Maciej Malczewski – Aegis Security Sp. z o.o.

WSZYSTKO O NARUSZENIACH OCHRONY DANYCH OSOBOWYCH CZ. I – CZYM JEST NARUSZENIE?

Maciej Malczewski — Fri, 08 Sep 2023 07:13:41 +0000

Administrator danych osobowych, jako podmiot samodzielnie określający cele i sposoby przetwarzania, pełni zawsze kluczową funkcję w procesie ochrony danych. To do niego odnosi się większość przepisów RODO i to na nim w związku z tym spoczywa najwięcej obowiązków. Najważniejszymi z nich są przede wszystkim odpowiednie zabezpieczenie danych oraz zapewnienie ich właściwego przetwarzania, zgodnego z zasadami wskazanymi w rozporządzeniu 2016/679. Nie można również zapominać o działaniu na podstawie właściwej podstawy prawnej, wdrożeniu odpowiednich środków technicznych i organizacyjnych, a także realizowaniu praw osób, których dane dotyczą.

W codziennej praktyce najbardziej problematyczne mogą okazać się jednak kwestie związane z naruszeniami ochrony danych. Do ich wystąpienia może dojść nie tylko w wyniku świadomego nieprzestrzegania przepisów, ale również przez zwykłe ludzkie pomyłki czy drobne błędy. Dodatkowo każdy podmiot niezmiennie narażony jest na działania zewnętrzne, takie jak ataki hakerskie, czy socjotechniczne. Naruszenia stanowią więc dla administratorów poważny, realny problem, który, jak wskazują statystki ZFODO[1], z każdym rokiem narasta. W 2019 roku odnotowano bowiem 127 incydentów bezpieczeństwa, w kolejnym roku liczba ta zwiększyła się do 297, następnie do 309, a najnowsze badanie wskazuje, że w roku 2022 w 435 organizacjach mieliśmy do czynienia z aż 466 naruszeniami. Dało to średnią 1,07 incydentu przypadającego na organizację (dla porównania w 2019 było
to jedynie 0,46, a w latach 2020 i 2021 odpowiednio 0,65 i 0,89).

Zignorowanie zagrożeń wynikających z występowania naruszeń danych osobowych może nieść za sobą duże nieprzyjemności i ostatecznie doprowadzić do poważnych konsekwencji w postaci kar finansowych czy utraty wizerunku. Kluczowe jest więc, aby mieć świadomość co robić
w przypadku wystąpienia incydentu bezpieczeństwa i dysponować odpowiednim systemem reagowania opracowanym na taką okoliczność.

Jak sklasyfikować naruszenia? Czy i jak je zgłaszać? Jak poprawnie je ewidencjonować? Jak zawiadomić osoby, które dotyczy naruszenie? Jak zapobiegać potencjalnym skutkom? Na wszystkie te pytania odpowiemy w tym cyklu. Rozważania dotyczące naruszeń należy jednak rozpocząć od kwestii absolutnie podstawowej. Żeby bowiem w ogóle stwierdzić czy naruszenie wystąpiło i móc zdecydować jakie kroki ewentualnie podjąć dalej, trzeba wiedzieć czym takie naruszenie w ogóle jest.

RODO nie pozostawia w tym przypadku większych wątpliwości, ponieważ pojęcie naruszenia jest wprost zdefiniowane w rozporządzeniu. Zgodnie z Art. 4 pkt 12 RODO naruszenie ochrony danych oznacza:

„Naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.”

Z tak sformułowanej definicji, można następnie wyodrębnić 3 elementy, które pomogą jeszcze lepiej zrozumieć istotę zagadnienia i które decydują o tym, czy dany przypadek możemy zakwalifikować jako naruszenie. Zdarzenie musi więc:

Wiązać się z przetwarzaniem danych osobowych;

Dla przypomnienia, zgodnie z RODO, przetwarzanie oznacza: „operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych
w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie” (art. 4 pkt 2 RODO).

