Wywiad dla bookingsolutions.pl

W Maju 2018, branżę hotelarską czekają zmiany związane z ochroną danych osobowych w obiektach hotelowych. Sprawdź co przyniesie RODO i dlaczego musisz się do tego odpowiednio przygotować? Na te i inne ważne pytania odpowiedziała Pani Monika Zygmunt-Jakuć. Założyciel i Dyrektor Zarządzający bezowijania.com. Prawnik, Absolwentka Wydziału Prawa i Administracji Uniwersytetu Mikołaja Kopernika w Toruniu oraz Podyplomowego Studium Prawa Gospodarczego i Handlowego. Laureatka plebiscytu „Kobiety Przedsiębiorczej” Poznania oraz Wielkopolski roku 2015. Zwyciężczyni konkursu Polish Businesswoman Awards 2017 w kategorii „Lider coachów dla kobiet biznesu”. Administrator Bezpieczeństwa Informacji oraz ekspert w zakresie ochrony danych osobowych. Mamy dla Ciebie bezpłatny komplet dokumentów! Zapraszam do lektury!

1.Czy w hotelu w ogóle przetwarzane są jakiekolwiek dane osobowe? Przecież jedynym dokumentem z danymi, jest karta meldunkowa i nic poza tym.

Z całą pewnością hotel przetwarza wiele danych osobowych, gdyż dotyczą one jednocześnie pracowników, kontrahentów i gości.

Przez wiele lat podstawą prawną przetwarzania danych osobowych gości w hotelu była ustawa o ewidencji ludności i dowodach osobistych z 1974, od kilku lat już nie obowiązująca. W chwili obecnej podstawą przetwarzania danych jest fakt, że są one niezbędne do realizacji umowy dostawy usługi hotelowej, którą hotel zawiera z gościem. Hotele zatem gromadzą i przetwarzają dane osobowe gości pozyskując je od nich samych, już w procesie rezerwacji oraz meldowania.

Hotel gromadzi szereg danych osobowych, jak choćby imię i nazwisko, adres, numer telefonu, adres e-mail. Warto także pamiętać, iż z chwilą kiedy hotel posiada SPA, które gromadzi dane o stanie zdrowia, pozyskane w drodze wypełnienia karty zabiegowej gościa, przetwarza dane wrażliwe podlegające szczególnej ochronie i rejestracji w GIODO. Ponadto, hotel przetwarza wizerunki (zdjęcia) utrwalone na monitoringu. Jeżeli hotel nagrywa rozmowy telefoniczne, to katalog przetwarzanych danych jest rozszerzony o głos stanowiący tzw. daną biometryczną. Stwierdzenie zatem, iż jedynym dokumentem z danymi jest karta meldunkowa nie jest prawdą.

2.Kto jest administratorem Danych Osobowych w hotelu?

Administratorem danych osobowych jest hotel. Zgodnie z Ogólnym Rozporządzeniem (RODO), są to bowiem podmioty, które decydują o celach, sposobach i zakresie przetwarzania danych osobowych. Hotele czy pensjonaty spełniają tę definicję, są więc administratorami danych osobowych. To właśnie na administratorach danych ciążą obowiązki właściwego przetwarzania danych osobowych. Ważne jest to, że dany podmiot staje się administratorem danych osobowych już w sytuacji, gdy przetwarza dane osobowe choćby jednej osoby.

3.Co się zmienia, dla hotelu w kontekście RODO?

Ogólne Rozporządzenie o ochronie danych osobowych wprowadza szereg nowych zasad. Jedną z nich jest choćby zasada minimalizacji danych. Oznacza to, że przetwarzanie danych osobowych musi być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane. Dane osobowe klienta, które może przetwarzać hotel muszą umożliwić hotelowi prawidłową realizację usługi hotelarskiej. Do prawidłowej realizacji usługi hotelarskiej nie jest konieczne zbieranie danych o numerze dowodu osobistego czy paszportu. Bezwzględnie należy pamiętać o tym, że hotel nie może dokonywać kserokopii dowodów osobistych czy innych dokumentów tożsamości.

