„Stále totiž neexistuje prováděcí předpis, ze strany státu jsme žádnou pomoc nedostali. Novou ochranu dat tak odvozujeme od konzultace s právníky,“ říká místopředseda Asociace cestovních kanceláří (ACK) Jan Papež.

Každá cestovka tak přísnější ochranu osobních údajů provede podle doporučení vlastních právníků. Asociace nicméně vydala alespoň základní manuál, jak se mají cestovky od 25. května, kdy GDPR začne platit, chovat.

„Jde o to, že musíme jinak nakládat s celou cestovní smlouvou, kterou se zákazníky uzavíráme,“ popisuje Papež. V reálu to znamená, že ještě před samotným podpisem smlouvy by měla cestovka klienta přesně poučit, kam jeho údaje pošle. A v případě zájezdů toho není málo: Údaje se posílají leteckým společnostem a hoteliérům, kteří je zakládají do svých rezervačních systémů, z ubytovacích služeb následně data míří k místním municipalitám (kvůli ubytovacím poplatkům) a zprostředkovaně si údaje mohou prověřit i různé bezpečnostní složky.

O VÍZA NEPŘIJDETE

Typickým úkonem u zájezdů je kopírování pasů kvůli zařizování víz a ubytování. V této praxi budou cestovky podle Papeže pokračovat. Pokud mají s klientem uzavřenou smlouvu, GDPR to neodporuje. Splněny ale musejí být některé podmínky. „Jde o omezení zpracování pouze na daný účel (např. obstarání víza), zpracování pouze nutného množství osobních údajů a uchovávání údajů pouze po nutnou dobu,“ vysvětluje Hana Gawlasová, advokátka právní kanceláře Squire Patton Boggs. 

Kvůli GDPR se změní i prodeje zájezdů na webu. Klient uvidí samostatně všeobecné obchodní podmínky a zvlášť informace o zpracování osobních údajů. „Odděleně se tedy bude projevovat i souhlas s všeobecnými obchodními podmínkami a zvlášť se zpracováním osobních údajů,“ říká mluvčí CK Blue Style Václav Nekvapil.

Za porušení GDPR hrozí všem firmám bez rozdílu pokuta až 20 milionů eur nebo čtyři procenta z obratu.

U zájezdů je úskalí i v tom, že osobní údaje se zasílají do zemí mimo EU, kde GDPR neplatí. „Toto považuji za nejvíce problematickou oblast, protože bude těžké naše obchodní partnery například v Karibiku přesvědčit, aby se v nakládání s údaji o klientech přizpůsobili evropskému GDPR. Bude to pro ně těžce uchopitelné jak technicky, tak i mentálně,“ uzavírá marketingový ředitel Exim Tour Stanislav Zíma.