• Naše služby na mieru

      Vyberte si oblasť, s ktorou vám vieme pomôcť – rýchlo, spoľahlivo a odborne.

      Ochrana osobných údajov

      Kybernetická bezpečnosť

      Bezpečnosť práce

      Online poradca

      Smernice pre školstvo

      Šikana a kyberšikana

      Ochrana oznamovateľa

      Anonymizér dokumentov

      Segregácia

      Prehľad služieb

    • Riešenia prispôsobené pre váš segment

      Vyberte typ organizácie alebo podnikania a pozrite si riešenia šité na mieru.

      Obec

      Mesto

      Škola

      Školské zariadenie

      Zdravotníctvo

      Štátna správa

      E-shop

      Malý podnik

      Veľký podnik

      Iný subjekt

  • Referencie
  • EN
Konzultácia zdarma
Späť na Blog
, ,

Zahrávate sa s likvidačnou pokutou? Tieto údaje hostí v hoteli sú z pohľadu GDPR najväčším rizikom

26. mája 2026

Späť na Blog

Zahrávate sa s likvidačnou pokutou? Tieto údaje hostí v hoteli sú z pohľadu GDPR najväčším rizikom

Sektor ubytovacích služieb prešiel v posledných rokoch masívnou digitálnou transformáciou. Moderný hotel už nie je len miestom oddychu, ale predovšetkým obrovským uzlom, v ktorom sa denne zbiehajú tisíce citlivých informácií. Od momentu prvej online rezervácie až po finálny check-out zanecháva hosť za sebou digitálnu stopu, ktorá pre prevádzkovateľa predstavuje nielen cenné aktívum, ale aj obrovskú právnu zodpovednosť. Európske nariadenie GDPR nastavilo latku ochrany súkromia mimoriadne vysoko a hotely sa stali častým cieľom dozorných orgánov. Riziko nespočíva len v technickom zabezpečení serverov, ale najmä v procesoch spracúvania údajov, ktoré sú často zastarané alebo nesprávne nastavené. V tomto článku sa pozrieme na to, ktoré konkrétne kategórie údajov predstavujú pre váš biznis najväčšiu hrozbu a prečo môže byť ich podcenenie pre hotel doslova likvidačné.

Prečo je hotelierstvo magnetom pre kontrolné orgány?

Hotely spracúvajú špecifický mix údajov, ktorý sa v iných odvetviach vyskytuje len zriedka. Kombinujú identifikačné údaje, finančné informácie, biometriu z kamerových systémov a často aj citlivé údaje o zdravotnom stave či náboženskom vyznaní. Práve táto diverzita robí z hotelov vysokorizikové subjekty. Úrad na ochranu osobných údajov sa pri kontrolách zameriava predovšetkým na to, či hotel dodržiava princíp minimalizácie údajov a či má jasne definovaný právny základ pre každú jednu operáciu.

Mnohí hotelieri žijú v omyle, že stačí mať vypracovanú bezpečnostnú dokumentáciu niekde v zásuvke. GDPR je však o živej kultúre ochrany dát. Ak zamestnanec na recepcii ponechá knihu ubytovaných voľne dostupnú na pulte, alebo ak marketingové oddelenie rozosiela newslettre bez platného súhlasu, žiadna dokumentácia vás pred vysokou pokutou nezachráni. Riziko sa znásobuje aj zapojením tretích strán, ako sú rezervačné portály (OTA), externé upratovacie služby či IT dodávatelia.

1. Údaje z dokladov totožnosti a fenomén „skenovania“

Jedným z najväčších kameňov úrazu v slovenskom hotelierstve je narábanie s občianskymi preukazmi a pasmi. Zákon o hlásení pobytu síce ukladá hotelu povinnosť overiť totožnosť a zapísať určité údaje do knihy ubytovaných, ale striktne zakazuje vyhotovovať kópie alebo skeny dokladov bez výslovného a slobodného súhlasu dotknutej osoby.

