Blog

Povinnosti cestovních kanceláří vůči klientům při předávání osobních údajů do zahraničí

Obecné nařízení o ochraně osobních údajů (GDPR) ukládá specifické povinnosti všem, kteří předávají osobní údaje do zahraničí. Vzhledem k tomu, že předávání osobních údajů klientů zahraničním partnerům za účelem plnění smlouvy o zájezdu je neodmyslitelnou součástí provozu většiny cestovních kanceláří, nebo minimálně všech outgoingových, musí se cestovní kanceláře touto problematikou včas zabývat a do května 2018, kdy GDPR vstoupí v účinnost, upravit své procesy a všeobecné obchodní podmínky.

Při předávání osobních údajů do zahraničí je především potřeba v praxi respektovat dvě obecné zásady GDPR: zásadu transparentnosti a zásadu přiměřenosti.

Ze zásady transparentnosti, která je definována v čl. 5 odst. 1 písm. a) GDPR, vyplývá pro cestovní kancelář povinnost být vůči klientovi co nejvíce otevřená a sdělit mu, které informace hodlá do zahraničí a komu předat.

Ze zásady přiměřenosti pro cestovní kancelář vyplývá povinnost minimalizace údajů, tedy předávat pouze ty informace, které jsou nutné. Pokud cestovní kancelář rezervuje hotel pro klienty v Řecku, pravděpodobně bude postačovat, pokud hotelu sdělí jméno, příjmení a datum narození klienta. Poskytnutí čísla účtu klienta by bylo zcela jistě v rozporu se zásadou minimalizace osobních údajů.

Při předávání osobních údajů by si měly cestovní kanceláře ujasnit, jestli předávají pouze klasické osobní údaje nebo i údaje, které jsou citlivé, tzv. zvláštní kategorie osobních údajů. U druhých uvedených je zpravidla potřeba větší obezřetnosti.

Dále by měly cestovní kanceláře řešit, jestli se údaje předávají pouze v rámci EU nebo i do třetích zemí, kde ochrana osobních údajů nemusí odpovídat standardům GDPR. Obecně platí, že pokud cestovní kancelář předává osobní údaje, je vždy povinna informovat klienta o tom, kdo je případným příjemcem osobních údajů a pokud hodlá osobní údaje předat do třetí země, musí klientovi tento úmysl sdělit a uvést, zda existuje nebo neexistuje rozhodnutí Evropské Komise o odpovídající ochraně osobních údajů v předmětné destinaci. Nicméně neexistence tohoto rozhodnutí neznamená, že by cestovní kancelář nesměla dané informace předat.

Cestovní kanceláře tradičně předávají osobní údaje klientů hotelům a leteckým dopravcům. U hotelů bude situace relativně jednoduchá, protože údaje o hotelu jsou uvedené v katalogu, který je zpravidla součástí smlouvy o zájezdu. Klient ví tedy už před uzavřením smlouvy, že jeho osobní údaje poputují do hotelu nacházejícího se v určité zemi. Pokud se hotel nachází na území EU, bude k naplnění zásady transparentnosti bohatě stačit obecná informace ve všeobecných obchodních podmínkách o tom, že osobní údaje v definovaném rozsahu se předávají hotelu určenému ve smlouvě o zájezdu. Pokud se hotel bude nacházet ve třetí zemi, měl by být na tuto skutečnost upozorněn a dále by měl obdržet informaci o existenci nebo neexistenci rozhodnutí Evropské komise o odpovídající ochraně.

Problematičtější situace nastane při předávání osobních údajů leteckým společnostem, protože cestovní kancelář při uzavírání smlouvy leckdy neví, která letecká společnost bude nakonec dopravu realizovat. Nicméně v rámci dodržení zásady transparentnosti by bylo vhodné klienty upozornit, že osobní údaje v definovaném rozsahu budou předány letecké společnosti, která může sídlit i mimo území EU. Aby si byla cestovní kancelář stoprocentně jistá, že dodržuje požadavky GDPR, měla by ve chvíli, kdy ví, kdo bude realizovat leteckou dopravu, sdělit klientovi tuto informaci spolu s informací o existenci či neexistenci rozhodnutí Evropské komise. Chápeme však, že zasílání podobných sdělení by představovalo pro většinu cestovních kanceláří neúměrné administrativní zatížení.

Pokud chtějí cestovní kanceláře dodržet pravidla o předávání osobních informací do zahraničí podle GDPR, ale nezahltit se zasíláním sdělení o tom komu, kdy a jaké osobní údaje budou předávány, měly by uvažovat o vhodné úpravě svých všeobecných obchodních podmínek, které mohou předávání osobních údajů pro účely plnění smlouvy o zájezdu dostatečně konkrétně upravit. Přizpůsobení všeobecných obchodních podmínek GDPR patří mezi námi poskytované právní služby.

(30.10.2017)

Jasper Brinkman

Rád bych ocenil velké úsilí, které kancelář vynaložila, aby za mimořádně obtížných okolností úspěšně hájila naše práva a získala odškodnění v případu požáru hotelu v Praze.

Stewards, paní Eva

'Nikdo pro mě zatím tolik neudělal.' Paní Evě jsme pomohli získat odškodnění za poškozené zdraví po dopravní nehodě v zahraničí.

CK Livingstone

Opětovně děkuji za cenné rady. Lépe se mi dýchá, když vím, na koho se obrátit.
Jitka Popelková, jednatelka

Kontaktní formulář