Jak bezpiecznie administrować danymi klientów?

Jakie przepisy regulują przetwarzanie danych osobowych przez touroperatorów?
Przedsiębiorcy świadczący usługi turystyczne, tzw. biura turystyczne, działają przede wszystkim na podstawie własnych przepisów, tj. Ustawy o usługach turystycznych. Ponieważ jednak ustawa ta nie reguluje zagadnień związanych z pozyskiwaniem i wykorzystywaniem danych osobowych, przy ich przetwarzaniu stosować należy ogólne zasady zawarte w Ustawie o ochronie danych osobowych. Biorąc pod uwagę specyfikę działania biur turystycznych, jedną z podstaw przetwarzania przez nie danych osobowych może być art. 23 ust. 1 pkt 3 ustawy o ochronie danych osobowych. Stanowi on, że przetwarzanie danych osobowych jest dopuszczalne wówczas, gdy jest to niezbędne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy, na żądanie osoby, której dane dotyczą.

Do czego biura podróży mogą wykorzystywać dane osobowe zgromadzone w bazie? Jakich zasad muszą przestrzegać?
Biura turystyczne są administratorami danych osobowych swoich klientów, w związku z czym ustawa o ochronie danych osobowych nakłada na nie wiele obowiązków. Zobowiązuje je m.in. do zapewnienia, aby zbierane przez nie dane osobowe były merytorycznie poprawne oraz adekwatne, czyli niezbędne do celów przetwarzania. Adekwatność danych oznacza, że gromadzone i wykorzystywane powinny być tylko te dane, które są konieczne dla realizacji określonego celu. Dane nie powinny być też wykorzystywane do innych celów niż wskazane pierwotnie, chyba że osoba, której dotyczą, wyrazi na to zgodę. Przykładowo: jeśli taka osoba podpisuje z biurem podróży umowę dotyczącą wyjazdu na wczasy, to biuro podróży ma prawo wykorzystywać jej dane osobowe w celu organizacji tego wyjazdu, np. rezerwacji biletów na podróż, miejsca w hotelu czy kontaktowania się z klientem. Nie ma natomiast prawa, by je przetwarzać w innych celach, jak chociażby promowanie usług i produktów innych biur podróży, chyba że wcześniej uzyska na to zgodę osoby, której dane miałyby być w tym celu wykorzystywane.

Co grozi za niewłaściwe postępowanie z bazą danych osobowych?
Za nieprzestrzeganie zasad ochrony danych osobowych ustawa przewiduje odpowiedzialność karną, co szczegółowo regulują art. 49–54. Przykładowo: za niewłaściwe zabezpieczenie danych osobowych, przed zabraniem przez osobę nieuprawnioną lub ich uszkodzeniem czy zniszczeniem, grozi grzywna, kara ograniczenia wolności albo pozbawienia wolności do roku. Takie same kary ustawa przewiduje za niezgłoszenie zbioru danych osobowych do rejestracji GIODO.