GDPR a cestovní ruch v České republice

17. 09. 2025Vlastimil VozarPřidat komentář

V souladu s účinností nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (dále jen „GDPR“ nebo „obecné nařízení o ochraně osobních údajů“) byly přijaty Zásady ochrany osobních údajů. Tyto zásady jsou účinné ke dni 25. 5. 2018.

Cílem těchto zásad je seznámit subjekty osobní údajů, tj. veřejnost, poskytovatele produktů a služeb, partnery aj. se zpracováním osobních údajů a informovat o právech, které mohou subjekty osobních údajů uplatnit. Písemné znění těchto zásad je dostupné z webových stránek a dále jsou k dispozici k nahlédnutí v sídle centrály. Zásady ochrany osobních údajů jsou průběžně aktualizovány a doplňovány v souladu s aktuálním účelem zpracování a aktuální právní úpravou.

GDPR neboli Obecné nařízení o ochraně osobních údajů (původně General Data Protection Regulation) je novým nařízením, které bude mít významný dopad na řadu subjektů i cestovních kanceláří. Implementace GDPR do firemních procesů je tak absolutně nezbytná.

V renomovaném odborném časopisu Studia Turistica vyšel článek Kláry Dvořákové o GDPR a problematice nových pravidlech ochrany osobních údajů ve vztahu k cestovnímu ruchu. 2018/Ročník 9/Číslo 1 Pokud Vás článek zaujal, jsme připraveni poskytnout Vám konzultaci a pomoci Vám s analýzou i implementací. Ve spolupráci s IT experty nabízíme komplexní služby GDPR zahrnující právní, organizační i technická opatření.

Co je nařízení GDPR?

Obecné nařízení o ochraně osobních údajů, tzv. GDPR, je uceleným souborem pravidel na ochranu dat v Evropské unii. Cílem je co nejvíce chránit práva občanů EU proti neoprávněnému zacházení s jejich daty a osobními údaji a dát jim větší kontrolu na tím, co se s jejich daty děje. GDPR se dotkne každého, kdo shromažďuje nebo zpracovává osobní údaje občanů EU. GDPR začalo v celé EU platit jednotně od 25. května 2018.

V České republice tak nahradí současnou právní úpravu ochrany osobních údajů v podobě směrnice č. 95/46/ES a související zákon č. 101/2000 Sb., o ochraně osobních údajů, ve znění pozdějších předpisů, který bude v budoucnu nahrazen zákonem o zpracování osobních údajů, tzv. adaptačním zákonem.

Dalšími právními normami zabývajícími se ochranou osobnosti a osobních údajů jsou:

  • zákon č. 89/2012 Sb., občanský zákoník, ve znění pozdějších předpisů, který řeší zejména otázky ochrany osobnosti, např. pořizování a zveřejňování fotografií,
  • zákon č. 320/2001 Sb., o finanční kontrole ve veřejné správě, ve znění pozdějších předpisů, podle kterého jsou kontrolní orgány oprávněny kontrolovat údaje o hospodaření s veřejnými prostředky věrně zobrazují zdroje, stav a pohyb veřejných prostředků a zda tyto údaje odpovídají skutečnostem rozhodným pro uskutečnění veřejných příjmů, výdajů a nakládání s veřejnými prostředky,
  • zákon č. 255/2012 Sb., o kontrole, který opravňuje kontrolujícího požadovat poskytnutí údajů, dokumentů a věcí vztahujících se k předmětu kontroly nebo k činnosti kontrolované osoby
  • zákon č. 250/2000 Sb., o rozpočtových pravidlech územních samosprávních celků, v němž jsou upraveny vztahy mezi územně samosprávními celky a příspěvkovými organizacemi

GDPR je založeno na principu odpovědnosti správce a přístupu založeném na riziku:

  • princip odpovědnosti znamená odpovědnost centrály za dodržení zásad zpracování, které jsou uvedeny v čl. 5 odst. 1 GDPR a zároveň musí správce být schopen tento soulad doložit (čl. 5 odst. 2 GDPR);
  • přístup založený na riziku znamená, že centrála musí přihlížet k pravděpodobným rizikům pro práva a svobody fyzických osob, zejména veřejnosti, a tomu musí přizpůsobit i zabezpečení osobních údajů, tj.

Citlivé údaje jsou zvláštní kategorií osobních údajů, jimiž jsou údaje o rasovém či etnickém původu, politických názorech, náboženském nebo filozofickém vyznání, členství v odborech, o zdravotním stavu, sexuální orientaci a trestních deliktech či pravomocném odsouzení.