  • Zbytočný zber údajov: Kopírovanie celého dokladu znamená, že hotel spracúva aj údaje, ktoré pre ubytovanie nepotrebuje (napr. rodné číslo, podobizeň tváre, ak nie je nevyhnutná, či podpis).
  • Riziko krádeže identity: Ak databáza obsahujúca skeny dokladov unikne, pre útočníkov je to „zlatá baňa“, čo dramaticky zvyšuje potenciálnu pokutu zo strany regulátora.
  • Správna prax: Údaje do systému prepisujte manuálne alebo využívajte čítačky, ktoré do systému prenesú len zákonom vyžadované polia, pričom obraz dokladu sa nikde neukladá.

2. Platobné údaje a bezpečnosť finančných transakcií

Spracúvanie údajov o platobných kartách je kategória sama o sebe. Tu sa GDPR prelína so štandardmi PCI DSS (Payment Card Industry Data Security Standard). Najväčšie riziko vzniká pri manuálnych rezerváciách, kedy hostia posielajú údaje o karte e-mailom alebo ich diktujú cez telefón.

Pokiaľ zamestnanci hotela zapisujú čísla kariet a CVV kódy na papieriky alebo ich ukladajú v nezabezpečených Excel tabuľkách, hotel si doslova pýta katastrofu. CVV/CVC kód sa podľa pravidiel nesmie ukladať nikdy, ani po autorizácii platby. Akonáhle dôjde k úniku týchto dát, hotel nenesie len riziko pokuty od úradu, ale aj žalôb zo strany bánk a samotných klientov za spôsobenú finančnú škodu. Moderným riešením je tokenizácia, kedy hotel s reálnymi údajmi o karte vôbec neprichádza do styku a pracuje len s bezpečným digitálnym kľúčom.

3. Kamerové systémy (CCTV) ako tichá hrozba

Monitoring priestorov hotela je z hľadiska bezpečnosti nevyhnutný, no z hľadiska GDPR ide o spracúvanie biometrických charakteristík (tvár hostí). Najčastejšie chyby v tejto oblasti zahŕňajú:

  • Absencia testu proporcionality: Hotel musí vedieť preukázať, že sledovanie daného priestoru je skutočne nevyhnutné a že bezpečnosť sa nedala zaistiť inak.
  • Sledovanie nevhodných miest: Kamery v relaxačných zónach, wellness centrách alebo v blízkosti vchodov do izieb sú považované za hrubý zásah do súkromia.
  • Nedostatočné informovanie: Samolepka „Priestor monitorovaný“ už dávno nestačí. Hosť musí mať prístup k podrobným informáciám o tom, kto prenos sleduje, ako dlho sa záznam uchováva a aké má práva.
  • Príliš dlhá doba uchovávania: Záznamy by sa mali uchovávať len po dobu nevyhnutnú (štandardne 48 až 72 hodín), pokiaľ nedošlo k incidentu. Uchovávanie záznamov po dobu 30 dní bez pádneho dôvodu je neobhájiteľné.

4. Marketingové databázy a vernostné programy

Hotely prirodzene túžia po lojálnych hosťoch a chcú s nimi komunikovať aj po ich odchode. Tu však narážajú na prísne pravidlá priameho marketingu. Častým mýtom je, že ak mám e-mail hosťa z rezervácie, môžem mu posielať akcie. GDPR však rozlišuje medzi transakčným e-mailom (potvrdenie rezervácie) a marketingovým e-mailom.

Pre zasielanie ponúk potrebujete buď jasný súhlas (opt-in), alebo musíte splniť prísne podmienky tzv. „oprávneného záujmu“ pri existujúcich zákazníkoch, pričom hosť musí mať vždy jednoduchú možnosť sa odhlásiť. Problémom bývajú aj staré databázy v Exceli, ku ktorým má prístup polovica personálu. Takéto súbory sú často neaktuálne, obsahujú údaje ľudí, ktorí už súhlas odvolali, a predstavujú obrovské bezpečnostné riziko v prípade útoku ransomware.

