Publicēts: 11.05.2023.
#dviskaidro Jaunumi Ziņas
DVI_turisms

Lai arī tūrisms ir aktuāls visa gada garumā, tuvojoties vasaras sezonai, iedzīvotāji arvien vairāk plāno pavadīt savas brīvdienas ārpus valsts, un sava ceļojuma plānošanu nodod tūrisma operatoru (turpmāk – operators) [1] rokās. Kādus datus var ievākt operatori un kāpēc tie nepieciešami, skaidrosim šajā #DVIskaidro rakstā.

Ceļojuma organizēšanas un noformēšanas process sastāv no vairākām datu apstrādēm, kur katrai nepieciešams piemērot atsevišķu mērķi, tiesisko pamatu, apstrādājamo datu veidus, kā arī nodrošināt, ka ievāktie dati tiks apstrādāti atbilstošu vai likumā noteiktu laika posmu. Jāievēro droša datu uzglabāšana un par šīm apstrādēm iepriekš un pēc pieprasījuma jāinformē datu subjekti jeb klienti, kuri plānojuši iegādāties pakalpojumu – kompleksu tūrisma pakalpojumu.

Visbiežāk operatori pakalpojuma sniegšanas ietvaros personas datus nodos arī citām kompānijām, lai kā starpnieks reģistrētu klientu konkrētiem papildu pakalpojumiem, kas nav tieša ceļojuma plānošana. Ja personas dati tiek nodoti citai kompānijai, piemēram, viesnīcu administrācijai, operatoram ir pienākums pirms datu ievākšanas vai līguma aprakstā par to informēt klientu.

Kas ir datu apstrādes mērķis?

Datu apstrādes mērķis (nolūks) ir atbilde uz jautājumu Kāpēc? nepieciešama datu apstrāde. Mērķis var būt gan pārziņa patstāvīgi noteikts, gan likumā uzlikts pienākums datu apstrādei.

Kādi ir iespējamie datu apstrādes mērķi?

  1. Sākotnēji operators (pārzinis) datus ievāks, lai noslēgtu savstarpēju līgumu [2] ar personu par paša pakalpojuma sniegšanu, kurā iekļauj nosacījumus par līguma priekšmetu un pakalpojuma detaļām.
  2. Papildus personas dati operatoram var būt nepieciešami klienta vārdā veiktai biļešu rezervācijai, ne tikai lidojumiem vai cita veida braucieniem, bet arī, piemēram, naktsmītņu rezervācijai, lai nodotu šos datus citam pakalpojumu sniedzējam, piemēram, aviokompānijai.
  3. Personas dati tiks apstrādāti arī nolūkā sagatavot pakalpojuma rēķinu, kā arī saziņai ar klientu, rēķina un citu pakalpojuma dokumentu un informācijas nosūtīšanai vai paziņošanai.
  4. Datu apstrāde var notikt arī komerciālu paziņojumu sūtīšanas par citiem operatora piedāvātiem pakalpojumiem un aktualitātēm.

Kas ir tiesiskais pamats?

Katrai darbībai ar personas datiem jābūt pamatotai. Ceļojuma organizēšanas procesā pamatojums var būt klienta piekrišana, reizēm arī likuma prasību izpilde, tomēr lielākajā daļā gadījumu darbības pamatosies ar līguma izpildi. [3]

Kāds ir tiesiskais pamats datu apstrādei?

  • Vienojoties par līguma noslēgšanu operatoram ar klientu (tūristu), tiek noslēgts līgums, kas arī ir tiesiskais pamats datu apstrādei. Šādā līgumā tiek iekļauti personu identificējoši un citi dati, bez kuru apstrādes līguma noslēgšana nebūtu iespējama. [4]
  • Lai operators nodrošinātu visus līgumā norādītos pakalpojumus, kas saistīti ar klientu reģistrāciju citu pakalpojumu sniedzēju, piemēram, transporta pakalpojumu sniedzēju, naktsmītņu nodrošinātāju, ēdināšanas pakalpojumu sniedzēju u.c. pakalpojumu saņemšanai, datu apstrāde tiks veikta sākotnējā līguma vai papildus līguma ietvaros.
  • Rēķina jeb attaisnojuma dokumentā iekļaujamā informācija ir noteikta Grāmatvedības likumā. [5] Tādējādi operatoram ir likumā noteikts pienākums apstrādāt datus noteiktā apjomā. [6]
  • Lai operators praktiski spētu nodrošināt pakalpojumu, ne tikai nogādāt ceļotājus galamērķī, bet arī pirms ceļojuma informēt tos par ceļojuma plānu, izsūtītu rēķinu, ir nepieciešams apstrādāt datus. Šāda datu apstrāde pamatojama ar līguma izpildi [4], jo bez šādas datu apstrādes izpildīt līgumu jeb sniegt pakalpojumu nebūtu iespējams.
  • Ja operators piedāvā klientam arī pirms vai pēc pakalpojuma saņemšanas, sūtīt tam komerciālus paziņojumus par tā aktuālajiem piedāvājumiem, atlaidēm vai jauniem pakalpojumiem, operatoram ir pienākums iegūt personas skaidru piekrišanu. [7]

Vairāk par piekrišanas kā tiesiskā pamata datu apstrādei īpašībām un piekrišanu komerciālu paziņojumu sūtīšanai varat lasīt Datu valsts inspekcijas #DVIskaidro rakstos “Vai personas piekrišana ir universāls tiesiskais pamats datu apstrādei?” un “Kam fiziskai personai ir jāpievērš uzmanība saņemot komerciālu paziņojumu?”.

