Menu

GDPR v hotelnictví

Vlastníte nebo provozujete hotel či jiné ubytovací zařízení? Pak budete muset řešit ochranu osobních údajů svých zákazníků – hostů. Obecně byste měli při jakémkoliv jednání s hosty dodržovat základní zásady, na kterých je GDPR založeno.

Jen krátký exkurz, které to jsou… Mezi ty nejdůležitější, na které budete muset pamatovat, patří zásada minimalizace údajů, podle níž je možné zpracovávat pouze relevantní, aktuální a pravdivé údaje, a to v přiměřeném rozsahu. Z hlediska hospodárnosti pak platí, že čím méně údajů budete zpracovávat, tím bude vaše situace v této oblasti jednodušší.

Rovněž musíte respektovat absolutní právo na přístup k osobním údajům, tj. zda osobní údaje, které se dané konkrétní osoby týkají, jsou či nejsou zpracovávány, CO, KDE, JAK DLOUHO a PROČ jsou jejich údaje zpracovávány. Bezpodmínečně je tak nutné respektovat právo hostů na informace o zpracování, tj. správně plnit informační povinnost ze strany hotelu vůči hostům.

Mezi dalšími, jejichž dodržování musíte zabezpečit, jsou právo na opravu, právo na omezení zpracováníprávo vznést námitku proti zpracování. Konečně k dalším neopomenutelným právům, jež vaši hosté mohou uplatnit, patří právo na výmaz, na které se však v hotelovém průmyslu mohou vztahovat určité výjimky, související zejména se zpracováním na základě plnění zákonné povinnosti, tj. v zásadě pro účely státní správy, osobní údaje vyžadované zákony o místních poplatcích a o pobytu cizinců.

Co byste měli udělat proto, abyste všem těmto požadavkům GDPR vyhověli? Abyste na nic nezapomněli?

Hotely a ubytovací zařízení zacházejí s osobními údaji tří základních úseků – klientů, zaměstnanců a dodavatelů. A v rámci toho mohou vystupovat jak v roli správce, tak i zpracovatele. Nejprve je tedy třeba důsledně „zmapovat“ svou roli a stávající pozici a procesy směrem k hostům a zaměstnancům –  subjektům údajů a připravit plán, do kterého je nutné zahrnout veškeré aktivity vašeho podniku – hotelu.

Již při tomto prvotním zjištění, zmapování, byste měli některé činnosti přehodnotit a snažit se o minimalizaci shromažďovaných dat a dokumentů. Tzn. neshromažďovat data a neuchovávat dokumenty, které ke své činnosti skutečně nepotřebujete nebo na které nemáte právo. Zpracovávat byste tak neměli údaje, jejichž držení host neodsouhlasil a není obeznámen s tím, k jakému účelu je poskytuje, a ani ty údaje, které nemůžete zpracovávat na základě jiného právního titulu, např. zákona. V této fázi je též vhodný okamžik k redukci několikanásobných záloh na PC či v papírových archivech, zkrátka na omezení zpracování osobních údajů jen na účelnou míru.

Právě na samém počátku je totiž vhodné odpovědět si na některé základní otázky:

Proč byste se měli GDPR zabývat? Jaké a kolik osobních údajů zpracováváte a ukládáte? Jakým způsobem a kde osobní data zpracováváte? Na jak dlouho a za dodržení jakých bezpečnostních opatření?

Až budete znát odpovědi, bylo by dobré též zvážit, kolik času a peněz chcete/můžete do přípravy investovat a zda vše zvládnete sami nebo budete potřebovat pomoc odborníka.

