Pewnie większość czytelników już wie, że od 25 maja 2018 r. wejdzie w życie Ogólne Rozporządzenie o Ochronie Danych Osobowych, popularnie zwane RODO[1]. RODO wprowadza istotne zmiany w zakresie ochrony danych osobowych przyznając osobom, których dane dotyczą nowe prawa. Jednocześnie, wprowadzenie nowych praw oznacza nałożenie na administratorów, czyli podmiotów przetwarzających dane osobowe, dodatkowych obowiązków. Ponadto, RODO wprowadza istotne sankcje pieniężne za naruszenie przepisów – kary będą sięgać 20.000.000 euro. Czy RODO wpłynie na branżę hotelarską? Jakie wyzwania czekają branżę wraz z wejście w życie RODO?
Dane osobowe w hotelu
Na wstępie należy zaznaczyć, że branża hotelarska jest sektorem gospodarki, w którym przetwarzanie danych osobowych jest bardzo szerokie. Przeciętny hotel przetwarza szeroki katalog danych osobowych, nie tylko gości, ale również swoich pracowników. Dane te obejmują poza tak oczywistymi informacjami jak imiona i nazwiska również dane o lokalizacji, historii połączeń telefonicznych gościa. Ponadto, hotel przetwarza wizerunki (zdjęcia) utrwalone na monitoringu w lobby. Jeżeli hotel nagrywa rozmowy telefoniczne, to katalog przetwarzanych danych zostanie rozszerzony o głos stanowiący tzw. daną biometryczną.
Nowe prawa z RODO
RODO wprowadza cały szereg nowych praw dla osób, których dane osobowe są przetwarzane. Wystarczy wspomnieć chociażby o prawie do przenoszenia danych osobowych. Prawo to polega na możliwości żądania, aby administrator danych osobowych (np. hotel) przekazał osobie, której dane są przetwarzane wszystkie zgromadzone przez siebie dane osobowe tej osoby. Udostępnienie danych ma nastąpić w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego. Wynika to wprost z art. 20 RODO. Prawo do przenoszenia danych osobowych będzie mogło być realizowane gdy przetwarzanie danych odbywa się w sposób zautomatyzowany (np. z wykorzystaniem systemów informatycznych).
Kolejnym prawem, któremu będzie musiała sprostać branża, jest prawo do przejrzystego informowania i przejrzystej komunikacji ustanowione w art. 12 RODO. Na mocy tego przepisu administrator będzie zobowiązany do podjęcia odpowiednich środków, które zapewnią, że w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem osoba, której dane dotyczą uzyska wszelkie informacje o przetwarzaniu jej danych osobowych. W praktyce zadośćuczynienie temu prawu może oznaczać konieczność szczegółowego przeszkolenia personelu udzielającego tego typu informacji. Może się okazać, że konieczne będznie nawet zatrudnienie dodatkowych pracowników wyspecjalizowanych w kwestiach informowania o przetwarzaniu danych osobowych.
Ciekawym prawem, które w Polsce było nadużywane, jest dopuszczenie dochodzenia roszczeń związanych z ochroną danych osobowych przez fundacje i stowarzyszenia działające w imieniu osób, których dane dotyczą. Tym z Czytelników, którzy mieli do czynienia z „fundacjami broniącymi praw konsumentów” składającymi pozwy w związku z tzw. klauzulami abuzywnymi nie muszę przypominać z czym się to łączyło. RODO otwiera furtkę dla działalności podobnych podmiotów.
Nowe obowiązki z RODO
Dla branży hotelarskiej istotne znaczenie może mieć obowiązek związany z rzetelnym i przejrzystym informowaniem osób, których dane dotyczą o fakcie przetwarzania ich danych osobowych. Obowiązek ten nie jest może nowy (obowiązek informacyjny uregulowano w art. 24 i 25 obecnie obowiązującej ustawy o ochronie danych osobowych), ale jego zakres znacząco się zwiększył[2]. Ponadto, w sytuacji pozyskiwania danych od podmiotów zewnętrznych (np. biur podróży) na wykonanie obowiązku informacyjnego hotel będzie miał nie więcej jak miesiąc.
Ważnym obowiązkiem dla administratorów danych osobowych będzie tzw. zasada rozliczalności. Dotychczas administrator danych osobowych musiał wprowadzić politykę bezpieczeństwa i instrukcję zarządzania systemem informatycznym, które określały środki organizacyjne i techniczne mające zapewnić bezpieczeństwo przetwarzanych danych osobowych. Od 25 maja 2018 r. administrator danych osobowych będzie miał swobodę w wyborze tych środków. Jednocześnie, na administratorze będzie spoczywał obowiązek wykazania, że zastosowane środki zapewniają zasady ochrony danych. Zasadami tymi są integralność, bezpieczeństwo, minimalizacja, poufność i prawidłowość danych. Administrator będzie musiał również wykazać, że przetwarzanie danych będzie odbywało się zgodnie z prawem.
Dla dużych podmiotów z branży hotelarskiej (zatrudniających nie mniej niż 250 osób) bardzo dużym wyzwaniem może być prowadzenie rejestru czynności przetwarzania zgodnego z art. 30 RODO.
Bardzo kontrowersyjny jest obowiązek zgłaszania do organu nadzorczego (Urzędu Ochrony Danych Osobowych, który zastąpi GIODO) faktu naruszenia ochrony danych osobowych unormowany w art. 33 RODO. Na zgłoszenie przewidziano 72 godziny. Można zaryzykować stwierdzenie, że ten obowiązek stanowi rodzaj autodonosu.
Brak specjalnych uregulowań dla branży
Niestety, RODO nie wprowadza szczególnych (mniej restrykcyjnych) wymogów przetwarzania danych osobowych dla branży hotelarskiej. Oznacza to, że branża w całości będzie podlegać pod przepisy RODO, które zgodnie z zasadami prawa UE mają pierwszeństwo przed prawem krajowym i będą bezpośrednio stosowane.
Konieczność dostosowania procedur
Branża hotelarska stoi w tym momencie przed wyzwaniem dostosowania swoich procedur do RODO. Nie będzie nadużyciem stwierdzenie, że kwestie ochronnych danych osobowych powinny być w tym momencie jednym z priorytetów zarządzających hotelami. Na dostosowanie się do nowych wymagań prawnych pozostał mniej niż rok.
[1] Dokładna nazwa tego aktu prawnego brzmi: ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
[2] Szczegółowy zakres obowiązku informacyjnego uregulowano w art. 13 i 14 RODO.