Dane klientów hoteli pozyskiwane od serwisów rezerwacyjnych w świetle RODO

Wiele hoteli i pensjonatów korzysta z internetowych pośredników, którzy umożliwiają kontakt z hotelem lub bezpośrednie dokonanie rezerwacji noclegu. Takie operacje wiążą się z pozyskiwaniem danych osobowych klientów z wykorzystaniem podmiotu zewnętrznego – pośrednika. Jak takie pozyskiwanie danych osobowych przez hotel wygląda w świetle Ogólnego Rozporządzenia o ochronie danych osobowych (RODO), które wejdzie w życie już w 2018 r.?

Przepływ danych osobowych pomiędzy pośrednikiem a hotelem

W sytuacji, gdy klient hotelu dokonuje rezerwacji z wykorzystaniem pośrednika internetowego lub przy pomocy jego platformy kontaktuje się z hotelem, dochodzi do przepływu danych osobowych na linii pośrednik-hotel. Pośrednik udostępnia dane osobowe klienta hotelowi. Takie postępowanie, zgodnie z wymogami RODO, powinno odbywać się w oparciu o ważną podstawę prawną.

Jako, że pośrednik świadczy pierwotnie swoje usługi na rzecz klientów hoteli, a dopiero następnie przekazuje informacje o dokonanych rezerwacjach lub zapytaniach do hotelu, to pośrednik jest podmiotem zbierającym dane osobowe ustalającym cele przetwarzania i zgodnie z art. 4 pkt 7 RODO jest administratorem takich danych. Aby móc uzyskać dane osobowe od pośrednika, hotel powinien zawrzeć z pośrednikiem umowę o przetwarzanie danych osobowych. Zgodnie z art. 28 RODO, taka umowa powinna mieć formę pisemną lub formę elektroniczną. Umowa pomiędzy pośrednikiem a hotelem na przetwarzanie danych osobowych powinna określać między innymi czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą (art. 28 ust. 3 RODO). Taka umowa może być częścią umowy o współpracę pomiędzy hotelem a pośrednikiem, ale rekomendowane jest, aby stanowiła osobny dokument regulujący tylko kwestie danych osobowych.

Sankcje za naruszenie przepisów RODO

Bez takiej umowy hotel nie powinien przetwarzać danych osobowych, których administratorem jest pośrednik. Brak zawarcia umowy może spowodować, że przetwarzanie danych uznane zostanie za nielegalne. Tym samym hotel może narazić się na karę finansową, której wysokość może sięgać, stosownie do art. 83 RODO  20.000.000 euro. Warto już teraz wdrożyć odpowiedni mechanizmy ochrony danych osobowych w hotelu, zwłaszcza, że RODO nakłada na hotele nowe obowiązki.

Pomoc w ochronie danych osobowych

Certyfikatydo.pl pomagają przedsiębiorcom z branży hotelarskiej na każdym etapie wdrażania ochrony danych osobowych, w tym dostosowania procedur do wymogów RODO. Zapraszamy do kontaktu.

Zostaw odpowiedź

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *