Rada Unii Europejskiej wraz z Parlamentem Europejskim uchwaliła w maju 2016 r. nowy akt prawny o ochronie danych osobowych „Ogólne Rozporządzenie” (zwane również RODO). Ten akt prawny w całej Unii Europejskiej w zasadniczy sposób zmieni zasady przetwarzania danych osobowych. Ogólne Rozporządzenie o ochronie danych osobowych 2016/679 już w maju 2018 r. wejdzie w życie. RODO będzie w Polsce bezpośrednio stosowane. Jednak z uwagi na ogólny charakter pewnych norm w Ogólnym Rozporządzeniu doprecyzowanie istotnych kwestii prawnych nastąpi przez ustawę nową „o ochronie danych osobowych”. Nad nową ustawą już pracuje Ministerstwo Cyfryzacji. Ministerstwo Cyfryzacji przewidziało pewne ułatwienia dla hoteli.
Dla osób prowadzących hotele Ogólne Rozporządzenie i nowa ustawa o ochronie danych osobowych oznacza konieczność gruntownej zmiany sposobu przetwarzania danych osobowych. Warto zauważyć, że RODO wprowadza kary pieniężne za niewłaściwe przetwarzanie danych osobowych, które mogą sięgać 20.000.000 euro.
Pomoc we wdrożeniu RODO
W ramach współpracy z Izbą Gospodarczą Hotelarstwa Polskiego przygotowaliśmy dla hoteli dedykowaną ofertę wdrożenia ochrony danych osobowych. Zapraszmy do kotaktu.
Dane osobowe w hotelu
Hotele gromadzą dane osobowe zarówno swoich gości, jak i swoich pracowników oraz osób współpracujących z hotelami (dostawców, usługodawców itp.). Hotele są więc administratorami danych osobowych. Administratorami danych osobowych są, zgodnie z Ogólnym Rozporządzeniem, te podmioty, które decydują o celach, sposobach i zakresie przetwarzania danych osobowych. Hotele i pensjonaty spełniają tę definicję, są więc administratorami danych osobowych. To na administratorach danych ciążą obowiązki właściwego przetwarzania danych osobowych. Ważne jest to, że dany podmiot staje się administratorem danych osobowych już w sytuacji, gdy przetwarza dane osobowe choćby jednej osoby.
Dane osobowe, czyli co?
Zgodnie z Ogólnym Rozporządzeniem danymi osobowymi są wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Oznacza to, że danymi osobowymi są takie informacje jak imiona i nazwiska, numery PESEL, numery NIP, dane o miejscu zameldowania, dane o stanie zdrowia czy o poglądach politycznych. Te dwie ostatnie kategorie danych osobowych są tzw. danymi osobowymi wrażliwymi, przetwarzanie których może odbywać się tylko na szczególnej podstawie prawnej. Dla hoteli prowadzących odnowę biologiczną lub obsługujących turnusy zdrowotne, przetwarzanie takich danych może być istotne. W celu zgodnego z prawem przetwarzania takich danych trzeba będzie zapewnić ich szczególną ochronę.
Czym jest przetwarzanie danych osobowych?
Przetwarzaniem danych osobowych jest każda operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany. Za przetwarzanie danych uznaje się czynności takie jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie. Przetwarzaniem jest również pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie. Ponadto, za przetwarzanie uznane zostało dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie danych osobowych. Innymi słowy, każda operacja, która ma za przedmiot dane osobowe jest ich przetwarzaniem. Przykładowo, przetwarzaniem danych osobowych będzie wprowadzenie danych klienta hotelu do bazy danych, zbierania danych osobowych na stronie internetowej dedykowanej do rezerwacji pokoi hotelowych czy udostępnianie danych osobowych klienta zewnętrznemu salonowi kosmetycznemu współpracującego z hotelem. Przetwarzaniem danych osobowych klientów będzie również ich pozyskiwanie z innych źródeł niż sam hotel. Dotyczy to w szczególności danych osobowych klientów przesyłanych przez popularne serwisy hotelarskie do hoteli. Taka sama sytuacja ma miejsce, jeżeli hotel wejdzie w posiadane danych osobowych klientów od biura podróży – hotel stanie się wtedy ich administratorem.
Jakie dane osobowe klienta może przetwarzać hotel i na jakiej podstawie prawnej?
Podstawą przetwarzania danych osobowych klienta przez hotel zgodnie z Ogólnym Rozporządzeniem o ochronie danych będzie umowa o realizację usług hotelarskich. Stosownie do art. 6 ust. 1 lit. b) Ogólnego Rozporządzenia dane osobowe mogą być przetwarzane jeżeli przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy. Innymi słowy, umowa jaką zawiera hotel z klientem, lub czynności przed zawarciem takiej umowy (np. dokonanie rezerwacji) będzie wystarczającą podstawą prawną do przetwarzania danych osobowych przez hotel.
