ZÁKON 101/2000 Sb., O OCHRANĚ OSOBNÍCH ÚDAJŮ (Výtah ze zákona 101/2000 Sb.v účinném znění
a jeho autorizovaný výklad na Klubovém dnu)
Příručku vydává pro své členy ACK ČR, její další rozmnožování a postupování třetím osobám není přípustné a bylo by v rozporu s autorským zákonem.
ZÁKON 101/2000 Sb., O OCHRANĚ OSOBNÍCH ÚDAJŮ (výtah ze zákona 101/2000 Sb. v účinném znění a jeho výkladu na Klubovém dnu ACK 26.5.2010) Zákon je v souladu s legislativou EU. Najdete ho (vč. dalších údajů) na www.uoou.cz Zákon se vztahuje na jakékoliv zpracování osobních údajů s výjimkou nahodilého shromažďování osobních údajů, pokud nejsou dále zpracovány a nevztahuje se na zpracování osobních údajů, které provádí fyzická osoba výlučně pro osobní potřebu. Zákon se vztahuje nejen na osobní data zákazníků, ale i zaměstnanců. Na činnost CK i CA se tedy vztahuje prakticky vždy (i když v různé míře). Zákon nevymezuje osobní údaje taxativně, „osobní údaj“ je jakákoliv informace, na základě které lze nepochybně identifikovat konkrétní fyzickou osobu a týkající se určitelného subjektu. Zákon rovněž nedefinuje, na základě jakých údajů se subjekt pokládá za určitelný=identifikovatelný; v případě jedinečného příjmení to tedy může být i na základě pouhého příjmení. V praxi CK/CA se tedy zpracování a ochrana osobních údajů týká činnosti všech zaměstnanců apod. osob (delegáti atp.), kteří přicházejí do styku s osobními údaji zákazníků, ale i s osobními údaji zaměstnanců CK/CA apod. osob (delegáti, průvodci); osobními údaji jsou i údaje podnikatelů-fyzických osob. Citlivý osobní údaj (požívající vyšší ochrany) je vyjmenován taxativně (viz § 4b zákona), v CR jím mohou být nejčastěji zdravotní údaje, náboženská orientace (kvůli stravě), národnost, biometrické údaje. Citlivé údaje nemohou být CK zpracovány bez výslovného souhlasu subjektu (např. informace o zdravotním stavu klienta, požadavky na stravu z náboženských či zdravotních důvodů). Tento souhlas je nutno uchovávat po celou dobu zpracování údajů. Cestovní kancelář či agentura se s osobními údaji klientů setká buď v roli správce, nebo zpracovatele. Správce je ten, kdo určuje účel a prostředky zpracování osobních údajů, zpracování provádí (sám nebo pověří jinou osobu=zpracovatele) a odpovídá za ně (i v případě, že je zpracovává zpracovatel, se kterým má smlouvu – musí prokázat, že byla dobře uzavřena a kontrolováno její dodržování). Zpracováním se rozumí jakákoliv i jen jediná systematická operace s osobními údaji, tj. i shromažďování, ukládání, vyhledávání, používání, třídění, výměna, předávání, zveřejňování atp. vč. likvidace). Zpracovatel je ten, kdo zpracovává osobní údaje na základě pověření správcem. Jestliže firma=správce předává osobní údaje ke zpracování jiné firmě=zpracovateli, musí s ní uzavřít písemnou smlouvu (s uvedením rozsahu, účelu, na jak dlouho a záruky zpracovatele o technickém a organizačním zabezpečení). CK vystupuje v roli správce zvl. při organizování a prodeji zájezdů, v roli zpracovatele např. jako agent pojišťovny při uzavírání pojistné smlouvy. Smlouva s pojišťovnou obsahuje klauzuli o zpracování osobních údajů, která je dobrým vzorem pro to, co dát do smlouvy se svými zpracovateli=např. prodejci (opět stačí formou klauzule, nemusí být samostatná smlouva).
