Blog

Povinnosti cestovních kanceláří vůči klientům při předávání osobních údajů do zahraničí

30. 10. 2017

Obecné nařízení o ochraně osobních údajů (GDPR) ukládá specifické povinnosti všem, kteří předávají osobní údaje do zahraničí. Vzhledem k tomu, že předávání osobních údajů klientů zahraničním partnerům za účelem plnění smlouvy o zájezdu je neodmyslitelnou součástí provozu většiny cestovních kanceláří, nebo minimálně všech outgoingových, musí se cestovní kanceláře touto problematikou včas zabývat a do května 2018, kdy GDPR vstoupí v účinnost, upravit své procesy a všeobecné obchodní podmínky.


Při předávání osobních údajů do zahraničí je především potřeba v praxi respektovat dvě obecné zásady GDPR: zásadu transparentnosti a zásadu přiměřenosti.


Ze zásady transparentnosti, která je definována v čl. 5 odst. 1 písm. a) GDPR, vyplývá pro cestovní kancelář povinnost být vůči klientovi co nejvíce otevřená a sdělit mu, které informace hodlá do zahraničí a komu předat.


Ze zásady přiměřenosti pro cestovní kancelář vyplývá povinnost minimalizace údajů, tedy předávat pouze ty informace, které jsou nutné. Pokud cestovní kancelář rezervuje hotel pro klienty v Řecku, pravděpodobně bude postačovat, pokud hotelu sdělí jméno, příjmení a datum narození klienta. Poskytnutí čísla účtu klienta by bylo zcela jistě v rozporu se zásadou minimalizace osobních údajů.


Při předávání osobních údajů by si měly cestovní kanceláře ujasnit, jestli předávají pouze klasické osobní údaje nebo i údaje, které jsou citlivé, tzv. zvláštní kategorie osobních údajů. U druhých uvedených je zpravidla potřeba větší obezřetnosti.


Dále by měly cestovní kanceláře řešit, jestli se údaje předávají pouze v rámci EU nebo i do třetích zemí, kde ochrana osobních údajů nemusí odpovídat standardům GDPR. Obecně platí, že pokud cestovní kancelář předává osobní údaje, je vždy povinna informovat klienta o tom, kdo je případným příjemcem osobních údajů a pokud hodlá osobní údaje předat do třetí země, musí klientovi tento úmysl sdělit a uvést, zda existuje nebo neexistuje rozhodnutí Evropské Komise o odpovídající ochraně osobních údajů v předmětné destinaci. Nicméně neexistence tohoto rozhodnutí neznamená, že by cestovní kancelář nesměla dané informace předat.

Cestovní kanceláře tradičně předávají osobní údaje klientů hotelům a leteckým dopravcům. U hotelů bude situace relativně jednoduchá, protože údaje o hotelu jsou uvedené v katalogu, který je zpravidla součástí smlouvy o zájezdu. Klient ví tedy už před uzavřením smlouvy, že jeho osobní údaje poputují do hotelu nacházejícího se v určité zemi. Pokud se hotel nachází na území EU, bude k naplnění zásady transparentnosti bohatě stačit obecná informace ve všeobecných obchodních podmínkách o tom, že osobní údaje v definovaném rozsahu se předávají hotelu určenému ve smlouvě o zájezdu. Pokud se hotel bude nacházet ve třetí zemi, měl by být na tuto skutečnost upozorněn a dále by měl obdržet informaci o existenci nebo neexistenci rozhodnutí Evropské komise o odpovídající ochraně.


Problematičtější situace nastane při předávání osobních údajů leteckým společnostem, protože cestovní kancelář při uzavírání smlouvy leckdy neví, která letecká společnost bude nakonec dopravu realizovat. Nicméně v rámci dodržení zásady transparentnosti by bylo vhodné klienty upozornit, že osobní údaje v definovaném rozsahu budou předány letecké společnosti, která může sídlit i mimo území EU. Aby si byla cestovní kancelář stoprocentně jistá, že dodržuje požadavky GDPR, měla by ve chvíli, kdy ví, kdo bude realizovat leteckou dopravu, sdělit klientovi tuto informaci spolu s informací o existenci či neexistenci rozhodnutí Evropské komise. Chápeme však, že zasílání podobných sdělení by představovalo pro většinu cestovních kanceláří neúměrné administrativní zatížení.


Pokud chtějí cestovní kanceláře dodržet pravidla o předávání osobních informací do zahraničí podle GDPR, ale nezahltit se zasíláním sdělení o tom komu, kdy a jaké osobní údaje budou předávány, měly by uvažovat o vhodné úpravě svých všeobecných obchodních podmínek, které mohou předávání osobních údajů pro účely plnění smlouvy o zájezdu dostatečně konkrétně upravit. Přizpůsobení všeobecných obchodních podmínek GDPR patří mezi námi poskytované právní služby.

(30.10.2017)