GDPR в гостиничной и туристической сфере: есть ли угроза для украинского бизнеса

10 января 2020

General Data Protection Regulation касается компаний, представляющих множество сфер бизнеса по всему миру. Не исключением остается и сфера гостиничного и туристического бизнеса, ведь именно эта сфера бизнеса может быть ориентированной на различные рынки, в том числе и на рынок Европы, где вопрос защиты персональных данных является весьма актуальным.

Почему туристический и гостиничный бизнес должен быть GDPR compliance

Говоря о туристический бизнесе в целом, следует сказать, что существуют как крупные игроки на этом рынке, такие как туристические операторы, авиакомпании и другие, так и маленькие, в виде туристических агентств или посредников, которые в рамках своей деятельности, собирают большое количество информации о туристах, в том числе и персональные данные о них.

Речь идет не только о компаниях, зарегистрированных на территории ЕС, а также и о компаниях из Украины, бизнес которых ориентирован на европейский рынок, ведь, предлагая товары или услуги лицам, которые находятся на территории Европейского Союза, такие компании автоматически, в соответствии с требованиями статьи 3 General Data Protection Regulation, становятся субъектами, на которых распространяются требования общего Регламента по Защите Данных.

Не секрет, что в последнее время, европейские контролирующие органы обращают свое внимание на представителей именно туристической отрасли, применяя к ним санкции в виде штрафов. Яркими примерами привлечения к ответственности могут быть следующие кейсы:

  • Кейс, связанный с авиакомпанией British Airways, в рамках которого компания не смогла обеспечить надлежащие технические и организационные меры, гарантирующие максимальную безопасность персональным данным пассажиров, в результате чего произошла утечка значительного количества персональной информации. Как следствие, контролирующий орган оштрафовал компанию на кругленькую сумму, которая измеряется сотнями тысяч евро.
  • Кейс, который стал первым и показательным кейсом о нарушении требований законодательства относительно получения согласия на обработку файлов cookie, а также не предоставление пользователю возможности управлять ими, касается испанской авиакомпании Vueling, которую привлекли к ответственности осенью 2019 года. Результатом такого нарушения стало наложение штрафа на компанию в размере тридцати тысяч евро.

Стоит отметить, что это не максимальные размеры штрафов, которые могут применяться за нарушение требований GDPR. В соответствии с General Data Protection Regulation, максимальный размер штрафа колеблется от десяти до двадцати миллионов евро, или суммы эквивалентной от 2 до 4 процентов годового финансового оборота компании.

Представители гостиничного бизнеса, которые всегда идут рядом с туристическими услугами, также должны принимать во внимание факт того, что они могут стать объектами пристального внимания контролирующих органов в контексте вопросов обработки данных. Опять же, речь идет не только о компании из ЕС. Особенно, задаваться вопросом GDPR compliance в Украине, должны отели, туроператоры и турагентства, деятельность которых направленна на предоставление услуг именно зарубежным клиентам, в частности европейцам.

Особые требования к представителям туристической и гостиничной отрасли

Важнейшей особенностью, которую компания должна принимать во внимание, начиная подготовку к возможности соответствия требованиям GDPR, является обеспечение коммуникации с физическими лицами, чьи персональные будут или уже обрабатываются. Такая коммуникация, в силу того что не все представители обсуждаемых в этой статье сфер бизнеса работают через собственный веб-сайт, может осуществляться как онлайн, так и офлайн.

Онлайн. Имеется в виду возможность размещении информации о том, какие данные собираются, для каких целей это делается, и как фактически осуществляется обработка персональных данных компанией. Все особенности и требования по информации, которая должна предоставляться субъектам данных, содержится в статье 13 и статье 14 GDPR и других нормативных документах по регулированию защиты персональных данных в ЕС. Соответствующая информация может предоставляться как в виде публичных документов, с которыми пользователь должен ознакомиться на веб-сайте, так и в виде отдельных информационных сообщений, которые могут появляться в зависимости от особенностей функционала сайта.

Офлайн. Если, например, туристическое агентство или отель не имеют своего сайта, коммуникация с физическими лицами должна осуществляться физическим способом. Физическая коммуникация состоит в том, что компании должны размещать в своих офисах или лобби гостиниц соответствующие текстовые сообщения, в которых должна отображаться соответствующая информация. Также, одним из вариантов решения этого вопроса, остается возможность подписания отдельных договоров с физическими лицами на обработку их персональных данных, однако такой вариант для многих может показаться довольно неудобным и трудоемким.

Продолжая раскрытие особенностей обработки персональных данных туристическими компаниями, стоит также обратить внимание относительно распределения ролей между компаниями, которые взаимодействуют между собой в контексте обработки персональных данных, а также официального урегулирования отношений между ними. Речь, в частности, идет об обработке компаниями персональных данных в роли обработчика данных, в роли контроллера данных, а также в роли совместного контролера данных.

Исходя из практики адаптации туристических компаний к требованиям GDPR, стоит отметить, что многие из представителей туристического бизнеса, в частности туристические агентства, ошибочно признают себя обработчиками по отношению к туристическим операторам, хотя на самом деле такие кампании могут быть признаны и обработчиками, и контроллерами персональных данных. Такой ошибочный подход закладывает прочную основу для привлечения такой компании к ответственности, в частности в виде штрафа.

Все остальные вопросы, касающиеся адаптации туристических компаний и отелей в рамках требований General Data Protection Regulation, остаются идентичными тем, которые в общем применяются ко всем другим компаниям.

Находятся украинские гостиницы и туроператоры в зоне риска?

Этот вопрос вынесен отдельно для того, чтобы немного прояснить вопрос, которым задаются представители большинства компаний в туристическом и гостиничном бизнесе в Украине. Ответ, с точки специалиста в сфере приватности, кажется довольно простым, однако, если пытаться решить этот вопрос самостоятельно, это может стать довольно серьезным препятствием и прежде всего потому, что нужно учитывать множество факторов, кроме тех, которые определены в статье 3 General Data Protection Regulation, о которых упоминалось ранее. Кроме всего прочего, должны учитываться такие факторы как язык, на котором предоставляются услуги, валюта, которой возможно рассчитаться за услуги, особенности проведения рекламных кампаний, наличие страниц в социальных сетях и прочее.

Говоря просто, если компания предоставляет услуги только на украинском языке, при этом рассчитаться можно только украинской валютой, то такая компания однозначно не должна выполнять требования General Data Protection Regulation. Если же есть дополнительные условия предоставления услуг, такой кейс необходимо рассматриваться более детально.

Вывод

В любом случае, перед решением вопроса необходимости адаптации бизнеса к требованиям General Data Protection Regulation, а также в процессе подготовки компании, вам нужно обеспечить себя поддержкой специалистов в сфере защиты персональных данных. Компания BSO Privacy Group всегда готова оперативно помочь вам в решении ваших вопросов, связанных с организацией обеспечения безопасности обработки персональных данных.