Niedawno głośno było o wycieku danych z bazy należącej do Marriotta sieci hoteli Starwood. Na skutek braku odpowiednich zabezpieczeń hakerzy wykradli dane dotyczące 500 mln klientów. To okazja do przypomnienia, jakie obowiązki związane z ochroną danych osobowych swoich klientów ma właściciel hotelu. Odpowiadamy na pytania, jakie często zadają właściciele takich obiektów.
Czy RODO znajduje zastosowanie do każdego obszaru działalności hotelu?
Nie. Są sytuacje, w których będziemy mieli do czynienia z wyłączeniem stosowania RODO. Na przykład wtedy, kiedy obsługa hotelu rozmawia z klientem i informuje go o usługach, przekazuje mu informacje na temat wyposażenia, menu restauracji czy też prywatne wiadomości od innych gości. RODO nie stosuje się także, gdy rozmowa nie jest związana z wykonywaniem czynności służbowych przez pracownika. Nie mamy tu do czynienia z przetwarzaniem przynajmniej częściowo zautomatyzowanym (nie wprowadzamy do systemu informatycznego tych informacji) ani nie wprowadzamy danych do zbioru (po prostu przekazujemy gościowi niezbędne informacje), bądź przetwarzanie odbywa się w ramach czynności o czysto osobistym charakterze. Jednak już w sytuacji przyjęcia konkretnej dyspozycji, złożenia ustnie skargi – dane te są gromadzone w związku z działalnością hotelu i jako takie objęte są ochroną.
Jak zapewnić zgodność z RODO?
Pierwszym krokiem powinna być inwentaryzacja przetwarzanych danych osobowych (co wiemy, skąd, o kim i po co). Pozwoli to sporządzić rejestr czynności przetwarzania i określić zakres dalszych prac. W dalszej kolejności przygotować można odpowiednie dokumenty: formularze z obowiązkami informacyjnymi dla pracowników i gości, regulacje dotyczące monitoringu, pozostałe polityki i procedury (w tym dotyczące obszaru IT). Wdróżmy stosowne środki organizacyjne i techniczne (program antywirusowy, zamykane szafy na dokumenty, politykę czystego biurka, niszczenie zbędnych danych).
Jednym z najistotniejszych i zarazem najczęściej pomijanych punktów na tej liście jest rzetelne przeszkolenie pracowników. Nierealizowane programy i niestosowane formularze na nic się bowiem nie zdadzą. Pamiętajmy przy tym, że nie ma na razie certyfikatów RODO ‒ te obecnie oferowane na ryku są zwykłymi chwytami marketingowymi. Jednak proces certyfikacji zostanie wkrótce uruchomiony i warto pomyśleć o certyfikowaniu się lub przystąpieniu do zatwierdzonych kodeksów postępowania, które są bardzo polecane przez Urząd Ochrony Danych Osobowych.
Czy hotele muszą realizować obowiązek meldunkowy? A jeśli nie – to jaka jest podstawa przetwarzania danych przez hotel?
Nieobowiązująca już ustawa z 10 kwietnia 1974 r. o ewidencji ludności i dowodach osobistych ustanawiała obowiązek meldunkowy w przypadku pobytu czasowego, którego należało dopełnić w ciągu 24 godzin od chwili przybycia do hotelu. Ta ustawa określała również zakres danych, które można było zbierać w takiej sytuacji. Obejmował on: imię i nazwisko, imiona rodziców, datę i miejsce urodzenia, adres miejsca pobytu stałego, datę przybycia i zamierzony czas trwania pobytu, numer i serię dokumentu stwierdzającego tożsamość oraz oznaczenie organu, który go wydał. Mimo że przepisy te nie obowiązują od kilku lat, wciąż zdarzają się sytuacje, że są przywoływane jako podstawa meldunku. Tymczasem właściwą podstawą zbierania danych osobowych przez hotel przy meldowaniu się gościa jest art. 6 ust. 1 lit. b RODO, który pozwala na przetwarzanie danych, gdy „jest to niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą”. Osoba wynajmująca pokój zawiera umowę z hotelem i ten cel określa zakres danych, który może być zebrany przez hotel.
