GDPR a Povinnosti Cestovních Agentur v České Republice

20. 09. 2025Vlastimil VozarPřidat komentář

Ochrana osobních údajů je klíčová pro každou cestovní agenturu. Proto je důležité se seznámit s tím, jak nařízení GDPR ovlivňuje jejich činnost a jaké povinnosti z toho vyplývají.

Co je GDPR?

GDPR (Obecné nařízení o ochraně osobních údajů) je legislativní opatření Evropské unie, které vstoupilo v platnost 25. května 2018. Toto nařízení má chránit osobní údaje občanů a pro firmy a podnikatele to znamená celou řadu povinností při nakládání s těmito informacemi a jejich zpracovávání.

Pod osobními údaji se rozumí jakékoli informace, které jsou vztaženy k identifikované či identifikovatelné fyzické osobě. Tato osoba musí udělit svůj výslovný souhlas k nakládání s takovýmito informacemi.

Povinnosti cestovních agentur v souvislosti s GDPR

GDPR má významný dopad na cestovní kanceláře a agentury, které nevyhnutelně distribuují osobní údaje svých klientů svým partnerům, a to i v zahraničí. Implementace GDPR do firemních procesů je tak absolutně nezbytná.

Analýza zpracovávaných informací

V první řadě by tak měla přijít analýza typu informací, se kterými se v dotyčné cestovní kanceláři pracuje.

Přiměřenost a transparentnost

V rámci distribuce informací v mezinárodním měřítku je pak potřeba dodržet primárně dvě klíčové zásady. Jsou jimi přiměřenost a transparentnost. Zásadně tak platí, že šířit je potřeba jen ty informace, u kterých je to nezbytně nutné a potřebné pro realizaci záměru tzn. pro organizaci zájezdu.

Informování klienta

Dále je nutné zcela otevřeně klienta cestovní kanceláře či agentury informovat o tom, co se s jeho osobními údaji stane a kdo k nim bude mít přístup. Nejschůdnější cestou, jak tato pravidla obsáhnout, proto jednoznačně je vhodná úprava všeobecných obchodních podmínek.

Třetí země mimo EU

V případě třetích zemí, tzn. států nepatřících do EU, na které se GDPR nevztahuje, platí v první řadě stále již zmiňovaná informační povinnost vůči klientovi. Navíc by ho měla odkázat na odpovídající opatření o ochraně osobních údajů, která obdobně v této zemi platí. Alespoň pokud tedy takováto právní úprava existuje.

Pověřenec pro ochranu osobních údajů

Zásadní novinkou je institut tzv. pověřence. Jeho klíčovou povinností má být, velmi jednoduše řečeno, dohlížení nad tím, zda se s daty uživatelů opravdu nakládá v souladu s tím, co GDPR stanovuje. Na starosti by měl mít taktéž celkovou agendu ohledem těchto dat.

Práva subjektu údajů

Zásadní totiž je, aby to, co je uváděno v dokumentech, bylo v souladu se skutečností. Ostatně samotný subjekt má vyhrazeno právo na informace, jak se s jeho osobními údaji nakládá a v případě, že by předepsaný postup nebyl dodržen, má nárok se domáhat stejně tak nápravy.

Správce vs. Zpracovatel

V rámci GDPR je navíc nutné rozlišit, v jaké roli ve vztahu k občanovi subjekt přesně stojí. Může být správcem nebo zpracovatelem. Rozdíl je mezi nimi definovatelný takto:

  • Zpracovatel: Smí s osobními údaji nakládat pouze tak, jak jak mu správce uloží. Osobní údaje jsou mu tedy poskytnuty třetí stranou a tato i určuje konkrétní rozsah činností, jež může s těmito daty provádět.
  • Správce: Může být fyzická i právnická osoba.

Konkrétní účely zpracování osobních údajů cestovní agenturou

Cestovní kancelář zpracovává a uchovává OÚ za podmínek stanovených platnou právní úpravou, zejména v souladu s ustanovením čl. 6 odst. 1 Nařízení, k těmto zákonným účelům:

  • pro uzavření a plnění smlouvy o zájezdu/potvrzení o zájezdu, smlouvy o poskytnutí služeb cestovního ruchu, resp. pro provedení opatření přijatých před uzavřením smlouvy na žádost SÚ. Pokud by SÚ tyto osobní údaje neposkytl, pak by nebylo možné smlouvu uzavřít.
  • OÚ budou zpracovávány pro zajištění služeb cestovního ruchu pro SÚ.
  • Zákazník jako SÚ je srozuměn, že jeho OÚ budou v nezbytném rozsahu poskytnuty ke zpracování dalším subdodavatelům služeb, kteří jsou součástí realizace zájezdu (např.

