Već smo na našem portalu obrađivali temu prikupljanja osobnih podataka u turističkom sektoru i uz pozitivne ocjene sustava eVisitora skrenuli pozornost da samo korištenje sustava eVisitora za svrhe vođenja evidencija turista nisu dovoljne da bi se neki hotel ili turistički objekt mogao smatrati usklađenim s GDPR obvezama.
eVisitor sustav je središnji nacionalni sustav prijave i odjave turista u nadležnosti Hvatske turističke zajednice, kao i za potrebe praćenja turističkog prometa, istraživanja i analiza, razvoja turističke ponude, planiranja marketinških aktivnosti i upravljanja posjetiteljima.
Upravo danas je otvoreno javno savjetovanje na temu Pravilnika o sustavu eVisitor, na ovom linku:
https://esavjetovanja.gov.hr/Econ/MainScreen?EntityId=13409
Iz prijedloga Pravilnika možemo vidjeti da se prikupljaju slijedeći osobni podaci turista:
- prezime i ime
- mjesto, država i datum rođenja
- državljanstvo
- vrsta i broj isprave o identitetu
- prebivalište (boravište) i adresa
- datum i vrijeme dolaska u objekt
- predviđeni datum odlaska iz objekta
- datum i vrijeme odlaska iz objekta- spol
Podaci o boravku turista u određenim objektima, a koji sadrže osobne podatke ili su vezani uz točno određenu osobu, dostupni su isključivo obveznicima koji putem sustava eVisitor vode popis turista i ovlaštenim osobama u Hrvatskoj turističkoj zajednici.
U članku 6. stavak 2. prijedloga Pravilnika navodi se da se podaci u popis turista upisuju na temelju podataka iz osobne iskaznice, odnosno putne ili neke druge isprave o identitetu.
Prema članku 7. stavak 6. prijedloga Pravilnika Obveza čuvanja podataka iz popisa turista te prijave i odjave turista je 10 godina.
Međutim, ukoliko neki hotel ili turistički objekt uz eVisitor vrši i vođenje vlastitih evidencija, tada mora izvršiti i dodatna opsežna usklađivanja svojeg poslovanja s GDPR obvezama.
Posebice ukoliko uzima ili bilježi širi skup podataka o gostima hotela, kao npr. prehrambene navike, vjeroispovijest, posebni zahtjevi gosta, video snimke, bilješke o posebnim zahtjevima gosta, email adresa i telefon, datum rođenja, posljednje gostovanje u hotelu...a bilježe se, jel' tako?
Posebnu priči čine prikupljanja preslika osobnih iskaznica ili putovnica, kakve obrade podataka svaki hotel mora itekako obrazložiti u okviru svog legitimnog interesa i opravdati. Uključujuči i skeniranje osobnih dokumenata u nekim suvremenim hotelima, kada turisti ne mogu znati koji se podaci s osobne iskaznice ili putovnice uzimaju.
Npr. treba li hotelu fotografija gosta? Ne treba....
Da ne pričamo o režimu V.I.P. gostiju, i tu je GDPR prisutan.
Stoga, eVisitor sustav nije dovoljan da bi bilo koji turistički objekt bio suklađen s GDPR obvezama.