Blog Prawo Turystyczne: ochrona danych osobowych – co powinien wiedzieć organizator turystyki

Prawie każdy organizator turystyki posiada bazę danych osób, które kiedyś skorzystały z jego usług. Trudno się temu dziwić – strategia polegająca na adresowaniu reklam i ofert do byłych klientów należy do wyjątkowo skutecznych. Odbiorcy takich materiałów z bardzo dużym prawdopodobieństwem rzeczywiście będą zainteresowani ich treścią. Ale jest też druga strona medalu. Prowadzenie bazy danych klientów do wykorzystania w celach marketingowych wiąże się  z licznymi obowiązkami i koniecznością dopełnienia przez organizatora turystyki szeregu formalności. W przypadku zaniedbania nałożonych na niego obowiązków, organizator musi liczyć się z wyjątkowo surowymi konsekwencjami – zachowanie takie zagrożone jest bowiem odpowiedzialnością karną. A wszystko to dlatego, że chcąc nie chcąc za każdym razem przetwarza on dane osobowe, które podlegają ochronie prawnej.

Czym są dane osobowe?

Art. 6 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych stanowi, że „za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej”. Dane osobowe niewątpliwie zawierać będzie zbiór informacji, na który składa się imię, nazwisko i adres zamieszkania klienta – a więc zbiór danych potrzebnych organizatorowi turystyki do przesyłania ofert pocztą tradycyjną. Podobnie kształtuje się sytuacja w przypadku zbioru danych w postaci imienia, nazwiska oraz adresu e-mail, służących do przesyłania newslettera bądź ofert drogą elektroniczną.

Ponadto, w orzecznictwie sądów od pewnego czasu obserwuje się wyraźną tendencję do poszerzania zakresu pojęcia danych osobowych. Uznano bowiem, że choć sam adres e-mail nie zawiera zwykle danych osobowych, sytuacji takiej nie można wykluczyć (zajdzie ona np. w przypadku adresu w postaci imię.nazwisko@domena.com). W praktyce prowadzić musi to do przyjęcia, że rygorystycznymi zasadami, ustanowionymi dla ochrony danych osobowych objąć należy również przetwarzanie samych tylko adresów e-mail. W związku z tym, nawet zbieranie za pomocą strony internetowej – podawanych osobiście przez potencjalnych klientów, którzy chcą być informowani o nowościach w ofercie – samych tylko adresów e-mail, musi podlegać takim samym procedurom, jak przetwarzanie pełnych danych osobowych.

Warto przy tym zaznaczyć, że w pojęciu „przetwarzania” danych osobowych mieszczą się wszystkie operacje na danych osobowych, w tym również ich zbieranie i przechowywanie. Tak więc już samo rozpoczęcie gromadzenia danych klientów powoduje powstanie przewidzianych w ustawie obowiązków.

Jakie obowiązki ciążą na organizatorze turystyki w związku z przetwarzaniem danych osobowych?

W przypadku założenia bazy danych osobowych klientów, organ lub osoba decyzyjna w przedsiębiorstwie staje się administratorem danych i ponosi odpowiedzialność za przetwarzanie danych zgodnie z wymogami stawianymi przez prawo. Należy zauważyć, że świadomość tej osoby odnośnie sprawowania funkcji administratora danych osobowych (bądź też – brak takiej świadomości) nie ma żadnego wpływu na to, że w rzeczywistości faktycznie ją sprawuje. Poprzez przystąpienie do przetwarzania danych osobowych staje się ona administratorem danych osobowych z mocy prawa i podlega odpowiedzialności za niedopełnienie przewidzianych prawem obowiązków.

Od odpowiedzialności administrator danych nigdy nie może się całkowicie zwolnić – ani przez wyznaczenie pracownika odpowiedzialnego za przetwarzanie danych, ani nawet przez (często zresztą bardzo kosztowne) powierzenie przetwarzania danych osobowych zewnętrznym firmom.

Do podstawowych obowiązków administratora danych należą:

  • zapewnienie właściwej podstawy prawnej dla przetwarzania danych osobowych – często jest to wyrażona w odpowiedni sposób zgoda osoby, której dane mają być przetwarzane;
  • stworzenie odpowiednich uwarunkowań technicznych w celu zapewnienia bezpieczeństwa danym osobowym – wymogi te są uzależnione od różnych czynników, m.in. od tego czy komputery, które mają dostęp do zbioru danych osobowych są podłączone do internetu;
  • rejestracja zbioru danych osobowych w GIODO.

Jakie są konsekwencje niezgodnego z prawem przetwarzania danych osobowych?

Rozdział 8 ustawy o ochronie danych osobowych zawiera przepisy karne, które stanowią podstawę odpowiedzialności administratora danych osobowych za niedopełnienie przewidzianych prawem obowiązków. I tak, na przykład, przetwarzanie danych osobowych w sytuacji, gdy administrator danych nie jest do tego uprawniony (np. poprzez wyrażenie w odpowiedniej formie zgody przez osoby, których te dane dotyczą) zagrożone jest karą grzywny, ograniczenia wolności albo pozbawienia wolności do lat 2.

Z kolei czyny takie jak niedopełnienie obowiązku dotyczącego zapewnienia bezpieczeństwa przetwarzanych danych albo niezgłoszenie zbioru danych osobowych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych zagrożone są karą grzywny, ograniczenia wolności albo pozbawienia wolności do roku.

Do tej pory – mimo że ustawa o ochronie danych osobowych funkcjonuje już od wielu lat – stosowanie jej postanowień w praktyce było marginalne. Tym niemniej, wzrost znaczenia przetwarzania danych osobowych w codziennym funkcjonowaniu przedsiębiorstw oraz zwiększająca się dynamika działań Unii Europejskiej (w tym trwające prace nad nową dyrektywą europejską dotyczącą ochrony danych osobowych) nieuchronnie prowadzą do zmiany tego stanu rzeczy. 7 marca bieżącego roku wchodzi w życie nowelizacja ustawy o ochronie danych osobowych, która może stać się impulsem do intensyfikacji działań GIODO.

Można się spodziewać, że jednym z pierwszych celów kontroli staną się portale społecznościowe, ale trudno zarazem wykluczyć, że – poniekąd już tradycyjnie – na pierwszy ogień pójdzie również branża turystyczna. Być może więc właśnie teraz nadszedł najwłaściwszy moment, by organizatorzy turystyki dla własnego bezpieczeństwa zadbali o to, żeby przetwarzanie danych osobowych ich klientów odbywało się zgodnie z prawem.

Artykuł pochodzi z bloga Prawo i Turystyka. Jego autorem jest Maciej Czarski.

[Grafika: biz-online.com]