Áno, hotelové zariadenia, rovnako ako ostatné organizácie, ktoré spracúvajú osobné údaje, môžu mať povinnosť ustanoviť zodpovednú osobu podľa nariadenia GDPR (Všeobecné nariadenie o ochrane údajov). Táto povinnosť však závisí od viacerých faktorov, ako sú rozsah a povaha spracovania osobných údajov. V prípade hotelov táto povinnosť často nastáva, pretože spracúvajú údaje veľkého množstva klientov vrátane citlivých údajov. V tomto článku si podrobne vysvetlíme, kedy je povinnosť ustanoviť zodpovednú osobu, aké sú jej kompetencie a ako môže hotel zabezpečiť súlad s GDPR.
Všeobecný pohľad na GDPR a povinnosti hotelov
GDPR je právny rámec EÚ, ktorý reguluje spracovanie osobných údajov fyzických osôb. Hotelové zariadenia pravidelne zhromažďujú a spracúvajú osobné údaje hostí, ako sú mená, adresy, kontaktné údaje, čísla dokladov totožnosti, platobné informácie alebo údaj o špeciálnych požiadavkách, ktoré môžu byť považované za citlivé údaje (napr. zdravotné obmedzenia).
Každý prevádzkovateľ údajov, teda aj hotel, je zodpovedný za to, aby toto spracovávanie prebiehalo v súlade s pravidlami stanovenými GDPR. Ak hotel spracováva údaje pravidelne, vo veľkom rozsahu alebo spracúva špeciálne kategórie údajov, môže mať povinnosť ustanoviť tzv. zodpovednú osobu (Data Protection Officer – DPO).
Kto je zodpovedná osoba (DPO) a aká je jej úloha?
Zodpovedná osoba pre ochranu údajov je nezávislý odborník na ochranu údajov, ktorý dohliada na súlad spracovania údajov so zákonnými požiadavkami GDPR. Jeho úlohou nie je vykonávať samotné spracovanie, ale dohliadať na jeho zákonnosť, hovoriť do stratégie a politiky ochrany osobných údajov a zabezpečiť vzdelávanie zamestnancov v tejto oblasti.
Hlavné povinnosti zodpovednej osoby zahŕňajú:
- Informovanie a poradenstvo prevádzkovateľovi údajov a zamestnancom o ich povinnostiach podľa GDPR
- Dohliadanie na dodržiavanie pravidiel GDPR a interných politik
- Spolupráca s dozorným orgánom (Úrad na ochranu osobných údajov SR)
- Vykonávanie posúdení vplyvu na ochranu údajov (Data Protection Impact Assessment – DPIA)
Kedy je hotel povinný ustanoviť zodpovednú osobu?
Povinnosť ustanoviť zodpovednú osobu sa nevzťahuje na každého. Podľa článku 37 nariadenia GDPR je táto povinnosť povinná v týchto prípadoch:
- Ak spracovanie vykonáva verejný orgán alebo verejná inštitúcia (okrem súdov ako súčasť ich sudcovskej činnosti)
- Ak je hlavnou činnosťou prevádzkovateľa alebo sprostredkovateľa pravidelné a systematické monitorovanie subjektov údajov vo veľkom rozsahu
- Ak je hlavnou činnosťou spracúvanie špeciálnych kategórií údajov (napr. zdravotné údaje) vo veľkom rozsahu
V prípade hotelov sa potreba ustanoviť DPO typicky odvíja od:
- Počtu hostí, ktorých údaje sa spracúvajú pravidelne
- Zavedených systémov na možný marketing, lojalitné programy alebo monitorovanie správania klientov (napr. prostredníctvom kamerových systémov alebo online profilácie)
- Spracovanie špeciálnych údajov – napr. v prípade wellness, spa alebo zdravotných služieb v rámci ubytovania
Dobrovoľné vymenovanie DPO: výhody pre hotely
Aj ak hotel nie je povinný ustanoviť zodpovednú osobu, môže to byť strategické rozhodnutie. Dobrovoľné ustanovenie prináša množstvo benefitov:
- Posilnenie dôvery klientov – Ukazuje, že hotel dôkladne chráni údaje a berie súkromie klientov vážne
- Prevencia pred pokutami – Zodpovedná osoba pomáha identifikovať riziká a pripraviť opatrenia na ich zníženie
- Optimalizácia procesov – DPO môže pomôcť s vytvorením účinných interných pravidiel a dokumentácie, čo zefektívni spracovanie údajov
Alternatívy pre menšie hotely bez povinnosti DPO
V prípade, že hotel nemá povinnosť ustanoviť DPO, nemal by zanedbať oblast ochrany osobných údajov. Existujú alternatívne opatrenia na zabezpečenie súladu s GDPR:
- Externý konzultant na GDPR – Odborník, ktorý nepravidelne audituje a kontroluje stav ochrany údajov
- Interný koordinátor ochrany údajov – Nepodlieha požiadavkám ako DPO, ale zabezpečuje základné povinnosti
- Školenia a dokumentácia – Vypracovanie základných zásad spracovania údajov a pravidelný tréning zamestnancov
Aké vlastnosti musí mať DPO v hotelovom prostredí?
Výber zodpovednej osoby nie je formálna záležitosť – musí ísť o odborníka, ktorý má:
- Odborné znalosti v oblasti práva a praxe ochrany osobných údajov
- Schopnosť interakcie s dozornými orgánmi a riadiacim tímom hotela
- Nezávislosť vo výkone svojej funkcie
- Skúsenosti s hodnotením rizík a informačnou bezpečnostou
Je dôležité, aby mal DPO prístup k vedeniu firmy a aby jeho úloha bola riadne podporovaná zo strany manažmentu.
Ako zabezpečiť súlad s GDPR, aj bez povinného DPO?
Každý hotel, bez ohľadu na veľkosť, musí zabezpečiť súlad s GDPR prostredníctvom:
- Vypracovania záznamov o spracovateľských činnostiach
- Zabezpečenia údajov technickými a organizačnými opatreniami
- Transparentnosti voči klientom – oznámenia o spracovaní údajov, práva dotknutých osôb
- Definície interných pravidiel a procesov pre ochranu údajov
Aj bez DPO je dôležité mať systém, ktorý priebežne identifikuje a rieši riziká pri spracovaní údajov.
Záver: Je ustanovenie DPO povinnosť alebo výhoda pre hotel?
Odpoveď závisí od konkrétnych podmienok hotela. Veľké hotelové siete alebo hotely s vysokým počtom hostí, systémom profilovania alebo poskytovaním zdravotných/služieb často podliehajú povinnosti ustanoviť DPO. Menšie hotely nemusia, ale môžu DPO dobrovoľne vymenovať ako formu zodpovedného prístupu k ochrane údajov. V každom prípade by malo byť starostlivé spracovanie osobných údajov neoddeliteľnou súčasťou každodennej praxe každého hoteliera.