Až to všechno důkladně promyslíte, můžete začít s konkrétními úpravami. Ty se budou patrně hotel od hotelu lišit, ale téměř všichni z vás budou muset podniknout tyto kroky:

  • Upravit webové stránky hotelu včetně rezervačního formuláře

Na webové stránky je vhodné, nebo dokonce nezbytné přidat veškeré informace ohledně zpracování osobních údajů, kontaktních osob, zda dochází k automatizovanému zpracování osobních údajů, že má subjekt právo podat stížnost u dozorového úřadu apod. V případě, že lze skrze stránky přímo ubytování objednávat, je potřeba splnit informační povinnost před vytvořením objednávky. Pokud bude nabízeno zasílání obchodních sdělení, políčko souhlasu nesmí být předvyplněné, zákazník je musí mít příležitost aktivně označit. Co se týče obchodních sdělení, musí dojít k tzv. dvojitému ověření, při kterém musí být souhlas potvrzen ještě následujícím e-mailem.

Rovněž bude zřejmě potřeba revidovat upozornění ohledně tzv. cookies. Neměli byste zapomenout ani na oblíbená tlačítka propojující stránky se sociálními sítěmi (např. sdílení, lajkování apod.). Webové stránky nesmí, bez souhlasu návštěvníka, automaticky získávat údaje ze sociálních sítí (např. nemělo by být vidět, kolika kamarádům na Facebooku se daná věc líbí).

  • Mít pro hosty k dispozici informace o zpracování jejich údajů nejen na webu

Hotelové hosty je třeba o rozsahu a účelu zpracování jejich osobních údajů informovat v dostatečném a srozumitelném rozsahu před samotným ubytováním, a to nejen prostřednictvím webových stránek. Podrobnější informace, tak jak to vyžaduje GDPR, proto doporučujeme umístit do všech pokojů. Také je mějte připravené v recepci.

  • Proškolit personál, stanovit osobu odpovědnou za dodržování ochrany osobních údajů

Základně proškoleni by měli být téměř všichni zaměstnanci ubytovacího zařízení. Zaměstnance, kteří budou s osobními údaji pracovat více (recepční, manažery), je třeba proškolit pečlivěji. Pravděpodobně bude potřeba také revidovat a upravit stávající procesy ohledně pracovněprávních vztahů. Každopádně bude vhodné, aby v hotelu byl alespoň jeden zaměstnanec detailně proškolený v oblasti ochrany osobních údajů.

Podle GDPR musí být v některých případech jmenován tzv. pověřenec pro ochranu osobních údajů (DPO – data protection officer). V případě hoteliérů by to bylo v situaci, kdy by zpracování bylo rozsáhlé a pravidelné. V případě menších hotelů tu nutnost zřejmě není, v případě větších hotelových sítí nejspíš ano. Výhodou je, že pro skupinu hotelů může být jmenován jediný pověřenec.

  • Upravit e-mailovou komunikaci

První skupinou bude e-mailová komunikace, pomocí které budou vytvářeny rezervace, tj. povede k uzavření smlouvy, při ní nebude potřeba získávat souhlas se zpracováním (právním titulem zde bude smlouva). Pozor bude však třeba dát na rozsah požadovaných informací, tj. hoteliér smí požadovat jen ty údaje, které jsou k uzavření smlouvy nezbytné.

Druhou kategorií je marketingová komunikace. Pro zasílání obchodních sdělení je vhodné mít souhlas, nicméně pokud se jedná o zasílání současným hostům, souhlasu v přiměřeném rozsahu není potřeba (např. nabídnutí typu pokoje, ve kterém byl host ubytován, za akční cenu). Pod tuto výjimku však nelze schovat např. týdenní newslettery ohledně novinek z hotelové kuchyně. K zasílání obchodních sdělení potenciálním hostům je souhlasu potřeba vždy. V každém případě pak je potřeba splnit informační povinnost (viz shora).

  • Revidovat – vytvořit souhlas se zpracováním osobních údajů

Potřebujete si odpovědět na otázku, jestli dosud udělovaný souhlas s poskytnutím osobních údajů bude platný i po nabytí účinnosti nového nařízení, popřípadě zda vytvořit a získat od subjektu údajů souhlas nový.