Nastąpić w wyniku złamania zasad bezpieczeństwa;

Każdy taki przypadek będzie prowadził do wystąpienia incydentu bezpieczeństwa, jednak nie każdy incydent będzie wiązał się automatycznie z powstaniem skutku
w postaci naruszenia ochrony danych (choć każde naruszenie danych będzie jednocześnie incydentem bezpieczeństwa), dlatego każdy przypadek zawsze należy rozpatrywać indywidualnie.

Prowadzić do skutku w postaci:

– zniszczenia,
– utracenia
– zmodyfikowania
– nieuprawnionego ujawnienia lub
– nieuprawnionego dostępu do danych osobowych.

Należy na koniec również podkreślić, że dla samego stwierdzenia czy dane zdarzenie stanowi naruszenie ochrony danych osobowych, nie ma znaczenia czy doszło do niego w wyniku działania umyślnego (działanie celowe) czy nieumyślnego (działanie przypadkowe, niezamierzone). Może to mieć jednak duże znaczenie przy wymierzaniu ewentualnej kary dla administratora, dlatego warto o tym pamiętać.

[1] ZFODO, Raport Związku Ochrony Danych Osobowych, Incydenty ochrony danych osobowych, 2019-2022

Czy jesteś gotowy pozbyć się miliona Euro?

Maciej Malczewski — Thu, 22 Sep 2022 07:02:36 +0000

Właśnie tyle wynosi bowiem najwyższa kara w Polsce nałożona w styczniu 2022 roku przez Prezesa Urzędu Ochrony Danych Osobowych za nieprzestrzeganie przepisów rozporządzenia 2016/679. Ukarany administrator będzie musiał więc zapłacić prawie 5 milionów złotych, tym samym wyprzedzając dotychczasowego rekordzistę, firmę Morele.net, o ponad 300 tysięcy euro.

Chodzi o spółkę Fortum Marketing and Sales Polska S.A., w której doszło do trwającego 5 dni wycieku danych osobowych około 100000 klientów z jej bazy danych. Administratorowi nie pomógł fakt, iż bezpośrednią przyczyną wystąpienia naruszenia było niewłaściwe działanie podmiotu przetwarzającego (który otrzymał osobną karę, jednak niższą, w kwocie 53 tysięcy euro), z którym została podpisana umowa powierzenia. Organ nadzorczy uznał jednak, że podczas jej podpisywania administrator nie upewnił się, że procesor gwarantuje odpowiedni poziom bezpieczeństwa i poufności danych. PUODO zarzucił mu też szereg innych przewinień na gruncie RODO, co spowodowało, że większość odpowiedzialności spadło właśnie na niego.

Z punktu widzenia spółki jest to więc zapewne odczuwalna strata finansowa, a przecież organ nadzorczy wciąż ma ogromny margines w kwestii wyznaczania wymiaru kary. Maksymalna administracyjna kara pieniężna może, w świetle przepisów RODO, wynieść 20 milionów euro lub, w przypadku przedsiębiorstwa, 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, w zależności od tego, która z podanych kwot jest wyższa. Potencjalnie więc, przy bardziej surowej interpretacji organu, konto ukaranej spółki mogłoby zostać uszczuplone o nawet kilkakrotnie wyższą kwotę.

Oczywiście w większości przypadków naruszenia nie będą przybierały tak dużej skali, ale nawet jeśli jesteś przekonany, że Twojej firmie, ze względu na charakter czy zakres prowadzonej działalności, nie grożą równie wysokie kary, może się to okazać wyłącznie złudzeniem. Średnia wysokość kar dla polskich firm wynosi bowiem niespełna 90 tysięcy euro, a od momentu obowiązywania RODO w Polsce wymierzono 39 kar na łączną kwotę 3,398,718 euro (stan na dzień: 20.09.2022r.). Co więcej, wymierzane kary dotyczą coraz częściej małych i średnich podmiotów, a ich liczba z roku na rok rośnie.