Czy przy okazji meldunku konieczne jest uzyskanie zgody?
Nie. Podstawą prawną meldunku jest konieczność przetwarzania w celu wykonania umowy, której stronami są hotel i gość. Wszystkie podstawy prawne przetwarzania, które są wymienione w art. 6 ust. 1 RODO, są równoważne oraz samodzielne. Należy jednak zaznaczyć, że dotyczy to przetwarzania danych jedynie w celu wynajęcia pokoju. Jeżeli hotel zamierza przetwarzać dane także w innych celach, np. marketingowych, może potrzebować odrębnej podstawy.
Dodatkowo warto zaznaczyć, że wprowadzenie dodatkowej, zbędnej przesłanki może być traktowane jako wprowadzenie w błąd i może pociągnąć za sobą określone konsekwencje. Każda z podstaw to inne prawa służące podmiotowi danych (gościowi hotelowemu), np. użycie zgody jako podstawy oznacza, że osoba, która jej udzieliła, ma prawo w każdym czasie ją cofnąć, a administrator musi to uprawnienie uwzględnić.
Czy hotel może zeskanować dowód osobisty?
Nie. Zasadniczą podstawą prawną przetwarzania danych przez hotel jest konieczność wykonania umowy. W tym celu można sprawdzić, czy dane osobowe podane przez gościa zgadzają się z tymi, które widnieją na dokumencie tożsamości. Jednakże w żadnym razie nie można kopiować tego dokumentu. Dowód osobisty zawiera więcej danych osobowych, niż jest to konieczne do zawarcia umowy, więc przechowywanie skanu dowodu byłoby sprzeczne z zasadą minimalizacji danych. Ponadto skanowanie dowodu osobistego nie jest praktyką stosowaną przy zawieraniu umowy.
Czy hotel musi uzyskać zgodę na działalność marketingową dotyczącą własnych produktów i usług?
Administrator danych, w tym przypadku hotel, może oprzeć się na swoim prawnie uzasadnionym interesie, w celu promocji własnych produktów i usług, tj. na art. 6 ust. 1 lit. f RODO. Jednak podstawa ta znajduje zastosowanie jedynie przez okres obowiązywania pierwotnej podstawy prawnej przetwarzania, w tym przypadku konieczności wykonania umowy wynajęcia pokoju. Mając na uwadze, że goście hotelowi wynajmują pokoje na krótki okres, podstawa ta może być bardzo krótkotrwała. Z tego względu hotel powinien rozważyć uzyskanie dodatkowej zgody na przetwarzanie danych w celach marketingowych, aby móc reklamować swoje usługi także po ich zakończeniu. Należy przy tym pamiętać o konieczności uzyskania zgody na kanały komunikacji, czyli drogę elektroniczną (e-mail) lub wykorzystanie telefonu do kontaktu (jeśli taką formę komunikacji planujemy). Procedowana obecnie w Sejmie ustawa sektorowa, zmieniająca m.in. prawo telekomunikacyjne, umożliwi uzyskanie takiej zgody na warunkach wskazanych w RODO, czyli jednym oświadczeniem, traktując przetwarzanie danych w celach marketingowych przy wykorzystaniu danego kanału komunikacji jako ten sam cel.
Czy hotel może stosować monitoring wizyjny, a jeśli tak, to jakie warunki muszą być spełnione?
Hotel jako administrator danych może stosować monitoring, jednakże musi spełnić kilka warunków. Przedmiotem monitoringu są dwie grupy osób: pracownicy oraz goście. W obu przypadkach podstawą prawną przetwarzania jest prawnie uzasadniony interes administratora, tj. art. 6 ust. 1 lit. f RODO. Jednakże w przypadku pracowników należy również pamiętać o art. 222 kodeksu pracy, który określa dopuszczalne cele i stanowi legalną przesłankę stosowania monitoringu, pod warunkiem że pokrywa się on z celami wskazanymi w ww. ustawie. Cele te obejmują zapewnienie bezpieczeństwa pracowników, ochronę mienia, kontrolę produkcji lub zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę. Monitoring jako taki nie może co do zasady obejmować pomieszczeń sanitarnych, szatni, stołówek oraz palarni lub pomieszczeń udostępnianych zakładowej organizacji związkowej. W przypadku hoteli monitoring może obejmować wejście do budynku, hol czy korytarze, natomiast nie powinien być zakładany w pokojach.