Zasady przetwarzania danych przez hotel
Ogólne Rozporządzenie o ochronie danych osobowych wprowadza zasadę minimalizacji danych. Zasad ta oznacza, że przetwarzanie danych osobowych musi być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane. Innymi słowy, dane osobowe klienta, które może przetwarzać hotel muszą umożliwić hotelowi prawidłową realizację usługi hotelarskiej. Do prawidłowej realizacji usługi hotelarskiej nie jest konieczne zbieranie danych o numerze dowodu osobistego czy paszportu. W związku z tym, hotele nie powinny kserować dowodów osobistych klientów lub innych dokumentów stwierdzających tożsamość. Wystarczające dla realizacji usługi hotelarskiej jest przetwarzanie danych osobowych klienta obejmujących jego imię i nazwisko oraz miejsce zamieszkania. Dla ewentualnych roszczeń hoteli związanych z realizacją usługi hotelarskiej możliwe będzie również zbieranie numeru PESEL klienta. W sytuacji, gdy hotel zapewnia szczególne usługi, jak odnowa biologiczna czy usługi sanatoryjne, zasadne może być przetwarzanie danych o stanie zdrowia klientów. Pamiętać należy, że przetwarzanie takich danych może dotyczyć tylko danych, które są niezbędne do prawidłowego wykonania usługi. Inne dane nie powinny być przetwarzane.
Obowiązki hoteli w związku z wejściem w życie RODO
Ogólne Rozporządzenie wprowadza swoistą rewolucję w obowiązkach nałożonych na administratorów danych osobowych. Jedną z najważniejszych zmian wprowadzonych przez Ogólne Rozporządzenie o ochronie danych osobowych jest nałożenie na administratora obowiązku oceny ryzyka naruszenia praw i wolności osób, których dane osobowe są przetwarzane. W tym aspekcie hotele będą musiały wziąć pod uwagę charakter, zakres, kontekst i cele przetwarzania danych osobowych. Ocena ryzyka jest konieczna po to, aby hotel mógł wdrożyć właściwe środki techniczne, zapewniające bezpieczeństwo przetwarzanych danych osobowych. Hotel musi też zapewnić zgodność przetwarzania danych z prawem. Podobnie jak w obecnym stanie prawnym, hotel będzie mógł opracować odpowiednie polityki ochrony danych osobowych. Niestety, obecnie stosowane polityki bezpieczeństwa nie będą mogły być nadal stosowane, ponieważ zostały opracowane i wdrożone z uwzględnieniem innych przesłanek oceny ryzyka.
Rejestr czynności przetwarzania
Warto podkreślić, że sytuacji gdy administrator danych osobowych jest dużym podmiotem (zatrudnia nie mniej niż 250 osób), będzie zobowiązany do prowadzenia rejestru czynności przetwarzania danych osobowych. Taka sama zasada obowiązuje w sytuacji gdy, przetwarza się wrażliwe dane osobowe takie jak dane o stanie zdrowia. Przetwarzanie danych wrażliwych będzie miało miejsce w przypadku hoteli oferujących pobyty sanatoryjne. Rejestr czynności przetwarzania danych osobowych będzie musiał zawierać między innymi imię i nazwisko lub nazwę oraz dane kontaktowe administratora, opis kategorii osób, których dane dotyczą oraz kategorii danych osobowych, czy cele przetwarzania.
Niezależnie od szczegółowych wymogów, każdy administrator danych osobowych będzie musiał przetwarzać dane osobowe rzetelnie, zgodnie z prawem i w sposób przejrzysty dla osoby, której dane dotyczą.
Certyfikaty i znaki jakości ochrony danych osobowych – możliwość wykazania przetwarzania danych zgodnie z RODO
RODO wprowadza nowe rozwiązania, dzięki którym hotele będą mogły wykazać, że przetwarzają dane osobowe zgodnie z prawem. Tym rozwiązaniem są znaki jakości i certyfikaty danych osobowych. Niezależne podmioty certyfikujące, po przeprowadzeniu audytu w hotelu, będą mogły nadać hotelowi odpowiedni znak jakości lub certyfikat potwierdzający przetwarzanie danych osobowych zgodnie z prawem. Uzyskanie znaku jakości danych osobowych lub certyfikatu przetwarzania danych osobowych będzie korzystne dla każdego przedsiębiorcy, ponieważ będzie wykazywało, że przetwarza on dane osobowe zgodnie z prawem. Certyfikaty i znaki jakości danych osobowych będą brane przez GIODO przy okazji kontroli sposobu i zakresu przetwarzania. Mogą one wpłynąć na zmniejszenie ewentualnych kar pieniężnych nakładanych przez ten organ. Zdobycie certyfikatu przetwarzania danych osobowych lub znaku jakości danych osobowych będzie też istotne dla konsumentów. Konsumenci z pewnością uznają przedsiębiorcę dysponującego odpowiednim znakiem jakości lub certyfikatem przetwarzania danych osobowych za rzetelnego partnera.
RODO wyzwaniem dla administratorów.
Wejście w życie RODO będzie wyzwaniem dla wszystkich przedsiębiorców prowadzących hotele, którzy są administratorami danych osobowych. Zmiany zasad przetwarzania danych osobowych będą łączyły się z koniecznością przystosowania procedur i systemów ochrony danych osobowych w każdym hotelu. Jest to szczególnie istotne tym bardziej, że Ogólne Rozporządzenie wprowadza sankcje pieniężne za niezgodne z prawem przetwarzanie danych osobowych. Sankcje te mogą być bardzo dotkliwe, ponieważ ich górną granicą jest 20.000.000 Euro. Jednocześnie, prawodawca unijny przewidział możliwość przeprowadzenia audytu ochrony danych osobowych przez wyspecjalizowany podmiot certyfikujący i nadania certyfikatów przetwarzania danych osobowych i znaków jakości danych osobowych, które będą świadczyć o prawidłowym przetwarzaniu danych osobowych.
