Kontynent pełen różnorodności. Dzikie zwierzęta, słońce, przepiękne krajobrazy, otwarci ludzie, odmienna kultura. Lagos, Kair, Casablanca i inne miasta Czarnego Lądu – przyciągają, pociągają, ciekawią. Zachwycają smaki, zapachy, czasami zadziwia mentalność, kusi kalejdoskop wrażeń. Afryka – kraje, o których zobaczeniu marzymy, a widok pustyni lub dzikich słoni śni nam się po nocach. W dzisiejszych czasach kontynent „prosty do zdobycia”, dzięki rozwiniętej branży turystycznej i łatwym sposobie dotarcia tam samolotem. Gdy już zdecydujemy się spełnić wizję wspaniałej przygody, wykupić wycieczkę – przychodzi moment, w którym jeszcze na chwilę jesteśmy zmuszeni pozostać w sferze codzienności i biurokracji. Zanim będziemy podziwiać fatamorganę, opalać się na rajskich plażach i nurkować – pomyślmy o sprawach swojego bezpieczeństwa, nawet w tak drobnej, ale jakże kluczowej kwestii, jak ochrona naszych danych osobowych. Tutaj pojawiają się następujące pytania: jakie mamy prawa, w jaki sposób biuro podróży powinno rozpocząć zbieranie naszych danych, a przede wszystkim – czy obowiązuje tam RODO i jakich zasad powinniśmy przestrzegać.

Jak biuro podróży powinno rozpocząć zbieranie naszych danych?

Nadchodzi chwila, gdy przychodzimy do biura podróży i mówimy, że jesteśmy zainteresowani jakąś wycieczką. Wtedy jeszcze nikt nie ma naszych danych osobowych, chyba że zdecydujemy się na pozostawienie numeru telefonu lub naszego e-maila w celu przesłania nam kilku propozycji. Pamiętajmy, że biuro zdobywając zgodę, może również w kolejnych latach przesyłać nam oferty marketingowe. Ma to swoje zalety, o ile częstotliwość tych e-maili lub sms-ów nie będzie zbyt natarczywa. Zawsze jednak, gdy zapada decyzja odnośnie wykupienia wczasów w konkretnym kraju musimy zazwyczaj wpłacić zaliczkę i „machina rusza”. Biuro podróży wystawiając dowód wpłaty, potrzebuje imię, nazwisko, adres, numer PESEL – informacje, dzięki którym można zidentyfikować, kim jest dana osoba. Biuro podróży zaczyna przetwarzać nasze dane osobowe. Jest to czas, gdy powinien być spełniony obowiązek informacyjny. Może on być zarówno w formie pisemnej, jak i ustnej. Taka informacja zazwyczaj jest zawarta w treści jakiegoś regulaminu. Istotne jest, żeby po prostu się gdzieś pojawiła, aby z łatwością można było się z nią zapoznać. Jeżeli biuro podróży spełnia obowiązek informacyjny – oznacza to, że zwraca uwagę na RODO, a więc jest duża szansa na odpowiednią ochronę danych. Osoba reprezentująca biuro podróży powinna nam powiedzieć, kto będzie administratorem danych osobowych. Może zdarzyć się sytuacja, że będzie nim inna spółka, niż biuro podróży, w którym właśnie kupujemy wymarzoną wycieczkę. Czy ten fakt powinien być zaskoczeniem? Nie. Często zdarza się, że jedna firma (np. biuro podróży) należy do dużej sieci biur podróży albo jest jedynie sprzedawcą, natomiast właściwym administratorem danych jest inna spółka. Nie zdziwmy się, więc jeśli np. kolejne maile będą przychodzić do nas od podmiotu, który przedstawił się w obowiązku informacyjnym odnośnie przetwarzania danych. Dla każdego biura podróży niezwykle ważne jest, aby treść tego obowiązku informacyjnego była przygotowana zgodnie z wymogami prawa. Często w takich przypadkach korzysta się z pomocy profesjonalistów.