Na pytanie jakie zatem dane hotel może gromadzić, odpowiedź jest jednoznaczna – tylko te wystarczające do realizacji usługi hotelarskiej, czyli imię i nazwisko oraz miejsce zamieszkania. Dla ewentualnych roszczeń hoteli związanych z realizacją usługi hotelarskiej możliwe będzie również zbieranie numeru PESEL klienta. W sytuacji, gdy hotel zapewnia szczególne usługi, jak odnowa biologiczna, czy usługi sanatoryjne, zasadne może być przetwarzanie danych o stanie zdrowia klientów.

Kolejnym novum jest prawo do bycia zapomnianym, co oznacza, iż jeśli gość złoży wniosek o realizację tego prawa, hotel zobowiązany będzie usunąć wszelkie informacje zarówno z wersji papierowych jak i elektronicznych.

Kolejną nowością, której będzie musiała sprostać branża, jest prawo do przejrzystego informowania i przejrzystej komunikacji ustanowione w art. 12 RODO. Na mocy tego przepisu administrator będzie zobowiązany do podjęcia odpowiednich środków, które zapewnią, że w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem osoba, której dane dotyczą uzyska wszelkie informacje o przetwarzaniu jej danych osobowych. Dla branży hotelarskiej istotne znaczenie może mieć obowiązek związany z rzetelnym i przejrzystym informowaniem osób, których dane dotyczą o fakcie przetwarzania ich danych osobowych.

4.Jakie są zagrożenia dla hotelu, w przypadku niedostosowania się do obowiązków wynikających z RODO?

Wejście w życie RODO jest niewątpliwie dużym wyzwaniem dla wszystkich hoteli. Zmiany zasad przetwarzania danych osobowych to konieczność dokonania przeglądu już istniejących procedur i przystosowania ich do nowych wymagań. Jeszcze większe wyzwanie czeka te hotele, które do tej pory nie miały opracowanych rozwiązań bezpieczeństwa danych. Jest to szczególnie istotne tym bardziej, że Ogólne Rozporządzenie wprowadza sankcje pieniężne za niezgodne z prawem przetwarzanie danych osobowych. Sankcje te mogą być bardzo dotkliwe bowiem ich górna granica to 20.000.000 Euro albo 4% rocznego światowego obrotu za poprzedni rok obrachunkowy.

Jednocześnie, prawodawca unijny przewidział możliwość przeprowadzenia audytu ochrony danych osobowych przez wyspecjalizowany podmiot certyfikujący i nadania certyfikatów przetwarzania danych osobowych i znaków jakości danych osobowych, które będą świadczyć o prawidłowym przetwarzaniu danych osobowych.

5.Jakie procedury, musi wprowadzić hotel w ramach RODO?

Ogólne Rozporządzenie wprowadza swoistą rewolucję w obowiązkach nałożonych na administratorów danych osobowych. Jedną z najważniejszych zmian wprowadzonych przez Ogólne Rozporządzenie o ochronie danych osobowych jest nałożenie na administratora obowiązku oceny ryzyka naruszenia praw i wolności osób, których dane osobowe są przetwarzane. W tym aspekcie hotele będą musiały wziąć pod uwagę charakter, zakres, kontekst i cele przetwarzania danych osobowych.

Ocena ryzyka jest konieczna po to, aby hotel mógł wdrożyć właściwe środki techniczne, zapewniające bezpieczeństwo przetwarzanych danych osobowych. W sytuacji gdy administrator danych osobowych jest dużym podmiotem (zatrudnia nie mniej niż 250 osób), będzie zobowiązany do prowadzenia rejestru czynności przetwarzania danych osobowych. Taka sama zasada obowiązuje w sytuacji gdy, przetwarza się wrażliwe dane osobowe takie jak dane o stanie zdrowia.

