W uwagi na rozpoczęcie stosowania RODO wiele hoteli otrzymuje od swoich klientów korporacyjnych czy biur podróży propozycję zawarcia umowy powierzenia przetwarzania danych osobowych. Hotel występuje w takiej umowie w roli procesora danych. Umowa obejmuje dane osobowe gości, którzy będą korzystali z usług hotelu. Czy zawieranie takiej umowy jest właściwe? Czy hotel występuje w roli procesora (podmiotu przetwarzającego) dane osobowe gości?
Procesor danych osobowych czyli kto?
Procesor danych osobowych, to zgodnie z definicją zawartą w art. 4 pkt 8 RODO osoba fizyczna lub prawna, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora. Oznacza to, że procesor nie decyduje samodzielnie dlaczego i w jaki sposób przetwarza dane osobowe, ale ta decyzja jest mu narzucona przez administratora. Powierzenie danych osobowych wymaga zawarcia umowy powierzenia przetwarzania danych osobowych regulowanej w art. 28 RODO. Na takiej umowy procesor zobowiązuje się do wykonywania poleceń administratora, w tym również w zakresie usuwania danych osobowych. Najczęściej umowy tego typu przewidują, że po zakończeniu obsługi gości w hotelu, hotel będzie zobowiązany do usunięcia danych osobowych gości.
Czy hotel może być procesorem danych osobowych gości?
Hotel w zakresie realizacji usług hotelarskich przetwarza dane osobowe gości. Dane te są niezbędne do prawidłowej identyfikacji gości. Ponadto, dane te są niezbędne hotelowi dla celów obrony przed ewentualną obroną interesów hotelu wobec żądań gości wysuwanych na podstawie art. 846 Kodeksu cywilnego. Przepis ten wprowadza odpowiedzialność materialną za rzeczy wniesione do hotelu przez gościa.
Dodatkowo, klientem końcowym hotelu jest zawsze osoba fizyczna. Firma, biuro podróży czy organizator szkolenia z oczywistych względów nie zanocuje w hotelu i nie skorzysta z usług gastronomicznych.
Jednocześnie, hotel samodzielnie decyduje o sposobach przetwarzania danych osobowych swoich gości wybierając narzędzia do przetwarzania. Biuro podróży czy firma nie może narzucić hotelowi postępowania w tym zakresie.
Z powyższych względów hotel nie będzie procesorem danych osobowych.
Udostępnienie danych osobowych gości
Hotel współpracując z klientami korporacyjnymi czy biurami podróży otrzymuje dane osobowe gości na zasadzie tzw. udostępnienia danych osobowych. Udostępnienie danych osobowych to nic innego jak ich wymiana pomiędzy dwoma niezależnymi administratorami. Hotel jest niezależnym od klienta administratorem danych osobowych, ponieważ realizuje własne cele przetwarzania danych osobowych. Na takiej samej zasadzie hotel współpracuje z portalami rezerwacyjnymi.
Sposób pozyskania danych osobowych gości jest bez znaczenia – hotel nie będzie procesorem danych osobowych gości, a ich administratorem.
Podsumowanie
Hotel w swojej działalności wykorzystuje dane osobowe gości realizując swoje cele i działając na własną odpowiedzialność. Z tego względu hotel jest administratorem danych osobowych.
Hotel nie powinien zawierać umowy powierzenia przetwarzania danych osobowych, ponieważ zawarcie takiej umowy jest nieprawidłowe z prawnego punktu widzenia.