje pojedinca jeste ili može postati podatak o ličnosti.

Osim pružanja informacija, nema govora o usklađenosti ukoliko nisu uspostavljene procedure za postupanje po zahtevima lica na koje se podaci odnose za ostvarivanje njegovih prava u zadatom vremenskom periodu. Način na koji zainteresovana lica mogu da se pozovu na svoja prava treba da bude objavljen.

Ono što takođe mora biti obznanjeno u okviru izjave o privatnosti su i treća lica, čije se usluge koriste tako da se sa njima dele podaci o ličnosti.

Provera trećih lica
Obaveza hotela kao rukovaoca obrade podataka da obrate pažnju i izvan svojih internih procesa i da procenjuju da li su treće strane, angažovane za saradnju, takođe usklađene sa GDPR-om. Ukoliko nisu, njihove usluge se ne smeju koristiti, tj. sa njima se podaci ne smeju deliti.

Ako se podaci gostiju dele sa trećom stranom, treba obezbediti ugovor o obradi podataka (DPA), treba utvrditi tačno koji podaci su podeljeni i korišćeni i to navesti u izjavi o privatnosti.
Banalan primer bi bio obaveštenje o korišćenju Google analitike na sajtu hotela. Posebno je važno utvrditi gde je sedište treće strane, čiji se servis koristi, zbog utvrđivanja da li se podaci iz EU transferuju u okviru adekvatnog režima.

Ovo je samo predlog za sprovođenje prvih koraka ka usklađivanju poslovanja. Ceo proces može potrajati, pa je uputno početi što pre sa postavljanjem osnova za odgovorno i transparentno poslovanje.

O kompaniji
Data guard d.o.o. se bavi upravljanjem rizicima i konsultovanjem u oblasti zaštite podataka. Kompaniju su u Beogradu osnovali Mišo Ravić, inženjer elektrotehnike, i Rajan Otman, advokat iz Londona. Data Guard čini tim pravnika i IT stručnjaka koji pomaže preduzećima da se prilagode novim standardima zaštite podataka uz minimalno remećenje poslovnih procesa. Ovo, pre svega, podrazumeva usklađivanje sa propisima Evropske unije (GDPR i ePrivacy Directive), proveru bezbednosnih sistema i uspostavljanje efikasnog sistema za upravljanje podacima. Detalje o uslugama koje Data Guard pruža možete pronaći na internet-stranici: www.dataguard.rs