5. Citlivé údaje: Alergie, zdravotný stav a náboženstvo

Možno si to neuvedomujete, ale hotel bežne spracúva údaje spadajúce do osobitnej kategórie podľa Článku 9 GDPR. Informácia o tom, že hosť vyžaduje bezbariérovú izbu, vypovedá o jeho zdravotnom stave. Požiadavka na kóšer alebo halal stravu môže naznačovať náboženské presvedčenie. Informácie o alergiách sú takisto údajmi o zdraví.

Tieto údaje si vyžadujú zvýšený stupeň ochrany. Nemali by byť viditeľné pre každého kuchára či upratovačku na dennom rozpise prác v takej forme, aby boli spojené s plným menom hosťa. Po skončení pobytu a splnení účelu (poskytnutie vhodnej stravy/izby) by sa tieto informácie mali z profilu hosťa vymazať, pokiaľ neexistuje iný zákonný dôvod na ich ďalšie uchovávanie. Práve pri týchto údajoch dochádza najčastejšie k tzv. „procesnej slepote“, kedy personál s citlivými informáciami narába príliš neformálne.

Efektívna ochrana osobných údajov v hotelovom segmente nie je cieľom, ale neustálym procesom, ktorý si vyžaduje symbiózu medzi modernými technológiami a vzdelaným personálom. Najväčšie riziko dnes nepredstavujú sofistikovaní hackeri, ale skôr banálne chyby v prevádzkových procesoch a nedostatok povedomia o tom, čo všetko je osobným údajom. Ak hotelier vníma GDPR len ako zbytočnú byrokraciu, vystavuje sa hrozbe, ktorá môže v momente zmazať roky budovania dobrého mena. Likvidačné pokuty zo strany dozorných orgánov sú len jednou stranou mince; tou druhou je nezvratná strata dôvery hostí, ktorí v dnešnej dobe citlivo vnímajú, ako sa narába s ich súkromím.

Základom úspechu je audit súčasného stavu, eliminácia zbytočného zberu dát a investícia do zabezpečených hotelových systémov, ktoré už v základe počítajú s princípmi privacy by design. Je dôležité si uvedomiť, že každé meno, telefónne číslo alebo záznam z kamery má svoju „expiračnú dobu“. Správne nastavené retenčné lehoty a pravidelné školenia zamestnancov sú najlepšou poistkou proti incidentom. V konečnom dôsledku, transparentný a bezpečný prístup k údajom hostí sa môže stať vašou konkurenčnou výhodou. Hosť, ktorý sa u vás cíti bezpečne nielen fyzicky, ale aj digitálne, je hosťom, ktorý sa rád vráti. Prevencia je v tomto prípade mnohonásobne lacnejšia než riešenie následkov bezpečnostného incidentu alebo platenie pokút, ktoré môžu v extrémnych prípadoch viesť až k ukončeniu podnikateľskej činnosti.

Kategórie:
Témy

autor

/ Blog /

Súvisiace články

, ,
Tikajúca bomba na obecnom úrade: Prečo sú malé obce pre kybernetických útočníkov atraktívnejšie než veľké korporácie?

autor

26. mája 2026

, ,
Prečo hackeri milujú slovenské obce? Pravda o tom, prečo za úniky dát nemôže váš IT-čkár, ale starosta.

autor

26. mája 2026

, ,
7 varovných signálov, že toxické vlákna už ničia vašu online komunitu: Prečo agresívne komentáre vyháňajú tých najlepších členov

autor

25. mája 2026

, ,
Neviditeľná šikana: Ako nás nenápadné útoky online v diskusných fórach a urážlivé komentáre systematicky ničia

autor

25. mája 2026

, ,
Nočná mora mzdárok: Prehliadate tieto kritické GDPR pravidlá pri spracovaní faktúr a miezd?

autor

25. mája 2026

, ,
Prečo inovátori milujú GDPR, kým vy sa ho stále bojíte: Skrytá stratégia, ktorá drví konkurenciu

autor

25. mája 2026

Odoberajte novinky od osobnyudaj.sk

Vaša e-mailová adresa je u nás v bezpečí, prečítajte si naše podmienky zpracovania osobných údajov.