Jeśli więc, mając na uwadze przytoczone fakty, Twoja odpowiedź na postawione wyżej pytane brzmi: „nie” i uważasz, że mógłbyś spożytkować swoje środki lepiej, wspierając rozwój własnej firmy i jej pracowników, zamiast opłacać kary, mamy dla Ciebie dobrą wiadomość: zabezpieczenie danych osobowych w firmie wcale nie jest tak skomplikowane jak mogłoby się wydawać.

Przydatne będzie jednak do tego powołanie w swojej organizacji Inspektora Ochrony Danych, który dzięki swojej wiedzy i doświadczeniu doradzi odpowiednie środki techniczne i organizacyjne, które zapewnią bezpieczeństwo przetwarzanych danych, co w rezultacie pozwoli Ci uniknąć zarówno strat finansowych, jak i, często bardziej dotkliwych, strat wizerunkowych.

Zadaniem IOD w Twojej firmie będzie sprawdzenie i ocena bieżącego stanu bezpieczeństwa danych osobowych, przygotowanie niezbędnej dokumentacji oraz dopilnowanie, aby wszystkie procesy przetwarzania przebiegały zgodnie z przepisami prawa. Jednym z jego działań będzie też zadbanie o odpowiedni poziom świadomości i wiedzy pracowników, co zapewni poprzez prowadzenie systematycznych szkoleń.

Jeśli chcesz więc oddać bezpieczeństwo danych osobowych w swojej firmie w ręce sprawdzonych specjalistów, sprawdź ofertę Aegis Security, która oferuje usługi w zakresie:
– audytu zgodności z RODO,
– dokumentacji RODO,
– wdrożenia RODO,
– szkolenia z ochrony danych osobowych,
– doradztwa w obszarze ochrony danych osobowych.

Źródła:
1) Decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia 19 stycznia 2022 r. (DKN.5130.2215.2020)
2) GDPR Enforcement Tracker (https://www.enforcementtracker.com/)

Podstawy Prawne Przetwarzania Danych Osobowych cz. II – Czym jest przetwarzanie danych osobowych?

Maciej Malczewski — Fri, 29 Jul 2022 08:26:44 +0000

Zgodnie z definicją umieszczoną w art. 4 pkt 2 RODO, przetwarzanie oznacza: „operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie”.

Rozporządzenie wymienia więc szereg rozmaitych działań, które, w związku z wszelkiego rodzaju danymi osobowymi, mogą być uznane za procesy przetwarzania danych osobowych. Mogą, bo w rzeczywistości każdą czynność należy oceniać indywidualnie, na podstawie konkretnego przypadku i w oparciu o to zaliczać ją do operacji przetwarzania. Warto jednak zwrócić uwagę, że zakres tak sformułowanego pojęcia jest bardzo szeroki, obejmuje on bowiem różnorodne czynności od momentu pozyskania danych aż do chwili ich usunięcia. Co ciekawe w skład tak rozumianej operacji przetwarzania wchodzi również samo przechowywanie danych osobowych, co oznacza, że administrator nie musi wykonywać żadnych faktycznych działań na danych, a jedynie posiadać je w swoim systemie informatycznym lub bazie danych, aby podlegać przepisom rozporządzenia.

W praktyce, przy prowadzeniu codziennej działalności gospodarczej, warto kierować się domniemaniem, zgodnie z którym w sytuacji spornej, przy wystąpieniu jakichkolwiek wątpliwości, konkretna czynność powinna zostać uznana za operację przetwarzania danych osobowych. W niektórych przypadkach bowiem ta prosta zasada może uchronić przedsiębiorcę przed stresem związanym koniecznością dokonania kwalifikacji danej czynności, a także przed potencjalnymi negatywnymi skutkami niewywiązywania się z RODO.

