Turistička sezona je u punom jeku i susrećemo se s uvjerenjima voditelja hotela i apartmana da su ispunili svoje obveze prema GDPR-u uvođenjem upisa u eVisitor i stavljanjem na svoje recepcije obavijesti o zaštiti podataka koju je izradila lokalna turistička zajednica.
Želimo skrenuti pozornost da je učinjeno odličan korak, ali da isti predstavlja samo dio obveza koje je već trebalo ispuniti, donosimo nekoliko primjera područja u kojima postoje obveze:
- obavijest o privatnosti na web stranicama na kojima se vrše rezervacije smještaja
- načini izvršenja zahtjeva pojedinaca za njihovim pravima
- prikupljanje osjetljivih osobnih podataka kao što su zdravstveni podaci, podaci o vjerskim uvjerenjima, političkoj opredijeljenosti ili seksualnoj orijentaciji, pa i prehrambenim navikama gostiju
- video nadzor - ograničenja pristupa, provjera dozvoljenog prostora snimanja, rokovi pohrane, oznake o snimanju prije ulaska u perimetar kamera, logovi pristupa sustavu, ugovor o zaštiti podataka s održavateljem sustava video-nadzora
- odabir vanjskih izvršitelja i osiguranje mjera zaštite osobnih podataka sklapanjem ugovora o zaštiti podataka s održavateljima IT usluga i aplikacija, vanjskim računovodstvenim servisima, tvrkom koja održava video-nadzor, vanjskim kemijskim čistionicama, booking kompanijama, putničkim agencijama...
- program lojalnosti i profiliranje gostiju
- određivanje rokova zadržavanja podataka bivših gostiju i vlastitih evidencija izvan sustava eVisitor
- obrasci privola za nove goste za razičite svrhe marketinških aktivnosti, evidencije prikupljenih privola
- ažurirane evidencije aktivnosti obrada
- mjere i postupanja u slučaju povreda osobnih podataka i evidencije povreda
- osnove informacijske sigurnosti i zaštite IT sustava
- sređivanje starih arhiva i predugo zadržanih evidencija i osobnih podataka
...i niz se nastavlja s obzirom na svaki pojedinačni hotel ili apartman.
Budimo svjesni da primjenom GDPR-a svaki inozemni EU gost može podnijeti prijavu za kršenje svojih prava nadzornom tijelu u svojoj vlastitoj državi članici EU čije nadzorno tijelo preuzima slučaj u svoje ruke.