Komu je udostępniają? Kto jest ich administratorem?
Branża turystyczna jest trochę jak „dziki zachód” w zakresie ochrony danych osobowych. Z jednej strony są agenci i agencje turystyczne, a z drugiej strony wielkie biura podroży i touroperatorzy. Ci pierwsi z reguły nie są administratorami danych osobowych klientów, którzy do nich przychodzą, zapewniają to umowy prowizyjne przygotowane przez biura podróży, które od razu określają dane klientów jako własność biur podróży lub touroperatorów. Czy jest to sprawiedliwe, że agencja turystyczna „de facto” nie ma swoich klientów? Czy biura podroży, nie wyzyskują agentów i agencji? OSAT mając świadomość konieczności przestrzegania Ustawy o Ochronie Danych Osobowych zawarł porozumienie z firmą ODO24 Sp. z o.o., aby dostarczyć członkom stowarzyszenia skutecznego narzędzia do kompleksowego zarządzania ODO.
W branży turystycznej zysk małych agencji czy poszczególnych agentów jest wprost proporcjonalny do ilości klientów, których „dostarczą” biurom podróży. Nie ma w tym nic dziwnego, problem jednak polega na tym, że klient korzystając z usług agenta to jemu powierza swoje dane, a nie touroperatorowi, przynajmniej w takim przekonaniu przekazuje swoje dane osobowe. Jak się okazuje w większości przypadków jest to nieprawdą. Agent po sfinalizowaniu transakcji pomiędzy klientem, a biurem podróży w związku z tym, że nie jest administratorem jego danych osobowych teoretycznie nie może się z nim nawet skontaktować w celu przedstawienia kolejnej oferty np. innego biura podróży.
Korzyść klienta, a zysk biura podróży.
Powyżej przedstawiona sytuacja obrazuje jak niekorzystnie taki stan rzeczy wpływa na samego klienta. Skoro administratorem danych osobowych klienta jest tylko to jedno biuro podróży (to, z którego usług skorzystał), to może on otrzymać oferty tylko tego jednego biura podróży. Czy jest to korzystne dla klienta ? Gdyby faktycznie administratorem danych klientów byli poszczególni agenci, to skorzystałby na tym klient, gdyż przynajmniej w teorii otrzymałby zawsze najkorzystniejszą ofertę. Jak potwierdzają opinie właścicieli lub pracowników agencji turystycznych wyrażane podczas szkoleń z ochrony danych osobowych, sytuacja ta jest główną przyczyną stagnacji i braku perspektyw rozwoju w tej branży. Działania marketingowe agentów jako słabszych podmiotów w branży skupiają się jedynie na pozyskiwaniu nowych klientów, gdyż ci, którzy skorzystali już z ich usług stali się „własnością” biura podróży.
Spełnianie wymogów ochrony danych osobowych w turystyce.
O ile biura podróży z reguły mają zorganizowany system ochrony danych osobowych, tj. posiadają dokumentację i powołali Administratora Bezpieczeństwa Informacji o tyle agencje turystyczne są w tym zakresie nieco w tyle. By agencje mogły przetwarzać dane osobowe swoich klientów jako „własne” muszą spełnić wymogi Ustawy o Ochronie Danych Osobowych. Sprostanie tym wymogom nie jest łatwym zadaniem, gdyż z jednej strony wymaga wiedzy informatycznej, a z drugie prawniczej. Jednak istnieje możliwość skorzystania z różnych darmowych rozwiązań dostępnych w sieci. Darmowo udostępniane szablony dokumentacji czy bezpłatne porady w zakresie wdrażania wspomnianej dokumentacji są już powszechnie dostępne. Swoistym „novum” są dostępne zdalnie oprogramowania do tworzenia i zarządzania systemem ochrony danych osobowych, z których niestety tylko niektóre pozostają bezpłatne.
Dlaczego po wakacjach otrzymujemy mnóstwo ofert ?
Praktyka niestety pokazuje, że nieświadomość klientów-osób fizycznych jest nadal wykorzystywana. Nie rzadko, klienci wbrew prawu są zmuszani do wyrażenia zgody na przetwarzanie ich danych osobowych przez podmioty trzecie. Skutkiem takiego postępowania jest możliwość odsprzedania danych osobowych klientów biur podróży innym podmiotom.. Po powrocie z wakacji nasza skrzynka pocztowa jest załadowana ofertami z branży turystycznej, nieruchomości, a często nawet kredytowej. Pięć razy dziennie dzwonią do nas różni konsultanci z nową ofertą. Jest to właśnie skutek wymuszania zgody klientów. Musimy pamiętać o tym, że mamy prawo odmówić zgody na przetwarzanie danych osobowych przez podmioty trzecie. Co więcej, żaden podmiot nie ma prawa uzależnić świadczenia nam usługi od wyrażenia przez nas zgody na takie działania.
Gdzie trafią nasze dane osobowe?
