GDPR pre hotely, penzióny, apartmány a iné ubytovacie zariadenia

Čo je GDPR?

GDPR je nariadenie EÚ o ochrane osobných údajov. Ukladá osobám spracovávajúcim osobné údaje (správca a spracovateľ), ktoré pôsobia na území EÚ, prijať vhodné technické a organizačné opatrenia proti rizikám pri spracúvaní osobných údajov.

Týka sa GDPR ma a môjho ubytovacieho zariadenia?

Ak podnikáte na trhu EÚ a ukladáte osobné údaje, tak áno. Nie je potrebné sa ale desiť žiadny drastických opatrení alebo nákladov.

Musím mať od každého hosťa súhlas s uložením osobných údajov?

Nemusíte. V prípade objednávky alebo rezervácie ubytovania máte zákonný dôvod na uchovanie nevyhnutných osobných údajov zákazníka aj bez súhlasu. Osobné údaje potrebujete na plnenie zmluvy medzi vami a hosťom a tiež k z dôvodu naplnenia zákonných povinností vyplývajúcich zo zákona o miestnych poplatkoch a zákona o pobyte cudzincov na území SR. Mali by ste ale hostí informovať o zásadách spracovania osobných údajov.

 

Vzor zásad nájdete napr. tu.

V Trevlixe môžete zásady vložiť tu:

Ochrana osobních údajů

Pokiaľ chcete „pre svoj dobrý pocit“ vyžadovať súhlas, môžete zaškrtnúť tlačidlo „vyžadovať súhlas“. Ale z hľadiska GDPR to potrebné nie je.

Môžem ukladať akékoľvek údaje?

Nie. Môžete ukladať predovšetkým osobné dáta, ktoré potrebujete zo zákonných dôvodov (vrátane napr. dátumu narodenia, kontaktných údajov, adresy). Odporúčame ale vyhnúť sa citlivým osobným údajom typu náboženstvo, rasa, sexuálna orientácia alebo zdravotný stav.

 

Aké opatrenia by mala urobiť každá firma pre naplnenie EÚ požiadaviek GDPR?

Neexistuje žiadny jednotný postup pre zavedenie požiadaviek GDPR do praxe, ale uvádzame niekoľko bodov, ktorým by každá firma mala v súvislosti s naplnením nariadenia GDPR venovať pozornosť:

1. Zoznam vykonaných činností

Pokiaľ chcete byť dobre pripravení na prípadnú (aj keď vzhľadom na počet inšpektorov na celú SR veľmi nepravdepodobnú) kontrolu, všetky kroky vykonané nižšie si jednoduchým spôsobom v bodoch stručne spíšte a vytvorte si svoju „GDPR zložku“. V nej budete mať záznamy o všetkých vykonaných opatreniach pre prípadnú kontrolu. Kontrolným orgánom v SR je Úrad na ochranu osobných údajov Slovenskej republiky.

2. Informujem o Zásadách spracovania osobných údajov na svojom webe?

Toto je najviditeľnejší bod zo všetkých. Hovorí hosťom aj prípadným kontrolným orgánom, že ochranu údajov beriete vážne. Pokiaľ ešte Zásady spracovania osobných údajov na webe nemáte, doplňte ich. Vzor zásad a spôsob vloženia do Trevlixu (a tým aj do svojho webu) nájdete vyššie v tomto texte. Overte, že zásady skutočne zodpovedajú vašej situácii. Nie je to zbytočná práca, ak budete spúšťať platobnú bránu, budú od vás zverejnenie zásad pravdepodobne rovnako požadovať pred aktiváciou platobnej brány.

3. Kde v rámci firmy uchovávame osobné údaje (elektronické aj listinné)?

Spíšte zoznam všetkých miest, kde v rámci firmy dochádza k uchovávaniu osobných údajov (počítače, notebooky, servery, chytré telefóny, šanóny, skrine, …).

4. Sú osobné údaje dostatočne zabezpečené proti strate alebo zničeniu?

Ak nie, zaveďte vhodné opatrenia, napr. inštalácia antivírusov a pravidelné zálohovanie na externé disky alebo na vzdialené úložisko.

