GDPR za sobodajalce. Imate vse urejeno?
Splošna uredba o varstvu osebnih podatkov (General Data Protection Regulation ali GDPR) določa nova pravila glede varstva osebnih podatkov. Ta veljajo za vsako podjetje in ustanovo, ki uporablja in kakorkoli obdeluje osebne podatke državljanov EU. Med njimi so tudi sobodajalci. Nova zakonodaja se začne uporabljati 25. maja 2018. 
Kaj je GDPR?
Na kratko, za zbiranje osebnih podatkov morate imeti pisno ali ustno privoljenje. Odvetniki priporočajo pisno privoljenje, ker je v primeru pritožbe osebe, to lažje dokazovati in zagovarjati na sodišču. Privoljenje, ki ste ga pridobili, je lahko tudi v elektronski obliki.
Kaj uredba o zaščiti podatkov pomeni za sobodajalce?
Sobodajalci dnevno obdelujejo osebne podatke svojih gostov. Za potrebe prijave gosta v aplikacijo eTurizem, mora vsak sobodajalec od gostov pridobiti osebni dokument. Nekateri ga celo skenirajo ali pa zadržijo dlje časa. Vsak sobodajalec ima pravico vnesti osebne podatke gosta v eTurizem aplikacijo, ker je prijava gosta zakonska obveznost. Kar ni dovoljeno je pretirana obdelava in hramba podatkov. Če poenostavimo: kopiranje ali slikanje dokumentov NI PRIPOROČLJIVO, prav tako ne zadrževanje osebnih dokumentov.
Kdaj mora sobodajalec obvezno pridobiti soglasje od gosta?
Če sobodajalec zbira in obdeluje osebne podatke gostov zaradi namena trženja ali pošiljanja elektronskih sporočil, je omenjena obdelava osebnih podatkov dolžna pridobiti soglasje stranke oz. sobodajalec je dolžan stranko v naprej obvestiti, da bo osebne podatke uporabli na namene trženja, stranka pa to lahko sprejme ali zavrne.
Kako pridobiti soglasje za pošiljanje e-novic?
Sobodajalec mora pridobiti nova soglasje le, če stara soglasja niso bila pridobljena tako, kot zahteva Splošna uredba o varstvu osebnih podatkov (GDPR). Posameznik (gost) mora biti na preprost in razumljiv način obveščen (13. člen GDPR):
- komu daje soglasje (navedena mora biti identiteta in kontaktni podatki upravljalca in njegovega predstavnika, kadar ta obstaja);
- koliko časa se bodo hranili njegovi osebni podatki (obdobje hrambe podatkov);
- kakšen je namen zbiranja podatkov.
Seznanjen mora biti tudi s pravico, da lahko od upravljalca zahteva dostop do osebnih podatkov, popravek ali izbris osebnih podatkov, omejitev obdelave, ali obstoj pravice do ugovora obdelavi in pravice do prenosljivosti podatkov.
Kako mora biti pridobljeno tako soglasje?
Zahteva GDPR je, da so vse informacije in sporočila, ki se nanašajo na obdelavo osebnih podatkov, lahko dostopna in razumljiva, izražena pa v jasnem in preprostem jeziku. Priporočljivo je, da se splošni pogoji poslovanja in izjava o zaupnosti ločijo. V tej izjavi o zaupnosti se potem posameznika obvesti o vsem, kar zahteva nova evropska uredba.
Ali mora sobodajalec imeti pooblaščeno osebo za varstvo osebnih podatkov (»DPO«)?
Ni potrebno. Pooblaščeno osebo za varstvo osebnih podatkov morajo imeti podjetja, ki zaposlujejo 250 ali več zaposlenih.
Kako se GDPR odraža na vaše sodelovanje s spletnimi portali (Airbnb, Booking.com ..)?
Predlagamo, da na Airbnb oglasu objavite sledeče hišno pravilo:
“A mandatory law requires every guest has to present valid government ID upon check-in, persons other than registered guests are restricted from the apartment.”
Ker na portalu Booking.com tega ne morete objaviti, predlagamo, da v nastanitvi, kjer sprejemate goste, na vidno mesto objavite zgornje besedilo.
