Ochrona danych osobowych w branży hotelarskiej
22.07.2025
Z uwagi na fakt, iż hotele przetwarzają znaczną liczbę danych osobowych w ramach prowadzonych procesów związanych z przetwarzaniem danych osobowych, należy przywiązywać szczególną wagę do zapewnienia, aby przetwarzanie to odbywało się nie tylko zgodnie z przepisami RODO oraz wewnętrznymi regulacjami korporacyjnymi, lecz również w sposób sprzyjający budowaniu zaufania wśród gości.
Hotel jako administrator danych
Wieloletnia współpraca z klientami reprezentującymi branżę hotelarską pokazuje, że możliwe jest stworzenie mapy powtarzalnych procesów związanych z przetwarzaniem danych osobowych, które występują praktycznie w każdym obiekcie. Są to m.in.: obsługa gości hotelowych, przetwarzanie danych osobowych dzieci w kontekście ustawy Lex Kamilek, prowadzenie monitoringu wizyjnego, działania marketingowe (newslettery, programy lojalnościowe), prowadzenie SPA, obsługa kadrowo-płacowa pracowników i współpracowników, obsługa zgłoszeń sygnalistów, organizacja eventów i uroczystości, a także współpraca z kontrahentami i dostawcami.
Zasady przetwarzania danych osobowych
Zgodnie z art. 5 RODO, hotel jako administrator danych osobowych musi przestrzegać naczelnych zasad przetwarzania danych osobowych tzn.: zgodność z prawem, rzetelność i przejrzystość, celowość, minimalizacja danych, prawidłowość, ograniczenie przechowywania, integralność i poufność oraz rozliczalność. Dokumentacja w zakresu ochrony danych osobowych, w tym polityka ochrony danych osobowych w hotelu powinny jasno określać, jak wyżej wymienione zasady przetwarzania danych realizowane są w praktyce.
Hotele przetwarzają dane osobowe gościa hotelowego, takie jak imię, nazwisko, numer dokumentu tożsamości czy dane dotyczące płatności, aby zapewnić prawidłową obsługę rezerwacji i pobytu. Hotel ma obowiązek przetwarzać zgodnie z wymogami wynikającymi z RODO, co obejmuje w pierwszej kolejności zapewnienie odpowiedniej podstawy prawnej. W przypadku przetwarzania danych osobowych gościa hotelowego mogą to być: realizacja umowy na podstawie zaakceptowanego regulaminu hotelu, prowadzenie monitoringu wizyjnego na podstawie prawnie uzasadnionego interesu czy przetwarzanie informacji dotyczących preferencjami żywieniowymi oraz zdrowotnymi – podstawą prawną przetwarzania jest wtedy zgoda gościa hotelowego. Warto wskazać, że w przypadku powołania się przez hotel na przesłankę prawnie uzasadnionego interesu niezbędne jest przygotowanie testu równowagi interesów (LIA).
Zasada ograniczenia przechowywania oznacza, że dane osobowe przechowywania powinny być ograniczone do okresu niezbędnego dla realizacji celów. Hotel musi regularnie aktualizować polityki retencji danych, aby uniknąć przechowywania zbędnych informacji, takich jak dane osobowe z kart meldunkowych.
Bezpieczeństwo danych osobowych
Zapewnienie bezpieczeństwa danych osobowych to priorytet dla każdego hotelu. Dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. Hotel powinien wprowadzić procedurę oceny ryzyka przetwarzania danych, zapewniającą uwzględnienie relewantnych czynników ryzyka oraz udokumentowanie faktu dokonania oceny. W przypadkach określonych w art. 35 RODO należy przeprowadzić ocenę skutków przetwarzania (DPIA).