Ponadto należy pamiętać, że monitoring nie może obejmować przestrzeni publicznej. Jeżeli kamera jest zainstalowana przy wejściu do hotelu, należy zadbać, aby nie była skierowana na ulicę. Warto także podkreślić, że należy spełnić obowiązek informacyjny. W praktyce najlepiej ustawić odpowiednie tablice przy wejściach do hotelu. Nie trzeba na nich zamieszczać wszystkich informacji, o których mowa w art. 13 RODO – można wypełnić obowiązek informacyjny warstwowo. To oznacza, że przy wejściu wystarczy umieścić informację o tożsamości administratora, celach przetwarzania oraz prawach, które przysługują osobom. Dodatkowo na tablicy należy wskazać miejsce, gdzie można uzyskać pozostałe informacje, o których mowa w art. 13 RODO (np. przy recepcji). Warto pamiętać, że w ramach monitoringu można nagrywać jedynie obraz, natomiast rejestracja dźwięku jest niedopuszczalna.
Czy osoby sprzątające pokoje powinny posiadać upoważnienie do przetwarzania danych osobowych?
Zgodnie z przyjętą praktyką osoby sprzątające hotele podpisują oświadczenie o zachowaniu poufności. W opinii autora takie rozwiązanie wystarczy, a osobom takim nie trzeba przyznawać upoważnienia do przetwarzania danych osobowych. W ramach sprzątania pokoi nie dochodzi co do zasady do przetwarzania danych osobowych. Natomiast incydentalne natknięcie się np. na dokument nie powoduje konieczności wydawania upoważnienia, z założenia bowiem osoby sprzątające nie mają mieć dostępu do danych.
Czy hotel może wykorzystać wizerunek gościa na portalu społecznościowym?
Tak, ale takie wykorzystanie wizerunku może mieć miejsce jedynie za zgodą tej osoby. Ponadto wykorzystanie zdjęcia w sposób opisany w pytaniu jest jego rozpowszechnieniem w rozumieniu nadanym w prawie autorskim. Zgoda ta musi być dobrowolna, świadoma, konkretna, czyli odpowiadać warunkom wskazanym w RODO, ale, co ważne, nie musi być pisemna. RODO posługuje się pojęciem „wyraźne działanie potwierdzające”, co oznacza, że może to być także przyzwolenie na wykonanie zdjęcia. W przypadku niewyrażenia zgody gość nie może ponieść żadnych negatywnych konsekwencji, np. w postaci trudności z wynajęciem pokoju, a sama zgoda może być w każdej chwili cofnięta. Możemy oczywiście zapłacić za wykorzystanie zdjęcia, co uwolni nas od ryzyka cofnięcia zgody, ale w praktyce przy prostym wrzuceniu zdjęcia na portale społecznościowe tego się nie stosuje.
Czy hotel przetwarza dane szczególnie chronione (wrażliwe), a jeśli tak, to jakie działania należy podjąć w przypadku takiego przetwarzania?