OÚ budou zpracovávány po dobu nezbytně nutnou pro plnění závazku a zajištění vzájemných práv a povinností cestovní kanceláře, pro účely oprávněného zájmu cestovní kanceláře a pro plnění právních povinností po dobu stanovenou příslušnými předpisy, např. zákona o účetnictví, o archivnictví.

Zabezpečení osobních údajů

OÚ SÚ jsou zpracovávány automatizovaně v elektronické formě v zabezpečeném úložišti a manuálně pracovníky cestovní kanceláře, přičemž OÚ jsou uchovávány v zabezpečené místnosti.

Správce i zpracovatel jsou zavázáni přijmout taková technická, organizační a personální opatření, aby byly splněny základní zásady ochrany OÚ, zejména zaheslování počítačů, ve kterých se OÚ zpracovávají, uzamykání OÚ v tištěné podobě do uzamykatelných skříní, zpracování OÚ pouze odpovědnými osobami, proškolenými jak s OÚ nakládat, a zavázanými zachovávat mlčenlivost o všech skutečnostech, o nichž se dozvědí v souvislosti s poskytováním služeb.

OÚ budou dále zpracovávány dalšími zpracovateli: právní poradci, účetní služby - zpracování účetnictví, daňoví poradci, dodavatelé služeb cestovního ruchu, např.

Pro případ předání OÚ zpracovateli do třetích zemí - mimo EU - jsou určeny standardní smluvní doložky, které jsou přílohou Rozhodnutí Komise ze dne 05. února 2010 o standardních smluvních doložkách pro předávání osobních údajů zpracovatelům usazeným ve třetích zemích, které má Správce uzavřeny.

Při zpracování OÚ nebude docházet k automatizovanému rozhodování či profilování.

Práva subjektu údajů

Mezi práva subjektu údajů patří:

  • aby cestovní kancelář omezila zpracování OÚ, v případech stanovených Nařízením.
  • podat stížnost u dozorového úřadu (Úřad pro ochranu osobních údajů, Pplk.
  • vznést námitku proti zpracování OÚ, které se ho týkají, pokud nebude ověřeno, zda oprávněné důvody cestovní kanceláři převažují nad jeho oprávněnými důvody.

Zpracování osobních údajů zákazníka a spolucestujících

Všechny osobní údaje budou uloženy pouze po dobu stanovenou zákonem, případně po dobu nezbytně nutnou.

Pro účely plnění smlouvy o zájezdu budou informace uvedené v čl. 1.1. v nezbytném rozsahu poskytnuty též dodavatelům cestovní kanceláře (zejména kempům, přepravním společnostem, delegátům). Identifikační údaje o těchto dodavatelích jsou uvedeny zejména ve smlouvě o zájezdu, pokynech k zájezdu, případně je obdrží zákazník nejpozději během zájezdu.

Zákazník bere na vědomí, že cestovní kancelář je v rozsahu a za podmínek stanovených platnými právními předpisy povinna předat osobní údaje zákazníka pro účely stanovené zákonem.

Obchodní sdělení je cestovní kancelář oprávněna zasílat formou SMS, MMS, elektronické pošty, poštou či sdělovat telefonicky. V tomto případě nebude cestovní kancelář zákazníkovi dále zasílat obchodní sdělení, ani jinak zpracovávat jeho osobní údaje zákazníka pro účely přímého marketingu.

Zákazník může souhlasit, zejména s tím, že cestovní kancelář bude pořizovat fotografie a videozáznamy jeho osoby během zájezdu a k použití těchto fotografií v rámci propagačních materiálů cestovní kanceláře, a to jak v hmotné podobě, tak na webových stránkách.

Výše uvedená ustanovení čl. 1 platí přiměřeně i ve vztahu k osobám, v jejichž prospěch zákazník smlouvu o zájezdu uzavřel (spolucestující). Uzavřením smlouvy o zájezdu zákazník prohlašuje, že je oprávněn souhlasy za spolucestující osoby udělit, a to ať už na základě smluvního či jiného zastoupení.