Kādus personas datus operators var apstrādāt?

Vispirms operatoram ir jānodrošina, lai iegūto datu apjoms nepārsniegtu apjomu, kāds nepieciešams mērķa sasniegšanai.

Ņem vērā:
  • Vairāku apstrāžu ietvaros iegūtie personas dati var būt līdzīgi, piemēram, elektroniskā pasta adrese var būt nepieciešama gan saziņai, gan komerciālu paziņojumu sūtīšanai, tādēļ jāņem vērā, ka tāpat katrā atsevišķā datu apstrādē ir jānorāda visu apstrādājamo personas datu kategorijas vai veidi.
  • Personas dati, kas var būt nepieciešami, lai izpildītu reģistrāciju braucieniem, naktsmītnēm vai citiem papildus pakalpojumiem ārpus paša ceļojuma plānošanas, var būt ne tikai personas vārds un uzvārds, bet arī dzīvesvietas adrese, pases dati, dzimums, personas kods ceļojuma dokumentu noformēšanai.  
  • Apstrādājamo datu veidi var atšķirties atkarībā no cita pakalpojuma sniedzēja (trešās puses) vai tā mītnes valsts noteikumiem, tai skaitā pieprasāmo datu apjoms var būt plašāks, ja ceļojums ir plānots uz valsti, kura atrodas ārpus Šengenas zonas. [8].

Kā apkopot informāciju par datu apstrādi?

Primāri informāciju par visiem datu apstrādes mērķiem, tiesisko pamatu, datu nodošanu trešajām personām, datu glabāšanas ilgumu un citu Datu regulas 13. pantā norādīto informāciju pārzinim ir uzskatāmā veidā jāpublicē tīmekļa vietnē vai kā citādi jādara pieejamu klientam pirms līguma noslēgšanas. Ierasti šādu datu apstrāžu aprakstu sauc par “Privātuma politiku”.

! Privātuma politikā katra datu apstrāde jāapraksta atsevišķi. Svarīgi iepazīties ar jomas specifiskajiem normatīvajiem aktiem, kuros var būt noteikti pienākumi, kā reģistrēt ceļotājus vai kādos gadījumos kādi personas dati no tiem jāievāc.

Norādām, ka rakstā pieminētie datu apstrādes nolūki un veidi nav izsmeļoši, bet ir kā norāde uz pamata apstrādēm, kādas ir iespējamas operatoru veikto darbību ietvaros.

Informatīvās atsauces:

[1] Saskaņā ar Tūrisma likuma 1. panta pirmās daļas 19. punktu tūrisma operators ir persona, kas apvieno un piedāvā pārdošanai vai pārdod ceļotājiem kompleksus tūrisma pakalpojumus tieši vai ar cita pakalpojuma sniedzēja starpniecību, vai kopā ar citu pakalpojuma sniedzēju, kā arī pakalpojuma sniedzējs, kurš nosūta ceļotāja datus citam pakalpojuma sniedzējam

[2] Saskaņā ar Tūrisma likuma 1. panta pirmās daļas 29. punktu kompleksa tūrisma pakalpojuma līgums ir līgums par kompleksu tūrisma pakalpojumu kopumā vai, ja kompleksu tūrisma pakalpojumu piedāvā sniegt saskaņā ar atsevišķiem līgumiem, visi līgumi, kas attiecas uz kompleksajā tūrisma pakalpojumā ietvertajiem tūrisma pakalpojumiem.

[3] Datu regulas 6. panta 1. punkts

[4] Datu apstrādei, kas pamatota ar savstarpēji noslēgtu līgumu ir piemērojams Eiropas Parlamenta un Padomes Regulas (ES) 2016/679 (2016.gada 27.aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula; turpmāk tekstā – Datu regula) 6. panta 1. punkta b) apakšpunktā noteiktais tiesiskais datu apstrādes pamats – līguma izpilde.

[5] Grāmatvedības likuma 11. panta piektā daļa

[6] Datu regulas 6. panta 1. punkta c) apakšpunkts - apstrāde ir vajadzīga, lai izpildītu uz pārzini attiecināmu juridisku pienākumu.

[7] Piekrišanas tiesiskais pamats noteikts Datu regulas 6. panta 1. punkta a) apakšpunktā. Piekrišanas pienākums komerciālu paziņojumu sūtīšanai noteikts Informācijas sabiedrības pakalpojumu likuma 9. panta pirmajā daļā.

[8] Skaidrojums par Šengenas zonu: https://www.consilium.europa.eu/lv/policies/schengen-area/

Autors:
freepik.com