Splošna uredba o varstvu podatkov (GDPR) je zakon Evropske unije, ki ureja obdelavo osebnih podatkov. Velja od 25. maja 2018 in velja za vsa podjetja, ki obdelujejo osebne podatke evropskih prebivalcev, ne glede na to, kje so locirana.
Turistična podjetja obdelujejo veliko količino osebnih podatkov svojih gostov, zato je za njih pomembno, da so skladna z GDPR.
To pomeni, da morajo sprejeti ustrezne tehnične in organizacijske ukrepe za varstvo osebnih podatkov ter spoštovati pravice posameznikov, katerih se podatki nanašajo.
Nekaj ključnih zahtev GDPR, ki jih morajo upoštevati turistična podjetja:
Dobivanje soglasja: Preden podjetje obdela osebne podatke, mora od posameznika pridobiti njegovo soglasje. Soglasje mora biti svobodno, specifično, informirano in nedvoumno.
Pravica dostopa: Posamezniki imajo pravico dostopa do svojih osebnih podatkov, ki jih obdeluje podjetje, in do informacij o tem, kako se podatki obdelujejo.
Pravica do popravka: Posamezniki imajo pravico zahtevati, da podjetje popravi netočne ali nepopolne osebne podatke.
Pravica do izbrisa: Posamezniki imajo pravico zahtevati, da podjetje izbriše njihove osebne podatke, če ni utemeljenih razlogov za njihovo obdelavo.
Pravica do omejitve obdelave: Posamezniki imajo pravico zahtevati, da podjetje omeji obdelavo njihovih osebnih podatkov v določenih okoliščinah.
Pravica do prenosljivosti podatkov: Posamezniki imajo pravico prejeti svoje osebne podatke v strukturirani, splošno uporabljani in strojno berljivi obliki ter jih prenesti drugemu ponudniku storitev.
Pravica do ugovora: Posamezniki imajo pravico ugovarjati obdelavi svojih osebnih podatkov v določenih okoliščinah.
Da bi bila turistična podjetja skladna z GDPR, morajo:
Izvesti oceno tveganja, da bi ugotovili, katere osebne podatke obdelujejo in kakšna so tveganja za pravice in svoboščine posameznikov.
Vzpostaviti ustrezne tehnične in organizacijske ukrepe za varstvo osebnih podatkov, kot so šifriranje, nadzor dostopa in usposabljanje zaposlenih.
Imenovati pooblaščeno osebo za varstvo podatkov, ki bo odgovorna za zagotavljanje skladnosti z GDPR.
Dokumentirati vse svoje postopke obdelave osebnih podatkov.
Redno pregledovati in posodabljati svoje postopke skladnosti z GDPR.
Neprevidnost pri upoštevanju GDPR lahko ima za turistična podjetja resne posledice, vključno z:
Visoke globe
Škoda ugledu
Izguba zaupanja strank
Sodni postopki
Zato je za turistična podjetja ključnega pomena, da se seznanijo z zahtevami GDPR in sprejmejo ustrezne ukrepe za njihovo upoštevanje.
Poleg zgornjih informacij so na voljo tudi številni viri, ki lahko pomagajo turističnim podjetjem pri zagotavljanju skladnosti z GDPR. Ti viri vključujejo:
Spletna stran Informacijske pooblaščene osebe Republike Slovenije: https://datainfo.si/pooblascena-oseba-za-varstvo-podatkov-po-gdpr/
Vodnik za podjetja o GDPR: https://www.europrivacy.org/
Orodje za preverjanje skladnosti z GDPR: https://gdpr.eu/checklist/
S skrbno pripravo in izvajanjem lahko turistična podjetja zagotovijo skladnost z GDPR in zaščitijo osebne podatke