Subjekt údajů je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.

Kdo je správcem osobních údajů?

Správce je osoba, která určuje účely a rozhoduje o tom, jakým způsobem budou osobní údaje zpracovány.

Kdo je pověřencem pro ochranu osobních údajů?

Pověřenec pro ochranu osobních údajů, občas označovaný anglickou zkratkou DPO, je osoba, která je zkušená v oblasti ochrany osobních údajů a dělá vše pro to, aby zpracování probíhalo tak, jak má, zejména v souladu s příslušnými právními předpisy. Rovněž je to nejpovolanější osoba pro vyřizování dotazů a žádostí týkajících se osobních údajů.

Pověřencem pro ochranu osobních údajů byla jmenována JUDr. Iva Kuckirová, se sídlem Obřanská 915/101a, 614 00 Brno.

Za jakým účelem zpracováváme Vaše osobní údaje?

Každé zpracování osobních údajů má svůj účel. Pokud osobní údaje nepotřebujeme, nezpracováváme je. Obecně se účely zpracování osobních údajů rozlišují na:

  • účely k nimž GDPR nevyžaduje váš souhlas - jedná se o zejména o zpracování v rámci plnění zákonných či smluvních povinnosti, popř. pro zpracování nezbytné pro ochranu práv a právem chráněných zájmů či zpracování, které je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce. V daném případě bude JCCR takto využívat především údaje o smluvních partnerech z důvodů plnění smlouvy, vedení účetnictví a plnění daňových povinností, komunikace a koordinace činností souvisejících s cestovním ruchem.
  • účely k nimž GDPR vyžaduje váš souhlas - zpracování osobních údajů na vaše přání, kdy zpracování osobních ukončíme ihned, jakmile souhlas odvoláte, např. odebírání newsletterů, či přihlášení do soutěží pořádaných JCCR.
  • marketingové účely - v některých případech tato kategorie zpracování souhlas vyžaduje, jindy ne; JCCR je nicméně příspěvkovou organizací nepodnikající, hospodařící s příspěvky Jihočeského Kraje. Souhlas vyžadovaný pro zasílání newsletterů má za cíl podporovat veřejný zájem na využívání produktů a služeb cestovního ruchu, nikoliv produkovat zisk správci.

Přehled právních titulů zpracování osobních údajů

Osobní údaje se mohou v organizaci zpracovávat pouze v souladu s GDPR na základě těchto právních titulů:

  • zpracování se souhlasem subjektu údajů dle čl. 6 odst. 1 písm. a) GDPR - Váš souhlas získáváme především za účelem poskytování novinek či jiných sdělení formou newsletter a dále pro případ soutěží a zasílání cen v případě výhra v soutěži. Souhlas subjektu údajů musí být informovaný, svobodný a konkrétní.
  • 6 odst. 1 písm. b) GDPR - jde o situaci, kdy JCCR vystupuje jako smluvní partner;
  • zpracování, které je nezbytné pro splnění právní povinnosti dle čl. 6 odst. 1 písm. c) GDPR - většina povinností vyplývá ze zákona č. 255/2012 Sb., o kontrole; zákona č. 129/2000 Sb., o krajích; zákona č. 320/2001 Sb., o finanční kontrole ve veřejné správě apod.,
  • zpracování, které je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby dle čl. 6 odst. 1 písm. d) GDPR - půjde o velmi výjimečné situaci při ochraně života a zdraví,
  • zpracování, které je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce dle čl. 6 odst. 1 písm. e) GDPR - podpora cestovního ruchu je veřejným zájmem; je totiž prostředkem k dosažení různých ústavních práv, zejména práv hospodářských, sociálních a kulturních. K tomuto omezení bude nicméně docházet zásadně u smluvních partnerů a zaměstnanců.
  • zpracování, které je nezbytné pro účely oprávněných zájmů JCCR dle čl. 6 odst. 1 písm. f) GDPR - těmito zájmy jsou zejména ochrana práv organizace, zejména ochrana reputace a dobrého jména, ochrana majetku organizace, jejich zaměstnanců, vymáhání pohledávek apod.

