Biura podróży prowadzące działalność gospodarczą mają obowiązek stosowania przepisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych. Rozporządzenie weszło w życie w 2018 roku.
RODO stosuje się, gdy:
firma przetwarza dane osobowe i ma siedzibę w UE, bez względu na to, gdzie faktycznie dochodzi do przetwarzania danych;
firma ma siedzibę poza UE, ale przetwarza dane osobowe w związku z oferowaniem towarów lub usług osobom fizycznym w UE lub monitoruje zachowania osób fizycznych w Unii.
Dane, jakie są zbierane o uczestnikach imprez turystycznych mają różnoraki charakter – poczynając od imienia i nazwiska, adresu zamieszkania, numeru PESEL, wieku, po informacje dotyczące diet, czasem nawet poglądów religijnych czy schorzeń. Pozyskiwane są one w celach zapewnienia jak największego komfortu podróżnym.
Do zawarcia umowy o udział w imprezie turystycznej na pewno niezbędne są podstawowe informacje o kliencie, takie jak jego imię (imiona), nazwisko, adres, numer PESEL, numer paszportu w przypadku wyjazdu zagranicznego poza teren strefy Schengen, itp. Podanie tych danych jest uzależnione od treści umowy o udział w imprezie turystycznej. W zależności od tego, jaki będzie zakres tej umowy, może zajść potrzeba podania różnych danych. Niemniej jednak, należy pamiętać, aby były to dane niezbędne i rzeczywiście konieczne do zawarcia i prawidłowej realizacji umowy. Danymi, które na etapie zawierania umowy nie będą konieczne, i od podania których przedsiębiorca nie może uzależniać zawarcia umowy, są np. poglądy religijne, czy polityczne.
Podczas przetwarzania dane trafiają niekiedy do wielu różnych przedsiębiorstw lub organizacji.W cyklu tym występują dwa główne podmioty zajmujące się przetwarzaniem danych osobowych:
Administrator danych (ADO) – decyduje o celu i sposobie przetwarzania danych.
Przetwarzający – przechowuje i przetwarza dane w imieniu administratora danych.
Przedsiębiorstwo turystyczne może wyznaczyć Inspektora ochrony danych (IODO), który jest odpowiedzialny za monitorowanie sposobu przetwarzania danych osobowych oraz informowanie pracowników przetwarzających dane osobowe o ich obowiązkach i doradzanie im w tym zakresie. Inspektor ochrony danych współpracuje także z organem ochrony danych, służąc jako punkt kontaktowy dla tego organu i osób fizycznych.
Biura muszą dostrzegać fakt, iż w związku z prowadzoną działalnością przetwarzają dane szczególnej kategorii, co rodzi nie tylko obowiązek zastosowania adekwatnych środków zabezpieczenia takich danych, ale także skutkuje koniecznością prowadzenia RCPD (Rejestr Czynności Przetwarzania Danych).
Podstawowym celem prowadzenia rejestru jest zachowanie przez administratora i podmiot przetwarzający zgodności z przepisami RODO oraz umożliwienie organowi nadzorczemu (UODO – Urząd Ochrony Danych Osobowych) monitorowania wszystkich procesów przetwarzania danych w organizacji.
Nieprzestrzeganie postanowień RODO może w prowadzić do nałożenia kar.
Przepisy RODO przewidują dwie kategorie kar finansowych, które zależne są od rodzaju przewinienia. UODO może nałożyć karę w wysokości: do 10 lub 20 mln euro - do 2 lub 4% całkowitego rocznego obrotu firmy z poprzedniego roku.
ZASADY ZABEZPIECZENIA DANYCH*
1. ZASADA „CZYSTEGO” BIURKA – należy pamiętać o konieczności przechowywania wszelkich nośników danych osobowych (np. dokumentów) poza zasięgiem wzroku i dłoni osób postronnych, a także o przechowywaniu takich nośników pod kluczem.
2. ZASADA „CZYSTEGO” EKRANU – należy pamiętać o konieczności blokowania komputerów przed każdorazowym, nawet chwilowym opuszczeniem stanowiska pracy (np. skrót klawiszowy WIN + L). Dodatkowo należy uniemożliwić osobom nieupoważnionym wgląd w treści wyświetlane na monitorach – choćby przez odpowiednie ustawienie ekranu lub stosowanie filtrów prywatyzujących.
3. ZASADA „CZYSTEGO” (POUFNEGO) DRUKU – należy pamiętać o konieczności odbierania z urządzeń drukujących wszelkich dokumentów niezwłocznie po ich wydrukowaniu.
4. POLITYKA OCHRONY DANYCH - w każdej organizacji funkcjonuje dokument opisujący kluczowe kwestie wiążące się z ochroną danych osobowych. Pracownicy właśnie tam znajdą najważniejsze informacje w przedmiocie tego jak chronić dane osobowe.
5. PROCEDURA ZGŁASZANIA NARUSZEŃ - należy pamiętać o konieczności zgłaszania wszelkiego rodzaju naruszeń ochrony danych osobowych. Pracownik musi szybko zareagować w sytuacji wykrycia zagrożenia dla bezpieczeństwa danych lub w sytuacji wystąpienia naruszenia ochrony danych osobowych.
6. PROCEDURA NISZCZENIA – należy pamiętać o konieczności niszczenia dokumentacji zawierającej dane osobowe, z wykorzystaniem niszczarek lub pojemników do utylizacjidokumentów.
7. PROCEDURA KORZYSTANIA Z URZĄDZEŃ MOBILNYCH – należy pamiętać o szczególnie silnym zabezpieczaniu urządzeń wynoszonych poza obszar pracy (obszar przetwarzania danych), w tym o stosowaniu szyfrowania nośników takich urządzeń. Jeśli nie masz pewności, czy zabezpieczenie zostało wdrożone, zgłoś się do działu IT.
8. PROCEDURA KORZYSTANIA Z INTERNETU – należy unikać zapisywania haseł w przeglądarkach internetowych. Jeśli mimo to zdecydujesz się na takie zachowanie, upewnij się, czy w ustawieniach przeglądarki dostęp do zapisanych haseł jest zabezpieczony dodatkowym hasłem głównym. W przeciwnym wypadku osoba nieuprawniona może pozyskać wszystkie dane logowania.
9. PROCEDURA KORZYSTANIA Z POCZTY ELEKTRONICZNEJ – podczas wysyłania wiadomości e-mail należy pamiętać o stosowaniu kopii ukrytej, w szczególności gdy dochodzi do masowej wysyłki korespondencji. Ponadto nie wolno otwierać załączników z wiadomości od nieznanych adresatów.
10. PROCEDURA KORZYSTANIA Z ZASOBÓW ORGANIZACJI – istotne dokumenty w formie elektronicznej, w tym zawierające dane osobowe, należy przechowywać na udostępnionych zasobach sieciowych. Jeżeli zapisujesz je na dysku lokalnym, musisz liczyć się z tym, że w razie kradzieży, zgubienia, uszkodzenia lub zainfekowania urządzenia ich odzyskanie może być już niemożliwe.
Więcej niezbędnych informacji uzyskasz z materiałów zamieszczonych poniżej:
*opracowanie: ODO24 - https://odo24.pl/zasady-ochrony-danych-osobowych
źródła materiałów: https://prostetorodo.pl/2021/07/29/rodo-w-biurze-podrozy/
Comentarios