Obowiązek informacyjny

Czym konkretnie jest owy obowiązek informacyjny? Tak, jak my jesteśmy zobligowani do tego, żeby się przedstawić i podać swoje dane, tak samo biuro podróży powinno „przedstawić się” nam — poinformować, czy ma wyznaczoną osobę pełniącą funkcję Inspektora Ochrony Danych, podać pełne informacje o administratorze danych, odbiorcach czy podwykonawcach. Choć zakres tej klauzuli szczegółowo opisują przepisy prawa, to bardzo ważne jest to, aby informacje nam przekazane były sformułowany w sposób jasny i przejrzysty oraz nie wprowadzały nas w błąd np. co do nazwy Touroperator, czyli właściwego organizatora wycieczki. Czasami biura podróży przekazują wyłącznie informacje, które gdzieś skopiowały lub przepisały od dużych operatorów, nie zastanawiając się nad treścią. Może to potencjalnie przysporzyć takim sprzedawcom wiele kłopotów, kiedy organ nadzoru dopatrzy się braków lub niezgodności w treści tych klauzul. Jest więc ona szalenie istotna i kluczowa. Urząd Ochrony Danych Osobowych w 2018 r. wymierzając pierwszą karę na podstawie nowych przepisów, stwierdził, że niedopełnienie obowiązku informacyjnego jest naruszeniem jednej z najważniejszych zasad wynikających z rozporządzenia RODO. Dlatego przedsiębiorcy chętnie korzystają z usług firm konsultingowych, które nie tylko stworzą obowiązek informacyjny, ale przede wszystkim mogą przeprowadzić profesjonalny audyt wszystkich procesów, w których przetwarza się dane osobowe i pomogą przygotować oraz wdrożyć odpowiednie procedury, a także zawrzeć właściwe umowy z podmiotami zewnętrznymi.

Sprawdzenie bezpieczeństwa naszych danych

Kolejnym pytaniem, które się nasuwa, jest to, czy możemy sprawdzić, w jaki sposób biuro podróży zabezpiecza nasze dane. Cóż, niestety nie, ale możemy zawsze zapytać lub zwrócić uwagę na wdrożone normy lub regulacje branżowe. Każdy podmiot mający wdrożoną normę ISO 27001 dotyczącą ochrony informacji będzie się nią chwalił podobnie, jak posiadaniem i przestrzeganiem zasad wynikających z kodeksów branżowych uzgodnionych wspólnie przez podmioty działające na rynku turystycznym i organ nadzorczy. Wdrożenie takich dodatkowych wymogów nie tylko jest informacją marketingową, często świadczy również o okresowych audytach bezpieczeństwa przeprowadzonych przez podmiot wydający certyfikat. Co oczywiście nie daje nigdy 100% gwarancji bezpieczeństwa, ale pozwala zwiększyć zaufanie.

Nasze prawa

Jakie mamy prawa jako klienci biura podróży? Wachlarz przysługujących nam praw jest dość szeroki. Jest to dostęp do naszych danych osobowych, żądanie usunięcia lub prawo do bycia zapomnianym oraz prawo do przenoszenia danych. Jeżeli zauważymy, że przetwarza ono nasze dane osobowe w nieodpowiedni sposób, możemy złożyć skargę do organu nadzoru. Sugerowane jest jednak w pierwszej kolejności skontaktowanie się z ich Inspektorem Ochrony Danych, a jeżeli on nie udzieli nam satysfakcjonującej nas odpowiedzi – dopiero złożenie skargi do UODO.

Kupiliśmy wycieczkę do Afryki i co dalej?

