RODO – niepotrzebna zmora hotelarzy czy niezbędny wymóg naszych czasów?

2
1764
Fot. www.rp.pl

Milion siedemset tysięcy złotych, dziewięćset czterdzieści trzy tysiące, osiemdziesiąt sześć tysięcy złotych – to nie ostatnie wygrane w Totolotka, tylko wysokości kar wymierzonych portugalskiemu szpitalowi Barreiro Montijo, polskiej spółce z Warszawy, która zajmuje się gromadzeniem ogólnodostępnych w internecie danych osób prowadzących działalność gospodarczą czy serwisowi Knuddels.de z Niemiec. Polski Urząd Ochrony Danych Osobowych podobnie jak jego odpowiedniki w całej Europie ruszył w teren na kontrole. Kary zapłacą Ci, dla których dane osobowe to bezużyteczny kawałek papieru. Europa napięła muskuły i echem rozchodzą się już kolejne informacje o ukaranych lub o szykowanych karach dla takich gigantów, jak Facebook czy Google. Tymczasem w polskim hotelarstwie RODO dosłownie leży. Szacuje się, że nawet 50% polskich przedsiębiorców nie poradziło sobie z pełnym wdrożeniem RODO. W wielu małych hotelach nikt o nim nie słyszał i nikt nie zamierza go wprowadzać, a to oznacza nerwy i poważne kłopoty. Po meandrach RODO oprowadzi was Piotr Owczarski, E.D., ekspert ryku hotelarskiego, członek Warszawskiej Organizacji Turystycznej i szef jednego z warszawskich hoteli znany z wprowadzania unikatowych pomysłów.

Nakazy i urzędnicze zakazy nigdy nie spotykają się u przedsiębiorców i hotelarzy z przychylnością. Wywołują bowiem niepokój, przyprawiają o zawroty głowy, bo na końcu najczęściej czeka karny jeżyk – ” Bolesny karny jeżyk” w postaci napiętnowania i dotkliwej kary finansowej. RODO to nie jest polski, a unijny wynalazek. Podstawą jego w prowadzenia w Polsce jest art. 13 ust. 1−2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119, s. 1). Dwudziestego piątego maja 2018 roku wszystko się w Polsce zmieniło i nic nie jest już takie jak było, bo urzędnicy unijni postanowili chronić nasze dane osobowe. Zapewnienie bezpieczeństwa m.in. w hotelu nie polega bowiem tylko na fizycznej ochronie jego mienia czy na ochronie pracowników, ale także na zagwarantowaniu bezpieczeństwa danych, które są gromadzone i przetwarzane.
Dotyczy to zarówno gości hotelowych, kontrahentów, jak i samych pracowników.

Jak zatem wyglądają nowe reguły gry:

Krok pierwszy – musisz przeprowadzić audyt w hotelu. W audycie trzeba odpowiedzieć sobie na wiele ważnych pytań, w tym m.in. Komu i jakie dane przekazujesz, czy hotel ma wdrożoną politykę bezpieczeństwa, jak aktualnie zabezpieczone są dane osobowe w hotelu:
a) przechowywane są one w systemach informatycznych (indywidualne hasła, zapory w dostępie poszczególnych osób)?
b) przechowywane w formie papierowej (szafki zamykane na kluczyk itd.

Czy istnieją jakiekolwiek zwyczaje organizacyjne dotyczące ochrony danych osobowych (odkładanie danych po użyciu do szafek, polityka clean desk itd.), Czy po utracie konieczności przechowywania danych dokumenty są niszczone? Jeżeli tak, to w jaki sposób? Czy są przewidziane procedury postępowania w sytuacjach, kiedy osoby, których dane osobowe dotyczą chcą ich sprostowania/usunięcia itp.? Jeżeli tak, to jakie?
Pytań, na które trzeba sobie odpowiedzieć podczas takiego audytu jest znacznie więcej.

Kolejnym krokiem jest protokół audytu i analiza ryzyka są to zalecenia, a więc co trzeba zrobić, by RODO wprowadzić zgodnie z wymaganiami wynikającymi z rozporządzeń Parlamentu Europejskiego. Wśród nich jest między innymi zagadnienie dotyczące rozszerzenia tzw. klauzuli dotyczącej ochrony danych osobowych w regulaminie tak, aby dostosować ją do wymogów RODO. Do umów o pracę należy dołożyć osobne dokumenty tzw. upoważnienia do przetwarzania danych osobowych oraz oświadczenia o zobowiązaniu się do zachowania poufności. Konieczne jest także przygotowanie umowy powierzenia przetwarzania danych osobowych dla partnerów: np. zewnętrznej księgowości i dla innych podmiotów. Należy wprowadzić tzw. kartę rejestracyjną, w której niezbędne jest znaczne rozszerzenie klauzuli informacyjnej, w tym przede wszystkim o cele przetwarzania danych osobowych, informacje o prawach przysługujących gościowi itd.