Często się zdarza, że hotel oferuje również inne usługi niż wynajęcie pokoi, np. prowadzi usługi spa. W takich przypadkach może dochodzić do przetwarzania danych szczególnie chronionych (stan zdrowia). Jeżeli takie dane są zbierane, należy pamiętać, że właściwą podstawą prawną przetwarzania jest zgoda osoby, o której mowa w art. 9 ust. 2 lit. a RODO. Zgoda na przetwarzanie danych tego typu, poza spełnieniem wszystkim wymogów dotyczących zwykłej zgody, musi być również wyraźna. Praktyczna różnica pomiędzy obiema zgodami jest niewielka i sprowadza się do bardziej wyczerpującego opisu operacji przetwarzania w samej formule zgody w przypadku danych wrażliwych oraz zwróceniu większej uwagi na rozliczalność, czyli możliwość wykazania, że taką zgodę posiadamy (archiwizacja). Jakkolwiek sama forma zgody nie jest narzucona przez RODO (może to być zgoda ustna), to ze względów dowodowych większość administratorów skłania się do formy pisemnej i przechowywania tak uzyskanych zgód. Można je oczywiście zdigitalizować.
Czy hotel jest zobowiązany prowadzić rejestr czynności przetwarzania?
Artykuł 30 RODO nakłada na administratorów danych obowiązek prowadzenia (sporządzenia i aktualizowania) rejestru czynności przetwarzania danych osobowych, za które odpowiadają. Zgodnie ze wskazówkami opublikowanymi przez organ nadzorczy czynności przetwarzania to zespół powiązanych ze sobą operacji na danych, wykonywanych przez jedną lub kilka osób, które można określić w sposób zbiorczy, w związku z celem, w jakim te czynności są podejmowane.
Prawodawca europejski przewidział zwolnienie z tego obowiązku dla przedsiębiorców lub podmiotów zatrudniających mniej niż 250 osób, chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych (np. dane o stanie zdrowia, wyznaniu) lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych. Już pobieżna lektura tego przepisu pozwala stwierdzić, że właściciele hoteli raczej nie skorzystają ze zwolnienia, nawet jeśli zatrudnią mniej niż 250 osób. Nie mogą bowiem powołać się na sporadyczny charakter przetwarzania (ma ono raczej charakter systematyczny), ponadto pracownicy mają styczność z dużą ilością danych (dane identyfikacyjne, dane dotyczące płatności, okresów pobytu itd.), co bez wątpienia wiąże się z ryzykiem naruszenia praw i wolności klientów.
Czy hotel może udostępnić dane klienta, zamawiając na jego życzenie usługę dodatkową (kupno biletu, zamówienie taksówki)?
Tak, na życzenie klienta można zebrać i przekazać jego dane podmiotowi oferującemu usługi przewozu, bilety na wydarzenia etc. Należy jednak pamiętać, by zadbać o zgodność z zasadami i warunkami takiego przetwarzania wskazanymi w RODO, m.in. by zakres wykorzystanych danych był adekwatny do celu (nie zbieramy danych nadmiarowych i na zapas), a także, że dane takie nie mogą być wykorzystane w innym celu i powinny być przechowywane przez okres nie dłuższy, niż jest to niezbędne do jego realizacji.
Czy hotel musi podpisać ze swoimi dostawcami specjalne umowy, a jeśli tak, to jakie?
W przypadkach, w których to inny podmiot przetwarza dane osobowe w imieniu hotelu (np. biuro rachunkowe, firma ochroniarska, dostawca usług IT), konieczne jest zawarcie umowy powierzenia danych osobowych. Jej konstrukcja jest uregulowana w art. 28 RODO. Przepisy wymagają przy tym, by korzystać wyłącznie z podmiotów, które zapewniają bezpieczeństwo danych. Sama umowa określać musi przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych, kategorie osób, których dane dotyczą, jak również obowiązki i prawa administratora oraz podmiotu przetwarzającego. Trzeba jednak pamiętać, że tam, gdzie dane są przekazywane innemu autonomicznemu administratorowi (np. Poczta Polska, medycyna pracy, policja, bank, ZUS, urząd skarbowy) – umowy takie nie znajdują zastosowania.
Postawa prawna
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, RODO; Dz.Urz. UE z 2016 r. L 119 s. 1 ze zm.).
Ustawa z 10 maja 2018 r. o ochronie danych osobowych (Dz.U. poz. 1000 ze zm.).
Ustawa z 26 czerwca 1974 r. ‒ Kodeks pracy (t.j. Dz.U. z 2018 r. poz. 917 ze zm.).