Spracúvanie osobných údajov ubytovacími zariadeniami

Nariadenie GDPR sa týka každého, kto akýmkoľvek spôsobom spracováva osobné údaje fyzických osôb, ktoré označujeme aj ako dotknuté osoby a dané spracovávanie vykonáva úplne alebo čiastočne automatizovane.

Pravidlá v spracúvaní osobných údajov, ktoré prinieslo nariadenie GDPR, platia teda aj pre ubytovacie zariadenia (napr. hotely, penzióny), ktoré spracúvajú osobné údaje ubytovaných hostí, ale aj svojich zamestnancov, či iných osôb, ktoré využívajú ich ďalšie služby, nielen tie ubytovacie (­napr. objednávky klientov do wellness).

Tento článok poukazuje na niektoré povinnosti prevádzkovateľov – ubytovacích zariadení pri spracúvaní osobných údajov podľa nariadenia GDPR.

Právne základy spracúvania osobných údajov ubytovaných osôb

V rámci prevádzkovania ubytovacieho zariadenia dochádza k spracúvaniu osobných údajov zákazníkov (ubytovaných hostí) a využitiu týchto právnych základov:

• Rezervácia pobytu, ktorá vedie k uzavretiu zmluvy – právnym základom takéhoto spracúvania osobných údajov zákazníkov je zmluva s dotknutou osobou podľa čl. 6 ods. 1 písm. b) nariadenia GDPR. Spracúvanie osobných údajov zákazníka v tomto prípade prebieha bez potreby súhlasu zákazníka, nakoľko právnym základom spracúvania jeho osobných údajov je práve zmluva (objednávka) ubytovania medzi zákazníkom a ubytovacím zariadením.
• Vedenie knihy ubytovaných – právnym základom takéhoto spracúvania osobných údajov je, že je potrebné na splnenie zákonnej povinnosti prevádzkovateľa podľa čl. 6 ods. 1 písm. c) nariadenia GDPR. Zákonná povinnosť ubytovacieho zariadenia vyplýva zo zákona č. 253/1998 Z. z. o hlásení pobytu občanov Slovenskej republiky a registri obyvateľov Slovenskej republiky v z. n. p. a zo zákona č. 404/2011 Z. z. o pobyte cudzincov a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.
• Nahlasovanie ubytovaných cudzincov policajnému útvaru – aj v tomto prípade je právnym základom spracúvania osobných údajov splnenie zákonnej povinnosti prevádzkovateľa, konkrétne povinnosti podľa zákona č. 404/2011 Z. z. o pobyte cudzincov a o zmene a doplnení niektorých zákonov v z. n. p.
• Spracovanie účtovných dokladov a účtovníctva – právnym základom spracúvania osobných údajov je opäť splnenie zákonnej povinnosti prevádzkovateľa, a to viacerých povinností podľa viacerých osobitných predpisov, napr. zákona č. 431/2002 Z. z. o účtovníctve v z. n. p., zákona č. 222/2004 Z. z. o dani z pridanej hodnoty v z. n. p., zákona č. 595/2003 Z. z. o dani z príjmov v z. n. p., zákona č. 582/2004 Z. z. o miestnych daniach a miestnom poplatku za komunálne odpady a drobné stavebné odpady.
• Marketingová komunikácia s ubytovaným – ani pri zasielaní newslettrov nie je potrebné získavať súhlas od zákazníka, nakoľko spracúvanie osobných údajov prebieha na základe oprávneného záujmu prevádzkovateľa podľa čl. 6 ods. 1 písm. f) nariadenia ­GDPR. Oprávnený záujem spočíva napríklad v informovaní zákazníka o ďalších službách ubytovacieho zariadenia, akciách s cieľom podporiť ich predajnosť.
• Marketingová komunikácia s osobou, ktorá ešte ubytovaná nebola (bez predchádzajúceho právneho vzťahu) – v tomto prípade jeprávnym základom spracúvania osobných údajov súhlas dotknutej osoby podľa čl. 6 ods. 1 písm. a) nariadenia GDPR.
• Monitorovanie priestoru, ktorý nie je verejnosti prístupný – napr. v prípade monitorovania priestorov ako je napr. hotelové parkovisko – pričom spracúvanie osobných údajov prebieha na základe oprávneného záujmu prevádzkovateľa podľa čl. 6 ods. 1 písm. f) nariadenia GDPR. Oprávnený záujem spočíva napríklad v ochrane majetku (áut) zaparkovaných v monitorovanom priestore.