5. Sú osobné údaje dostatočne zabezpečené proti úniku dát?

Zvážte všetky miesta, kde by osobné dáta mohli najpravdepodobnejšie uniknúť.

Napríklad: Máte dostatočne silné heslá na prihlasovanie k počítačom? Ukladáte heslá bezpečným spôsobom (napr. pomocou bezpečných aplikácií na správu hesiel)? Sú písomné osobné údaje bezpečne uschované v uzamykateľnej skrini? Sú počítače s osobnými údajmi umiestnené v uzamknutej miestnosti alebo sú vždy zabezpečené prístupovým heslom? Likvidujete nosiče osobných dát (disky, médiá, listiny) takým spôsobom, aby nemohlo dôjsť k obnoveniu a úniku dát? Ak nie, zaveďte vhodné opatrenia.

6. Kto má vo firme prístup k osobným údajom?

Spíšte, kto vo firme má prístup k akým osobným údajom (elektronickým aj listinným). Overte, či je prístup osoby k daným údajom nevyhnutný. Ak nie, zaistite prístup iba pre oprávnené osoby. Ak áno, poučte osobu o zásadách nakladania s osobnými údajmi.

7. Odovzdávam osobné údaje iným subjektom, aby ich pre mňa spracovávali?

Jedným z hlavných príčin vzniku GDPR bolo zamedzenie obchodovania s osobnými údajmi. Nikdy nepredávajte osobné údaje nikomu, kto ich nepotrebuje. Odovzdávate osobné dáta napr. účtovnej firme, prepravnej službe, prevádzkovateľovi online služieb, webhostingovej firme, cloudovej službe atď.? Ak áno, EÚ nariadenie GDPR vám ukladá povinnosť uzavrieť so všetkými subjektmi spracovateľskú zmluvu. Tu našu nájdete nižšie pod týmto článkom na stiahnutie.

8. Využívam osobné údaje zákazníkov na marketingové účely?

Rozosielate napríklad newslettery? Názory na výklad tejto oblasti sa líšia snáď najviac. Ideálne je, ak máte ku každému adresátovi zaistený dobrovoľný preukázateľný súhlas so zasielaním newsletterov. Uistite sa tiež, že každý newsletter v sebe obsahuje odkaz na odhlásenie z odberu newsletterov a že odhlásenie prebehne okamžite a má trvalý účinok (napr. tohto adresáta už nebude možné následne vložiť omylom do databázy).

9. Pravidlá pre výmaz a opravu osobných údajov

Viete vo firme zaistiť výmaz osobných údajov v prípade, že už nie sú potrebné alebo na základe odvolania súhlasu osoby, pokiaľ nie je na uchovanie dát zákonný dôvod? (Napr. v prípade objednávky máte zákonný dôvod na uchovanie nevyhnutných osobných údajov zákazníka aj bez súhlasu.) Viete osobné údaje zmazať vo všetkých elektronických i listinných formách? Viete zaistiť úpravu osobných údajov? Ak nie, vykonajte potrebné opatrenia.

10. Uchovávam osobné údaje, na ktoré nemám súhlas alebo zákonný dôvod?

Osobné údaje, na ktorých uchovávanie nemáte zákonný dôvod alebo overiteľný súhlas osoby, vymažte.


Záver: Je treba sa báť?

Uvedené informácie zhŕňajú naše názory na implementáciu GDPR získané štúdiom zákonov a rôznych informačných zdrojov. Možno vám niektoré z opatrení pripadajú trochu prehnané. Prax ukazuje, že sa nekoná žiadny veľký hon na malé firmy, ktoré spracovávajú osobné údaje svojich zákazníkov. Keď budete zaobchádzať s osobnými údajmi bezpečne, nikomu ich nepredáte a nebudete opakovane obťažovať niekoho, kto nemá o služby záujem, nie je dôvod na zbytočné obavy 😉

Prílohy
pdfSmlouva o zpracování osobních údajů [pdf, 47 kB] - GDPR zpracovatelská smlouva pro uživatele systému Trevlixu