Prevederile Regulamentului European privind protecţia Datelor Personale (GDPR) se aplică direct, însă recomandăm agenţiilor să facă o revizuire a clauzelor din contractul cu turistul, pentru a informa corespunzător turistul despre drepturile sale conform noilor reglementări, a declarat pentru AGERPRES, Liviu Moraru, secretar general al Asociaţiei Naţionale a Agenţiilor de Turism (ANAT).

"Cetăţeanul trebuie să conştientizeze că datele sale personale sunt proprietatea sa, să ştie că toate firmele sau autorităţile care i le solicită trebuie să aibă acordul său explicit pentru a le folosi, că trebuie să îl informeze, într-un limbaj clar, pe înţelesul său, în ce scop le vor stoca sau prelucra şi pe ce perioadă, că perioada trebuie să fie rezonabilă faţă de scopul acestei prelucrări, că după îndeplinirea contractului, după trecerea perioadei menţionate sau la simpla sa cerere către firmă, datele sale trebuie şterse", a spus Liviu Moraru.  

Secretarul general ANAT spune că agenţiile de turism trebuie să se pregătească, în primul rând prin adoptarea şi implementarea unei strategii cu privire la prelucrarea datelor cu caracter personal, care ar trebui să acopere cel puţin câteva aspecte. Agenţiile de turism trebuie să îşi definească care sunt datele cu caracter personal prelucrate şi care este scopul prelucrării, având în vedere că este posibil ca o prelucrare care respectă cadrul legal instituit de Directivă să încalce Regulamentul. Un alt aspect ţine de evaluarea  politicilor, procedurilor şi  notificărilor aferente prelucrării datelor cu caracter personal, în vederea actualizării acestora pentru a respecta prevederile Regulamentului, precum şi evaluarea necesităţii numirii unui responsabil cu protecţia datelor cu caracter personal.
 
"GDPR extinde drepturile privind protecţia datelor personale şi aduce obligaţii suplimentare tuturor firmelor sau autorităţilor ce stochează sau prelucrează aceste date. Printre acestea sunt şi agenţiile de turism. Din punct de vedere practic, firmele care stochează sau prelucrează date personale, pentru îndeplinirea unor obligaţii legale, pentru îndeplinirea unor contracte, pentru acţiuni cu consimţământul persoanei sau pentru un interes legitim, vor trebui să se conformeze prevederilor GDPR. Noile drepturi trebuie asigurate şi pentru protecţia datele personale ce vor fi stocate sau prelucrate în afara UE, dar şi cetăţenilor non UE aflaţi în UE. Se poate spune că GDPR va avea un impact global", a spus Liviu Moraru.  

Acesta a precizat că printre noile drepturi se află 'dreptul de a fi uitat' (solicitarea ştergerii datelor personale) sau de a cere rectificarea datelor, dreptul la portabilitatea datelor (dreptul de a transfera datele cu caracter personal către o altă organizaţie), dreptul de a se opune la prelucrarea datelor cu caracter personal, inclusiv prin crearea de profiluri.

"Astăzi, siguranţa datelor personale furnizate în mediul online este tot mai vulnerabilă, numai în ultimul an fiind compromise două miliarde de baze de date. Cum agenţiile de turism se numără printre operatorii care prelucrează date cu caracter personal, este necesar ca fiecare dintre acestea să urmărească implementarea, până la 25 mai, a prevederilor regulamentului. Operatorii din turism colectează multiple date cu caracter personal, aderarea la noile principii fiind, aşadar, înainte de toate, o dovadă de respect faţă de clienţii, furnizorii şi angajaţi", a precizat pentru AGERPRES, Lucia Morariu, coordonator al grupului de lucru pe teme de legislaţie din cadrul ANAT.

Aceasta apreciază că în lumina noului regulament, companiile din turism trebuie să fie mult mai responsabile, să aplice aceste principii într-un mod riguros şi să asigure un nivel ridicat de transparenţă.