Zákazník má právo:

  • Požadovat od cestovní kanceláře přístup k osobním údajům týkajících se jeho osoby, jejich opravu nebo výmaz, popř. může požadovat omezení zpracování svých osobních údajů, vznášet námitky proti zpracování osobních údajů, jakož i práva na přenositelnost údajů.
  • Požadovat, aby cestovní kancelář omezila zpracování jeho osobních údajů, pokud (i) zákazník popírá přesnost svých osobních údajů, a to na dobu potřebnou k tomu, aby správce ověřil přesnost jeho osobních údajů; zpracování jeho osobních údajů bylo protiprávní, ale nepožádá o výmaz osobních údajů, ale o omezení jejich použití; cestovní kancelář již nepotřebuje jeho osobní údaje pro účely zpracování, ale zákazník je požaduje pro určení, výkon nebo obhajobu svých nároků; nebo zákazník vznesl námitku proti zpracování svých osobních údajů, a to do doby než bude ověřeno, zda oprávněné důvody cestovní kanceláře převažují nad oprávněnými důvody zákazníka. Pokud bylo omezeno zpracování osobních údajů zákazníka, mohou být jeho údaje zpracovány, s výjimkou uložení, pouze s jeho souhlasem.
  • Právo podat stížnost u dozorového orgánu, kterým je Úřad pro ochranu osobních údajů.
  • Získat od cestovní kanceláře kdykoliv potvrzení, že jeho osobní údaje jsou zpracovávány, a pokud tomu tak je, je cestovní kancelář povinna mu na žádost poskytnout následující informace a vydat mu kopii zpracovávaných osobních údajů, účel zpracování kategorie osobních údajů, které zpracovává, příjemci nebo kategorie příjemců, kterým jeho osobní údaje byly nebo budou zpřístupněny, plánovaná doba, po kterou budou jeho osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá ke stanovení této doby; existence práva požadovat od správce opravu nebo výmaz osobních údajů týkajících se zákazníka nebo omezení jejich zpracování a vznést námitku proti tomuto zpracování, právo podat stížnost u dozorového úřadu, skutečnost, že dochází k automatizovanému rozhodování, včetně profilování.
  • Získat své osobní údaje, které cestovní kancelář zpracovává, ve strukturovaném, běžně používaném a strojově čitelném formátu, a tyto předat jinému správci osobních údajů, pokud je zpracování osobních údajů zákazníka založeno na souhlasu se zpracováním osobních údajů, nebo zpracování se provádí automatizovaně.

Činnost cestovní agentury

Cestovní agentura je oprávněna nabízet prodej a zprostředkování prodeje jednotlivých služeb cestovního ruchu nebo kombinací jednotlivých služeb cestovního ruchu, které nejsou zájezdem ani spojenými cestovními službami nebo na které se nevztahuje zákon č. 159/1999 Sb.

Cestovní agentura může organizovat kombinaci služeb cestovního ruchu výhradně za účelem nabídky a prodeje cestovní kanceláři.

Cestovní agentura může zprostředkovávat prodej zájezdů konečným zákazníkům pouze v případě, že tyto jsou pořádány cestovní kanceláří.

Cestovní agentura tedy v žádném případě nesmí organizovat nebo nabízet zájezdy určené konečným zákazníkům.

Smlouvy o zájezdu, jejichž uzavření zprostředkovala cestovní agentura, musejí být vždy uzavřeny jménem pořádající cestovní kanceláře.

Cestovní agentura je dále povinna v propagačních, nabídkových a jiných materiálech, včetně jejich elektronických forem, vždy informovat, pro kterou cestovní kanceláře je prodej zájezdu zprostředkováván.

Na žádost zájemce o uzavření smlouvy o zájezdu je cestovní agentura povinna předložit k nahlédnutí doklad o pojištění záruky pro případ úpadku pořádající cestovní kanceláře (tzn. pojistku) nebo doklad o sjednání bankovní záruky pro případ úpadku pořádající cestovní kanceláře.

Cestovní agentura je také povinna přijímat zprávy, požadavky nebo stížnosti a reklamace zákazníků týkající se jí zprostředkovaných zájezdů.

Dodržování zásad GDPR je pro cestovní agentury klíčové pro budování důvěry a zajištění souladu s platnou legislativou.

# # # #

Podobné články

  • Průvodce rakouskými cestovními kancelářemi
  • Tipy pro vaši dovolenou na ostrově
  • Tipy na Dovolenou s Dětmi
  • Užitečné fráze pro dovolenou v Anglii
  • Vše o rodičovské dovolené

    • Zanechat komentář

    Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *