Ochrona danych osobowych – PORADNIK - OPIS

Poradnik z zakresu ochrony danych osobowych dla przedsiębiorców na przykładzie działalności hotelarskiej.

Każda osoba ma prawo do ochrony swoich danych osobowych - to jedno z naszych praw podstawowych. Najważniejszym celem reformy europejskich przepisów o ochronie danych osobowych (RODO) jest zapewnienie w całej Unii Europejskiej spójnego i jednolitego poziomu ochrony naszych danych. RODO obejmuje swoim zastosowaniem wszystkie podmioty prywatne i publiczne, które przetwarzają dane osobowe i w praktyce większość procesów przetwarzania danych.

Ochrona danych osobowych – PORADNIK
Ochrona danych osobowych – PORADNIK

Procesy te realizowane są przez Administratorów Danych. Kto jest administratorem danych osobowych w hotelu? Administratorem danych osobowych jest podmiot prowadzący hotel. Zgodnie z Rozporządzeniem (RODO), są to podmioty, które decydują o celach, sposobach i zakresie przetwarzania danych osobowych. Hotele czy pensjonaty spełniają tę definicję, są więc administratorami danych osobowych. To właśnie na administratorach danych ciążą obowiązki właściwego przetwarzania danych osobowych. Ważne jest to, że dany podmiot staje się administratorem danych osobowych już w sytuacji, gdy przetwarza dane osobowe choćby jednej osoby.

Jakie dane osobowe przetwarzają hotele i pensjonaty? Bardzo różne. To nie tylko dane pracowników, kontrahentów, ale przede wszystkim gości. Przez wiele lat podstawą prawną przetwarzania danych osobowych gości w hotelu czy pensjonacie była ustawa o ewidencji ludności i dowodach osobistych z 1974, od 2012 r. już nie obowiązująca. W chwili obecnej podstawą przetwarzania danych jest fakt, że są one niezbędne do realizacji umowy dostawy usługi hotelowej, którą hotel zawiera z gościem. Hotele zatem gromadzą i przetwarzają dane osobowe gości pozyskując je od nich samych, już w procesie rezerwacji oraz zakwaterowania. W związku z tym że hotele i pensjonaty nie mają obowiązku meldowania swoich gości na pobyt czasowy podawanie na karcie meldunkowej jako podstawy prawnej konieczności meldowania gościa hotelowego jest nieprawidłowe. Ponadto, nieprawidłowe jest żądanie od gościa hotelowego podawania wszystkich danych osobowych jakie przed 31 grudnia 2012 r. były niezbędne do zameldowania gościa na pobyt czasowy. Hotel nie ma dla takiego działania podstawy prawnej.

W celu wypełnienia tzw. obowiązku informacyjnego stosuje sią Klauzule informacyjne. Jest to zestaw informacji, które musi podać Administrator danych osobowych spełniając tym samym wymogi RODO. Dla branży hotelarskiej ten obowiązek może być jednocześnie formą regulaminu w którym określone są prawa i obowiązki obu stron. Trzeba odróżnić klauzule informacyjne od klauzuli zgody, z którą możemy się spotkać podczas przyjmowania gości stosując karty meldunkowe lub inny rodzaj ewidencji.

Karta meldunkowa jest dokumentem wykorzystywanym w wielu hotelach. Za jej pomocą hotele mogą zbierać dane osobowe swoich gości. Jak powinna wyglądać karta meldunkowa, aby była zgodna z RODO? W celu działania w zgodzie z zasadą minimalizacji danych osobowych, dane podawane przez gościa hotelowego powinny ograniczać się do minimum, jakie jest konieczne do zrealizowania usługi hotelarskiej oraz do zapewnienia hotelowi bezpieczeństwa przed ewentualnymi roszczeniami. Są nimi:

- imię i nazwisko gościa,

- adres zamieszkania,

- telefon kontaktowy (przetwarzany dla celów wykonania usługi hotelarskiej, np. kontaktu z gościem dotyczącym godziny jego przyjazdu do hotelu),

- adres e-mail (również przetwarzany dla celów wykonania usługi hotelarskiej, np. kontaktu z gościem dotyczącym godziny jego przyjazdu do hotelu),

- numer PESEL (dla ewentualnych roszczeń hoteli związanych z realizacją usługi hotelarskiej).

Do prawidłowej realizacji usługi hotelarskiej nie jest zatem konieczne zbieranie danych o numerze dowodu osobistego czy paszportu. Bezwzględnie należy pamiętać o tym, że hotel/pensjonat nie może dokonywać kserokopii dowodów osobistych czy innych dokumentów tożsamości. Hotel może jednak zbierać dane, które wymagane są do wystawienia faktury VAT. Karta meldunkowa może mieć wiele funkcji praktycznych dla hotelu. Przykładowo, karta meldunkowa jest dokumentem potwierdzającym zawarcie umowy o świadczenie usług hotelarskich czy miejsce, w którym gość hotelowy może wyrazić zgody marketingowe.

Dodatkowo część podmiotów może być w posiadaniu wizerunków (zdjęć), które są utrwalone na monitoringu, a także danych wrażliwych, takich jak dane o stanie zdrowia, jeśli są one gromadzone na przykład na poczet korzystania ze SPA lub zamówienia bezglutenowej diety.

