Dane osobowe gościa hotelowego.
W Artykule 6 RODO określono zgodność przetwarzania danych osobowych z prawem. W jego kolejnych punktach zostały wymienione przesłanki legalizujące proces przetwarzania.
Wybór przesłanki determinuje długość przetwarzania danych osobowych gościa.
.jpg)
Dotychczas wykorzystywana przez hotele przesłanka, to przetwarzanie które jest niezbędne dla wykonania umowy o świadczenie usług hotelarskich, lub podjęcia działań na żądanie osoby której dane dotyczą przed zawarciem umowy -rezerwacji pobytu (przesłanka zawarta w art. 6 pkt b.).
Z uwagi na wytyczne opublikowane przez Grupę Art. 29.* oraz GIODO, wykorzystując tę przesłankę należy usunąć dane gościa niezwłocznie po zakończeniu celu przetwarzania (czyli po zakończeniu pobytu gościa w hotelu), chyba że hotel będzie miał obowiązek przetwarzać dane w celu wypełnienia obowiązku prawnego opisanego w art. 6 pkt c. (np. przepisy prawa podatkowego lub bankowego).
Hotel ma jednak prawo przechowywać dane osobowe gościa (nawet mimo prośby o usunięcie danych przez osobę której dane dotyczą).
Taka przesłanką będzie ART. 118 Kodeksu Cywilnego który dotyczy przedawnienia roszczeń :
Jeżeli przepis szczególny nie stanowi inaczej, termin przedawnienia wynosi lat dziesięć, a dla roszczeń o świadczenia okresowe oraz roszczeń związanych z prowadzeniem działalności gospodarczej – trzy lata.
Różnica pomiędzy rozliczeniem się na podstawie paragonu a wystawieniem faktury wynika z faktu, że na paragonie w odróżnieniu od faktury nie umieszcza się danych osobowych gościa.
Jeśli Hotel więc chce przetwarzać dane gościa dłużej np. w celu przesyłania ofert handlowych lub lepszej obsługi gościa podczas jego przyszłych pobytów w hotelu, musi poprosić gościa o wyrażenie w tym celu zgody na przetwarzanie jego danych osobowych wykorzystując przesłankę z Art. 6 ppkt a.
„(osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów)”.
Artykuł 4 ust. 11 RODO definiuje zgodę jako: „dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, w którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.”
Element „dobrowolna” oznacza rzeczywisty wybór i kontrolę zapewnione dla osoby, której dane dotyczą.
Dlatego należy bardzo umiejętnie dobrać słowa w klauzuli zgody, oraz oddzielić ją od świadczenia usług hotelowych. Jeżeli zgoda jest włączona jako niepodlegająca negocjacjom część warunków, zakłada się, że nie została wyrażona dobrowolnie. W związku z tym zgoda nie będzie uznana za dobrowolną, jeżeli osoba, której dane dotyczą, nie ma możliwości odmówienia lub wycofania swojej zgody bez niekorzystnych konsekwencji. Co do zasad, RODO przewiduje, że jeżeli osoba, której dane dotyczą, nie ma rzeczywistego wyboru, czuje się zmuszona do wyrażenia zgody lub poniesie negatywne konsekwencje, jeżeli nie wyrazi zgody, zgoda będzie nieważna.
Bardzo pomocne w opracowywaniu klauzul zgody będą wytyczne dotyczące zgody na mocy rozporządzenia 2016/679 (RODO) nr 17/PL WP259 przyjęte 28 listopada 2017 przez Grupę Roboczą Art. 29.
Wytyczne zapewniają dokładną analizę pojęcia zgody jako jednej z z sześciu legalnych podstaw przetwarzania danych osobowych, które wymieniono w artykule 6 RODO.
Pełny tekst publikacji 17/PL WP259 można znaleźć na stronie www.odowhotelu.pl .
We wszystkich wymienionych powyżej przypadkach określających czas przetwarzania danych osobowych należy spełnić obowiązek informacyjny wobec gościa.