Získané osobné údaje môže prevádzkovateľ ubytovacieho zariadenia spracúvať len na konkrétne vymedzený a výslovne uvedený legitímny účel. Spracúvanie osobných údajov spôsobom, ktorý je nezlučiteľný s takýmto účelom, je vylúčené. Vyplýva to zo zásady obmedzenia účelu.

Spracúvanie len nevyhnutných údajov

V zmysle zásady minimalizácie údajov je prevádzkovateľ ubytovacieho zariadenia povinný spracúvať len také osobné údaje, ktoré sú nevyhnutné na dosiahnutie konkrétneho účelu spracúvania. V nadväznosti na účely a právne základy uvedené skôr ide najmä o tieto údaje:

• účel – uzavretie zmluvy o ubytovaní (objednávka ubytovania) – napr. titul, meno, priezvisko, adresa bydliska, adresa dodania tovaru, ak je iná ako adresa bydliska, e-mailová adresa, telefónne číslo, číslo bankového účtu, ak sa platba realizuje na účet,
• účel vedenie knihy ubytovaných – meno a priezvisko ubytovaného, číslo jeho občianskeho preukazu alebo cestovného dokladu, adresa trvalého pobytu a dobu ubytovania, pri cudzincovi aj štátna príslušnosť a dátum narodenia,
• účel nahlasovanie ubytovaných cudzincov policajnému útvaru – v rozsahu podľa úradného tlačiva o hlásení pobytu cudzinca,
• účel spracovanie účtovných dokladov a účtovníctva – v rozsahu podľa predmetných predpisov,
• účel priamy marketing (bez ohľadu, na to, či je základom spracúvania oprávnený záujem prevádzkovateľa alebo súhlas dotknutej osoby) – titul, meno, priezvisko a e-mailová adresa,
• účel monitorovanie priestoru, ktorý nie je verejnosti prístupný – záznamy z kamier (obrazové alebo obrazovo-zvukové snímky).

Informačná povinnosť prevádzkovateľa ubytovacieho zariadenia

Prevádzkovateľ je povinný informovať dotknuté osoby o spracúvaní ich osobných údajov. K splneniu informačnej povinnosti musí dôjsť najneskôr v okamihu získania osobných údajov.

Prevádzkovateľ ubytovacieho zariadenia je povinný informačnú povinnosť plniť iniciatívne, nie až na žiadosť dotknutej osoby, pričom dotknutej osobe poskytuje informácie ustanovené v čl. 13 ods. 1 až 3 nariadenia GDPR, ak osobné údaje získal priamo od dotknutej osoby a podľa čl. 14 ods. 1 a 2 nariadenia, ak osobné údaje nezískal priamo od dotknutej osoby. Príkladom situácie, keď prevádzkovateľ ubytovacieho zariadenia získa údaje od inej ako dotknutej osoby je napr. situácia, keď niekto rezervuje pobyt pre dotknutú osobu.

Zoznam informácií, ktoré sa majú poskytnúť, ak sú osobné údaje získané priamo od dotknutej osoby (čl. 13 nariadenia GDPR):

Zoznam informácií, ktoré sa majú poskytnúť, ak osobné údaje nie sú získané priamo od dotknutej osoby (čl. 14 nariadenia GDPR):

Informácie musia byť poskytnuté v stručnej, transparentnej, zrozumiteľnej a ľahko dostupnej forme, musia byť formulované jasne a jednoducho. Informovať možno rôznymi spôsobmi (nie je vylúčená kombinácia viacerých možností) – napr. na webovom sídle ubytovacieho zariadenia, zaslaním informácií do e-mailu.

Prevádzkovateľ informuje dot­knuté osoby o ich právach podľa čl. 15 až čl. 22 nariadenia GDPR, najmä o práve namietať voči spracúvaniu na účely priameho marketingu a o práve odvolať súhlas so spracúvaním.

Ak sa spracúvanie osobných údajov zakladá na oprávnenom záujme prevádzkovateľa, prevádzkovateľ informuje dotknutú osobu o tom, ktoré oprávnené záujmy sleduje. V tomto prípade je prevádzkovateľ tiež povinný vykonať test proporcionality.

Práva zákazníka ako dotknutej osoby

Dotknutá osoba (osoba, ktorej údaje sú spracúvané) má podľa nariadenia GDPR určité práva, ktoré si môže voči prevádzkovateľovi kedykoľvek uplatniť. Dot­knutá osoba disponuje nasledovnými právami:

Právo na prístup k údajom

Toto právo obsahuje v sebe právo dotknutej osoby získať od prevádzkovateľa potvrdenie o tom, či sa spracúvajú jej osobné údaje. Ak áno, tak dotknutá osoba má právo získať prístup k týmto údajom.

Právo na opravu

V súlade s týmto právom má dotknutá osoba právo na to, aby prevádzkovateľ opravil nesprávne údaje dotknutej osoby ale dotknutá osoba má aj právo na doplnenie neúplných osobných údajov.

Právo na výmaz

Ak osobné údaje už nie sú potrebné na účel, na ktorý sa získali, tak má dotknutá osoba právo na ich vymazanie. To isté platí, ak dotknutá osoba odvolá súhlas so spracúvaním osobných údajov a neexistuje iný právny základ pre ďalšie spracúvanie.

Právo na obmedzenie spracúvania

Obmedzenie spracúvania osobných údajov v zásade znamená, že prevádzkovateľ pozastavuje ďalšie spracovateľské operácie s osobnými údajmi a údaje len uchováva.

Právo na prenosnosť (portabilitu)

Toto právo umožňuje dotknutej osobe získanie jej osobných údajov, ktoré poskytla prevádzkovateľovi, v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte, pričom cieľom tohto práva je premiestniť osobné údaje z jedného informačného systému do druhého, prípadne aj k inému prevádzkovateľovi, ak je to technicky možné.

Právo namietať

Ak sa spracúvanie osobných údajov dotknutej osoby uskutočňuje na základe oprávneného záujmu prevádzkovateľa (napr. na účely priameho marketingu, alebo na účely monitorovania priestoru), má dotknutá osoba právo kedykoľvek namietať proti takémuto spracúvaniu jeho osobných údajov.

Na toto právo musí byť dotknutá osoba výslovne upozornená najneskôr pri prvej komunikácii s ňou a toto právo musí byť prezentované jasne a oddelene od akýchkoľvek iných informácií.

Právo odvolať súhlas

V prípade, ak sa spracúvanie uskutočňuje na základe súhlasu (napr. marketingová komunikácia s osobou, ktorá ešte nebola ubytovaná), môže dotknutá osoba kedykoľvek svoj súhlas so spracúvaním odvolať a prevádzkovateľ je povinný ukončiť spracúvanie osobných údajov, ktoré boli spracúvané na základe súhlasu.

Ak sa spracúvanie uskutočňuje na základe súhlasu, je prevádzkovateľ povinný, podľa čl. 13 ods. 2 písm. c) nariadenia GDPR, vopred dotknutú osobu informovať o jej práve tento súhlas kedykoľvek odvolať.

V súlade s nariadením GDPR je prevádzkovateľ povinný žiadosť dotknutej osoby vybaviť do jedného mesiaca od jej doručenia. V prípade potreby môže prevádzkovateľ predĺžiť vybavovanie žiadosti o ďalšie dva mesiace, ale o predĺžení lehoty je povinný dotknutú osobu upovedomiť. Informácie a oznámenia by sa mali spravidla poskytovať rovnakým spôsobom, akým si dotknutá osoba uplatní svoje právo, ak nepožiada o iný spôsob.

Vedenie záznamov o spracovateľských činnostiach

Článok 30 nariadenia GDPR obsahuje povinnosť prevádzkovateľa viesť záznamy o spracúvaní osobných údajov. Záznamy musia byť vyhotovované v písomnej, aj v elektronickej forme (čl. 30 ods. 3).

Prevádzkovateľ záznamy uchováva u seba, nie je potrebné ich vopred aktívne predkladať Úradu na ochranu osobných údajov SR. Úradu ich predkladá iba v prípade kontroly.

Vzťahy so sprostredkovateľmi

Prevádzkovateľ ubytovacieho zariadenia môže poveriť spracúvaním alebo aj časťou spracúvania sprostredkovateľa, napr. na účel zasielania newslettrov, prevádzkovania kamerového systému, alebo môže využívať rôzne cloudové riešenia vybavovania rezervácií ubytovania a pod.