Účely, k nimž GDPR nevyžaduje váš souhlas:

Bez vašeho souhlasu mohou být osobní údaje v organizaci zpracovávány pouze v souladu s GDPR na základě těchto právních titulů:

  • zpracování, které je nezbytné pro splnění právní povinnosti - většina povinností vyplývá ze zákonů o kontrole, zákona o krajích, zákona o veřejné správě apod.;
  • zpracování, které je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce - podpora hospodářských, sociálních a kulturních práv je veřejným zájmem; je totiž realizací základních ústavních a mezinárodně uznaných lidských práv
  • zpracování, které je nezbytné pro účely oprávněných zájmů JCCR - těmito zájmy jsou zejména ochrana práv organizace, zejména ochrana reputace a dobrého jména, ochrana majetku organizace a jejich zaměstnanců, vymáhání pohledávek, aj.;
  • zpracování, které je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů - jde o situaci, kdy JCCR uzavírá smlouvy o partnerství a spolupráci a třetími subjekty.

Zde jsou vyjmenovány jednotlivé dílčí účely, které nevyžadují souhlas a využívají výše zmíněné právní tituly:

  • prezentace jihočeské centrály cestovního ruchu - jde o oprávněný veřejný zájem na prezentaci výsledků činnosti, další propagaci rozvoje cestovního ruchu hájení jejího dobrého jména a pověsti; osobní údaje jsou bez souhlasu zpracovány pouze v rozumně očekává míře; nedochází k profilování na sociálních sítích;
  • plnění účetních povinností - správce jakožto příspěvková organizace je z důvodu financování z veřejných prostředků dozorován mnoha orgány, kterým má povinnost poskytovat součinnost při kontrole;
  • Plnění daňových povinností - správce je zaměstnavatelem, na kterého se vztahují daňové předpisy a předpisy mající význam pro výpočet a úhradu zdravotního i sociálního zabezpečení;
  • plnění jiných právních povinností, které se na správce vztahují - např. povinnost vyřizovat žádosti o informace;
  • plnění smluv mezi správcem a územně samosprávními celky - JCCR je založena z vůle Jihočeského Kraje a řídí se zřizovací listinou. K uzavírání smluv s dalšími územně samosprávními celky dochází při uzavírání smluv o partnerství či spolupráci.
  • zajišťování organizace FAM a PRESS zájezdů - na základě smlouvy, jejímž obsahem je poskytování publicity výměnou za zvýhodněnou cenu zájezdu.

Zde jsou uvedeny příklady právních předpisů, na jejichž základě dochází ke zpracování osobních údajů bez vašeho souhlasu:

  • zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů,
  • zákon č. 89/2012 Sb., občanský zákoník, ve znění pozdějších předpisů, který řeší zejména otázky ochrany osobnosti, např. pořizování a zveřejňování fotografií,
  • zákon č. 320/2001 Sb., o finanční kontrole ve veřejné správě, ve znění pozdějších předpisů, podle kterého jsou kontrolní orgány oprávněny kontrolovat údaje o hospodaření s veřejnými prostředky, věrně zobrazují zdroje, stav a pohyb veřejných prostředků a zda tyto údaje odpovídají skutečnostem rozhodným pro uskutečnění veřejných příjmů, výdajů a nakládání s veřejnými prostředky,
  • zákon č. 255/2012 Sb., o kontrole, který opravňuje kontrolujícího požadovat poskytnutí údajů, dokumentů a věcí vztahujících se k předmětu kontroly nebo k činnosti kontrolované osoby
  • zákon č. 250/2000 Sb., o rozpočtových pravidlech územních samosprávních celků, v němž jsou upraveny vztahy mezi územně samosprávními celky a příspěvkovými organizacemi
  • zákon č. 499/2004 Sb., o archivnictví a spisové službě a o změně některých zákonů, ve znění pozdějších předpisů,
  • zákon č. 500/2004 Sb., o správním řízení (správní řád), ve znění pozdějších předpisů,
  • zákon č. 106/1999 Sb., o svobodném přístupu k informacím, ve znění pozdějších předpisů,
  • zákon č. 563/1991 Sb., o účetnictví, ve znění pozdějších předpisů,
  • zákon č. 262/2006 Sb., zákoník práce, ve znění pozdějších předpisů,
  • zákon č. 435/2004 Sb., o zaměstnanosti, ve znění pozdějších předpisů
  • zákon č. 187/2006 Sb., o nemocenském pojištění, ve znění pozdějších předpisů
  • zákon č. 48/1997 Sb., o veřejném zdravotním pojištění, ve znění pozdějších předpisů
  • zákon č. 258/2000 Sb., o ochraně veřejného zdraví a o změně některých souvisejících zákonů, ve znění pozdějších předpisů,
  • zákon č. 373/2011 Sb., o specifických zdravotních službách, ve znění pozdějších předpisů,
  • vyhláška č. 98/2012 Sb.

