GDPR для гостиниц и туристического бизнеса

Новое Европейское законодательство по защите персональных данных вступило в силу с 25 мая 2018 года и применяется по всему земному шару. Его требования касаются только тех субъектов, которые зарегистрированы на территории Европейского Союза, и тех, которые зарегистрированы в других странах, но деятельность которых направлена ​​на европейский рынок услуг и товаров.

Фундаментальным документом в рамках законодательных нововведений является так называемый GDPR (General data protection regulation / Общий регламент по защите данных) (далее — «Регламент»), которого должны придерживаться все субъекты хозяйствования, деятельность которых подпадает под его требования.

GDPR для готелів і туристичного бізнесу

Законодательные дефиниции

Сферы бизнеса и сферы деятельности, на которые распространяется Регламент не являются ограничеными, поэтому говорить о том, что деятельность в некоторых сферах не требует принятия мер, направленных на организацию соответствия требованиям Регламента — нецелесообразно. Каждая отдельная сфера имеет свои особенности применения нового европейского законодательства, в частности, в сфере финансов, в сфере рекламы, в сфере предоставления услуг и продажи товаров. В данной статье будет раскрыта специфика применения норм GDPR в сфере туристического бизнеса.​

Начиная анализ сектора туризма, нужно обратить внимание на тот факт, что требования GDPR касаются всех без исключения субъектов туристической деятельности, которые тем или иным способом собирают, обрабатывают и / или используют персональные данные физических лиц — субъектов персональных данных, согласно Регламенту. Это касается, в частности, но не ограничиваясь, туристических операторов, туристических агентов и других субъектов предпринимательской деятельности, которые предоставляют услуги по временному размещению (проживанию), питанию, экскурсионных, развлекательных и других туристических услуг.​

Другой аспект особенностей касается персональных данных, обрабатываемых субъектами туристической деятельности.

Деятельность туроператора

В случае анализа деятельности туроператора стоит отметить, что могут собираться как общие персональные данные, так и персональные данные, которые могут быть признаны как чувствительные данные. Сбор таких данных, в частности, происходит в момент покупки туристом соответствующего готового туристического продукта (туристический тур).

Такие персональные данные могут собираться туроператором как в электронном виде, путем заполнения электронных форм, так и в физическом виде, путем заполнения предоставленных туроператором форм или предоставления сканированных копий документов, которые идентифицируют физическое лицо. В любом случае, туроператор будет действовать как контроллер, в соответствии с Регламентом, при этом, он будет нести полную ответственность за то, как и кем персональные данные обрабатываются.

Деятельность турагента

Рассматривая работу турагента, нужно подчеркнуть, что турагент, в контексте предоставления туристических продуктов туристам, может находиться как в статусе обработчика соответствующего туроператора, так и выступать его смежным контроллером. Эти особенности определяются в процессе анализа деятельности соответствующего туристического агента, а также в момент определения необходимости установки целей обработки персональных данных, которые попадают в ведение турагента, в рамках реализации туристических продуктов.​

Выступая как обработчик туроператора, у турагента возникает необходимость принимать все организационные и технические мероприятия для обеспечения соответствия с GDPR, но, выступая контроллером, турагент обязан уже действовать с таким же объемом прав и обязанностей, как и туроператор.

GDPR для готелів і туристичного бізнесу

Деятельность гостиниц и других субъектов туристического бизнеса

Что же касается других субъектов предпринимательской деятельности, предоставляющих туристические услуги, в частности, но не ограничиваясь, гостиницы, мотели, хостелы и другие, то в этом случае стоит акцентировать свой взгляд не только на сбор обычных и чувствительных данных, а также на мониторинг поведения туристов в процессе предоставления им услуг.​

В случае осуществления деятельности, например, гостиниц, возникает необходимость в обязательной коммуникации с клиентами, то есть субъектами персональных данных, как в момент бронирования жилья на соответствующем веб-ресурсе, так и в процессе непосредственной регистрации в момент заселения и выселения из отеля. Персональные данные могут собираться как в момент бронирования, в момент заселения, так и в процессе проживания в гостинице.​

При этом, отелем могут собираться чувствительны персональные данные субъектов персональных данных, что в свою очередь будет катализатором для внедрения дополнительных мероприятий и процедур, которые требуются Регламентом именно для такой категории данных. Такими процедурами могут быть:​

  • внедрение в компании должности Data protection officer;

и / или

  • проведение в компании Data protection impact assessment.​

Анализ поведения и предпочтений клиента для возможности предложить ему более качественные услуги, может быть признан таким, что влияет и нарушает права и интересы туристов. Поэтому, реструктуризация мероприятий внутри компании, а также оптимизация аналитических мероприятий являются актуальными в этой ситуации.

При этом, стоит напомнить, что непринятие мер, требуемых Регламентом при обработке персональных данных, может привести к применению штрафных санкций к компании в виде штрафов.​

В процессе реализации туристической деятельности также возникает вопрос в необходимости, месте и продолжительности хранения персональных данных. В этом случае существуют варианты хранения как в электронном виде, так и в физическом, в зависимости от специфики работы того или иного субъекта туристической деятельности, но, в любом случае, такое хранение должно быть максимально защищенное и лимитированное по времени.​

Так, например, отель может хранить данные электронного бронирования и бумажные анкеты, заполняемые туристами. В соответствии со старым законодательством, в частности в соответствии с Директивой ЕС от 1995 года, которая действовала до 25.05.2018 года, не было требований по сроку хранения персональных данных, то в соответствии с новым Регламентом, персональные данные должны храниться в течение установленного времени и субъект туристической деятельности обязан сообщить туристу о сроке хранения. Также, Регламент дает рекомендации по срокам хранения чтобы чрезмерное хранения не привело к возникновению рисков для прав и интересов субъектов персональных данных.

Заключение

Туристический бизнес, как и многие другие отрасли, обязан адаптироваться под требования нового законодательства, ведь, разработав практику применения GDPR на данном этапе, в будущем будет намного удобнее и эффективнее внедрять законодательные нововведения, которые обещают быть масштабными.

В любом случае, субъекты туристической деятельности, перед началом внедрения процедур на соответствие требованиям Регламента, должны провести детальный анализ своего бизнеса в контексте обработки персональных данных, и принять взвешенные решения относительно дальнейших алгоритмов осуществления своей деятельности.

    Твой вопрос ІТ юристам


    Хочешь получать крутую инфу по IT-праву,
    без спама и надоедливых акций?