Ochrona danych osobowych na podstawie przepisów RODO odnosi się również do działalności hoteli. One bowiem również w pewnym, ograniczonym zakresie przetwarzają dane osobowe. O czym należy pamiętać w tym kontekście?
Hotele przetwarzają rozmaite dane osobowe. Zarówno swoich klientów, jak i pracowników oraz kontrahentów. W zakresie danych osobowych gości nie chodzi natomiast wyłącznie o sytuacje, w których klient nocuje w hotelu. Do przetwarzania danych osobowych może dojść również poprzez skorzystanie z hotelowego SPA, pójścia tam na ekskluzywną kolację albo spędzenia godziny w hotelowym basenie.
W tym kontekście istotnym zagadnieniem jest czas przechowywania danych klientów. Praktycy prawa zwracają uwagę na trzy możliwe przypadki. W sytuacji, gdy gość skorzystał z pobytu w hotelu i rozlicza się gotówką, otrzymując paragon, hotel powinien usunąć jego dane ze swojej bazy tuż po zakończeniu pobytu. Jeżeli jednak gość prosi o paragon, ale rozlicza się przy użyciu karty płatniczej, hotel musi przechowywać jego dane przez pewien czas. Maksymalnie są to 2-3 lata. Hotel może bowiem złożyć reklamację do banku w związku z realizacją danej transakcji płatniczej. Trzecią możliwą sytuacją jest skorzystanie przez gościa z pobytu i poproszenie o wystawienie faktury. Wtedy przepisy podatkowe nakładają na hotel obowiązek przechowywania danych przez okres 6 lat.
Wiele hoteli chciałoby jednak przesyłać swoim klientom oferty handlowe. To wiąże się natomiast z przetwarzaniem ich danych osobowych przez dłuższy czas. Żeby taka czynność była możliwa trzeba zatem poprosić gościa o wyrażenie zgody, bazując na przesłance wskazanej w art. 6 ppkt a) RODO. W jakiej formie należy wrazić zgodę? RODO precyzuje, iż chodzi o „dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, w którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych”.
Hotelom zależy na utrzymaniu zaufania klientów i zachowaniu ich prywatności. Dlatego też ważne jest, aby każdy hotel posiadał odpowiednią politykę prywatności, która jasno określa zasady przetwarzania danych osobowych. Polityka ta powinna być dostępna dla gości w łatwo dostępnym miejscu, na przykład na stronie internetowej hotelu lub w recepcji. Powinna zawierać informacje dotyczące celów przetwarzania danych osobowych, kategorii przetwarzanych danych, okresu przechowywania danych oraz praw klientów związanych z ochroną danych osobowych.
Ochrona danych osobowych w hotelu wymaga zastosowania odpowiednich zabezpieczeń technicznych i organizacyjnych. Hotele powinny wdrożyć środki bezpieczeństwa, takie jak zapory sieciowe, szyfrowanie danych, systemy monitoringu czy ograniczenie dostępu do danych osobowych tylko do osób upoważnionych. Ponadto, personel hotelowy powinien być odpowiednio przeszkolony w zakresie ochrony danych osobowych i świadomy zagrożeń związanych z naruszeniem prywatności.
W przypadku, gdy hotel korzysta z usług podmiotów zewnętrznych, takich jak dostawcy usług IT, firmy sprzątające czy agencje marketingowe, konieczne jest podpisanie umów powierzenia przetwarzania danych osobowych. Takie umowy powinny precyzować odpowiedzialność podmiotu zewnętrznego za bezpieczne i zgodne z przepisami RODO przetwarzanie danych osobowych klientów hotelowych. Hotel ma obowiązek dokładnie sprawdzić, czy podmiot zewnętrzny posiada odpowiednie środki ochrony danych osobowych i jest wiarygodny.
W przypadku, gdy hotel chce przetwarzać dane osobowe klientów w celach marketingowych, musi uzyskać ich wyraźną zgodę. Zgoda ta powinna być dobrowolna, jednoznaczna i udzielana świadomie. Hotel powinien zapewnić, że goście mają możliwość wyrażenia zgody w łatwy i dostępny sposób, na przykład poprzez zaznaczenie odpowiedniego pola w formularzu rezerwacyjnym lub zapisanie się do newslettera hotelu. Goście powinni mieć również możliwość wycofania zgody w dowolnym momencie, jeśli nie życzą sobie otrzymywania ofert handlowych hotelu.