"În noile contracte, turiştii îşi vor da acceptul, distinct, pentru tipurile de informări pe care le acceptă în comunicările viitoare cu touroperatorul. În plus, oricând pe parcursul relaţiei comerciale şi contractuale, turiştii pot cere touroperatorului stoparea oricărei informări comerciale. Datele turiştilor noştri sunt criptate şi protejate de orice atac informatic extern sau eventuale scăpări interne, având obligaţia de a raporta imediat autorităţilor abilitate orice tentativa sau incident", a precizat pentru AGERPRES Dan Dumitru, director de marketing Paralela 45.

Conform acestuia, prin natura activităţii desfăşurate de un touroperator, se comunică terţilor sau se folosesc pentru informare şi asistenţă turistică, datele personale ale călătorilor, ale căror drepturi trebuie protejate şi respectate. Dan Dumitru spune că după data de 25 mai, toate contractele se vor modifica pentru a răspunde cerinţelor GDPR. Atât cele cu clienţii, cât şi cele cu agenţiile partenere, cu hotelieri sau companiile aeriene.

"Conform prevederilor regulamentului, am contractat, de asemenea, încă din ianuarie 2018, un serviciu externalizat de Data Protection Officer (DPO), care ne va asista în procesul de gestionare a datelor cu caracter personal. Costurile privind instruirea personalului, serviciile de DPO, desemnarea şi instruirea unei persoane din interiorul organizaţiei dedicată acestui scop sunt importante, desigur. Însă partea cea mai costisitoare este antrenată de aspectele tehnice şi logistice. Pentru că sunt necesare actualizări ale structurii IT şi achiziţia de licenţe noi. Vorbim, cel mai probabil, de câteva zeci de mii de euro pe an. Dincolo de costurile semnificative pe care le implică acest proces, am considerat însă aderarea la aceste noi reguli ca fiind o oportunitate de consolidare a încrederii clienţilor şi partenerilor noştri", precizează Lucia Morariu şi în calitate de preşedinte-fondator al Eximtur.

Aceasta precizează că de la momentul la care compania a fost atestată ca operator de date cu caracter personal, în agenţie există implementată o procedură internă de protecţie a datelor cu caracter personal, iar la nivel intern există responsabili dedicaţi acestui proces. Pentru cei care nu se vor alinia la timp, regulamentul vorbeşte de sancţiuni de milioane de euro sau de amenzi a căror valoare este situată între 2-4 procente din cifra de afaceri. Cu toate că nu sunt stabilite exact pragurile stabilite pentru operatorii din România, Lucia Morariu consideră că cifrele vehiculate sunt importante.

"Clienţii trebuie să ştie că nu le vom folosi datele personale fără să avem acordul lor. În contractele cu turiştii, odată cu aplicarea prevederilor regulamentului european privind protecţia datelor cu caracter personal vom include clauze care să fie în conformitate cu acesta. Am studiat cu atenţie regulamentul european astfel încât să îl aplicăm întocmai", spune şi Maria Goicea, director de marketing la Cocktail Holidays.

"Este deosebit de important ca fiecare agenţie să verifice că activitatea sa respectă noile prevederi şi că personalul propriu şi al firmelor colaboratoare (din UE sau din afară) care eventual stochează sau prelucrează date pentru ele, a fost instruit şi aplică noile reglementări, în cunoştinţă de cauză. Regulamentul prevede obligaţia operatorilor sau a persoanei împuternicite de a efectua o evaluare a impactului operaţiunilor de prelucrare prevăzute asupra protecţiei datelor cu caracter personal în situaţia în care operaţiunile de prelucrare prezintă riscuri ridicate pentru drepturile şi libertăţile persoanelor vizate", precizează Liviu Moraru.

Regulamentul impune operatorului şi persoanei împuternicite de către operator obligaţia de a pune în aplicare măsuri tehnice şi organizatorice adecvate pentru a asigura un nivel de securitate în concordanţă cu riscurile pe care le presupune prelucrarea şi cu categoria datelor cu caracter personal care trebuie protejate.

Liviu Moraru subliniază că ANAT a îndrumat membrii privind opţiunile lor pentru conformare şi examinează posibilitatea de a asigura 'DPO as service' pentru agenţiile de turism mici şi medii. Cursurile GDPR desfăşurate de ANAT au ca scop instruirea executivilor din firmă, instruirea responsabilului cu protecţia datelor.AGERPRES/(AS - autor: Carmen Marinescu, editor: Andreea Marinescu, editor online: Anda Badea)