Czy jesteś gotowy na RODO? Poradnik hotelarza

Autor: Rafał Lorent, Natalia Łukawska

Już 25 maja 2018 r. zacznie obowiązywać unijne rozporządzenie 2016/679 o ochronie danych osobowych (tzw. RODO). Nowe przepisy obejmą także branżę hotelarską. Hotele przetwarzają wiele danych osobowych, w tym dane pracowników, gości oraz innych osób korzystających z usług świadczonych w hotelu. Każdy hotel powinien zatem dostosować się do nowych wymagań prawnych. Przygotowanie się na obowiązywanie przepisów RODO to długotrwały proces, który często wymaga zaangażowania całej firmy. Działań w tym zakresie nie ułatwia fakt, że w praktyce niewielu przedsiębiorców podchodzi do tematu ochrony danych osobowych z taką samą uwagą, jak np. do kwestii praw konsumentów. Ci przedsiębiorcy, których działalność jest dostosowana do obecnie obowiązujących przepisów (ustawa o ochronie danych osobowych z 1997 r.), będą mogli łatwiej i szybciej dostosować się do nowych wymagań prawnych, co wynika z tego, że RODO ma ewolucyjny charakter względem obecnie obowiązujących przepisów. Oznacza to, że każda firma hotelarska powinna z uwagą podejść do procesu dostosowania i wdrożenia – ryzyko pominięcia niektórych obowiązków prawnych (np. w zakresie reagowania na naruszenia ochrony danych osobowych) może potencjalnie prowadzić m.in. do nałożenia kar pieniężnych sięgających kilkudziesięciu milionów złotych. W celu całościowego dostosowania działalności firmy do RODO konieczne jest uwzględnienie trzech aspektów związanych z przetwarzaniem danych osobowych: • wymiar prawny – czyli zmiany w umowach, procedurach, porozumieniach, wzorach dokumentów (np. zgód na przetwarzanie danych osobowych); • wymiar organizacyjny – czyli zmiany w zakresie organizacji pracy, kultury organizacyjnej, świadomości pracowników; • wymiar techniczny – czyli zmiany w zakresie infrastruktury technicznej i informatycznej hotelu. Niniejszy artykuł zawiera krótkie omówienie najważniejszych zagadnień pod względem prawnym i organizacyjnym. KWESTIE PRAWNE 1. Przegląd procesów przetwarzania danych osobowych Punktem wyjścia dla procesu dostosowania do RODO powinno być przeprowadzenie przeglądu procesów przetwarzania danych osobowych. Jest to konieczny element przygotowania do nowych wymagań prawnych – pozwala nie tylko na spełnienie konkretnych wymagań prawnych przewidzianych w RODO, ale także na zgromadzenie wiedzy, jakie dane osobowe, na jakiej podstawie, w jakim celu, w jaki sposób itd. są przetwarzane w hotelu. Przykładowo, w branży hotelarskiej specyficznym procesem przetwarzania danych osobowych jest rejestracja gości. Podczas analizy procesów przetwarzania konieczne będzie sprecyzowanie, kto (osoba odpowiedzialna lub dział organizacyjny) odpowiada za jego przeprowadzenie, jakie dane osobowe są zbierane (np. tylko dane wskazane w ustawie o usługach turystycznych), na jakiej podstawie (np. zgody gościa albo przepisu prawnego) oraz jak są zabezpieczone (np. w systemie informatycznym). 2. Umowa powierzenia przetwarzania danych osobowych W wypadku obsługi hotelu przez podmiot trzeci na podstawie umowy o świadczenie usług (np. firmę IT zajmującą się w całości obsługą systemów informatycznych hotelu) konieczne może być zawarcie umowy powierzenia przetwarzania danych osobowych. Taka umowa jest konieczna zawsze wówczas, gdy inny podmiot przetwarza dane osobowe (np. przechowuje, modyfikuje, zapisuje, wykorzystuje) w imieniu i na polecenie administratora danych osobowych (np. firmy IT obsługującej systemy informatyczne). Jeśli hotel ma zawarte umowy tego rodzaju, konieczne może być ich aneksowanie. Zgodnie z RODO umowa taka musi spełniać ściśle określone wymagania co do jej treści. Przykładowo, umowa powierzenia przetwarzania musi określać m.in. prawo do przeprowadzania audytów przez administratora (zlecającego przetwarzanie – np. hotelu) oraz obowiązek wspierania administratora w realizacji praw osób, których dane są przetwarzane (np. prawa dostępu klientów hotelu do danych ich dotyczących), a także w razie naruszenia ochrony danych osobowych. Szczególnie ważne jest to, że umowy takie mogą być zawarte tylko z [...]