GDPR для готелів і туристичного бізнесу

Нове Європейське законодавство щодо захисту персональних даних набрало чинності з 25 травня 2018 року і застосовується по всій земній кулі. Його вимоги стосуються як тих суб’єктів, які зареєстровані на території Європейського Союзу, так і тих, що зареєстровані в інших країнах, але діяльність яких спрямована на європейський ринок послуг та товарів.

Фундаментальним документом в рамках законодавчих нововведень є так званий GDPR (General data protection regulation/Загальний регламент по захисту даних) (далі – «Регламент»), якого повинні дотримуватися всі суб’єкти господарювання, діяльність яких підпадає під його вимоги.

Законодавчі дефініції

Сфери бізнесу та сфери діяльності, на які розповсюджується Регламент, не є обмеженим, тому говорити про те, що діяльність в деяких сферах не потребує вжиття заходів, спрямованих на організацію відповідності вимогам Регламенту – недоцільно. Кожна окрема сфера має свої особливості застосування нового європейського законодавства, зокрема, в сфері фінансів, в сфері реклами, в сфері надання послуг та продажу товарів. В даній статті буде розкрита специфіка застосування норм GDPR в сфері туристичного бізнесу.​

Розпочинаючи аналіз сектору туризму, потрібно звернути увагу на той факт, що вимоги GDPR стосуються всіх без винятку суб’єктів туристичної діяльності, які тим чи іншим способом збирають, обробляють та/або використовують персональні дані фізичних осіб – суб’єктів персональних даних, згідно з Регламентом. Це стосується, зокрема, але не обмежуючись, туристичних операторів, туристичних агентів та інших суб’єктів підприємницької діяльності,  що надають послуги з тимчасового розміщення (проживання),  харчування,  екскурсійних, розважальних та інших туристичних послуг.​

Інший аспект особливостей стосується персональних даних, які обробляються суб’єктами туристичної діяльності.

Діяльність туроператора

У випадку аналізу діяльності туроператора варто зазначити, що можуть збиратися як загальні персональні дані, так і персональні дані, що можуть бути визнані як чутливі дані. Збір таких даних, зокрема, відбувається в момент купівлі туристом відповідного готового туристичного продукту (туристичний тур).

Такі персональні дані можуть збиратися туроператором як в електронному вигляді, шляхом заповнення електронних форм, так і у фізичному вигляді, шляхом заповнення наданих туроператором форм або надання сканованих копій документів, які ідентифікують фізичну особу. В будь якому випадку, туроператор буде діяти як контролер, у відповідності з Регламентом, при цьому, він буде нести повну відповідальність за те, як і ким персональні дані обробляються.

Діяльність турагента

Розглядаючи роботу турагента, потрібно підкреслити, що турагент, в контексті надання туристичних продуктів туристам, може знаходитися як в статусі обробника відповідного туроператора, так і виступати його суміжним контролером. Ці особливості визначаються в процесі аналізу діяльності відповідного туристичного агента, а також в момент визначення необхідності встановлення цілей обробки персональних даних, які потрапляють у відання турагента, в рамках реалізації туристичних продуктів.​

Виступаючи як обробник туроператора у турагента виникає необхідність вживати всіх організаційних та технічних заходів для забезпечення відповідності з GDPR, але, виступаючи контролером, турагент зобов’язаний вже діяти з таким же об’ємом прав та обов’язків як і туроператор.

Діяльність готелів та інших суб’єктів туристичного бізнесу

Що ж стосується інших суб’єктів підприємницької діяльності, що надають туристичні послуги, зокрема, але не обмежуючись, готелі, мотелі, хостели та інші, то в цьому випадку варто акцентувати свій погляд не лише на збір звичайних та чутливих даних, а також і на моніторинг поведінки туристів в процесі надання їм послуг.

У випадку здійснення діяльності, наприклад, готелів, виникає необхідність у обов’язковій комунікації з клієнтами, тобто суб’єктами персональних даних, як в момент бронювання житла на відповідному веб-ресурсі, так і в процесі безпосередньої реєстрації в момент заселення та виселення з готелю. Персональні дані можуть збиратися як в момент бронювання, в момент заселення, так і в процесі проживання в готелі.

При цьому, готелем можуть збиратися чутливі персональні дані суб’єктів персональних даних, що в свою чергу, буде каталізатором для впровадження додаткових заходів та процедур, які вимагаються Регламентом саме для такої категорії даних. Такими процедурами можуть бути:

•  впровадження в компанії посади Data protection officer;

та/або

• проведення в компанії Data protection impact assessment.

Аналіз поведінки та вподобань клієнта, для можливості запропонувати йому більш якісні послуги, може бути визнаний таким, що впливає  та порушує права та інтереси туристів. Тому, реструктуризація заходів в середині компанії, а також оптимізація аналітичних заходів є актуальною в цій ситуації.

При цьому, варто нагадати, що невжиття заходів, які вимагаються Регламентом при обробці персональних даних,, може призвести до застосування штрафних санкцій до компанії у вигляді штрафів.

В процесі реалізації туристичної діяльності, також постає питання в необхідності, місці та тривалості зберігання персональних даних. В цьому випадку існують варіанти зберігання як в електронному вигляді, так і в фізичному, в залежності від специфіки роботи того чи іншого суб’єкта туристичної діяльності, але в будь-якому випадку таке зберігання повинно бути максимально захищене та лімітоване по часу.

Так, наприклад, готель може зберігати дані електронного бронювання та паперові анкети, які заповнюються туристами. У відповідності зі старим законодавством, зокрема у відповідності до Директиви ЄС від 1995 року, яка діяла до 25.05.2018 року, не було вимог щодо терміну зберігання персональних даних, то у відповідності з новим Регламентом, персональні дані повинні зберігатися протягом встановленого часу і суб’єкт туристичної діяльності зобов’язаний повідомити туриста про строк зберігання. Також, Регламент дає рекомендації щодо термінів зберігання аби надмірне зберігання не спричинило виникнення ризиків для прав та інтересів суб’єктів персональних даних.

Висновок

Туристичний бізнес, як і багато інших галузей, зобов’язані адаптуватися під вимоги нового законодавства, адже, розробивши практику застосування GDPR на даному етапі, в майбутньому буде набагато зручніше та ефективніше впроваджувати законодавчі нововведення, які обіцяють бути масштабними.​

В будь якому випадку, суб’єкти туристичної діяльності, перед початком впровадження процедур щодо відповідності вимогам Регламенту, повинні провести детальний аналіз свого бізнесу, в контексті обробки персональних даних, та прийняти зважені рішення щодо подальших алгоритмів здійснення своє діяльності.