Obowiązek informacyjny
Obowiązki hotelu obejmują dopełnienie obowiązku informacyjnego wobec zgodnie z art. 13 lub 14 RODO w zależności od źródła pozyskania danych osobowych. Obowiązek informacyjny jest podstawą do realizacji praw wskazanych w RODO, zapewniając osobom możliwość świadomego korzystania z nich. Hotel zapewnia, że klauzula informacyjna nie może stanowić jakiejkolwiek formuły zgody na przetwarzanie danych osobowych. Hotel zapewnia również, że język klauzuli informacyjnej jest jednoznaczny i prosty. Klauzula informacyjna może przybrać formę „pytań i odpowiedzi” lub mieć formę punktów.[1]
Klauzula informacyjna mająca zastosowanie przy rezerwacji, rejestrowaniu gościa w hotelu, w związku ze szczególnym rodzajem świadczeń realizowanych przez Hotel oraz danych zbieranych podczas pobytu Gościa w hotelu, powinna zawierać wszystkie następujące dane:
- dane administratora (Hotelu) ujawnione w KRS lub innej właściwej ewidencji,
- cele przetwarzania danych osobowych i podstawa prawna przetwarzania oraz informacja o tym, czy podanie danych osobowych jest wymogiem umownym lub ustawowym,
- prawa przysługujące osobie, której dane dotyczą,
- okres przetwarzania danych osobowych,
- kategorie odbiorców danych osobowych lub informacje o odbiorcach danych osobowych,
informacje o zamiarze przekazywania danych do państwa trzeciego, jeżeli znajduje to zastosowanie.
A dodatkowo, jeśli ma zastosowanie:
- dane inspektora danych,
- informacja o prawie złożenia skargi do organu nadzorczego.
Ochrona danych osobowych dzieci Lex Kamilek
W ostatnim czasie szczególną uwagę należy zwrócić na obszary wymagające wzmożonych działań ze strony hoteli tzn. ochronę danych dzieci w kontekście ustawy Lex Kamilek. Hotel powinien w związku z tym:
- wprowadzić i upublicznić standardy ochrony małoletnich (SOM) – zarówno na stronie internetowej, jak i w widocznym miejscu w obiekcie (w wersji pełnej oraz uproszczonej, przeznaczonej dla dzieci);
- przeprowadzić ocenę ryzyka dla procesów związanych z przetwarzaniem danych osobowych małoletnich;
- przygotować lub zaktualizować klauzule informacyjne dla podmiotów biorących udział w procesie;
- wyznaczyć osoby upoważnione do przetwarzania danych osobowych w tym zakresie i nadać im odpowiednie upoważnienia, przy jednoczesnym zobowiązaniu do zachowania poufności;
- zapewnić bezpieczeństwo przetwarzanych danych dzieci,
- zorganizować odpowiednie szkolenia dla pracowników mających dostęp do danych osobowych małoletnich.
Monitoring wizyjny
Monitoring w hotelu jest często stosowany dla bezpieczeństwa, ale wymaga przestrzegania zasad RODO. Aby monitoring wizyjny był zgodny z prawem hotel powinien:
- dopełnić obowiązek informacyjny wobec osób, których dane osobowe znajdują się na nagraniach tzn. goście hotelowi, pracownicy i współpracownicy, osoby postronne. Hotel powinien oznaczyć wszystkie miejsca objęte monitoringiem poprzez rozwieszenie stosownych tablic, gdzie hotel informuje o monitoringu wizyjnym wraz z piktogramem kamery;
- zweryfikować miejsca objęte monitoringiem tzn. czy nie mamy kamer w miejscach, gdzie jest to zabronione (pomieszczenia udostępniane zakładowej organizacji związkowej, pomieszczenia sanitarne, szatnie, stołówki oraz palarnie);
- zweryfikować czas przechowywania nagrań ustalić maksymalny czas przechowywania nagrań;
- przeprowadzić DPIA oraz test równowagi interesów LIA dla procesu monitoringu wizyjnego;
- wpisać proces do rejestru czynności przetwarzania.
Branża hotelarska stoi przed wyzwaniem skutecznego zarządzania danymi osobowymi. Dane osobowe stanowi kluczowy element funkcjonowania hotelu, ale wymaga przestrzegania zasad RODO. Dzięki odpowiednim procedurom, szkoleniom i współpracy z Inspektorem Ochrony Danych, hotele mogą budować zaufanie gości, zapewniając wysoki poziom bezpieczeństwa danych osobowych.
Obecnie cała branża z nadzieją oczekuje decyzji Prezesa Urzędu Ochrony Danych Osobowych w sprawie zatwierdzenia kodeksu postępowania dla sektora hotelarskiego. Kodeks nie tylko określi spójne standardy ochrony danych osobowych w branży hotelarskiej, lecz również wesprze hotele w skutecznym dostosowaniu procesów operacyjnych do obowiązujących wymogów RODO.
[1] Projekt Kodeksu postępowania i dobrych praktyk w sprawie danych osobowych w branży hotelarskiej Izba Gospodarcza Hotelarstwa Polskiego
Z tej samej kategorii
Kategorie
