Ogólne Rozporządzenie o Ochronie Danych (RODO) wprowadziło szereg obowiązków dla przedsiębiorstw, w tym dla branży hotelarskiej, której działalność opiera się na gromadzeniu, przetwarzaniu i przechowywaniu danych osobowych klientów. Zrozumienie i stosowanie się do tych zasad jest niezbędne, aby zapewnić zgodność z prawem oraz ochronę prywatności gości. W niniejszym artykule postaramy się omówić najważniejsze obowiązki wynikające z RODO, które każdy hotel lub obiekt wypoczynkowy powinien spełniać.
Przetwarzanie danych osobowych gości hotelowych przy rezerwacji, rejestracji, wymeldowaniu jest nieodłączonym aspektem prowadzenia działalności hotelarskiej. Oznacza to, że hotel jest administratorem danych osobowych swoich gości, klientów. Dane osobowe mogą być zbierane w różnych celach i mieć różne podstawy prawne. Skupmy się na najczęstszych przypadkach przetwarzania danych osobowych przez hotele.
W pierwszej kolejności, dane osobowe klientów przetwarzane są podczas rejestracji lub meldunku w danym hotelu. Zazwyczaj dane te przetwarzane są w celu realizacji umowy bądź podjęcia działań na żądanie tej osoby przed zawarciem umowy (np. rezerwacja pokoju). Co do zasady jednak podstawą prawną przetwarzania danych będzie art. 6 ust. 1 lit. b RODO. Przy rezerwacji lub już przy meldowaniu w hotelu, zazwyczaj dochodzi do pozyskania danych w zakresie: imienia, nazwiska, numeru telefonu, adresu e-mail, liczby osób, danych do faktury (jeżeli klient chce tak ową otrzymać). Czasem można spotkać się z koniecznością podania numeru PESEL, jednak jest to sytuacja coraz rzadziej spotykana. Natomiast może się zdarzyć taka sytuacja, że hotel przy meldowaniu poprosi gości o okazanie dokumentu tożsamości i spisanie z nich informacji dot. np. numeru dowodu lub adresu zamieszkania – także dla celów ewentualnych dochodzenia roszczeń np. w sytuacji spowodowania przez klienta znacznych szkód podczas jego pobytu. Zabronione jest jednak wykonywania kserokopii takich dokumentów. Może się zdarzyć również zbierania danych dot. numerów rejestracyjnych pojazdu klienta w celu opłacenia miejsca parkingowego udostępnionego przez hotel. W tym przypadku również podstawą prawną przetwarzania będzie art. 6 ust. 1 lit. b RODO.
Przy dokonywaniu zbieraniu danych osobowych, bardzo istotnym elementem zapewnienia zgodności z RODO jest przedstawienie klauzuli informacyjnej, w której klient zostanie poinformowany o celach i podstawach prawnych przetwarzania jego danych osobowych. Klauzula może być umieszczona w następujących miejscach:
- w formularzu rezerwacyjnym,
- w mailowej odpowiedzi na potwierdzenie rezerwacji,
- przy karcie meldunkowej na recepcji,
- na stronie internetowej hotelu,
- przy recepcji w widocznym miejscu.
Kolejnym obszarem, o którym muszą pamiętać właściciele lub zarządcy obiektów hotelowych, jest prowadzenie monitoringu wizyjnego na terenie całego obiektu. Sam monitoring nie powinien być instalowany w pomieszczeniach sanitarnych, pokojach hotelowych, przebieralniach SPA i basenów. Może być natomiast instalowany w obrębie wejścia/wyjścia do budynku, strefach wspólnych, korytarzach hotelowych. Istotne jest jednak informowanie o stosowaniu monitoringu, najlepiej w formie piktogramu. Piktogram powinien zawierać krótką informację o prowadzonym monitoringu oraz skrócony obowiązek informacyjny z adnotacją kto jest administratorem danych osobowych i w jakich celach dane osobowe w postaci wizerunku są przetwarzane.
