arrow-rightemailfacebook-circlefacebookinstagramlinkedin-circlelinkedinsearchtelephonetwitter
10.06.2022

Czy warto powoływać Inspektora Ochrony Danych w hotelu?

Maciej Malczewski

Wejście w życie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO) wymusiło na przedsiębiorcach zweryfikowanie prowadzonej przez siebie działalności i dostosowanie wykonywanych operacji przetwarzania do nowych wymogów. Jedną z branż, które, ze względu na swój charakter i korzystanie z różnych źródeł pozyskiwania danych (takich jak rezerwacje OTA – Online Travel Agencies, systemy PMS – Property Management Systems, czy narzędzia typu Channel Managers), w sposób szczególny objęte zostały zakresem Rozporządzenia są usługi hotelarskie.

Hotele, w związku z prowadzoną przez siebie działalnością, przetwarzają ogromne ilości danych osobowych. Na gruncie wspomnianego RODO dane osobowe to, w najprostszym ujęciu, wszelkie dane dotyczące możliwej do zidentyfikowania osoby. Tożsamość tak wskazanej osoby można wobec tego ustalić między innymi na podstawie jej imienia i nazwiska, numeru telefonu, adresu e-mail, adresu IP, czy numeru rezerwacji. W praktyce hotele najczęściej zbierają dane prosząc o dokumenty tożsamości, adresy zamieszkania informacje bankowe oraz finansowe.

Mając na uwadze korzystanie przez nie z wielu punktów płatności, systemów rezerwacji online czy poczty elektronicznej, a także przechowywanie dokumentów zawierających dane kart płatniczych, paszportów lub dowodów osobistych, hotele muszą poświęcić szczególną uwagę zagwarantowaniu bezpieczeństwa przetwarzania danych i zapewnieniu zgodności procedur z wymogami RODO.

W branży hotelarskiej dane osobowe są gromadzone i wymieniane pomiędzy stronami internetowymi, menadżerami kanałów i zewnętrznymi systemami rezerwacji. Wynika z tego, że hotele mogą występować w procesie przetwarzania danych zarówno jako administratorzy (w szczególności przy dokonywaniu rezerwacji bezpośrednich), jak i w charakterze podmiotów przetwarzających.

Przedsiębiorcy powinny więc przede wszystkim zrozumieć jakie dane osobowe są w ich posiadaniu, skąd pochodzą, komu są udostępniane i jak zapewnić ich skuteczną ochronę. W tym celu warto rozważyć przeprowadzenie audytu, polegającego na analizie procesów wewnętrznych, umów z dostawcami, istniejących baz danych oraz sposobów przepływu danych pomiędzy systemami.

W praktyce, najłatwiej będzie go wykonać z pomocą Inspektora Ochrony Danych, który oprócz doradztwa przy wdrożeniu odpowiednich dokumentów, przeprowadzi szkolenie dla kierownictwa i pracowników z zakresu prawidłowego sposobu przetwarzania danych w spółce.              

Ocena, czy powołanie Inspektora Ochrony Danych w danym przypadku jest niezbędne, dokonywana jest zawsze na podstawie konkretnych okoliczności. Należy rozważyć, czy wymagane jest formalne wyznaczenie IOD, a zależy to od ilości i wrażliwości informacji. Na poziomie sieci i dużych grup IOD jest prawie na pewno wymagany, ale w przypadku hoteli indywidualnych niezbędna jest bardziej szczegółowa analiza. Powołanie IOD jest jednak zalecane w każdym przypadku, nawet jeżeli prawo wprost tego nie wymaga.

Ma to związek z obowiązkiem prowadzenia rozległej dokumentacji, która jest niezbędna, aby w razie potrzeby udowodnić przed organem nadzorczym odpowiednie wywiązywanie się z RODO. Stworzenie i aktualizacja wszelkich wymaganych dokumentów bez profesjonalnego wsparcia IOD może okazać się znacznie bardziej skomplikowane, powodując trudności w bieżącym działaniu spółki. Zatrudnienie IOD może więc być dla przedsiębiorcy istotnym odciążeniem przy prowadzeniu działalności.

