Službeno očitovanje: Treba li iznajmljivaču pisana privola gosta za unos podataka u eVisitor?
U posljednje vrijeme se dosta komentiralo naš članak vezan za nadolazeću uredbu o zaštiti podataka. Mi smo se potrudili dati odgovore na sva pitanja, no kako ne bi dovodili u nepriliku naše iznajmljivače, najčešća pitanja smo poslali direktno na AZOP (Agenciju za zaštitu osobnih podataka).
Uredba stupa na snagu sutra tako da možemo reći da smo odgovore dobili na vrijeme!
Pitanja koja smo postavili su sljedeća:
Tko su obveznici GDPR uredbe? / Treba li iznajmljivaču pisana privola za unos podataka u eVisitor? / Prema GDPR, gost mora biti obaviješten u koju svrhu će se njegovi podaci koristiti. Kako bi ta eventualna dozvola trebala izgledati i što sadržavati?Kliknite ovdje za nastavak teksta...
1. Tko su obveznici nove GDPR uredbe?
ODGOVOR AZOP:
U odnosu na vaše pitanje, ističemo da su obveznici primjene Opće uredbe sve pravne i fizičke osobe (kada obrađuju osobne podatke izvan okvira potreba kućanstva) koji u obavljanju određene profesionalne aktivnosti obrađuju osobne podatke, što uključuje i turistički sektor.
2. Prema novoj regulativi prije prikupljanja osobnih podataka sugerira se prikupljanje pisane dozvole od vlasnika podataka. Da li to znači da će iznajmljivači koji prijavljuju gosta u eVisitor morati dobiti pisanu dozvolu od gosta (iako je zakonska obaveza iznajmljivača da te podatke prikupi i pošalje)?
ODGOVOR AZOP:
Člankom 6., stavkom 1. Opće Uredbe je propisano da je obrada zakonita samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećega:
(a) ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha;
(b) obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora;
(c) obrada je nužna radi poštovanja pravnih obveza voditelja obrade;
(d) obrada je nužna kako bi se zaštitili ključni interesi ispitanika ili druge fizičke osobe;
(e) obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade;
(f) obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.
Ako je pravni temelj za obradu osobnih podataka pravna obveza voditelja obrade, tada ta pravna osnova mora biti utvrđena u pravu Unije ili pravu države članice kojem voditelj obrade podliježe, a tom pravnom osnovom mora biti određena i svrha obrade.U konkretnom slučaju, pravni temelj za obradu osobnih podataka gostiju — turista je Zakon o boravišnoj pristojbi (NN 152/08, 59/09, 97/13, 158/13 i 30/14) te Pravilnik o načinu vođenja popisa turista te o obliku i sadržaju obrasca prijave turista turističkoj zajednici (NN126/15). S tim u vezi nije potrebno dodatno tražiti suglasnost / privolu gosta za obradu njegovih osobnih podataka.
3. Prema GDPR, gost mora biti obaviješten u koju svrhu će se njegovi podaci koristiti. Kako bi ta eventualna dozvola trebala izgledati i što sadržavati?
ODGOVOR AZOP:
Člankom 5., stavkom 2. navedenog Pravilnika propisano je da obrazac prijave i odjave turista, a koji se dostavlja turističkoj zajednici putem sustava eVisitor, sadrži sljedeće podatke o turistima: prezime i ime; mjesto, država i datum rođenja, državljanstvo; vrsta i broj isprave o identitetu; prebivalište (boravište) i adresa; datum i vrijeme dolaska, odnosno odlaska iz objekta; spol; napomena i broj prijave.
Nadalje, Opća uredba o zaštiti podataka sukladno načelu transparentnosti zahtjeva od svakog voditelja obrade (dakle i od iznajmljivača) da poduzme odgovarajuće mjere kako bi se ispitaniku pružile sve informacije u vezi s obradom osobnih podataka te da da svaka informacija namijenjena javnosti ili ispitaniku bude sažeta, lako dostupna i razumljiva. Takva bi se informacija također mogla dati u elektroničkom obliku, na primjer na internetskim stranicama. To je osobito bitno u situacijama u kojima ispitaniku nije lako prepoznati i razumjeti prikupljaju li se osobni podaci o njemu, tko ih prikuplja i u koju svrhu, kao što je slučaj internetskog oglašavanja.
Zaključno, čl. 24. Opće uredbe o zaštiti podataka propisano je da, uzimajući u obzir prirodu, opseg, kontekst i svrhe obrade, kao i rizike različitih razina vjerojatnosti i ozbiljnosti za prava i slobode pojedinaca, svaki voditelj obrade provodi odgovarajuće tehničke i organizacijske mjere kako bi osigurao i mogao dokazati da se obrada provodi u skladu s ovom Uredbom.
Možemo zaključiti da su sve upute koje smo do sada dali putem stranice Kluba iznajmljivača bile na dobrom tragu. Kako smo zakonski obvezani prikupiti podatke gosta privolu pisanu ne trebamo dobivati (ovo se odnosi na prikupljanje podataka za potrebe unosa u eVisitor).
Za sve druge svrhe je potrebno dobiti privolu. Isto tako goste se mora informirati na sažet i transparentan način o svrsi prikupljanja osobnih podataka. Više o načinima pripreme za novu uredbu za iznajmljivače pročitajte u našem zadnjem članku: Kako se privatni iznajmljivači trebaju pripremiti za nadolazeću EU uredbu o zaštiti podataka
AZOP je glavni autoritet pri davanju uputa za pripremu za nadolazeći zakon,a ukoliko i vi imate pitanja za koja Vam ovdje nismo ponudili odgovor pišite na: azop@azop.hr
Što je s knjigom evidencije prometa? Je li potrebno i nju uključiti u izjavu?
Poštovana Meri. Hvala na pitanju. Savjetujemo da se javite na http://www.porezna-uprava.hr/bi/Stranice/Pisite-nam.aspx
Odgovori stižu relativno brzo. Nažalost nemamo “Privolu” porezne uprave da citiramo njihove odgovore na pitanja iznajmljivača.