Istotnym elementem jest również prowadzenie działań marketingowych przez obiekty hotelowe. Działania promocyjne mogą być prowadzone m.in. za pomocą kontaktu elektronicznego lub telefonicznego z klientami lub potencjalnymi klientami. W związku z tym duża część hoteli w momencie rejestracji lub też meldunku pozyskuje od gości hotelowych zgody marketingowej. Bardzo istotne jest pilnowanie, żeby dane zbierane w formularzu były adekwatne do realizacji celu. Należy zastanowić nad koniecznością podania danych, takich jak: imię, nazwisko, adres e-mail, numer telefonu. Bardzo możliwe, że wystarczy tylko sam adres e-mail, ponieważ hotel nie będzie prowadzić marketingu w formie telefonicznego. Dodatkowo, zgoda która będzie wyrażona przez klienta musi być całkowicie dobrowolna. Klient nie może otrzymać karty meldunkowej z domyślnie zaznaczoną zgodą marketingową – niestety jest to dosyć częsta praktyka. Zgody marketingowe mogą być również zbierane przy rezerwacji na stronach internetowych hotelu lub też przy okazji wymeldowania.
Poniżej zamieszczamy przykładową, prawidłową treść takiej zgody marketingowej, którą można umieścić np. w formularzu meldunkowym lub w ankiecie satysfakcji klienta z pobytu:
„Jeśli chcesz otrzymywać́ informacje o naszej ofercie prosimy o podanie adresu e-mail …………………………………………………… I zaznaczenie poniższej zgody.
(checkbox) Wyrażam zgodę na otrzymywania od XYZ Sp. z o.o., informacji handlowych drogą elektroniczną dotyczących działań marketingowych podejmowanych przez XYZ Sp. z o.o. Zostałem/am poinformowany/a o możliwości odwołania zgody w każdym momencie.
Administratorem danych osobowych jest XYZ sp. z o.o., dalej (,, Administrator’’). W spółce został powołany Inspektor Ochrony Danych, z którymi można skontaktować się listownie (adres jw.) lub adresem e-mail: iod@xyz.pl. Z pełną treścią obowiązku informacyjnego możesz zapoznać się z w Recepcji Obiektu lub na stronie internetowej www.xyz.pl.”
Warto także zwrócić na kolejny, ciekawy obszar przetwarzania danych przez hotele, które oferują SPA oraz zabiegi pielęgnacyjne, rehabilitacyjne itd. W większości przypadków, przed wykonaniem danego zabiegu czy masażu, konieczne jest zebranie informacji na temat np. przebytych chorób lub ogólnego stanu zdrowia klienta SPA. W takich celach, często klienci otrzymują do wypełnienia ankiety czy krótkie formularze z podstawowymi pytaniami nt. stanu zdrowia lub przebytych chorób. Jeżeli dane te zbierane są w celu realizacji świadczeń zdrowotnych np. w hotelach uzdrowiskowych, wtedy podstawę prawną do przetwarzania danych szczególnej kategorii możemy znaleźć w obowiązujących przepisach tj. ustawa o prawach i Rzeczniku Praw Pacjenta oraz Rozporządzeniu Ministra Zdrowia w sprawie rodzajów, zakresu i wzorów dokumentacji medycznej oraz sposobu jej przetwarzania. W takim przypadku nie będzie konieczne odbieranie zgody na dane szczególnej kategorii, a bardziej będzie można posłużyć się art. 9 ust. 2 lit. h RODO jako podstawą prawną przetwarzania danych szczególnej kategorii tj. gdy przetwarzanie danych jest niezbędne do celów profilaktyki zdrowotnej na podstawia prawa Unii lub państwa członkowskiego.
Jeżeli zabiegi nie mają bezpośredniego związku z realizacją świadczeń medycznych, wtedy podstawą prawną przetwarzania danych szczególnej kategorii może być wyraźna zgoda klienta wskazana w art. 9 ust. 2 lit. a RODO. Zgoda ta powinna być zbierana np. na wypełnianym formularzu lub ankiecie przed wejście na masaż lub zabieg.
Podsumowanie
Powyżej wskazaliśmy tylko przykładowe procesy związane z przetwarzaniem danych osobowych przez hotele i obiekty wypoczynkowe. Zapewnienie zgodności z przepisami RODO, to proces o wiele bardziej złożony, a samych czynności przetwarzania danych osobowych w hotelach jest zdecydowanie więcej, tak jak np.: rekrutacja i zatrudnianie pracowników i współpracowników, świadczenie usług najmu sprzętów, organizacji wesel i konferencji itd. Oprócz tego, konieczne jest przygotowanie klauzul informacyjny, polityki ochrony danych osobowych, przeszkolenie pracowników z podstawowych kwestii ochrony danych osobowych czy wdrożenie odpowiednich środków bezpieczeństwa fizycznych i organizacyjnych, które zniwelują ryzyko ewentualnego naruszenia ochrony danych osobowych. Jeżeli potrzebujesz wsparcia w tym zakresie, zapraszamy do kontaktu!