Jeżeli hotel/pensjonat nagrywa rozmowy telefoniczne, to katalog przetwarzanych danych jest rozszerzony o głos stanowiący tzw. daną biometryczną. Wiele hoteli na kartach meldunkowych żąda podania od gości hotelowych ich obywatelstwa uzasadniając to koniecznością wypełnienia obowiązku statystycznego do GUS. Takie działanie jest nieprawidłowe. Hotel musi przekazać do GUS dane o miejscu stałego zamieszkania gościa hotelowego, a nie o jego obywatelstwie. Oczywiste jest przy tym, że kraj stałego zamieszkania może się różnić od kraju obywatelstwa (np. obywatel Holandii na co dzień mieszka w Niemczech, jego krajem zamieszkania są więc Niemcy i ten kraj należy podać do GUS). Mniejsze podmioty nie stosują kart meldunkowych, wpisując dane swoich gości w tradycyjne książki meldunkowe, zastrzegając, iż wpis jest dokonany ze zgodą zamawiającego usługę. Nie ma również potrzeby wpisywania osób towarzyszących - chociażby dla pobrania opłaty miejscowej, zwanej inaczej opłatą klimatyczną. Musimy pamiętać iż osoba pobierającą tę opłatę (zwana inkasentem) z użyciem kwitariuszy, powinna mieć podpisaną umowę powierzania danych pomiędzy inkasentem a gminą.

Umowy powierzenia stosujemy w tych sytuacjach, kiedy zebrane dane osobowe naszych gości przekazujemy dalej realizując różne cele: współpracując z biurami turystycznymi, podwykonawcami, prowadząc aktywny marketing czy też przekazując do gminy opłatę miejscową. Umowy po podpisaniu przez obie strony mają być zebrane w rejestrze umów powierzenia. Rejestr czynności przetwarzania danych osobowych zawiera między innymi imię i nazwisko lub nazwę oraz dane kontaktowe administratora i przetwarzającego oraz kategorię osób, kategorię danych osobowych i cele przetwarzania.

Aby wypełnić wszystkie obowiązki wynikające z RODO trzeba wdrożyć różnego rodzaju procedury i przygotować niezbędne dokumenty. Jednym z podstawowych obowiązków jest pilnowanie aby pracownicy przetwarzający zebrane dane byli do tego przygotowani oraz posiadali pisemne upoważnienia, które powinny być umieszczone w specjalnym rejestrze upoważnień. W dokumentacji powinno się znajdować potwierdzenie odbytych szkoleń – nawet wtedy gdy mają charakter szkoleń wewnętrznych. Powinniśmy także opisać sposób zabezpieczenia danych w tzw. Polityce bezpieczeństwa oraz Instrukcji.

Jednym z trudniejszych obowiązków wprowadzonych przez RODO jest nałożenie na administratora obowiązku oceny ryzyka naruszenia praw i wolności osób, których dane osobowe są przetwarzane. W tym aspekcie hotele będą musiały wziąć pod uwagę charakter, zakres, kontekst i cele przetwarzania danych osobowych. Ocena ryzyka jest konieczna po to, aby hotel mógł wdrożyć właściwe środki techniczne, zapewniające bezpieczeństwo przetwarzanych danych osobowych.

W sytuacji gdy administrator danych osobowych jest dużym podmiotem (zatrudnia nie mniej niż 250 osób), będzie zobowiązany do prowadzenia rejestru czynności przetwarzania danych osobowych. Taka sama zasada obowiązuje w sytuacji gdy, przetwarza się wrażliwe dane osobowe takie jak dane o stanie zdrowia. Przetwarzanie danych wrażliwych będzie miało miejsce w przypadku hoteli oferujących pobyty sanatoryjne, usługi SPA lub też zapewniające możliwość wyboru diety. Te dwie procedury powinna przeprowadzić osoba ze znajomością problematyki ochrony danych osobowych. Zbierając dane osobowe musimy w szczególności pamiętać o realizowaniu prawa do bycia zapomnianym, co oznacza, iż jeśli gość złoży wniosek o realizację tego prawa, hotel/pensjonat zobowiązany będzie usunąć wszelkie informacje zarówno z wersji papierowych jak i elektronicznych przestrzegając tym samym swoich zapisów w klauzuli informacyjnej.

Wszyscy zdajemy sobie sprawę, że najlepsze prawo, najlepsze zastosowane procedury i zabezpieczenia nie ustrzegą nas przed sytuacjami w których dane osobowe zostaną zagubione, przekazane w niewłaściwe ręce lub będą dostępne dla nieupoważnionych osób. Wtedy dochodzi do naruszenia poufności i integralności danych. Pamiętajmy że mamy 72 godziny na zgłoszenie tej sytuacji do Prezesa Urzędu Ochrony Danych Osobowych, adres: Stawki 2, 00-193 Warszawa. Wtedy nasze naruszenie będzie traktowane inaczej niż w przypadku wykrycia tej sytuacji w wyniku kontroli czy złożonej na nas skargi.

W dalszej części zamieściliśmy przykłady podstawowych wzorów dokumentów - zachęcam do wykorzystania ich w prowadzonej przez siebie działalności.

Z poważaniem

Andrzej Skupień

Inspektor Ochrony Danych

Urzędu Gminy Bukowina Tatrzańska

152

Powrót