Jaké jsou naše oprávněné zájmy?

Mezi účely, k nimž GDPR nevyžaduje váš souhlas, patří také ochrana našich oprávněných zájmů. Těmi jsou:

  • podpora rozvoje cestovního ruchu - podpora cestovního ruchu je prostředkem ke zlepšení ústavních práv hospodářských sociálních a kulturních. Mezi hlavní cíle činnosti JCCR se řadí koordinace aktivit, tvorba produktů cestovního ruchu a propagace produktů a služeb cestovního ruchu.
  • prezentace dobrého jména organizace a kraje a ochrana jejich pověstí - z důvodů výše uvedených.
  • ochrana majetku a bezpečnosti - z důvodu ochrany našeho majetku a majetku, života a zdraví zaměstnanců, jakož i dalších osob, před protiprávním jednáním, ale i v rámci prevence a objasňování civilních deliktů, přestupků či trestných činů může rovněž dojít ke zpracování vašich osobních údajů; pod tento zájem řadíme i zajištění bezpečného průběhu pořádaných akcí.
  • ochrana práv JCCR a vymáhání pohledávek - v případě soudního sporu vzniklého ze vzájemných soukromoprávních i veřejnoprávních vztahů budeme vaše osobní údaje využívat po dobu trvání soudního sporu, vč. všech řádných i mimořádných opravných prostředků, popř. po dobu jiných řízení či realizace výkonu veřejné moci (např. 6 odst. 1 písm. f) GDPR. Ve všech těchto případech vám přísluší právo vznést námitku podle čl. 21 GDPR.

Právo vznést námitku podle čl. 21 GDPR

Pokud byste zjistili nebo se jen domníváte, že provádíme zpracování osobních údajů v rozporu s ochranou vašeho soukromého a osobního života nebo v rozporu s právními předpisy (za předpokladu, že osobní údaje jsou správcem zpracovávány na základě výše zmíněných oprávněných zájmů, nebo jsou zpracovávány pro účely přímého marketingu, včetně profilování, či pro statistické účely nebo pro účely vědeckého či historického významu), můžete se na nás obrátit a požádat nás o vysvětlení či odstranění vzniklého závadného stavu.

O vaší námitce rozhodneme do jednoho měsíce.

Jaké osobní údaje zpracováváme?

JCCR zpracovává pouze takové údaje, které potřebuje pro účely své činnosti.

Jak byly osobní údaje získány?

Osobní údaje získáme z různých zdrojů, zejména od jejich původců, jejich zástupců, případně od osob oprávněných s těmito údaji disponovat a dále je poskytovat z důvodů veřejného zájmu.

V některých případech, zejména dojde-li ke zpracování pro ochranu našich práv v případě soudního či jiného sporu získáváme osobní údaje také z veřejně dostupných zdrojů, rejstříků a evidencí a od třetích stran, které jsou oprávněny k přístupu a zpracovávání vašich osobních údajů.

Velmi mi pomohl profesionální a přátelský tým kanceláře Holubová advokáti, protože to byl dlouhý a složitý proces. Ráda bych poděkovala advokátní kanceláři Holubová advokáti za profesionální pomoc a trpělivost při přípravě kupní smlouvy nemovitosti a všech dalších náležitostí s tím spojených. Rád bych ocenil velké úsilí, které kancelář vynaložila, aby za mimořádně obtížných okolností úspěšně hájila naše práva a získala odškodnění v případu požáru hotelu v Praze.

„Po ničivém požáru hotelu v Praze nás zastupovala advokátní kancelář Holubová advokáti pod vedením advokátky Kláry Dvořákové. Mezi poškozenými bylo hodně členů naší početné rodiny. Advokátka se skvěle orientovala ve složitých mezinárodních zákonech o pojištění i odškodnění a hájila naše práva. Rád bych ocenil velké úsilí, které musela kancelář vynaložit, aby za mimořádně obtížných okolností dovedla náš případ k úspěšnému odškodnění.

# # #

Podobné články

  • Trutnov: Atrakce pro rodiny s dětmi
  • Informace o cestovních dokladech
  • Definice animačních služeb
  • Breakdance v současnosti
  • Zážitky z Kuby

    • Zanechat komentář

    Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *