RODO w hotelu

RODO w hotelu.

Wejście RODO to mała rewolucja w każdej firmie. Co oznacza dla hotelu? Przede wszystkim, niekonieczenie coś złego... Na początek ustalmy miejsca, gdzie pojawiają się dane osobowe, o których ochronie mówimy. I pamiętajmy, że jakkolwiek obowiązuje nas obowiązek dochowania szczególnej staranności przy ochronie danych to część danych pozyskujemy niejako "z urzędu" - ponieważ są konieczne do prawidłowego działania hotelu. Ponadto, wszystkie dotychczas pozyskane dane, o ile były pozyskane zgodnie z przepisami, nie muszą być w żaden sposób "odświeżane", nie musimy zbierać ponownie żadnej zgody. Specjalnej zgody będą wymagały dane, które będziemy pozyskiwać od dnia wejścia w życie nowych przepisów.

W największym skrócie zmiany:

  • Nie musimy już zgłaszać żadnych zbiorów danych
  • Znika narzucony obowiązek jak często muszą być zmieniane hasła do systemów, ile muszą mieć znaków etc.
  • Nie możemy zbierać danych "na wszelki wypadek". Możemy pozyskać tylko konieczne do danego celu dane. Ponadto musimy poinformować, do czego dane będą wykorzystywane oraz czy będą profilowane.
  • Dane nie mogą być przechowywane przez okres dłuższy niż jest to konieczne do realizacji celów, dla którego zostały zgromadzone
  • Musimy poinformować naszych "dawców danych" o możliwości modyfikacji i zapomnienia ich danych (za wyjątkiem danych, których przechowywanie jest wymagane prawnie).
  • Musimy zgłosić każde naruszenie bezpieczeństwa danych!
  • Na życzenie, musimy udostępnić właścicielowi jego dane do wglądu, oraz wyeksportować je w sposób ustrukturyzowany (czytelny maszynowo).
  • Rejestr czynności przetwarzania, czyli rejestr operacji przeprowadzanych na danych osobowych. Z obowiązku prowadzenia rejestru zwolnieni będą firmy zatrudniający mniej niż 250 pracowników, nie przetwarzarzające danych szczególnych kategorii ani danych dotyczących wyroków skazujących i naruszeń prawa, prowadzone przez nią przetwarzanie nie powoduje ryzyka naruszenia praw lub wolności osób fizycznych. Czyli, większość hoteli (za wyjątkiem sieci).
  • Przykładowy wzorzec takiego rejestru możemy znaleźć np tu: wzorzec rejestru

Na końcu artykułu zamieszczamy szablony zgody, ale najpierw zobaczmy gdzie i jakie potrzebujemy.

Punkty gromadzenia danych:

  • Pracownicy
  • Goście hotelowi - płatnicy
  • Pozostali goście hotelowi
  • Goście SPA
Przyjrzyjmy się kolejnym pozycjom na naszej liście i określmy, co mamy z nimi zrobić.

Pracownicy

Znacząca część danych, które gromadzimy o pracownikach jest obowiązkowa i tu nie ma żadnego problemu. Jednak pozostaje cała sfera danych, które zbieramy, a których posiadanie nie jest uzasadnione obowiązkami prawnymi. Należą do nich także dane "komunikacyjne", czyli numery telefonów, adresy email.W tych przypadkach potrzebujemy potrzebujemy zgody pracownika. Warto przy okazji też wspomnieć o coraz popularniejszej ostatnio opcji gromadzenia danych biometrycznych, czego nie powinniśmy robić (np. czytniki na kciuk). Dodatkowo, przypominam, że przekazanie pracownikowi np. pit drogą elektroniczną (portal, email) wymaga odrębnej zgody - nie jest to powiązane z rodo, ale warto przypomnieć.

Ograniczeniu też ulegnie dostęp do danych, w tym np. niekaralności, poglądów czy wyznania, w tym informacji publikowanych przez pracownika w mediach społecznościowych.

Rekrutacja pracowników

Przypominamy tylko, że warto informować kandydatów do pracy o konieczności umieszczania zgody na przetwarzanie danych osobowych przez potencjalnego pracodawcę. W przeciwnym wypadku pracodawca nie będzie mógł wykorzystać dokumentu w rekrutacji.

Goście hotelowi - płatnicy

Tu przechowywać dane musimy. Pamiętając, że gromadzimy tylko dane osób, z którymi zawieramy umowę wynajmu pokoju. I nie ma znaczenia, czy zawieramy ją z jedną osobą, czy z wieloma, Choć oczywiście praktyka mówi, że zawieramy zwykle z jednym z gości, co ułatwia i rozliczenie i ew. spory dotyczące np. stanu pokoju czy samej płatności.

Oczywiście, najczęściej na formularzu pobieramy więcej informacji niż potrzebujemy do realizacji umowy (np. adres email). Dlatego możemy albo odstąpić od tego, albo dać gościowi możliwość wyrażenia zgodny na wykorzystywanie danych.

Pozostali goście hotelowi, goście spa czy restauracji

Tutaj w zasadzie sprawa jest jasna, tych danych najczęściej nie gromadzimy, a jeśli zbieramy je dla celów marketingowych obowiązują nas standardowe zasady określające, że musimy pozyskać zgodę, określić w jakim celu będziemy wykorzystywać dane oraz, że osoba przekazujące je ma prawo dostępu do danych oraz zapomnienia.

Dzieci

Uwaga, nowe przepisy wyraźnie określają, że w przypadku usług oferowanych dziecku poniżej 16 roku życia, zgodę muszą wyrazić prawni opiekunowie dziecka. W hotelach najczęściej nie będzie to istotne, ale nie możemy wykluczyć, że ktoś z Państwa posiada taką ofertę i zechce trafić do takich klientów.

Szablony zgody:

zgoda na przetwarzanie danych

Wyrażam zgodę na przetwarzanie moich danych osobowych przez Hotel XYT w celu cel przetwarzania , zgodnie z Ustawą o Ochronie Danych Osobowych z dnia 29 sierpnia 1997 r. (Dz. U. Dz.U. 1997 nr 133 poz. 883) oraz Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO). Dane będą przetwarzane Okres przetwarzania . Wyrażenie zgody jest dobrowolne. Jestem świadomy, że mam możliwość dostępu do swoich danych, w celu ich sprostowania i usunięcia oraz żądania o graniczenia ich przetwarzania ze względu na moją szczególną sytuację oraz wycofania udzielonej zgody w każdym momencie, przy czym, cofnięcie uprzednio wyrażonej zgody nie wpłynie na legalność przetwarzania przed jej wycofaniem, a także wniesienia skargi do organu nadzorczego. Dane nie będą przekazywane do państw trzecich oraz podlegają / nie podlegają profilowaniu tj. automatycznemu podejmowaniu decyzji.

zgoda na otrzymywanie informacji handlowych drogą elektroniczną (mail/sms marketing)

Wyrażam zgodę na otrzymywanie informacji handlowych drogą elektroniczną zgodnie z Ustawą o Świadczeniu Usług Drogą Elektroniczną z dnia 18 lipca 2002 r. (Dz.U. 2002 nr 144 poz. 1204) przez o numerze identyfikacyjnym NIP: [oraz jego/jej partnerów handlowych]. Wyrażenie zgody jest dobrowolne.

Gdzie jeszcze mogę poczytać o rodo

RODO w marketingu

Dostęp i przechowywanie danych pracownika

rodo