Pamiętaj, by powołać politykę bezpieczeństwa. Jest to dokument, który w razie jakiejkolwiek kontroli z urzędu w najpewniejszy sposób może wykazać, że administrator dołożył wszelkich starań w celu zabezpieczenia danych osobowych. Nowymi przepisami na administratora został bowiem nałożony obowiązek możliwości wykazywania przestrzegania przez niego zasad przetwarzania danych osobowych (tzw. zasada rozliczalności). Konieczne jest także stworzenie szeregu innych dokumentów, w tym między innymi rejestru czynności przetwarzania danych, rejestru kategorii czynności przetwarzania danych i wykazu stosowanych środków bezpieczeństwa. Należy także wprowadzić także dodatkową dokumentację i wprowadzić lub przewidzieć inne środki bezpieczeństwa celem zapewnienia optymalnej ochrony przed ewentualnym naruszeniem danych osobowych.

Na koniec wisienka na torcie, czyli dokumentacja wdrożeniowa, która jest zwieńczeniem ciężkiej pracy prawników i zespołu hotelu. Powinna się ona składać z:
– polityki bezpieczeństwa,
– opisu środków organizacyjnych i technicznych,
– rejestru czynności przetwarzania,
– rejestru naruszeń,
– umów powierzenia przetwarzania,
– klauzuli dla pracownika,
– klauzuli informacyjnej dla kandydatów na pracownika,
– klauzuli informacyjnej dla gości,
– upoważnień do akt osobowych,
– oświadczenie o przestrzeganiu ochrony danych osobowych pracowników do akt osobowych,
– raportu z naruszenia RODO,
– wykazu podmiotów zewnętrznych;
– zgody na przetwarzanie danych osobowych dla gości,
– poprawionego regulaminu hotelowego.

W pigułce
Pod żadnym pozorem nie wpuszczaj gościa do pokoju bez podpisania karty ewidencyjnej oraz bez złożenia przez niego podpisu pod zgodą na przetwarzanie danych w zakresie niezbędnym do realizacji umowy przez hotel oraz pod klauzulą informacyjną. W hotelu umieść informację o monitoringu, która będzie zawierała następujące informacje: kto jest nagrywany (czy tylko wizja czy wizja i fonia), w jakim celu, kto jest administratorem nagrań i przez jaki czas będą one przechowywane. Jeśli przyjmujesz pracowników, pamiętaj, że etap początkowy, a więc rozmowa kwalifikacyjna, którą poprzedza przesłanie do pracodawcy CV jest już objęta procedurą RODO i kandydat starający się u Ciebie o pracę musi podpisać tzw. „klauzulę informacyjną dla kandydatów o pracę”.

Bagatelizowanie RODO nic nie da i ściągnie na Ciebie i Twoich pracowników ogromne problemy. Przykłady można mnożyć. Niechlubnym jest Portugalia.
Organ nadzorczy w tym kraju – Comissão Nacional de Proteção de Dados (CNPD) nałożył na szpital Barreiro Montijo karę w wysokości 400 tys. euro, czyli ok 1,7 mln zł. Ukarano już także Austrię. Lokalny organ odpowiedzialny za ochronę danych osobowych urząd DCB wydał decyzję o ukaraniu kwotą w wysokości 4800 euro za źle ustawiony monitoring. W październiku 2018 roku brytyjskie Biuro Rzecznika ds. Informacji (ICO) nałożyło karę na spółkę Heathrow Airport Limited w wysokości 120 tys. funtów. Europejczycy, w tym Polacy ostrzą sobie zęby na nowe przepisy i chętnie zgłaszają incydenty naruszenia prawa ochrony danych osobowych do urzędów. Skala jest ogromna. Według Europejskiej Rady Ochrony Danych złożono ponad 42 tys. skarg do krajowych organów nadzorczych.
Tylko we Francji od 25 maja do 1 października 2018 roku do tamtejszego urzędu ochrony danych, czyli CNIL zgłoszono aż 742 takie przypadki, a Polsce już prawie 2 500 skarg trafiło na biurko Prezesa Urzędu Ochrony Danych Osobowych.

Przypominam, że za naruszenie przepisów ochrony danych osobowych RODO urzędy przewidują grzywnę do 20 mln EUR, a w przypadku przedsiębiorstw – do 4% całkowitego światowego obrotu z poprzedniego roku. Niższe kary, do 10 mln EUR lub do 2% światowego obrotu, przewidziane są w sprawach mniejszej wagi.

2 KOMENTARZE

  1. Niestety jest grono obiektów, które pobierają od gości zbyt dużo danych, które nie są potrzebne. Brak informacji o monitoringu – standard. Wiele jest jeszcze do zrobienia…
    Polska spółka została ukarana, jednak wcześniej dostała szansę poprawy przechowywania danych aby były zgodne z wymogami i jej nie wykorzystała. Ciekawa jestem jak było z pozostałymi. Kontrole będą – oby łaskawe i dawały szansę na poprawę przed nałożeniem kary.

  2. Szanowny autorze. Odnosząc się do „Pod żadnym pozorem nie wpuszczaj gościa do pokoju bez podpisania karty ewidencyjnej oraz bez złożenia przez niego podpisu pod zgodą na przetwarzanie danych w zakresie niezbędnym do realizacji umowy przez hotel oraz pod klauzulą informacyjną” – albo zgoda, albo niezbędność danych do umowy. Jeżeli hotel przetwarza tylko te dane, które są do realizacji umowy potrzebne – zgoda jest zbędna.

ZOSTAW ODPOWIEDŹ

Proszę wpisać swój komentarz!
Proszę podać swoje imię tutaj
This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.

The reCAPTCHA verification period has expired. Please reload the page.