Provizní prodejce je zpracovatel, který plní vůči klientům informační povinnost za správce: je-li vyžadován souhlas se zpracováním osobních údajů, získávat ho, a je povinen údaje chránit. Zákon nepředepisuje formu informace, ale povinnost informovat. Informační povinnost musí být splněna nejpozději v době zahájení shromažďování osobních údajů. V případě, že jsou zpracovávány osobní údaje získávané přímo od subjektu údajů (klienta), musí být subjekt údajů poučen, zda je poskytnutí osobních údajů povinné či dobrovolné. Povinnosti správce osobních údajů: - stanovit účel zpracování - stanovit prostředky a způsob zpracování - shromažďovat osobní údaje jen v nezbytném rozsahu a jen ke stanovenému účelu (účelů je prakticky víc, stanovit se musí všechny a zacházet se s nimi pak musí za každý účel zvlášť – různé účely mají různou dobu uchování! Vždy se zamyslet, jestli nemám jinou možnost, jak zamýšleného účelu dosáhnout) - uchovávat osobní údaje pouze po dobu nezbytnou k účelu jejich zpracování - zpracovávat osobní údaje pouze v souladu s účelem, k němuž byly shromážděny - shromažďovat osobní údaje pouze otevřeně a nesdružovat údaje, které byly shromážděny k různým účelům (to znamená např. vést odděleně databáze pro pojišťovnu a pro CK, odděleně pro splnění smlouvy a pro marketing, protože tyto databáze mají jinou dobu uchování a také se liší co do potřeby souhlasu subjektu údajů=klienta; oddělené vedení se týká databází, informace na cestovní smlouvě mohou být společné); sdružováním k různým účelům není vedení klientů různých typů zájezdů ve stejné databázi, je jím např. vést v jedné databázi současně klienty zájezdů a klienty pro prodej nesouvisejícího zboží. - informovat subjekt údajů (že jsou o něm údaje shromažďovány, k jakému účelu, po jakou dobu, jaká má práva – POZOR, nutno informovat o každém účelu a právech) - zajistit požadovanou úroveň zabezpečení Bez souhlasu klienta může CK zpracovávat osobní údaje klientů: - pokud je to nezbytné pro dodržení právní povinnosti (tedy pro účely zákonů, např. účetní doklady, archivnictví, povinnosti týkající se cestovní smlouvy dle zák.159/1999Sb, předání orgánům činným v trestním řízení, tedy má-li CK povinnost stanovenou zákonem). - jestliže je to nezbytné pro splnění smlouvy, kde jednou ze smluvních stran je subjekt údajů (tedy všechno, co je potřeba pro zajištění zájezdu s uchováním jen do skončení zájezdu+zákonné lhůty na reklamaci jakož i celého případného reklamačního řízení) Dále lze pro účely nabízení obchodu nebo služeb (svých!) použít osobní údaje v rozsahu jméno+příjmení+adresa (vč. e-mailové) získané vlastní činností, pokud s tím subjekt údajů=klient nevyslovil nesouhlas. K jakýmkoliv dalším údajům je již souhlas nutný (i kdyby to bylo jen, kolikrát již s CK cestoval). Pokud subjekt vyslovil nesouhlas (zákon ukládá povinnost vyslovit písemný nesouhlas), může správce (CK) údaje dále zpracovávat, ale vést jen pro vlastní potřebu (např. databáze, kam nabídky naopak nezasílat – jen základní údaje + logovací informace). Údaje jméno+příjmení+adresa (vč. e-mailové) získané vlastní činností lze předat i jinému správci za účelem nabízení obchodu a služeb, pokud o tom byl subjekt údajů předem informován a nevyslovil s tím nesouhlas (písemně). POZOR: možnost zpracovávat osobní údaje bez souhlasu nevyviňuje z povinnosti INFORMOVAT subjekt údajů o zpracování (§11) ) a dále povinnost umožnit subjektu údajů přístup k jeho osobním údajům (§ 12, § 21)!