Je vysoce pravděpodobné, že budete obesílat všechny své stávající kontakty s žádostí o nový souhlas se zpracováním dat. A ještě předtím by bylo dobré zamyslet se nad tím, k čemu se vám vlastně data mohou v budoucnu hodit. O každý nový způsob užití osobních dat, ke kterému host (subjekt údajů) nedal souhlas, bude totiž nutné požádat znovu.

  • Revidovat – vytvořit smlouvy o zpracování osobních údajů, revidovat ostatní smlouvy (dokumenty)

Předáváte údaje svých hostů někomu dalšímu? Máte s ním uzavřenou smlouvu o jejich zpracování? Je tato smlouva v souladu s nařízením? Na tyto a ještě mnoho dalších otázek si budete muset umět odpovědět a také si připravit vzorový dokument.

  • Sepsat záznamy o činnostech zpracování a povinnost vést tzv. DPIA

Správce a zpracovatel jsou povinni vést záznamy o činnostech zpracování. Z této povinnosti sice existují výjimky, přesto je doporučitelné takové záznamy vést, jako základní dokumenty vypovídající o rozsahu a způsobu zpracování osobních údajů v tom kterém hotelu. Záznamy by měly obsahovat údaje o správci (zpracovateli), o účelech zpracování osobních údajů, lhůtách pro výmaz osobních údajů, popis technických a organizačních opatření aj. Záznamy musí být na požádání poskytnuty dozorovému orgánu.

  • Vytvořit organizační a bezpečnostní opatření k ochraně osobních údajů (směrnice, procesy)

Fungovat by u vás měla záměrná (By design) či standardní (By default) ochrana dat. Jimi jsou technická opatření určující prostředky pro zpracování osobních údajů, např. přímo integrovaná – pseudonymizace, minimalizace dat, ale i omezení zpracování osobních údajů co do množství, rozsahu, doby jejich uložení – pouze v nezbytné míře pro konkrétní účel.

Hoteliéři a poskytovatelé ubytovacích služeb vůbec by také neměli zapomínat na některé speciální oblasti ochrany dat, a to např. na údaje svých malých klientů – dětí nebo na případné kamerové systémy, které mají v hotelu instalované. Zde je třeba vhodně rozmístit cedulky s upozorněním a další informace poskytnout spolu s výše zmíněnou informační povinností, třeba i formou webové stránky, avšak nejenom tímto způsobem (viz výše).

Ze shora uvedeného je zřejmé, že v hotelnictví nyní budou mnohem vyšší nároky na profesionalitu všech zaměstnanců a manažerů při práci s daty. Jakékoliv pochybení nebo laxnost by se vám mohly vymstít i z toho pohledu, že většina ubytovaných hostů pochází ze zahraničí, kde je porušení ochrany osobních údajů přísněji sankcionováno. 

Zde je seznam základních dokumentů pro hotelnictví a provozovatele ubytovacích zařízení, které vám zajistí plný soulad s GDPR:

  1. Informační memorandum a Zásady ochrany osobních údajů
  2. Souhlas se zpracováním osobních údajů pro marketingové účely (popř. i jiné, další účely, které nejsou „pokryté“ jiným právním titulem)
  3. Smlouva o zpracování osobních údajů uzavřená mezi hotelem (správcem) a např. marketingovou agenturou (zpracovatelem)
  4. Záznamy o činnostech zpracování
  5. Interní směrnice o ochraně osobních údajů

Výše uvedené dokumenty si u nás můžete zakoupit zasláním žádosti na office@gdpr.cz nebo je v rámci našeho praktického školení obdržíte za zvýhodněnou cenu.

Mgr. Eva Škorničková
Mgr. Eva Škorničková

Jsem nezávislá právní konzultantka ochrany osobních dat a bezpečnosti IT. O obsah portálu GDPR.cz pečuji jako jeho zakladatelka a šéfredaktorka s podporou redakčního týmu. Máte-li pro nás zajímavý tip, sem s ním!


Hlavní partneři