Gościa należy poinformować o celu i zakresie zbieranych danych, przysługujących prawach, wskazać kto jest administratorem danych osobowych, w jaki sposób można się z nim skontaktować, a także o prawie wniesienia skargi do organu nadzorczego.
Należy również wskazać komu (jakim przedsiębiorstwom) dane mogą zostać powierzone, jak długo hotel planuje je przetwarzać, oraz skąd zostały pozyskane.
Informację taką należy zawrzeć w polityce bezpieczeństwa udostępnionej w regulaminie hotelowym, regulaminie rezerwacji lub oraz karcie gościa.
W przypadku kiedy hotel wykorzystuje dane gościa do profilowania ( social wifi, CRM, inne narzędzia marketingowe), zawsze musi posiadać zgodę na takie działania.
Osoba towarzysząca - pozyskiwanie i przetwarzanie danych osobowych.
Co do zasady, nie ma obowiązku zbierania danych osobowych kolejnych osób które mieszkają w pokoju z gościem który dokonał rezerwacji i będzie płatnikiem wobec hotelu.
Hotel powinien zebrać jednak informacje o kraju zamieszkania tej osoby ze względu na spełnienie obowiązku statystycznego (zestawienie KT 1 dla GUS).
Podobnie jest w przypadku, gdy w miejscowości w której znajduje się hotel, pobierana jest opłata lokalna, tzw. opłata klimatyczna, niezbędna w celu rozliczenia z gminą/miastem jest informacja o ilości osób przebywających w określonym czasie w hotelu.
Z drugiej jednak strony, jeśli osoba towarzysząca korzysta z dodatkowych usług świadczonych przez hotel, np. w zakresie SPA lub gastronomii, niezbędne staje się zidentyfikowanie jej przez pracowników hotelu w celu przesłania obciążenia na rachunek hotelowy i prawidłowego rozliczenia pobytu. Dlatego najbardziej rozsądnym wydaje się zbieranie tylko imienia, nazwiska i kraju zamieszkania osoby towarzyszącej, oczywiście pod warunkiem, że osoba ta wyrazi na to zgodę.
W przypadku braku podania tych informacji płatność za usługi dodatkowe może być realizowana tylko za gotówkę i nie można uruchomić kredytu hotelowego dla osób których tożsamości nie można ustalić .
Dane osobowe dziecka.
W świetle RODO za dziecko uznana zostaje osoba która nie ukończyła 16 lat (w nowelizowanej polskiej ustawie o ochronie danych osobowych planowane jest obniżenie wieku do lat 13). Przetwarzanie danych osobowych dziecka może odbywać się tylko gdy zgodę wyraziła lub zaaprobowała, osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem, oraz wyłącznie w zakresie wyrażonej zgody.
Po ustaniu celu przetwarzania (pobytu w hotelu), należy niezwłocznie usunąć dane dziecka, gdyż w przypadku dłuższego niż jest to konieczne przetwarzania danych osobowych, może zaistnieć sytuacja w której zgoda udzielona przez opiekuna stanie się nieważna z powodu osiągnięcia wieku pełnoletności osoby. Hotel musiałby poinformować taką osobę o przetwarzaniu jego danych i zwrócić się z prośbą o zgodę na ich przetwarzanie. Byłoby to niezwykle kłopotliwe dla hotelu aby cały czas monitorować w systemach komputerowych, które dzieci osiągnęły pełnoletność i podejmować wobec nich określone działania.
Dane osobowe gości pozyskane od organizatorów imprez, oraz zewnętrznych systemów rezerwacyjnych.
Podpisując umowę z organizatorem imprezy który przekaże hotelowi dane osobowe uczestników imprezy warto upewnić się że organizator posiada zgodę na ich przetwarzanie i dalsze przekazywanie.
W przypadku pozyskania danych osobowych gościa od organizatora imprezy, OTA (online travel agencies), lub zewnętrznego operatora (booking.com, HRS, itp.), zgodnie z art. 14 pkt 3. RODO, hotel ma obowiązek spełnić obowiązek informacyjny opisany powyżej, dodając do niego informację o źródle pozyskania danych osobowych.