W ramach świadczenia usług turystycznych czyli np. organizacji wycieczek, nasze dane osobowe są przekazywane do hoteli, pensjonatów, promów, statków oraz wielu innym podmiotom. Wszystko odbywa się zgodnie z prawem, czyli w celu realizacji umowy, którą podpisaliśmy. Problem może się pojawić w momencie gdy wybieramy się do tzw. państwa trzeciego, czyli poza EOG (Europejski Obszar Gospodarczy) i państwo, do którego się wybieramy nie gwarantuje bezpieczeństwa naszych danych osobowych. W takiej sytuacji może się okazać, że biuro podróży nie zadbało w sposób wystarczający o wszelkie formalności z tym związane np. określone w Rozdziale 7 Ustawy ODO i nasze dane osobowe w postaci skanu naszego paszportu lub innego dokumentu tożsamości zostaną udostępnione podmiotom nieuprawnionym (czyt. kradzież tożsamości). W związku z powyższym warto zadać kilka dodatkowych pytań naszemu touroperatorowi o sposób udostępniania naszych danych osobowych innym podmiotom, by nie okazało się, że po powrocie z wymarzonych wakacji mamy trzy dodatkowe kredyty, o których nic nie wiedzieliśmy lub co gorsza, ktoś popełnił przestępstwo na nasze konto.
Żądanie zaprzestania przetwarzania naszych danych osobowych.
Niestety formularze umów (szczególnie w oprogramowaniu udostępnionym agencjom turystycznym przez biura podróży) są tak sporządzone, że nie ma możliwości zmiany treści klauzuli zgody na przetwarzanie naszych danych osobowych. Co za tym idzie by uniknąć dalszego przetwarzania naszych danych przez biuro podróży musimy złożyć sprzeciw wobec ich dalszego przetwarzania. Problem polega na tym, że taka czynność musi zostać dokonana na piśmie. Gdy zadzwonimy do biura podróży i złożymy takie żądanie telefonicznie będzie ono nieskuteczne, mimo że nieświadomy konsultant biura podróży, często potwierdzi nam dokonanie takiej czynności. Podobnie sprawa będzie wyglądała w przypadku kontaktu mailowego. Tylko list polecony jest w stanie pozostawić za sobą wystarczający ślad czy też dowód na to, iż dokonaliśmy takiej czynności w sposób skuteczny.
„Duży może więcej”.
Niestety jak pokazuje praktyka i doświadczenie tylko duże podmioty mogą skutecznie działać na rzecz podniesienia poziomu ochrony danych osobowych klientów szczególnie w branży turystycznej. Z jednej strony albo biura podróży same zauważą problem i ujednolicą zasady przetwarzania danych osobowych swoich klientów albo organizacje takie jak OSAT (Ogólnopolskie Stowarzyszenia Agentów Turystycznych) lub POT (Polska Organizacja Turystyczna) zmuszą je do dostosowania swoich działań w zakresie ochrony danych osobowych z korzyścią dla klientów. OSAT wiedząc, jak ważne jest przestrzeganie Ustawy o Ochronie Danych Osobowych wspólnie z GIODO stara się podnieść świadomość pracowników agencji turystycznych i ich klientów. W tym właśnie celu zawarł porozumienie z firmą ODO24 Sp. z o.o., tak, aby dostarczyć członkom stowarzyszenia skutecznego narzędzia do kompleksowego zarządzania ODO. Firma ODO 24 Sp. z o.o. udostępniła stowarzyszeniu bezpłatną aplikację on-line do zarządzania danymi osobowymi zgodnie z obowiązującym prawem. ABIeye.pl jest aplikacją do tworzenia i wdrażania zasad Ochrony Danych Osobowych, która krok po kroku przeprowadza Administratorów Bezpieczeństwa Informacji przez wszystkie etapy tworzenia i wdrażania dokumentacji Ochrony Danych Osobowych. Pozwala wygodnie zarządzać ewidencją pracowników upoważnionych do przetwarzania danych osobowych i szkolić ich za pomocą „jednego kliknięcia”. Ułatwia zarządzanie wykazem obszarów przetwarzania danych osobowych, zbiorami danych osobowych (zarejestrowanych i zwolnionych z rejestracji). Jednym słowem bezpłatnie i w prosty sposób pomaga spełnić wymogi Ustawy o Ochronie Danych Osobowych.
# # # # #
ODO 24 Sp. z o.o. to dynamicznie rozwijająca się firma specjalizująca się w kompleksowej Ochronie Danych Osobowych. Misją firmy jest poszerzanie wiedzy i pogłębianie świadomości tematyki Ochrony Danych Osobowych.
Firma przejmuje funkcję ABI, szkoli administratorów (ADO i ABI), udziela bezpłatnych porad prawnych, opiniuje umowy, oraz udostępnia Biuletyn informacyjny i Poradnik ODO na swojej stronie internetowej www.odo24.pl
Swoją działalność firma dedykuje wszystkim administratorom i „procesorom” danych osobowych, którzy chcą poznać, zrozumieć i wdrożyć zasady Ochrony Danych Osobowych.
ODO 24 Sp. z o.o., ul. Nowogrodzka 31, 00-511 Warszawa, www.odo24.pl
PR