Należy też pamiętać, że ochronie podlegają nie tylko dane klientów, ale także dane pracowników, takie jak listy płac czy informacje kadrowe, co jeszcze bardziej komplikuje sprawę.

Za naruszenie Rozporządzenia, w przypadku obu tych kategorii podmiotów, hotele są zagrożone karą pieniężną: niższą (w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa) lub wyższą (w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa).

Brak powołania IOD czuwającego nad zgodnością przetwarzania z RODO może więc narazić spółkę na duże straty finansowe oraz na, często dużo bardziej bolesne, straty wizerunkowe. Tak było między innymi w przypadku rekordowej kary w wysokości 20 450 000 funtów nałożonej na międzynarodową sieć Marriott International Inc. przez brytyjski urząd regulacyjny za nieprzestrzeganie przepisów rozporządzenia (konkretnie art. 32 RODO) , czy sankcji w postaci obowiązku zapłaty 475 tysięcy funtów przez serwis Booking.com, zastosowanej przez holenderski organ nadzorczy w wyniku naruszeń ze strony podmioty kontrolowanego.

RODO kładzie przy tym szczególny nacisk na dodatkową ochronę „danych wrażliwych”. Obejmują one dane osobowe, które, w przypadku hoteli, ujawniają, bądź mogą ujawnić jedną z poniższych kwestii:
– przynależność do związków zawodowych, która może być ujawniona przez uczestnictwo w imprezach organizowanych na terenie hotelu;
– dane biometryczne służące do jednoznacznej identyfikacji osoby, takie jak odcisk palca przechowywany w celu otwarcia drzwi;
– stan zdrowia, który może zostać ujawniony w prośbach gości kierowanych do obsługi hotelowej;
– wrażliwe informacje na temat orientacji seksualnej, czy szeroko pojętej seksualności, które również mogą zostać ujawnione w niektórych prośbach gości;
– dużo rzadziej i ze znacznie mniejszym prawdopodobieństwem, w systemach hotelowych mogą pojawić się informacje na temat: danych genetycznych, pochodzenia rasowego lub etnicznego, poglądów politycznych, przekonań religijnych lub filozoficznych, ale wciąż należy brać je pod uwagę i, gdyby zostały ujawnione, traktować jako dane wrażliwe, a co za tym idzie, szczególnie chronione.

Inspektor oceni więc czy tego rodzaju dane wrażliwe występują w przedsiębiorstwie i czy istnieje ryzyko ich naruszenia. Mogą być one bowiem przetwarzane wyłącznie po spełnieniu warunków  wymienionych wprost w art. 9 ust. 2 RODO, wśród których szczególną rolę odgrywa wyrażenie wyraźnej zgody przez osobę, której dane dotyczą. Jeżeli tego rodzaju dane są zbierane przypadkowo, należy je natychmiast usunąć, aby uniknąć konsekwencji z tym związanych.

Zadaniem IOD jest też ostrzeganie Administratora przed działaniami, które mogłyby go narazić na straty innego rodzaju. Do takich działań należy, między innymi, niezgodne z prawem skanowanie paszportów i dowodów osobistych,  niestety wciąż stanowi częstą praktykę w działalności branży hotelarskiej.

Powołanie Inspektora Ochrony Danych, choć w świetle prawa nie zawsze obligatoryjne, będzie więc znaczącym ułatwieniem dla wszystkich przedsiębiorców świadczących usługi hotelarskie. Wyłonienie odpowiedniego kandydata na to stanowisko zagwarantuje zgodność procesów przetwarzania z normami ogólnego rozporządzenia o ochronie danych, a co za tym idzie zapewni bezpieczeństwo danych osobowych zarówno gości hotelu, jak i jego pracowników, pozwalając jednocześnie uniknąć wszelkich negatywnych następstw związanych z naruszeniami danych.