Aktualnie nowelizowana ustawa o świadczeniu usług turystycznych ma złagodzić ten przepis i pozwolić realizować obowiązek informacyjny wobec osoby która nie przekazała swoich danych bezpośrednio hotelowi dopiero w momencie rozpoczęcia realizowania usługi hotelowej, z pominięciem wskazanego przez RODO okresu „najpóźniej miesiąca”.
Będzie stanowiło to olbrzymie ułatwienie dla hotelu, ponieważ realizowanie tego obowiązku w stosunku do osób które rezerwują pobyt z dużym wyprzedzeniem czasowym byłoby dla niego dodatkowym kosztem.
Podobnie jak w przypadku rezerwacji lub pobytu gościa od którego dane osobowe hotel pozyskał bezpośrednio, należy określić przesłankę legalizująca przetwarzanie danych i dostosować do niej czas ich przetwarzania.
Dane potencjalnych gości.
Od czasu do czasu dochodzi do sytuacji w której rezerwowany pobyt (bezpośrednio lub przez pośrednika) nie zostaje zrealizowany, ale hotel w procesie rezerwacji uzyskał już dane osobowe potencjalnego gościa.
W przypadku gdy wpłynęła zaliczka lub zadatek do rezerwacji, należy potraktować dane osobowe podobnie jak gościa hotelowego.
W przypadku gdy gość wycofał się z rezerwacji i nie nastąpiły żadne powiązania finansowe,
należy odszukać dane osobowe gościa z anulowanej rezerwacji i usunąć je z systemu.
„Persona non grata”, a przetwarzanie danych osobowych.
W hotelu zdarzają się goście którzy swoim zachowaniem powodują, że stają się osobami nieproszonymi, których hotel w przyszłości nie chce obsługiwać.
Czy można wtedy przetwarzać ich dane w celu zapobiegnięcia założenia rezerwacji lub pobytu w przyszłości ? Jaką posłużyć się przesłanką legalizacyjną w takim przypadku ?
Niestety brak jest jednoznacznych opinii, ani wskazówek ze strony GIODO czy też Grupy Art. 29.
W mojej opinii można te dane przetwarzać w bardzo ograniczony sposób wskazując na przesłankę
uzasadnionego prawnie celu administratora.
Art. 6 pkt 1 podpunkt f : przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Uwaga ! Nie wolno udostępniać ani wymieniać się tymi danymi z innymi hotelami.
A co zrobić z danymi od gości których dane zostały pozyskane przed wejściem RODO ?
Wszystkie dane osobowe które zostały pozyskane przed 25 maja 2018 należy podzielić według powyżej przedstawionych sytuacji i usunąć, lub pozostawić w zależności od użytej przesłanki legalizacyjnej, oraz czasu jaki upłynął od ostatniego pobytu gościa i sposobu jego rozliczenia z hotelem.
W przypadku gdy chcemy zachować na przyszłość wszystkie posiadane dane osobowe w celu przesyłania ofert, jeszcze lepszego dopasowania oferty dla klienta, lub świadczenia usług hotelowych w przyszłości, należy przesłać do wszystkich gości mail lub list (najlepiej z kopertą zwrotną ), zawierający prośbę o wyrażenie zgody na przetwarzanie ich danych osobowych.
Producenci oprogramowania PMS, booking engin, channel managera, czy CRM będą musieli dostosować swoje programy aby ułatwić hotelom dostosowanie się do wymogów RODO.
Bez tej pomocy hotele będą miały bardzo utrudnione, jeśli nie niemożliwe, zadanie do wykonania.
Dotyczy to między innymi wprowadzenia do kartoteki gościa informacji o przesłance legalizacyjnej przetwarzania, określenia daty usunięcia lub zanonimizowania danych, oraz źródle pozyskania danych osobowych zawartych w PMS-ie. W szczególności będzie to dotyczyć zautomatyzowanych systemów informatycznych typu channel manager wymieniających informacje z wieloma kanałami sprzedażowymi do jednego PMS-a.
Artykuł zostanie opulikowany w styczniowym Hotelarzu
