rezervační systém Plazaro

zpět

GDPR v ubytovacím odvětví

12.3.2018

25. května 2018 vejde v evropském prostoru v platnost nařízení známé pod zkratkou GDPR (General Data Protection Regulation).

GDPR v ubytovacím odvětví

25. května 2018 vejde v evropském prostoru v platnost nařízení známé pod zkratkou GDPR (General Data Protection Regulation). Jde o legislativu EU, která zvýší a standardizuje ochranu osobních dat občanů, zároveň budou vytyčeny jednoznačné mantinely, kdo a jak smí zacházet s osobními údaji. Každá mince však má dvě strany a i GDPR je toho důkazem. Na jedné straně stojí ochrana citlivých dat, na druhé pak nutnost a potřeba prověřit a případně investovat do opatření vedoucích k naplnění nového nařízení.

Téměř každý odborný zdroj upozorňuje na legislativu a varuje před astronomickými sankcemi. Co to však GDPR je? A jak se konkrétně promítne v ubytovací a restaurační branži? Na to se pokusíme odpovědět v následujících řádcích. Věříme, že Vám pomůžeme zorientovat se mezi případnými nástrahami onoho evropského nařízení.

Co to je GDPR?

Jedná se o evropské nařízení, které zvyšuje ochranu osobních údajů občanů. Nová legislativa se dotkne všech firem i jednotlivců, hotelového odvětví nevyjímaje. Za nedodržování nových pravidel hrozí na české poměry vysoké sankce, až 20 mil. EUR či 4 % ročních tržeb společnosti.

Je však potřeba zmínit, že v Česku již dlouhou dobu platí zákon č. 101/2000 Sb., o ochraně osobních údajů, který ve značné míře stínuje požadavky GDPR a pokud jej dodržujete, máte z velké části vyhráno.

Co jsou osobní údaje?

Osobní údaje jsou veškerá data, která mohou identifikovat a konkretizovat osobu. Jedná se například o jméno, příjmení, adresu, datum narození, e-mail, telefon, IP adresu, cookies nebo fotografii. Speciální kategorii pak tvoří genetickébiometrické údaje, ale také i podpis jedince.

Co znamená ochrana osobních údajů v praxi?

Bohužel jako u mnoha jiných zákonu i zde platí, že co právník, to jiný výklad. Jiný názor pak může mít i Úřad pro ochranu osobních údajů a nakonec i soud, který bude případné porušení projednávat. Po nesčetných konzultacích, přednáškách a dnech studia jsme dle našeho nejlepšího svědomí a vědomí shrnuli následující nejdůležitější poznatky:

  1. Bez souhlasu se zpracováním osobních údajů lze uchovávat jen údaje nezbytné pro uzavření smlouvy či poskytnutí služby nebo pro naplnění zákonné povinnosti, a to pouze na nezbytně dlouhou dobu. O důvodech zpracování, jejich rozsahu i délce je však potřeba subjekt údajů srozumitelně informovat, například v obchodních podmínkách.

  2. Novým i současným zákazníkům lze zasílat obchodní sdělení bez nutnosti souhlasu, existuje-li oprávněný zájem správce k takovémuto sdělení a jsou splněny všechny podmínky pro zaslání takovéhoto sdělení (specifikováno níže).

  3. Pokud zpracování osobních údajů a nákládání s nimi nepodlehá situacím zmíněným v bodě 1 a 2, subjekt údajů musí poskytnout vždy vědomý souhlas (písemný souhlas, zaškrtnutí políčka na webových stránkách a podobně). Jeho neposkytnutí zároveň nesmí být důvodem neuzavření smlouvy či neposkytnutí služby.

  4. Souhlas se zpracováním osobních údajů nesmí být součástí obchodních podmínek a musí být uvedeno jaké údaje jsou zpracovány, za jakým účelem, na jak dlouho a kdo k nim bude mít přístup.

  5. Je třeba vždy uchovávat kdy a jak byl souhlas poskytnut.

  6. Na žádost subjektů údajů je třeba uchovávané osobní údaje zpřístupnit či zaktualizovat.

  7. Na žádost subjektů údaje je třeba uchovávané údaje odstranit, nejsou-li uchovávany z důvodu zmíněných v bodě 1.

  8. Při zpracování osobních údajů na základě souhlasu je třeba se registrovat na Úřadě pro ochranu osobních údajů.

  9. Každý únik osobních údajů je třeba neprodleně hlásit Úřadu pro ochranu osobních údajů.

  10. Všechny výše uvedené body je potřeba aplikovat i na osobní údaje, ktere již zpracováváte.

Zajisté nejkontroverznějším bodem je bod číslo 2. Níže naleznete body, které musí být splněny pro zaslání emailového obchodního sdělení: 

  • jednat v oprávněném zájmu - obecně lze říct, že oprávněný zájem lze uplatnit v okamžiku, kdy příjemce může zaslání obchodního sdělení očekávát a není v rozporu s jeho zájmy

  • příjemce obchodního sdělení musí u vás něco zakoupit a nebo o nákupu s vámi jednat

  • obchodní sdělení musí souviset se zakoupeným zbožím či poskytnutými službami či na ně navazovat

  • musí být možné se z takovéhoto odesílání jednoduše odhlásit, a to nejlépe ještě před zasláním prvního takovéhoto sdělení, a pak v každém jednotlivém sdělení

Vždy je povinností správce prokázat dostatečný oprávněný zájem. Chcete-li mit jistotu, že je vše po právní stránce v pořádku, vyžadujte souhlas klienta.

Jak se ochrana osobních údajů dotýká hoteliéra?

Níže uvádíme oblasti, se kterými se hoteliér v souvislosti s ochranou osobních údajů musí vypořádat.

Ochrana osobních údajů zaměstnanců

Pro účely výběrového řízení není potřeba žádat uchazeče o souhlas se zpracováním osobních údajů uvedených v zaslaném životopise. Po jeho skončení je ale potřeba životopis u neúspěšných kandidátů smazat, případně je požádat o souhlas s jejich uchováním. Takový souhlas je pak potřeba mít v písemné formě a zároveň uchazeče informovat, že tento souhlas je možný kdykoliv odvolat.

U zaměstnanců v pracovním poměru není třeba mít souhlas se zpracováním osobních údajů, pokud uchováváte jen ty osobní údaje potřebné pro výkon práce a naplnění legislativy (životopis, pracovní smlouva, mzdový výměr a podobně).

Po ukončení pracovního poměru lze osobní údaje zaměstnanců nadále uchovávat bez jejich souhlasu, a to jak z důvodu legislativních (například vypořádání důchodového a sociálního pojištění), tak z důvodu případného soudního sporu (neoprávněná výpověď, nevyplacení mzdy a podobně). Obecně se doporučuje uchovávat osobní údaje pro případ soudního sporu minimálně po dobu 4 let, posléze uchovávat jen ty osobní údaje, které nám nařizuje legislativa.

Pokud má zaměstnanec zřízenou e-mailovou schránku ve tvaru jan.novak@domenahotelu.cz, je tato e-mailová schránka považována za soukromou a k nakládání s ní bez vědomí zaměstnance musí mít zaměstnavatel pádný důvod (dlouhá nemoc zaměstnance, hrozba poškození zaměstnavatele, podezření na nevyužívání e-mailu k pracovním činnostem a podobně). Tyto důvody by měly být specifikovány ve vnitřních předpisech zaměstnavatele a zaměstnanec by měl tyto vnitřní předpisy stvrdit svým podpisem. E-mailové schránky ve tvaru recepce@domenahotelu.cz nebo info@domenahotelu.cz nejsou považovány za soukromé a zaměstnavatel s nimi může nakládat libovolně. Pokud zaměstnanec využívá e-mailovou schránku u poskytovatele jako je například Seznam či Google, je tato e-mailová schránka vždy považována za soukromou.

Pokud jsou monitorovány činnosti zaměstnance na pracovním počitači či notebooku, je třeba tuto činnost zmínit ve vnitřních předpisech hotelu a provádět ji pouze v nutném rozsahu.

Pokud je ubytovací zařízení monitorováné pomocí kamerového systému, je třeba o této činnosti zaměstnance informovat ve vnitřních předpisech, včetně rozsahu monitorování, délky uchování záznamu a podobně. O sledování kamerami je nutné také informovat hosty (například piktogramem kamery na dostatečně viditelném místě).

Pokud je zaměstnanec sledován pomocí systému GPS (atp.), je třeba o této činnosti zaměstnance informovat ve vnitřních předpisech.

Ochrana osobních údajů hostů

Neboť rezervace ubytování je ve své podstatě uzavření smlouvy, spadá zpracování osobních údajů do bodu 1 a tím pádem není třeba vyžadovat souhlas se zpracováním osobních údajů ani se registrovat na Úřadě pro ochranu osobních údajů. Při poskytnutí ubytování je nadále ubytovatel povinen dle zákona uchovávat osobní údaje svých hostů po dobu 6 let, v případě daňových náležitostí (například údajů na faktuře) až 10 let. Pro případ případných soudních sporů je pak legitimní uchovávat i údaje jako jsou telefon či email.

Stejně tak není potřeba vyžadovat souhlas, pokud hotel zasílá svým klientům pouze sdělení týkající se poskytnuté služby (ubytování) či na ni navazují (například nabídka slevy na další ubytování) a zároveň toto sdělení není v rozporu se zájmy klienta (zaslání sdělení po 5 letech od ubytování).

Nesmíme však zapomenout informovat subjekt údajů o výše uvedených důvodech, rozsahu a délce zpracování osobních údajů, nejlépe jako součást obchodních podmínek, které se umístí na webové stránky a zašlou jako příloha emailu potvrzujícímu rezervaci. Stejně tak nesmíme opomenout k obchodnímu sdělení posílanému emailem umístit informaci, jakým způsobem se lze odhlásit.

Nakládání zaměstnanců s osobními údaji hostů

Zaměstnanci ubytovacího zařízení přijdou do styku s osobními údaji hostů a je třeba je správně poučit, jak s těmito údaji nakládat a čeho se vyvarovat. Zaměstnavatel je totiž za jejich konání ze zákona zodpovědný a správné interní předpisy mohou snížit riziko porušení zákona či v případě jeho porušení snížit případné sankce na minimum.

Nakládání Plazara s osobními údaji hostů

Neboť pro Vás osobní údaje Vašich hostů zpracováváme, musíte s námi uzavřit zpracovatelskou smlouvu. Smlouvu pro Vás připravíme během následujících týdnů.

Závěřem

Doufáme, že Vám výše uvedené informace pomohou lépe pochopit problematiku ochrany osobních údajů a přízpůsobit jim procesy ve Vašem ubytovacím zařízení. V následujícím článku se podíváme, co jsme pro vás v Plazaru připravili, abychom vám GDPR co nejvíce ulehčili.