Chci-li osobní údaje zpracovávat po době, po kterou je mohu zpracovávat bez souhlasu, je možno žádat o souhlas klienta s tím, že některé údaje (vyjmenovat, které) budou zpracovávány déle (jak dlouho). Rozsah osobních údajů určuje cestovní kancelář – doporučuje se požadovat jen ty, které jsou opravdu potřeba! SOUHLAS SUBJEKTU SE ZPRACOVÁNÍM OSOBNÍCH ÚDAJŮ musí být: - svobodný (tj. nevynucený: I když nedá souhlas, tak musí mít možnost uzavřít cestovní smlouvu), - vědomý (proč, rozsah, na jak dlouho) a informovaný projev vůle (informace musí obsahovat i práva subjektu) Pokud souhlas nemá požadované náležitosti, lze jej v některých případech považovat za neplatný - tj. souhlas se zpracováním osobních údajů by neměl být součástí podpisu cestovní smlouvy, není-li jiným způsobem umožněno vyjádření nesouhlasu (např. může být na stejném formuláři, ale se samostatným podpisem). Účel souhlasu – např. marketing, poskytování bonusů (věrnostní slevy, dárky, gratulace). Subjekt údajů má právo souhlas odvolat - v tom případě musí být jeho osobní údaje získané se souhlasem zlikvidovány (proto musí být databáze shromažďované bez souhlasu, např. pro splnění služeb, pro účetnictví či archiv, oddělené od těch určených pro marketing=se souhlasem). SOUHLAS se zpracováním osobních údajů je třeba prokázat po celou dobu uchování údajů. Zákon nestanoví formu souhlasu. Souhlas může dle zákona dát jen subjekt údajů. V cestovním ruchu je možné přenést odpovědný souhlas za všechny spolucestující jen na objednávajícího (tento výklad je respektován odvolacím orgánem ÚOOÚ). OZNAMOVACÍ POVINNOST Podle výkladu ÚOOÚ nemají CK oznamovací (registrační) povinnost, pokud zpracovávají osobní údaje výlučně pro účely ze zákona (vč. cestovní smlouvy). CK mají povinnost požádat ÚOOÚ o povolení k předávání osobních údajů do třetích zemí mimo EU a státy, s nimiž má ČR či EU odpovídající smlouvy. Státy, které ratifikovaly Úmluvu o ochraně osob se zřetelem na automatizované zpracování osobních dat (Rada Evropy, ETS 108, 1981) a jejichž právní předpisy tedy zaručují dostatečnou ochranu osobních údajů odpovídající všem požadavkům směrnice Evropského parlamentu a Rady 95/46/ES (a tedy také zákona č. 101/2000 Sb.) jsou v současné době kromě členských zemí EU i Albánie, Azerbajdžán, Bosna a Hercegovina, Černá Hora, Gruzie, Chorvatsko, Island, Lichtenštejnsko, Makedonie, Moldávie, Norsko, Srbsko, Švýcarsko . Úplný a aktuální seznam států, které podepsaly a ratifikovaly Úmluvu č. 108 naleznete na internetové adrese http://conventions.coe.int/Treaty/Commun/ListeTraites.asp?CM=8&CL=ENG. Rozhodnutí Komise, týkající se Argentiny, Guernsey a Ostrova Man prakticky znamenají, že při předávání osobních údajů není nutno v žádném případě žádat Úřad o povolení podle § 27 zákona č. 101/2000 Sb., protože legislativní ochrana osobních údajů v těchto zemích či územích je odpovídající. Naproti tomu v případě USA („Safe Harbour“) a Kanady je nutno zkoumat, zda se jedná o případy pokryté příslušným rozhodnutím Komise – doporučujeme konzultovat s Úřadem.
U ostatních zemí je třeba s partnerem ochranu osobních údajů projednat a ujistit se, že je schopen zajistit odpovídající ochranu osobních dat a v každém případě žádat ÚOOÚ o povolení.
INFORMACE PRO ZÁKAZNÍKA (osnova) v případě cestovního pojištění: Osobní údaje zákazníka a spolucestujících osob (dále jen osobní údaje) v rozsahu jméno+příjmení+adresa +rodné číslo/datum narození jsou zpracovány pro pojišťovnu ………..ve smyslu §4 zákona č.37/2004 Sb. o pojistné smlouvě. pro CK Osobní údaje zákazníka jakož i spolucestujících osob (dále jen osobní údaje) uvedené v cestovní smlouvě (event.“s výjimkou rodného čísla“atp.) jsou podmínkou pro splnění závazků CK vyplývajících z cestovní smlouvy. Budou zpracovány CK…., resp. jí pověřenými zpracovateli v souladu se zákonem č.101/2000 Sb. v účinném znění po dobu potřebnou ke splnění zákonných povinností CK. Osobní údaje v rozsahu jméno+příjmení + adresa (vč. elektronické) budou dále použity pro zasílání obchodních nabídek CK…, případně dalších správců, dokud s tím subjekt údajů nevysloví nesouhlas písemnou formou. Pro účely dalších marketingových opatření, věrnostních bonusů atp. je na formuláři cestovní smlouvy uveden odstavec, jímž zákazník vyslovuje souhlas se zpracováním osobních údajů v rozsahu uvedeném v cestovní smlouvě na dobu …..