Definicja zaproponowana przez autorów zwraca też uwagę na sposób w jaki dane osobowe mogą być przetwarzane wymieniając metody zautomatyzowane lub niezautomatyzowane. Rozróżnienie to wydaje się jednak bezużyteczne, bo choć wyraźnie podzielono omawiane czynności na dwie kategorie, to obie z nich i tak zaliczone zostały do zakresu operacji przetwarzania, a więc nie ma znaczenia, z którą z nich mamy do czynienia, bo w praktyce wszystkie czynności będą spełniały wymogi tak sformułowanego pojęcia. Dla formalności trzeba jednak wskazać, że większość autorów uznaje, że przetwarzanie zautomatyzowane (tu bez znaczenia czy mówimy o zautomatyzowaniu całkowitym czy częściowym) oznacza przetwarzanie przy użyciu komputerów i z wykorzystaniem technologii komputerowych, a niezautomatyzowane to przetwarzanie wykonywane przez człowieka, ręcznie, pozbawione jakichkolwiek wątków technologicznych.

Aby lepiej zrozumieć czym są omawiane operacje przetwarzania, warto prześledzić konkretne przykłady. Komisja Europejska wskazuje na, jej zdaniem, najczęściej występujące z nich. Są to:

– zarządzanie personelem i administracja kadrowo-płacowa;
– dostęp/wgląd do bazy kontaktów zawierających dane osobowe;
– przesyłanie promocyjnych wiadomości e-mail;
– niszczenie dokumentów zawierających dane osobowe;
– publikowanie/umieszczanie fotografii osoby fizycznej na stronie internetowej;
– przechowywanie adresów IP lub MAC;
– zapis obrazu wideo (CCTV).

Jak widać więc w skład czynności przetwarzania wchodzić mogą rozmaite działania, których nie sposób wyliczyć w obrębie jednego artykułu. Zagadnienie to nie jest jednak tak skomplikowane jak mogłoby się wydawać na pierwszy rzut oka i, pomimo naprawdę obszernego zakresu pojęcia „przetwarzania”, bez większego wysiłku można opanować najważniejsze kwestie z nim związane i wywiązać się z zadań, które stawia przed przedsiębiorcami RODO. Trzeba jednak pamiętać, aby przetwarzanie pozostawało w zgodzie z zasadami ustanowionymi w rozporządzeniu. Nimi jednak zajmiemy się w części trzeciej.

Podstawy Prawne Przetwarzania Danych Osobowych cz. I – zagadnienia wprowadzające

Maciej Malczewski — Fri, 15 Jul 2022 07:24:46 +0000

O rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016r., szerzej znanym jako „RODO” słyszał już niemal każdy. Narosło wokół niego wiele mitów, półprawd i przeinaczeń, ale wciąż dla większości z nas sam powód jego powstania wydaje się oczywisty, ochrona danych osobowych osób fizycznych. I choć jest to cel niewątpliwie słuszny, a samo wprowadzenie rozporządzenia realnie przyczyniło się do zwiększenia bezpieczeństwa w tym zakresie, to niejednemu przedsiębiorcy zagadnienie to wciąż spędza sen z powiek.

Dlaczego tak jest? W teorii sprawa wydaje się prosta, dane osobowe powinny być należycie chronione, to jasne, ale w warstwie praktycznej pociąga to za sobą wiele problemów, zarówno dla administratorów, których zadaniem jest ustalanie celów i sposób przetwarzania danych osobowych, jak i podmiotów przetwarzających (procesorów), działających w imieniu administratora. Każdy z nich musi bowiem zadać sobie kilka kluczowych pytań, zanim jeszcze do samego procesu przetwarzania przystąpi. Czy w ich działalności ma miejsce przetwarzanie danych osobowych, a w związku z tym czy RODO w ogóle ich dotyczy? W jaki sposób zabrać się za legalne i bezpieczne przetwarzanie? Czym ono tak naprawdę jest? Jakich danych dotyczy? Na jakiej podstawie je przetwarzać, aby jednocześnie nie narazić się na przykre konsekwencje z tym związane?

Na wszystkie te pytania spróbujemy znaleźć odpowiedź w cyklu „Podstawy Prawne Przetwarzania Danych Osobowych”, aby w przystępny i łatwy sposób przybliżyć tę tematykę i ostatecznie rozwiać wszelkie wątpliwości mogące pojawiać się w trakcie dokonywania przetwarzania danych osobowych.