Nariadenie GDPR v čl. 4 ods. 8 za sprostredkovateľa považuje „fyzickú alebo právnickú osobu, orgán verejnej moci, agentúru alebo iný subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa“.

Sprostredkovateľ spracúva osobné údaje podľa pokynov prevádzkovateľa, v rozsahu a podľa sprostredkovateľskej zmluvy alebo iného právneho aktu, ktorý zaväzuje sprostredkovateľa voči prevádzkovateľovi. Sprostredkovateľská zmluva a iný právny akt musia spĺňať náležitosti podľa čl. 28 ods. 3 nariadenia GDPR, ako najmä:

• predmet a dobu spracúvania,
• povahu a účel spracúvania,
• typ osobných údajov,
• kategórie dotknutých osôb,
• povinnosti a práva prevádzkovateľa,
• oprávnenie spracúvať osobné údaje prevádzkovateľom len na základe zdokumentovaných pokynov prevádzkovateľa,
• poučenie a povinnosť mlčanlivosti oprávnených osôb aj zo strany sprostredkovateľa,
• povinnosť sprostredkovateľa vykonať všetky opatrenia prijaté pri posúdení vplyvu na ochranu údajov,
• dodržiavať podmienky zapojenia ďalšieho sprostredkovateľa podľa nariadenia GDPR,
• a ďalšie.

Na to aby prevádzkovateľ so spro­stredkovateľom uzatvoril sprostredkovateľskú zmluvu nie je potrebný súhlas dotknutej osoby.

Bezpečnosť spracúvania osobných údajov

Z nariadenia GDPR vyplýva prevádzkovateľom povinnosť prijať primerané technické a organizačné opatrenia s cieľom zaistiť úroveň bezpečnosti spracúvania osobných údajov primeranú riziku tohto spracúvania. Prevádzkovateľ ubytovacieho zariadenia je zodpovedný za bezpečnosť a ochranu osobných údajov po celý čas ich spracúvania.

Prevádzkovateľ je podľa čl. 25 nariadenia GDPR povinný zabezpečiť ochranu už v štádiu, kedy spracúvanie ešte nie je začaté, pričom zohľadní najnovšie poznatky a náklady na vykonanie opatrení ako aj povahu, rozsah, kontext a účely spracúvania. Opatrenia nastaví podľa potrieb vzhľadom na vlastné prostredie a zohľadní bezpečnostné štandardy, ktoré sú bežné pre danú spracovateľskú činnosť, napr. zabezpečí počítač, v ktorom dochádza k spracúvaniu osobných údajov zákazníkov antivírusovým programom, legálnym softvérom.

Jednými z najštandardnejších opatrení, ktoré sa v praxi prijímajú, sú najmä (nielen):

• technické opatrenia: antivírus, heslo k počítaču, zabezpečenie objektu pomocou mechanických zábranných prostriedkov (mreže, uzamykateľné dvere), zabezpečenie objektu pomocou technických zábranných prostriedkov (alarm, kamery),
• organizačné opatrenia: poučenie oprávnených osôb (zamestnancov, ak ich má) o spracúvaní osobných údajov, poučenie o povinnosti zachovávať mlčanlivosť, vzdelávanie oprávnených osôb a pod.

V prípade porušenia ochrany osobných údajov, ktoré povedie k riziku pre práva a slobody fyzických osôb (napr. sprístupnenie databázy zákazníkov a ich osobných údajov neoprávneným osobám) je prevádzkovateľ ubytovacieho zariadenia povinný takéto porušenie oznámiť úradu, a to do 72 hodín po tom ako sa o tejto skutočnosti dozvedel, v niektorých prípadoch aj dotknutej osobe, a to bez zbytočného odkladu. Jedným z opatrení, ktoré by mal prevádzkovateľ prijať je postup (interný predpis) pri oznamovaní porušenia ochrany osobných údajov úradu a dotknutej osobe.

Záver

Podľa plánu kontrol na rok 2020 zverejnených úradom budú predmetom kontrol aj spracovateľské činnosti vrátane spracúvania osobných údajov ubytovacími zariadeniami. O dôvod viac na prijatie bezpečnostných opatrení, alebo splnenie ďalších podmienok, ktoré stanovuje nariadenie GDPR. Avšak jednotlivé povinnosti prevádzkovateľov ubytovacích zariadení sa môžu meniť s prihliadnutím na konkrétne formy spracúvania osobných údajov.