Перейти до основного вмісту

GDPR В ГОТЕЛЬНІЙ ТА ТУРИСТИЧНІЙ ГАЛУЗІ: ЧИ Є ЗАГРОЗА ДЛЯ УКРАЇНСЬКОГО БІЗНЕСУ

GDPR В ГОТЕЛЬНІЙ ТА ТУРИСТИЧНІЙ ГАЛУЗІ: ЧИ Є ЗАГРОЗА ДЛЯ УКРАЇНСЬКОГО БІЗНЕСУ

General Data Protection Regulation стосується компаній, які представляють безліч сфер бізнесу по всьому світу. Не виключенням залишається і сфера готельного та туристичного бізнесу, адже саме ця сфера бізнесу може бути орієнтованою на різні ринки, в тому числі і на ринок Європи, де питання захисту персональних даних є досить актуальним.

Чому туристичний та готельний бізнес повинен бути GDPR compliance

Говорячи про туристичний бізнес в цілому, варто сказати, що існують як великі гравці на цьому ринку, такі як туристичні оператори, авіакомпанії та інші, так і маленькі, у вигляді туристичних агентств або ж посередників, які в рамках здійснення своєї діяльності, збирають велику кількість інформації про туристів, в том числі і персональні дані про них.

Мова йде не лише про компанії, зареєстровані на території ЄС, а також і про компанії з України, бізнес яких орієнтований на європейський ринок, адже, пропонуючи товари або послуги особам, які знаходяться на території Європейського Союзу, такі компанії автоматично, у відповідності до вимог статті 3 General Data Protection Regulation, стають суб’єктами, на яких розповсюджуються вимоги Загального Регламенту по Захисту Даних.  

Не секрет, що останнім часом, європейські контролюючі органи звертають свою увагу на представників саме туристичної галузі, застосовуючи до них санкції у вигляді штрафів. Яскравими прикладами притягнення до відповідальності можуть бути наступні кейси:

  • Кейс, пов'язаний з авіакомпанією British Airways, в рамках якого, компанія не змогла забезпечити належні технічні та організаційні заходи, які б гарантували максимальну безпеку персональним даним пасажирів, в результаті чого, стався витік значної кількості персональної інформації. Як наслідок, контролюючий орган Великої Британії оштрафував компанію на кругленьку суму, яка вимірюється сотнями тисяч євро.
  • Кейс, який став першим та показовим кейсом щодо порушення вимог законодавства стосовно отримання згоди на обробку файлів cookie, а також ненадання користувачу можливості керувати ними. Цей кейс стосується  іспанської авіакомпанії Vueling, яку притягнули до відповідальності восени 2019 року. Результатом такого порушення стало накладення штрафу на компанію в розмірі тридцять тисяч євро.

Варто зазначити, що це не максимальні розміри штрафів, які можуть застосовуватися за порушення вимог GDPR. У відповідності до General Data Protection Regulation, максимальний розмір штрафу коливається від десяти до двадцяти мільйонів євро, або суми еквівалентної від 2 до 4 відсотків річного фінансового обороту компанії.  

Представники готельного бізнесу, який завжди йде поруч з туристичними послугами, також повинні брати до уваги факт того, що вони можуть стати об’єктами прискіпливої уваги контролюючих органів в контексті питань обробки даних. Знову ж таки, мова йде не лише про компанії з ЄС. Особливо, перейматися питанням GDPR compliance в Україні, повинні готелі, які спрямовані на надання послуг саме закордонним гостям, зокрема європейцям.    

Особливі вимоги до представників туристичної та готельної галузі

Найважливішою особливістю, яку компанія повинна брати до уваги, починаючи підготовку до можливості відповідності вимогам GDPR, є забезпечення комунікації з фізичними особами, чиї персональні будуть або вже оброблюються. Така комунікація, в силу того що не всі представники обговорюваних в цій статті сфери бізнесу працюють через власний веб-сайт, може здійснюватися як онлайн, так і офлайн.

Онлайн. Мається на увазі можливість розміщенні інформації стосовно того, яка інформація збирається, для яких цілей це робиться, та як фактично здійснюється обробка персональних даних компанією. Всі особливості та вимоги щодо інформації, яка повинна надаватися суб’єктам даних, міститься в статті 13 та статті 14 GDPR та інших нормативних документах щодо регулювання захисту персональних даних в ЄС. Відповідна інформація може надаватися як у вигляді публічних документів, з якими користувач повинен ознайомлюватися на веб-сайті, так і у вигляді окремих інформаційних повідомлень, що можуть з’являтися в залежності від особливостей функціоналу веб-сайту.

Офлайн. Якщо, наприклад, туристичне агентство або готель не мають власного веб-сайту, комунікація з фізичними особами повинна здійснюватися фізично. Фізична комунікація полягає в тому, що компанії повинні розміщувати в своїх офісах або лоббі готелів відповідні текстові повідомлення, в яких повинна відображатися необхідна інформація. Також, одним із варіантів вирішення цього питання, залишається можливість підписання окремих договорів з фізичними особами на обробку їхніх персональних даних, однак такий варіант для багатьох може здатися доволі не зручним та трудомістким.    

Продовжуючи розкриття особливостей обробки персональних даних туристичними компаніями, варто звернути значну увагу щодо розподілення ролей між компаніями, які взаємодіють між собою в контексті обробки персональних даних, а також офіційного врегулювання відносин між ними. Мова, зокрема, йде про обробку компаніями персональних даних як у ролі обробника даних, так і в ролі контролера даних.

Виходячи з практики адаптації туристичних компаній до вимог GDPR, варто зазначити, що багато з представників туристичного бізнесу, зокрема туристичних агентств, помилково визнають себе обробниками по відношенню до туристичних операторів, хоча, насправді, залишаючись при цьому і обробника, і контролерами персональних даних. Такий помилковий підхід закладає міцну підставу для застосування до такої компанії відповідальності, зокрема у вигляді штрафу.

Всі інші питання, які стосуються адаптації туристичних компаній та готелів в рамках вимог General Data Protection Regulation, залишаються ідентичними тим, які в загальному застосовуються до всіх інших компаній.

Чи знаходяться українські готелі та туроператори в зоні ризику?

Це питання винесено окремо для того, щоб трішки прояснити питання, яким задаються представники більшості компаній в туристичному та готельному бізнесі в Україні. Відповідь, з точки спеціаліста в сфері приватності, здається доволі простою, однак якщо намагатися вирішити це питання самостійно, воно може стати доволі серйозною перешкодою. Це, перш за все тому, що потрібно враховувати безліч факторів, окрім тих, які визначені в статті 3 General Data Protection Regulation, про яку згадувалося раніше. Окрім всього іншого, повинні враховуватися такі фактори як мова, якою надаються послуги, валюта, якою можливо розрахуватися за послуги, особливості проведення рекламних кампаній, наявність сторінок в соціальних мережах та інше.

Кажучи просто, якщо компанія надає послуги лише українською мовою, при цьому розрахуватися можна тільки українською валютою, то така компанія однозначно не повинна виконувати вимоги General Data Protection Regulation.

Висновок

В будь-якому випадку, перед вирішенням питання необхідності адаптації бізнесу до вимог General Data Protection Regulation, а також в процесі підготовки компанії, вам потрібно забезпечити себе підтримкою спеціалістів у сфері захисту персональних даних. Компанія BSO Privacy Group завжди готова оперативно допомогти вам у вирішенні ваших питань, пов’язаних з організацією забезпечення безпеки обробки персональних даних.