Hotel jako procesor danych osobowych

W uwagi na rozpoczęcie stosowania RODO wiele hoteli otrzymuje od swoich klientów  korporacyjnych czy biur podróży propozycję zawarcia umowy powierzenia przetwarzania danych osobowych. Hotel występuje w takiej umowie w roli procesora danych. Umowa obejmuje dane osobowe gości, którzy będą korzystali z usług hotelu. Czy zawieranie takiej umowy jest właściwe? Czy hotel występuje w roli procesora (podmiotu przetwarzającego) dane osobowe gości?

Procesor danych osobowych czyli kto?

Procesor danych osobowych, to zgodnie z definicją zawartą w art. 4 pkt 8 RODO  osoba fizyczna lub prawna, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora. Oznacza to, że procesor nie decyduje samodzielnie dlaczego i w jaki sposób przetwarza dane osobowe, ale ta decyzja jest mu narzucona przez administratora. Powierzenie danych osobowych wymaga zawarcia umowy powierzenia przetwarzania danych osobowych regulowanej w art. 28 RODO. Na takiej umowy procesor zobowiązuje się do wykonywania poleceń administratora, w tym również w zakresie usuwania danych osobowych. Najczęściej umowy tego typu przewidują, że po zakończeniu obsługi gości w hotelu, hotel będzie zobowiązany do usunięcia danych osobowych gości.

Czy hotel może być procesorem danych osobowych gości?

Hotel w zakresie realizacji usług hotelarskich przetwarza dane osobowe gości. Dane te są niezbędne do prawidłowej identyfikacji gości. Ponadto, dane te są niezbędne hotelowi dla celów obrony przed ewentualną obroną interesów hotelu wobec żądań gości wysuwanych na podstawie art. 846 Kodeksu cywilnego. Przepis ten wprowadza odpowiedzialność materialną za rzeczy wniesione do hotelu przez gościa.

Dodatkowo, klientem końcowym hotelu jest zawsze osoba fizyczna. Firma, biuro podróży czy organizator szkolenia z oczywistych względów nie zanocuje w hotelu i nie skorzysta z usług gastronomicznych.

Jednocześnie, hotel samodzielnie decyduje o sposobach przetwarzania danych osobowych swoich gości wybierając narzędzia do przetwarzania. Biuro podróży czy firma nie może narzucić hotelowi postępowania w tym zakresie.

Z powyższych względów hotel nie będzie procesorem danych osobowych.

Udostępnienie danych osobowych gości

Hotel współpracując z klientami korporacyjnymi czy biurami podróży otrzymuje dane osobowe gości na zasadzie tzw. udostępnienia danych osobowych. Udostępnienie danych osobowych to nic innego jak ich wymiana pomiędzy dwoma niezależnymi administratorami. Hotel jest niezależnym od klienta administratorem danych osobowych, ponieważ realizuje własne cele przetwarzania danych osobowych. Na takiej samej zasadzie hotel współpracuje z portalami rezerwacyjnymi.

Sposób pozyskania danych osobowych gości jest bez znaczenia – hotel nie będzie procesorem danych osobowych gości, a ich administratorem.

Podsumowanie

Hotel w swojej działalności wykorzystuje dane osobowe gości realizując swoje cele i działając na własną odpowiedzialność. Z tego względu hotel jest administratorem danych osobowych.

Hotel nie powinien zawierać umowy powierzenia przetwarzania danych osobowych, ponieważ zawarcie takiej umowy jest nieprawidłowe z prawnego punktu widzenia.

Leave a Reply

Twój adres e-mail nie zostanie opublikowany.