Áno, od hostí je vo väčšine prípadov potrebné žiadať súhlas na spracovanie osobných údajov. Prevádzkovatelia ubytovacích zariadení, ako sú hotely, penzióny, apartmány či súkromní poskytovatelia cez platformy ako Airbnb, zhromažďujú množstvo osobných údajov svojich hostí. Tieto údaje môžu zahŕňať mená, adresy, údaje z dokladov totožnosti, telefónne čísla, emailové adresy a ďalšie informácie, ktoré podliehajú ochrane podľa nariadenia GDPR (General Data Protection Regulation).
Každý, kto manipuluje s osobnými údajmi fyzických osôb v rámci EÚ, je povinný dodržiavať požiadavky GDPR, ktoré sa týkajú najmä dôvodu spracovania údajov, zákonnosti tohto spracovania, poskytnutia potrebných informácií dotknutým osobám a realizácie práv subjektov údajov. V tomto článku si podrobne rozoberieme, kedy je súhlas potrebný, ako ho správne získať, ktoré údaje je možné spracovávať bez súhlasu a aké sú riziká vyplývajúce z nedodržania legislatívy.
Právny rámec ochrany osobných údajov v Slovenskej republike
GDPR a jeho vplyv na prevádzkovateľov ubytovania
General Data Protection Regulation (GDPR), ktoré nadobudlo platnosť 25. mája 2018, ustanovuje jednotný právny rámec pre ochranu osobných údajov v celej EÚ. Tento predpis sa týka všetkých subjektov, ktoré spracúvajú osobné údaje, vrátane ubytovateľov.
Na Slovensku zároveň platí Zákon č. 18/2018 Z. z. o ochrane osobných údajov, ktorý GDPR dopĺňa a špecifikuje jeho aplikáciu na národnej úrovni. Ubytovatelia sú považovaní za tzv. „prevádzkovateľov údajov“ a preto musia dodržiavať princípy zákonnosti, transparentnosti a bezpečnosti pri práci s údajmi hostí.
Definícia osobných údajov
Osobné údaje sú všetky informácie, ktoré môžu viesť k identifikácii konkrétnej osoby. V prípade hostí ide najčastejšie o:
- meno a priezvisko
- adresa trvalého alebo prechodného pobytu
- číslo občianskeho preukazu alebo pasu
- dátum narodenia
- telefónne číslo
- emailová adresa
Kedy je súhlas hostí na spracovanie údajov nevyhnutný?
Súhlas je len jedným z právnych základov spracúvania osobných údajov podľa GDPR. V prípade ubytovania však existujú aj iné dôvody, kedy nie je potrebné žiadať o súhlas, napríklad ak je spracovanie nevyhnutné pre splnenie zákonnej povinnosti alebo zmluvného vzťahu.
Prípady, kedy súhlas nie je potrebný
Medzi situácie, kde súhlas nie je vyžadovaný, patrí napríklad:
- registrácia hostí podľa zákona o pobyte občanov SR a cudzincov
- zaznamenávanie hostí na účely dane za ubytovanie
- vystavovanie faktúr a iných daňových dokumentov
Kedy je súhlas nevyhnutný
Súhlas so spracovaním osobných údajov je potrebný najmä v prípadoch, kde poskytnutie údajov nie je zákonnou povinnosťou alebo zmluvnou nevyhnutnosťou. Napríklad:
- zasielanie reklamných emailov (newsletter)
- využitie fotografií hostí na marketingové účely
- využívajú sa analytické údaje pre profilovanie hostí
Správne získanie súhlasu: Ako na to?
Zásady poskytovania súhlasu
Aby bol súhlas platný, musí byť:
- dobrovoľný – hostia musia mať možnosť odmietnuť bez sankcií
- konkrétny – musí byť jasne určené, na čo sa súhlas vzťahuje
- informovaný – hostia musia dostať všetky potrebné informácie (napr. účel spracovania, doba uchovania)
- preukázateľný – súhlas musí byť dokumentovaný (napr. prostredníctvom formulára alebo emailu)
Praktické formy získania súhlasu
Súhlas možno získať:
- pri check-ine formou podpisu dokumentu
- cez zaškrtávacie políčko v online rezervačnom systéme
- emailovým potvrdením po rezervácii
Informovanie hostí a dokumentácia
Právo na informácie
Podľa GDPR musí byť hosť plne informovaný o tom, ako budú jeho údaje spracovávané. Toto sa realizuje prostredníctvom tzv. informovaného súhlasu alebo zásad spracovania údajov.
Tieto dokumenty by mali obsahovať:
- identifikačné údaje prevádzkovateľa
- účel spracovania, právny základ a doba uchovávania
- informácie o práve odvolať súhlas
- spôsob kontaktovania zodpovednej osoby
Evidencia súhlasov
GDPR vyžaduje, aby bol prevádzkovateľ schopný preukázať, že získal súhlas v súlade s právom. Preto by mala existovať evidencia súhlasov – napr. v elektronickej podobe alebo v papierovom archíve.
Riziká a sankcie pri nedodržiavaní pravidiel
Možné pokuty a následky
Porušenie povinností pri spracovaní osobných údajov môže viesť k:
- pokute až do výšky 20 miliónov € alebo 4 % celkového ročného obratu
- poškodeniu reputácie zariadenia
- stratám dôvery zákazníkov
Bežné chyby prevádzkovateľov
Niektoré časté pochybenia:
- chýbajúca dokumentácia o súhlase
- neaktualizované zásady ochrany osobných údajov
- nezabezpečené uchovávanie údajov (napr. nezamknuté šanóny)
Odporúčania pre správnu prax pri spracúvaní údajov hostí
Ak chcete dodržiavať GDPR bez zbytočných rizík, riaďte sa nasledujúcimi odporúčaniami:
- Vyhodnoťte, ktoré údaje sú nevyhnutné pre poskytovanie služieb
- Vytvorte jasné zásady spracovania a informujte hostí
- Zabezpečte technické a organizačné opatrenia na ochranu údajov
- Pravidelne školte zamestnancov a aktualizujte vnútorné predpisy
Nezabúdajte, že transparentnosť a dôvera návštevníkov je nenahraditeľným kapitálom v oblasti ubytovacích služieb.