(možno uvést i „neurčitou, do odvolání atp.“) a místopřísežně prohlašuje, že je zmocněn takový souhlas vyslovit i pro osobní údaje spolucestujících osob. Zákazník bere na vědomí, že při neudělení souhlasu se zpracováním osobních dat za účelem marketingu pozbývá práva na bonusy pro stálé zákazníky uvedené v katalogu i v budoucích nabídkách (je-li poskytování bonusů vázáno na zpracování osobních údajů). Zákazník je oprávněn kdykoliv souhlas se zpracováním osobních dat nad zákonem stanovené účely odvolat s výše uvedenými důsledky. Podpis zákazníka (nezávislý na podpisu cestovní smlouvy!) Poskytnuté osobní údaje zákazníka v uvedeném rozsahu budou zpracovány CK i zpracovatelem automatizovaně - manuálně, v elektronické – tištěné formě (uveďte vhodné nebo všechno). Poskytnuté osobní údaje zákazníka mohou být zpřístupněny zaměstnancům CK, pověřenému zpracovateli a dále těm, kteří jsou oprávněni služby cestovního ruchu poskytovat, nebo nabízet a prodávat služby poskytované nebo zprostředkované CK a dále v případě elektronického kontaktu pro elektronickou poštu zákazníka těm, jež jsou oprávněni šířit jménem CK obchodní sdělení dle zákona č.480/2004 Sb. v účinném znění. Při zpracování osobních údajů zákazníka je CK povinna dbát, aby zákazník neutrpěl újmu na svých právech, zejména právu na zachování lidské důstojnosti a dbát na ochranu před neoprávněným zasahováním do jeho soukromého a osobního života. Zákazník má právo souhlas se zpracováním jeho osobních dat kdykoliv písemnou formou odvolat. V případě zpracovávání, shromažďování a využití podrobností o elektronickém kontaktu pro elektronickou poštu zákazníka má zákazník právo odmítnout souhlas s využitím jeho elektronického kontaktu i při zaslání každé jednotlivé zprávy i způsobem uvedeným v obdrženém obchodním sdělení CK dle zákona č.480/2004 v účinném znění. Zákazník má právo přístupu k osobním údajům, právo na opravu osobních údajů, jakož i další práva dle §21zákona 101/2000 Sb. v účinném znění. VZTAH CK – CA CK = správce údajů je oprávněn pověřit cestovní agenturu, aby osobní údaje zákazníků shromažďovala, opatřovala souhlas zákazníků atp. Pověření musí být v písemné smlouvě (možno jako pasáž provizní smlouvy).
Za zpracování osobních údajů odpovídá pak i CK i CA, ale pravidla pro zpracování (vč. uchovávání) určuje CK. OCHRANA OSOBNÍCH ÚDAJŮ CK mají povinnost přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, zpřístupnění, zveřejnění jakož i k jinému zneužití. Tato povinnost platí i po ukončení zpracování. CK, resp. CA jsou povinny zpracovat a dokumentovat přijatá technicko-organizační opatření k zajištění ochrany osobních údajů (například vnitropodnikový předpis, pracovní smlouva, organizační řád, pracovní řád atd.) K tomu patří i zabezpečení počítačů, povinnost zabezpečit logování aby šlo zpětně dohledat, kdo manipuloval. Zabezpečit místnosti, kde jsou údaje uchovávány (zákon neřeší, jak, ale nesmí dojít ani k nahodilému zneužití). Způsob likvidace údajů zákon neurčuje, ale při likvidaci počítačů se doporučuje disky nejen smazat, ale fyzicky zlikvidovat. Zaměstnanci a osoby v podobném postavení (průvodci, delegáti) musí mít povinnost mlčenlivosti, která trvá i po skončení pracovního apod. poměru. Pozor např. na přání k narozeninám – nesmí být veřejné! Zasílání osobních údajů běžnou elektronickou poštou se nepokládá za dostatečně zajištěné. Souhlas subjektu se zpracováním osobních údajů vč. citlivých lze obdržet elektronickou poštou (ale problém je dokázat, že to poslal ten subjekt). Neoprávněné nakládání s osobními údaji (v případě odcizení databáze, prodeje atp.) – hlásit policii - § 180 trestního řádu. Trestné je i neohlášení takové skutečnosti. Sankce za neoprávněné nakládání mají horní hranici 5 mil. Kč, u citlivých osobních údajů 10 mil. Kč, v případě postihu fyzické osoby 1 mil. Kč. Pokud krádež spáchá zaměstnanec, musí zaměstnavatel prokázat, že učinil opatření k zamezení krádeže (např. školení zaměstnanců, bezpečné uložení atd.).