W części pierwszej skupimy się na omówieniu podstaw, biorąc na tapet same procesy przetwarzania. Dowiemy się czym się charakteryzują, poznamy konkretne przykłady, zastanowimy się czy należy się ich obawiać i wskażemy dlaczego odpowiedź na ostanie pytanie brzmi: „nie”.

Czy warto powoływać Inspektora Ochrony Danych w hotelu?

Maciej Malczewski — Fri, 10 Jun 2022 07:23:48 +0000

Wejście w życie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO) wymusiło na przedsiębiorcach zweryfikowanie prowadzonej przez siebie działalności i dostosowanie wykonywanych operacji przetwarzania do nowych wymogów. Jedną z branż, które, ze względu na swój charakter i korzystanie z różnych źródeł pozyskiwania danych (takich jak rezerwacje OTA – Online Travel Agencies, systemy PMS – Property Management Systems, czy narzędzia typu Channel Managers), w sposób szczególny objęte zostały zakresem Rozporządzenia są usługi hotelarskie.

Hotele, w związku z prowadzoną przez siebie działalnością, przetwarzają ogromne ilości danych osobowych. Na gruncie wspomnianego RODO dane osobowe to, w najprostszym ujęciu, wszelkie dane dotyczące możliwej do zidentyfikowania osoby. Tożsamość tak wskazanej osoby można wobec tego ustalić między innymi na podstawie jej imienia i nazwiska, numeru telefonu, adresu e-mail, adresu IP, czy numeru rezerwacji. W praktyce hotele najczęściej zbierają dane prosząc o dokumenty tożsamości, adresy zamieszkania informacje bankowe oraz finansowe.

Mając na uwadze korzystanie przez nie z wielu punktów płatności, systemów rezerwacji online czy poczty elektronicznej, a także przechowywanie dokumentów zawierających dane kart płatniczych, paszportów lub dowodów osobistych, hotele muszą poświęcić szczególną uwagę zagwarantowaniu bezpieczeństwa przetwarzania danych i zapewnieniu zgodności procedur z wymogami RODO.

W branży hotelarskiej dane osobowe są gromadzone i wymieniane pomiędzy stronami internetowymi, menadżerami kanałów i zewnętrznymi systemami rezerwacji. Wynika z tego, że hotele mogą występować w procesie przetwarzania danych zarówno jako administratorzy (w szczególności przy dokonywaniu rezerwacji bezpośrednich), jak i w charakterze podmiotów przetwarzających.

Przedsiębiorcy powinny więc przede wszystkim zrozumieć jakie dane osobowe są w ich posiadaniu, skąd pochodzą, komu są udostępniane i jak zapewnić ich skuteczną ochronę. W tym celu warto rozważyć przeprowadzenie audytu, polegającego na analizie procesów wewnętrznych, umów z dostawcami, istniejących baz danych oraz sposobów przepływu danych pomiędzy systemami.

W praktyce, najłatwiej będzie go wykonać z pomocą Inspektora Ochrony Danych, który oprócz doradztwa przy wdrożeniu odpowiednich dokumentów, przeprowadzi szkolenie dla kierownictwa i pracowników z zakresu prawidłowego sposobu przetwarzania danych w spółce.

Ocena, czy powołanie Inspektora Ochrony Danych w danym przypadku jest niezbędne, dokonywana jest zawsze na podstawie konkretnych okoliczności. Należy rozważyć, czy wymagane jest formalne wyznaczenie IOD, a zależy to od ilości i wrażliwości informacji. Na poziomie sieci i dużych grup IOD jest prawie na pewno wymagany, ale w przypadku hoteli indywidualnych niezbędna jest bardziej szczegółowa analiza. Powołanie IOD jest jednak zalecane w każdym przypadku, nawet jeżeli prawo wprost tego nie wymaga.

Ma to związek z obowiązkiem prowadzenia rozległej dokumentacji, która jest niezbędna, aby w razie potrzeby udowodnić przed organem nadzorczym odpowiednie wywiązywanie się z RODO. Stworzenie i aktualizacja wszelkich wymaganych dokumentów bez profesjonalnego wsparcia IOD może okazać się znacznie bardziej skomplikowane, powodując trudności w bieżącym działaniu spółki. Zatrudnienie IOD może więc być dla przedsiębiorcy istotnym odciążeniem przy prowadzeniu działalności.

