RODO, a powierzenie procesów przetwarzania danych osobowych w hotelu firmom zewnętrznym.
Do powierzenia przetwarzania danych osobowych dochodzi w wielu sytuacjach.
Hotele które korzystają z usług outsourcingowych często nie zdają sobie sprawy jak wielu podmiotom powierzane są dane osobowe gości, kontrahentów lub pracowników.
Mówimy tu o takich usługach jak na przykład zewnętrzna obsługa kadrowo płacowa, finansowo księgowa, IT, prawna, marketingowa, rezerwacji internetowych, itp.
Ochrona ma dostęp do monitoringu w którym przetwarzane są dane wizerunku gości i pracowników.
W RODO wizerunek twarzy określony został jako szczególny rodzaj danych osobowych - dane biometryczne. Hotel zbiera te dane w celu zapewnienia bezpieczeństwa gości oraz personelu, dlatego z firmą świadcząca usługi ochrony hotel również powinien podpisać umowę powierzenia.
Należy umiejętnie rozgraniczyć sytuacje kiedy hotel powierza dane osobowe do przetwarzania, a kiedy dochodzi do przekazania danych przez innego administratora.
Przykładem takiego przekazania może być współpraca z portalem rezerwacyjnym booking.com, HRS, organizatorem imprez turystycznych takich jak TUI lub inny tour operator. W wyżej wymienionych przykładach administratorem danych osobowych jest przedsiębiorstwo z którym gość zawiera umowę rezerwacyjną lub pobytu, a dane osobowe gościa w wyniku zawartej umowy przekazywane są do hotelu.
Specyficzna sytuacja zachodzi w przypadku największego polskiego dostawcy booking enginu, firmy Profitroom, który oferuje hotelom wiele różnych usług. Z jednej strony jest on operatorem przekazującym dane gościa dokonującego rezerwacji poprzez stronę internetową hotelu, a z drugiej strony jest procesorem czyli podmiotem przetwarzającym dane należące do hotelu.
Przykładowe usługi świadczone przez podmioty zewnętrzne, które mogą uczestniczyć w przetwarzaniu danych osobowych.
Ponieważ po 25 maja 2018 w istotny sposób zmienią się zasady powierzania danych zewnętrznym podmiotom, korzystanie z wielu usług B2B będzie musiało odbywać się na nowych zasadach.
W RODO (Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych) określony został Podmiot przetwarzający.
W Art. 28 RODO zawarto warunki jakie powinna spełniać umowa pomiędzy administratorem danych osobowych a podmiotem przetwarzającym, lub inny instrument prawny, na mocy którego następuje powierzenie przetwarzania danych osobowych.
Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą.
Biorąc pod uwagę wymogi RODO:
- umowa musi zostać zawarta w formie pisemnej, w tym również może mieć formę elektroniczną.
- konieczna jest weryfikacja strony, z którą Administrator danych zawarł umowę powierzenia danych.
- podmiot przetwarzający musi również spełniać warunki opisane w RODO.
- umowa powinna określać przedmiot, charakter, cel, oraz czas trwania przetwarzania, rodzaj danych
osobowych, oraz kategorie osób, których dane dotyczą.
- umowa wskazuje obowiązki podmiotu przetwarzającego i prawa administratora.
- zawiera informację czy wyrażana jest, a jeśli tak to na jakich zasadach i komu, zgoda na dalsze podpowierzenie danych osobowych.
- określa co dzieje się z danymi po rozwiązaniu umowy i w jakim terminie powinny zostać zwrócone lub usunięte.
- określa czas powiadomienia administratora przez podmiot przetwarzający o naruszeniu ochrony danych osobowych, który powinien nie przekraczać 72 godzin (zwykle zalecamy naszym klientom zapis o 48 godzinnym czasie powiadomienia).
Często podczas audytu pojawia się pytanie: Co z dotychczasowymi umowami powierzenia?
Otóż każdą z nich należy oddzielnie przeanalizować, oraz zweryfikować czy spełnia wymagania RODO.
Podobnie należy postąpić z umowami zawartymi z biurami przesyłającymi dane osobowe potencjalnych gości z portali rezerwacyjnych.
