GDPR, impact major asupra industriei turismului. Amenzi de până la 20 milioane de euro
GDPR, General Data Protection Regulation, sau mai bine spus o bomba cu ceas pentru diferite industrii și care reprezintă cea mai mare schimbare legislativa în domeniul protecției datelor cu caracter personal după anul 1995. Cam asta ii asteapta si pe cei din industria hoteliera.
Scopul noii reglementări a fost acela de a uniformiza, cât este posibil, legislația în materie la nivelul Uniunii Europene, prin crearea unor norme cu aplicabilitate pe întreg teritoriul acesteia. După cum noile reguli instituite de GDPR (General Data Protection Regulation) vor afecta orice organizație care procesează date cu caracter personal, acestea se vor rasfrânge în mod particular asupra industriei hoteliere.
Sectorul hotelier va intra în mod special în atenția autorităților responsabile cu protecția datelor cu caracter personal de pe teritoriul Romaniei, având în vedere că volumul mare de date personale pus în circulație în acest segment este notoriu.
Dacă până în prezent, regulile privind colectarea datelor personale de către administratorii de hoteluri erau destul de flexibile, practica majoritară fiind aceea de a utiliza aceste date în scop publicitar prin aproape orice mijloc de prelucrare ar fi considerat oportun afacerii de către managementul hotelier.
Datele personale sunt colectate de la persoana vizată sau preluate de la diverși colaboratori și prelucrate ulterior aproape fără restrictii, bazele de date circulând într-un ritm accelerat, care face dificil controlul asupra acestora pentru autorități. Întreaga practică este în schimbare sub efectul noului regulament care urmărește implementarea pe întregul teritoriu al Uniunii Europene a unor sisteme de prelucrare a datelor cu caracter personal caracterizate de responsabilitate, prudență, legalitate și răspundere.
Astfel, atragem atenția cu titlu de exemplu asupra colaborărilor dintre agenții de turism, platforme online, hoteluri, pensiuni, companii de transport etc., acestea fiind nevoite să își revizuiască activitatea de marketing, management, PR etc. asigurând concordanța întregii activități cu dispozițiile GDPR.
Ce trebuie să facă hotelierii până la 25 mai 2018 pentru a nu suporta sancțiunile enorme prevăzute de GDPR?
Principala obligație pe care trebuie să o aibă în vedere administratorii de hoteluri este să se asigure că au un temei juridic în baza caruia colectează și prelucrează datele cu caracter personal. În accepțiunea noului regulament, dată cu caracter personal poate să fie orice informație care poate duce la identificarea unei persoane, nume, prenume, CNP, adresa, e-mail (dacă acesta are în componență nume și prenume) etc.
De exemplu pentru a păstra datele unei persoane în vederea efectuării unei rezervări nu va fi necesară vreo formalitate suplimentară, însă, dacă se dorește păstrarea datelor respectivei persoane pentru a i se transmite newsletter-uri, oferte sau alte informații, administratorul hotelului va avea obligația de a obține consimțământul persoanei respective, în caz contrar o astfel de prelucrare fară consimțământ riscând să fie sancționată cu amendă de până la 4% din cifra de afaceri anuală.
Mai mult, consimțământul dat de persoana ale carei date sunt prelucrate trebuie să îndeplinească anumite condiții pentru a fi considerat valabil: să fie dat în cunoștință de cauză (adică persoana să fie informată în prealabil asupra tuturor aspectelor ce țin de prelucrarea datelor sale); să fie dat expres pentru fiecare scop în care datele urmează să fie prelucrate; persoana trebuie să fie informată că are dreptul să i se steargă datele prin retragerea consimțământului printr-o procedură la fel de simplă ca aceea prin care și l-a dat etc.
De asemenea, administratorul hotelului care va prelucra datele are obligativitatea de a se rezuma la păstrarea datelor strict necesare scopului pentru care s-au colectat, urmărind să steargă surplusul din bazele de date și va avea în vedere că este în sarcina sa să facă dovada că a obținut consimțământul în condițiile legii.
După ce a fost atins scopul pentru care au fost colectate datele personale, colectorul este din nou obligat la ștergerea acestora.
În contextul prezentat industria hotelieră poate avea de suferit din mai multe puncte de vedere. Pe de-o parte aceștia ar putea avea de suferit din perspectiva marketingului, îndeosebi a celui online, ținând cont că o parte considerabilă a clienților este generată din platforme publicitare, site-uri ale agențiilor de turism, cookie-uri etc. De la data intrării în vigoare a GDPR, respectiv 25 mai 2018, ofertele, reclamele și alte informații despre hoteluri nu vor mai putea ajunge la clienți decât cu acordul prealabil al acestora iar consecința imediată va fi diminuarea cererii.
Din perspectiva internă consecințele vizează reanalizarea întregii organizări a activității hoteliere, sub sancțiunile prevazute de GDPR, respectiv aplicarea unor amenzi de până la 4% din cifra de afaceri anuală globală.
Pe o piață a turismului preponderent digitală, provocarea pentru industria hotelieră va fi aceea de a se alinia dispozițiilor legale prin adoptarea unor politici adecvate, bazate pe transparența prelucrării datelor, care să nu conducă la restrangerea majoră a spectrului de clienți. În preîntâmpinarea consecințelor arătate mai sus se recomandă acordarea unei atenții sporite în următoarea perioada prin luarea masurilor corespunzatoare în sensul alinierii activitătii hoteliere noilor prevederi, îndeosebi prin informarea corespunzătoare, instruirea angajaților și consultarea specialiștilor în materie.
Este esențială pentru a se împiedica o scădere a cererii pe piața turismului implementarea unor masuri de adaptare pentru a se putea transmite în continuare oferte către clienții interesați de asemenea servicii, prin colaborarea cu specialiști în domeniul protecției datelor cu caracter personal. Astfel, hotelierii nu ar trebui să renunțe la a prelucra date cu cracater personal în scop publicitar, ci trebuie să înteleagă importanța de a se pune în legalitate, prelucrând datele în concordanță cu dispozițiile GDPR.
Av. Drd. Cuculis Adrian - Societatea Civila Profesionala De Avocati -
"Cuculis&Asociatii"
Specialist in Executare Silita, Drepturile Omului Si Procedura Judiciara
Catedra de drept Civil Academia De Politie - Al. Ioan Cuza
Reorganizari Judiciare Si Falimente.