Należy też pamiętać, że ochronie podlegają nie tylko dane klientów, ale także dane pracowników, takie jak listy płac czy informacje kadrowe, co jeszcze bardziej komplikuje sprawę.

Za naruszenie Rozporządzenia, w przypadku obu tych kategorii podmiotów, hotele są zagrożone karą pieniężną: niższą (w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa) lub wyższą (w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa).

Brak powołania IOD czuwającego nad zgodnością przetwarzania z RODO może więc narazić spółkę na duże straty finansowe oraz na, często dużo bardziej bolesne, straty wizerunkowe. Tak było między innymi w przypadku rekordowej kary w wysokości 20 450 000 funtów nałożonej na międzynarodową sieć Marriott International Inc. przez brytyjski urząd regulacyjny za nieprzestrzeganie przepisów rozporządzenia (konkretnie art. 32 RODO) , czy sankcji w postaci obowiązku zapłaty 475 tysięcy funtów przez serwis Booking.com, zastosowanej przez holenderski organ nadzorczy w wyniku naruszeń ze strony podmioty kontrolowanego.

RODO kładzie przy tym szczególny nacisk na dodatkową ochronę „danych wrażliwych”. Obejmują one dane osobowe, które, w przypadku hoteli, ujawniają, bądź mogą ujawnić jedną z poniższych kwestii:
– przynależność do związków zawodowych, która może być ujawniona przez uczestnictwo w imprezach organizowanych na terenie hotelu;
– dane biometryczne służące do jednoznacznej identyfikacji osoby, takie jak odcisk palca przechowywany w celu otwarcia drzwi;
– stan zdrowia, który może zostać ujawniony w prośbach gości kierowanych do obsługi hotelowej;
– wrażliwe informacje na temat orientacji seksualnej, czy szeroko pojętej seksualności, które również mogą zostać ujawnione w niektórych prośbach gości;
– dużo rzadziej i ze znacznie mniejszym prawdopodobieństwem, w systemach hotelowych mogą pojawić się informacje na temat: danych genetycznych, pochodzenia rasowego lub etnicznego, poglądów politycznych, przekonań religijnych lub filozoficznych, ale wciąż należy brać je pod uwagę i, gdyby zostały ujawnione, traktować jako dane wrażliwe, a co za tym idzie, szczególnie chronione.

Inspektor oceni więc czy tego rodzaju dane wrażliwe występują w przedsiębiorstwie i czy istnieje ryzyko ich naruszenia. Mogą być one bowiem przetwarzane wyłącznie po spełnieniu warunków wymienionych wprost w art. 9 ust. 2 RODO, wśród których szczególną rolę odgrywa wyrażenie wyraźnej zgody przez osobę, której dane dotyczą. Jeżeli tego rodzaju dane są zbierane przypadkowo, należy je natychmiast usunąć, aby uniknąć konsekwencji z tym związanych.

Zadaniem IOD jest też ostrzeganie Administratora przed działaniami, które mogłyby go narazić na straty innego rodzaju. Do takich działań należy, między innymi, niezgodne z prawem skanowanie paszportów i dowodów osobistych, niestety wciąż stanowi częstą praktykę w działalności branży hotelarskiej.

Powołanie Inspektora Ochrony Danych, choć w świetle prawa nie zawsze obligatoryjne, będzie więc znaczącym ułatwieniem dla wszystkich przedsiębiorców świadczących usługi hotelarskie. Wyłonienie odpowiedniego kandydata na to stanowisko zagwarantuje zgodność procesów przetwarzania z normami ogólnego rozporządzenia o ochronie danych, a co za tym idzie zapewni bezpieczeństwo danych osobowych zarówno gości hotelu, jak i jego pracowników, pozwalając jednocześnie uniknąć wszelkich negatywnych następstw związanych z naruszeniami danych.