1/2017
RODO zaostrza przepisy dla hoteli
Każdy hotel korzystający z usług internetowych portali rezerwacyjnych powinien podpisać z tymi podmiotami umowę na przetwarzanie danych osobowych. Według RODO, to portal jest administratorem danych. Pobieranie od niego danych klientów, którzy zarezerwowali nocleg, bez uprzedniego podpisania umowy naraża hotel na karę finansową, której wysokość może sięgać nawet 20.000.000 euro.
W maju 2018 roku wejdzie w życie nowe Ogólne Rozporządzenie o ochronie danych osobowych (RODO). Dla hotelarzy nowa ustawa oznacza konieczność gruntownej zmiany sposobu przetwarzania i pozyskiwania danych osobowych. Internetowe portale rezerwacyjne udostępniają dane osobowe klientów hotelom. Takie działanie, zgodnie z wymogami RODO, powinno odbywać się w oparciu o ważną podstawę prawną.
Serwisy rezerwacyjne świadczą swoje usługi na rzecz klientów hoteli, a następnie przekazują informacje o dokonanych rezerwacjach lub zapytaniach do hotelu. Zatem to pośrednik jest podmiotem zbierającym dane osobowe i ustalającym cele przetwarzania, a co za tym idzie, zgodnie z art. 4 pkt 7 RODO jest administratorem takich danych.
Hotel, który do realizacji swoich usług musi uzyskać od serwisu dane osobowe, powinien zawrzeć z nim umowę o przetwarzanie danych osobowych. Zgodnie z art. 28 RODO, taka umowa powinna mieć formę pisemną lub formę elektroniczną. Umowa pomiędzy pośrednikiem a hotelem na przetwarzanie danych osobowych powinna określać między innymi czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą (art. 28 ust. 3 RODO). Taka umowa może być częścią umowy o współpracę pomiędzy hotelem a pośrednikiem, ale rekomendowane jest, aby stanowiła osobny dokument regulujący tylko kwestie danych osobowych.
Bez takiej umowy hotel nie powinien przetwarzać danych osobowych, których administratorem jest pośrednik. Brak zawarcia umowy może spowodować, że przetwarzanie danych uznane zostanie za nielegalne. Tym samym hotel może narazić się na karę finansową, której wysokość może sięgać, stosownie do art. 83 RODO, nawet do 20.000.000 euro. Warto zatem wdrożyć odpowiednie mechanizmy ochrony danych osobowych w hotelu, zwłaszcza, że RODO nakłada na hotele nowe obowiązki.
Izba planuję zorganizować dla swoich członków cykl szkoleń z tego zakresu. Więcej informacji już wkrótce.