Jak więc wybrać usługodawcę i zweryfikować, czy „zapewnia wystarczające gwarancje” ochrony danych osobowych?
Nie z każdym usługodawcą, któremu hotel powierza dane osobowe będzie można podpisać identyczną umowę powierzenia. Niektóre podmioty przetwarzające dane będą same przygotowywać umowy powierzenia. Przykładem może być bank w którym hotel prowadzi obsługę konta i ma dostęp do danych osobowych jego pracowników (płace realizowane przelewem), kontrahentów (rozliczenia płatności), czy gości (zaliczki do rezerwacji lub wpłaty za pobyt). Podobna sytuacja może wydarzyć się z dostawcą usług hostingowych lub producenta oprogramowania (HR, FK, czy PMS) oferującego wsparcie techniczne. W takich przypadkach umowy zostaną przygotowane przez podmioty przetwarzające i przedstawione hotelom do zaakceptowania i podpisania.
Wybierając usługodawcę należy zawszę upewnić się, czy nasz partner, któremu powierzane są dane osobowe posiada:
a. fachową wiedzę
b. wiarygodność
c. odpowiednie zasoby techniczne takie jak :
- systemy bezpieczeństwa fizycznego (np. kontrola dostępu do miejsc przetwarzania)
- systemy bezpieczeństwa IT (np. szyfrowanie, pseduonimizacja, zabezpieczenia sieciowe,
uprawnienia w systemach)
d. odpowiednie zasoby organizacyjne (Polityka bezpieczeństwa, Inspektor Ochrony Danych, wprowadzone procedury np. w zakresie dostępu do danych osobowych, zmian w systemach IT)
e. procedury określające szybkość przywrócenia działania po zaistnieniu incydentu bezpieczeństwa
Poleganie na jedno lub dwuosobowej firmie świadczącej usługi outsourcingu nie gwarantuje, że w przypadku zaistnienia sytuacji kryzysowej lub zaistnienia incydentu bezpieczeństwa powodującego naruszenie zasad ochrony danych osobowych, zapewni hotelowi ciągłość działania.
Dlatego też należy wybierać większe firmy o ugruntowanej reputacji i spełniające wymogi RODO.
Szczególnym przypadkiem powierzenia danych osobowych jest ich przetwarzanie w chmurze.
Na gruncie przepisów prawa przekazanie danych do chmury stanowi ich powierzenie i powinno być odpowiednio uregulowane w umowie.
Tworzenie backupów i archiwizacji baz danych osobowych samo w sobie stanowi przetwarzanie danych osobowych.
Należy wybierać tylko zaufanych, znanych i sprawdzonych dostawców usług chmurowych.
Należy pamiętać, że darmowa usługa nie istnieje.
Owszem, korzystający z tej usługi nie ponosi kosztów bezpośrednich, jednakże firmy świadczące te usługi w swoich regulaminach wprowadzają często zapisy, które pozwalają np. na śledzenie preferencji użytkownika oraz analizują rodzaje i typy zamieszczanych plików.
W skrajnych przypadkach osoba zamieszczająca dane zezwala, akceptując regulamin,
na wykorzystanie treści dokumentów lub też ich upublicznienie.
Przed wysłaniem do chmury danych które mają zostać zachowane w poufności, powinno się zaszyfrować te dane. Szyfrowanie danych, niezależnie od miejsca ich przechowywania, zawsze zwiększa ich bezpieczeństwo oraz zapewnia ich poufność.
Nie wolno ujawniać kluczy szyfrujących, nazw użytkowników i haseł do usług chmurowych.
Tak samo jak w przypadku danych gromadzonych lokalnie – ich ujawnienie lub pozyskanie przez osoby nieuprawnione może narazić hotel na utratę danych i poważane straty finansowe oraz wizerunkowe.
Podsumowując, należy dokładnie przeanalizować wszystkich partnerów którym hotel przekazuje dane osobowe uwzględniając stosowany przez nich stopień zabezpieczeń.
Przygotowanie umowy powierzenia warto powierzyć kancelarii zapewniającej usługi prawne dla hotelu, lub doświadczonej firmie wdrażającej zasady ochrony danych osobowych.