Przetwarzanie danych wrażliwych będzie miało miejsce w przypadku hoteli oferujących pobyty sanatoryjne. Rejestr czynności przetwarzania danych osobowych będzie musiał zawierać między innymi imię i nazwisko lub nazwę oraz dane kontaktowe administratora, opis kategorii osób, których dane dotyczą oraz kategorii danych osobowych, czy cele przetwarzania. Niezależnie od szczegółowych wymogów, każdy administrator danych osobowych będzie musiał przetwarzać dane osobowe rzetelnie, zgodnie z prawem i w sposób przejrzysty dla osoby, której dane dotyczą.

6.Jakie dokumenty dotyczące Ochrony Danych Osobowych musi posiadać hotel?

Hotel musi zapewnić zgodność przetwarzania danych z prawem. Spełnić zasadę rozliczalności, czyli opracować odpowiednie polityki ochrony danych osobowych a tym samym pokazać (rozliczyć się) z tego, iż spełnia wymogi bezpieczeństwa danych osobowych. Te hotele, które mają opracowane polityki bezpieczeństwa muszą dokonać modyfikacji ich treści pod nowy stan prawny, tak aby spełniały nowe wymogi nakładane przez RODO. Te które do tej pory ich nie opracowały koniecznie muszą je przygotować.

7.Jak ma się RODO w kontekście obowiązku meldunkowego w hotelach?

Hotele i pensjonaty nie mają obowiązku meldowania swoich gości na pobyt czasowy. Obowiązek ten został zniesiony z dniem 31 grudnia 2012 r. Podawanie więc na karcie meldunkowej jako podstawy prawnej konieczności meldowania gościa hotelowego jest nieprawidłowe. Hotel nie ma dla takiego działania podstawy prawnej. Karta meldunkowa jednak ma wiele funkcji praktycznych dla hotelu. Jest dokumentem potwierdzającym zawarcie umowy o świadczenie usług hotelarskich, czy miejscem, w którym gość hotelowy może wyrazić zgody marketingowe.

Chcąc pozostać w zgodzie z zasadą minimalizacji danych osobowych na gruncie RODO, dane podawane przez gościa hotelowego powinny ograniczać się do minimum, jakie jest konieczne do zrealizowania usługi hotelarskiej oraz do zapewnienia hotelowi bezpieczeństwa przed ewentualnymi roszczeniami. Ponadto, powołując się na usprawiedliwiony cel administratora hotel może przetwarzać dodatkowe dane niezbędne dla satysfakcjonującej obsługi gościa. Tymi danymi są między innymi:

  • Imię i nazwisko
  • Adres zamieszkania
  • Telefon kontaktowy
  • Adres e-mail

Oczywiście hotel może zbierać dane, które wymagane są do wystawienia faktury VAT. Ponadto kwestią wymagającą podkreślenia jest fakt, iż nieprawidłowością jest żądanie od gości hotelowych podania obywatelstwa, w ramach spełnienia obowiązku statystycznego do GUS. Takie działanie jest nieprawidłowe. Hotel musi przekazać do GUS dane o miejscu stałego zamieszkania gościa hotelowego, a nie o jego obywatelstwie. Kraj stałego zamieszkania może się różnić od kraju obywatelstwa.

8.Jak powinny wyglądać zapisy zgód na karcie meldunkowej/karcie z danymi Gościa?

Musimy odróżnić klauzulę informacyjną od kwestii zgód na karcie meldunkowej, np. zgody marketingowej.

Klauzula informacyjna to konglomerat informacji, które musi podać Administrator danych osobowych spełniając tym samym wymogi RODO. Klauzula zgody natomiast to oświadczenie woli gościa hotelowego w zakresie zgody lub jego braku w stosunku do określonej czynności.

 

*Informujemy, iż ze względu na dynamicznie zmieniające się kwestie omawianej tematyki na gruncie prawa polskiego, mogą one ulec modyfikacjom. W chwili obecnej bowiem trwa proces legislacyjny omawianej materii, który może złagodzić stosowanie zapisów Ogólnego Rozporządzenia w stosunku do Małych i Średnich Przedsiębiorstw.

Podziel się

Napisz do nas

Powrót do góry