Ovih dana u medijima se pojavila informacija kako je španjolski iznajmljivač platio paprenih 75.000 eura globe samo zato jer je fotokopirao osobni dokument gosta i time prema Španjolskoj agenciji za zaštitu podataka povrijedio pravila Opće uredbe o zaštiti podataka (GDPR).

Fotokopiranje osobne iskaznice ili putovnice u današnje je vrijeme vrlo raširena pojava, i to iz vrlo praktičnog razloga, smanjenja čekanja gostiju prilikom prijave. Bilo da se osobni dokument fotokopira ili slika mobitelom, lakše je i iznajmljivaču i gostu jer podaci trebaju za prijavu gosta.

Na pitanje jesu li u hrvatskoj Agenciji za zaštitu potrošača (AZOP) imali prijava protiv iznajmljivača, u AZOP-u su nam kazali kako Agencija do sada nije zaprimila prijavu vezanu uz fotokopiranje/fotografiranje isprave o identitetu od iznajmljivača.

Što se tiče toga smiju li iznajmljivači fotokopirati dokument ili ne, dali su poduži odgovor.

Zakonita svrha

– Prvenstveno napominjemo kako je za svaku obradu osobnih podataka potrebno postojanje zakonite svrhe i valjane pravne osnove, kako to proizlazi iz članaka 5. i 6. Opće uredbe o zaštiti podataka.

Za evidentiranje turista koristi se mrežni eVisitor sustav. Svi iznajmljivači i ostali pružatelji usluga smještaja dužni su u sustav prijavljivati, odnosno odjavljivati turiste.

Kako bi iznajmljivači apartmana mogli prijaviti turiste, potrebni su osobni podaci turista koji su propisani u članku 4. stavku 2. Pravilnika o sustavu eVisitora (NN 43/20) (prezime i ime, mjesto, država i datum rođenja, državljanstvo, vrsta i broj isprave o identitetu, prebivalište (boravište) i adresa, datum i vrijeme dolaska u objekt, predviđeni datum odlaska iz objekta, datum i vrijeme odlaska iz objekta, spol, napomena i broj prijave).

Podaci se u popis turista upisuju na temelju podataka iz osobne iskaznice, odnosno putne ili neke druge isprave o identitetu. Ukoliko turist odbije dati na uvid osobnu iskaznicu, odnosno putnu ili neku drugu ispravu o identitetu, iznajmljivač ima obvezu odbiti (radi nemogućnosti ispunjenja obveze iz posebnog propisa) pružiti uslugu.

Dakle, iznajmljivači imaju pravnu obvezu prikupljati, i to primarno uvidom u osobnu iskaznicu, odnosno putnu ili neku drugu ispravu o identitetu, navedene osobne podatke i koristiti ih u svrhu unosa u eVisitor sustav, naveli su u AZOP-u.

Dodali su, međutim, kako kopiranje ili fotografiranje isprave o identitetu nije pravna obveza obveznika prijave i odjave turista temeljem navedenog propisa, što znači da navedeni pravni propis, budući da ne sadrži odredbe o takvom postupanju, ne predstavlja zakoniti pravni temelj za kopiranje odnosno fotografiranje isprava o identitetu te obveznik prijave i odjave turista bi morao imati drugi odgovarajući pravni temelj iz članka 6. Opće uredbe o zaštiti podataka za takvu obradu.

– Načelno, iznajmljivači mogu fotografirati, kopirati osobnu iskaznicu ukoliko od gosta dobiju izričitu privolu, kažu u Agenciji i dodaju kako svatko tko smatra sukladno članku 34. Zakona o provedbi Opće uredbe o zaštiti podataka (NN 42/18) da mu je povrijeđeno njegovo pravo na zaštitu osobnih podataka može Agenciji podnijeti zahtjev za utvrđivanje povrede prava na zaštitu osobnih podataka, koji je potrebno potkrijepiti relevantnim dokazima, koji upućuju na moguću povredu prava na zaštitu osobnih podataka. Po zaprimanju prijave ispitanika u odnosu na voditelja obrade, Agencija ovisno o pojedinom slučaju, radi utvrđenja stvarnog činjeničnog stanja, od voditelja obrade traži očitovanje kroz neizravno nadzorno postupanje i/ili provodi izravno nadzorno postupanje izravno kod voditelja obrade.

Ukoliko se utvrdi nezakonita obrada osobnih podataka, Agencija ima ovlasti izreći korektivne mjere ovisno o težini povrede, kažu u Agenciji.

Online radionica

U AZOPU-u su istaknuli kako će već 5. srpnja održati i online radionicu upravo za turistički sektor. Naime, na radionici će biti riječi o ovoj nedoumici, ali tome koje ključne korake iznajmljivači moraju poduzeti kako bi uskladili poslovanje s Općom uredbom o zaštiti podataka te dobiti odgovore na pitanja iz područja zaštite osobnih podataka.

Primjerice, moraju li gosta tražiti privolu za slanje promotivnih materijala, moraju li imati službenika za zaštitu podataka, jesu li u obvezi primjenjivati GDPR i drugo…

U najavi radionice, stoji i kako je turizam specifičan zbog velikog protoka ljudi, užurbanog tempa rada i obrade velike količine osobnih podataka hrvatskih i stranih državljana. Opća uredba o zaštiti podataka je na snazi od 25. svibnja 2018. godine i dužni su je poštovati svi koji obrađuju osobne podatke građana Europske unije.

Nepoštovanje odredbi Opće uredbe o zaštiti podataka i nepoduzimanje odgovarajućih mjera zaštite osobnih podataka može rezultirati povredama osobnih podataka, nepovjerenjem klijenata u pružatelje turističkih usluga, a samim time i padom ugleda, financijskim gubicima i visokim novčanim kaznama. Ovo savjetovanje je jedno od aktivnosti Agencije za zaštitu osobnih podataka u okviru provedbe EU projekta ARC II (Awareness Raising Campaign for SMEs), s ciljem pružanja potpore mikro, malim i srednjim poduzetnicima. Prijave na radionicu moguće su na linku https://azop.hr/online-radionica-zastita-osobnih-podataka-i-uskladivanje-s-gdpr-om-u-turizmu-5-7-2023/.