Ilość podmiotów, którym dane będą przekazane bądź powierzone może przyprawiać nas o zawrót głowy. Organy wydające wizy, linie lotnicze, hotele, firmy ubezpieczeniowe (jeśli jest jakieś ubezpieczenie związane z tym wyjazdem), służby bezpieczeństwa, organizatorzy wycieczek fakultatywnych. A to dopiero początek, bo przecież jak tylko przekroczymy granice to do tego grona dołączą jeszcze operatorzy sieci komórkowych, administratorzy monitorowanych budynków, właściciele sklepików, w których zapłacimy kartą oraz najemcy samochodów i sprzętu turystycznego.
Każdy z tych podmiotów prawdopodobnie może być niezależnym administratorem danych i będzie posiadał własny tytuł prawny do pozyskiwania naszych danych i przetwarzania ich przez określony czas. Niestety, ponieważ są to kraje nienależące do EOG, sami administratorzy mogą nawet nie wiedzieć, że z perspektywy naszego prawa tak ich nazywamy. Dlatego dla bezpieczeństwa danych osobowych, organizatorzy powinni zawierać z nimi odpowiednie umowy.

Zasady, których powinniśmy przestrzegać

Po pierwsze powinniśmy mieć świadomość, że w poszczególnych krajach mogą obowiązywać przepisy gwarantujące nam ochronę prywatności w mniejszym zakresie, niż w UE. Z drugiej jednak strony międzynarodowe korporacje działające na terytorium innego państwa często stosują wewnętrzne reguły korporacyjne gwarantujące nam odpowiedni poziom ochrony. Dlatego warto jest czasami zapytać się w renomowanym hotelu lub wypożyczalni samochodów, czy podmioty te mają wdrożone wymogi GDPR.
Po trzecie, niezależnie od obowiązujących przepisów oraz wdrożonych zasad zawsze powinniśmy kierować się zdrowym rozsądkiem. Nie zostawiajmy paszportów podczas meldowania się na recepcji. Nie pozwalajmy na robienie zdjęć, kserokopii naszym dokumentom obsłudze hotelowej. W czasach cyfryzacji w taki sposób można bardzo łatwo skraść naszą elektroniczną tożsamość. Nie podawajmy kart płatniczych kelnerom lub sprzedawcom, a jeśli wymaga tego sytuacja, nie spuszczamy ich z oczu. Zawsze, kiedy mamy wątpliwości czy dane zachowanie jest dopuszczalne możemy poprosić o pokazanie nam procedury lub przepisu prawa wymagającej tego. Często również u nas w kraju zachowania pracowników naruszających zasady bezpieczeństwa wynikają z ich niewiedzy lub zaplanowanego celowego działania i nie są pochwalane przez właściciela. Dlatego, jeśli mamy wątpliwości, sprawdzajmy, czy właściciel hotelu lub restauracji godzi się na takie praktyki albo, czy prawo danego kraju tego wymaga.

Co zrobić, kiedy planujemy zorganizować wyjazd służbowy lub konferencję zagraniczną dla naszych pracowników i współpracowników?

Z takim pytaniem zwróciłam się do naszego eksperta ze spółki Checkbox. „Zawarcie odpowiedniej umowy z organizatorem to podstawa. Warto jest jednak sprawdzić, czy reguluje ona wszystkie kwestie związane ze zbieraniem i przekazywaniem danych oraz jak podzielone są w niej obowiązki i odpowiedzialność pomiędzy stronami umowy. Z perspektywy biura podróży posiadanie szczegółowej umowy dostosowanej do klienta w obecnej sytuacji może być dużym atutem marketingowym, zwłaszcza że przed COVID’em na rynku turystycznym zainteresowanie szkoleniami z RODO było cały czas bardzo duże”.

Czy takie szkolenia lub konsultacje prowadzi Państwa spółka? „Tak, mamy wieloletnie doświadczenie we wsparciu podmiotów organizujących eventy i wyjazdy służbowe. Zakres naszych usług jest szeroki i zawsze indywidualnie odpowiadamy na potrzeby naszych klientów. Wystarczy, aby na adres naszego biura wysłać zapytanie”.

Udając się na wymarzone wakacje lub wyjazd służbowy – miejmy z tyłu głowy ochronę naszych danych osobowych. Wiedza i świadomość na ten temat mogą nas ustrzec przed przykrymi konsekwencjami związanymi z utratą naszych danych, a firmom uregulowanie tych kwestii pozwoli na bezpieczne prowadzenie działalności bez narażania się na ryzyko wysokich kar finansowych.