RODO a przetwarzanie danych osobowych gości hotelowych
Nowelizacja obowiązujących przepisów prawie zawsze jest problematyczna z punktu widzenia jej odbiorców. Niejednokrotnie bowiem wymusza zmiany dotychczas stosowanych praktyk, a często powoduje wręcz konieczność stworzenia nowych modeli działania.
W dniu 25 maja 2018 roku weszło w życie Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dn. 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), zwane potocznie „RODO”. Wprowadziło ono nowe, bardziej rygorystyczne w stosunku do obowiązujących przed w/w datą wymogi dotyczące przetwarzania danych osobowych. Zmiany te w sposób oczywisty miały również duży wpływ na branżę hotelarską.
Jedną z istotniejszych zmian wprowadzonych przez RODO jest ograniczenie swobody dysponowania danymi osobowymi pracowników, klientów i innych podmiotów, czyli tzw. zasada minimalizacji danych osobowych. Zgodnie bowiem z art. 5 ust. 1 pkt c RODO „dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane”. W/w zasada nierozerwalnie wiąże się zatem z celami, z uwagi na które dane osobowe mają być przez dany podmiot przetwarzane. RODO wymaga zatem, by podmiot zbierający i przetwarzający dane osobowe gromadził i wykorzystywał wyłącznie te z nich, które rzeczywiście są mu niezbędne do osiągnięcia wskazanych przez niego celów przetwarzania.
Czy zatem dane osobowe osoby towarzyszącej lub dziecka gościa hotelowego są danymi, które hotel może przetwarzać, pozostając w zgodzie z powyższą zasadą?
Pozyskiwanie i przetwarzanie danych osobowych osoby towarzyszącej gościa hotelowego
Aktualnie nie ma obowiązku gromadzenia danych osobowych dodatkowych osób pozostających w pokoju z osobą, która dokonała rezerwacji i ją opłaciła (bądź ma zamiar ją opłacić), poza danymi w/w płatnika. Istnieje jednak kilka sytuacji, kiedy taka konieczność mimo wszystko zachodzi.
Po pierwsze, hotel powinien zbierać dane dotyczące miejsca zamieszkania osób towarzyszących płatnikowi celem spełnienia ciążącego na obiekcie obowiązku statystycznego. Obowiązek ten wynika bowiem z art. 30 ust. 1 pkt 3 ustawy z dnia 29 czerwca 1995 r. o statystyce publicznej (Dz. U. z 2016 r. poz. 1068, z późn. zm.) i polega na przekazaniu do Głównego Urzędu Statystycznego danych na temat wykorzystania turystycznego obiektu noclegowego wyszczególnionych w formularzu KT-1.
Druga sytuacja, kiedy zachodzi potrzeba odnotowania obecności osób towarzyszących, odnosi się do hoteli znajdujących się w miejscowościach, gdzie pobierana jest tzw. opłata klimatyczna. Obiekt musi bowiem zebrać dane na temat ilości osób przebywających w danym hotelu w określonym czasie, by rozliczyć się z gminą lub miastem z w/w lokalnej opłaty.
Nawiązując z kolei do obiektów świadczących swym gościom pewne dodatkowe usługi, takie jak np. SPA czy usługi gastronomiczne, niezbędne w tym wypadku staje się zidentyfikowanie danego gościa przez pracowników, by przesłać obciążenie na rachunek hotelowy oraz w sposób właściwy rozliczyć pobyt w hotelu. W sytuacji, gdy dany klient odmawia podania informacji pozwalających na ustalenie jego tożsamości, pracownik powinien wskazać na konieczność zapłaty za daną usługę gotówką, z uwagi na brak możliwości uruchomienia tzw. kredytu hotelowego.
Z powyższego należy wywieść zatem wniosek, iż odnośnie osób towarzyszących gościowi, który opłaca dany pobyt, hotel powinien gromadzić dane obejmujące wyłącznie imię, nazwisko oraz kraj zamieszkania. Warunkiem koniecznym powyższego działania jest jednak wyrażenie przez każdą z tych osób zgody na przetwarzanie w/w informacji.
Pozyskiwanie i przetwarzanie danych osobowych dziecka gościa hotelowego
W pierwszej kolejności należy odpowiedzieć na pytanie, kto w świetle obowiązujących przepisów uznawany jest za dziecko?
Z art. 8 ust. 1 RODO wywieść można wniosek, iż w myśl RODO dzieckiem jest osoba, która nie ukończyła 16. roku życia. Granicę wieku osoby postrzeganej jako dziecko nieco inaczej uregulował polski ustawodawca, wskazując, że osobą taką jest ten, kto nie ukończył jeszcze 13 lat.
Co istotne, warunkiem niezbędnym do przetwarzania danych osobowych dziecka jest wyrażenie na to zgody przez osobę sprawującą nad nim opiekę lub władzę rodzicielską.
Podkreślenia wymaga również, iż po zakończeniu pobytu dziecka w danym obiekcie hotel powinien niezwłocznie usunąć jego dane osobowe z uwagi na ustanie celu przetwarzania w/w informacji. Jest to o tyle ważne, że w sytuacji dłuższego niż niezbędne dysponowania jego danymi osobowymi, może dojść do unieważnienia zgody wyrażonej przez opiekuna na skutek osiągnięcia pełnoletniości przez dziecko. Spowodowałoby to z kolei konieczność poinformowania takiej osoby o przetwarzaniu jej danych przez hotel i wyrażenie przez nią zgody na takie działanie obiektu.
Jak wynika z powyższych informacji, hotel winien każdorazowo uzyskiwać zgodę opiekuna/rodzica dziecka na przetwarzanie jego danych osobowych. Co więcej, celem uniknięcia kłopotliwej konieczności bieżącego monitorowania w systemach komputerowych wieku byłych gości-dzieci, by nie doprowadzić do sytuacji, w której hotel dysponuje danymi pomimo osiągnięcia przez nich pełnoletniości i nieposiadania przez obiekt zgody wyrażonej bezpośrednio przez w/w na takowe działanie, hotel powinien bezzwłocznie po zakończeniu pobytu usunąć dane osobowe dziecka.
Co zrobić z pozyskanymi danymi w przypadku, gdy potencjalny gość hotelowy zrezygnował z dokonanej rezerwacji pobytu w hotelu?
Każdy obiekt hotelarski choć raz spotkał się z sytuacją, gdy klient, pomimo rezerwacji pobytu, z przyczyn od niego zależnych bądź niezależnych, rezygnuje z przyjazdu. Co wówczas hotel powinien zrobić z danymi niedoszłego gościa, które uzyskał w toku dokonywania przez niego rezerwacji?
Należy rozważyć dwa przypadki:
- Klient dokonał rezerwacji i wpłacił na poczet pobytu zadatek lub zaliczkę. W takiej sytuacji hotel powinien potraktować jego dane osobowe analogicznie do danych osobowych gości hotelowych, którzy zrealizowali swój pobyt.
- Jeżeli natomiast gość wycofał swoją rezerwację, ale uprzednio nie nastąpiły między nim a obiektem żadne powiązania finansowe, dane takiej osoby powinny zostać niezwłocznie usunięte z systemu.
Czy można przetwarzać dane osobowe gościa hotelowego po zakończeniu pobytu w hotelu?
Wiele hoteli zachowuje pozyskane w trakcie rezerwacji i pobytu dane osobowe klientów w celu przesyłania im aktualnych ofert obiektu bądź lepszego ich dopasowania do preferencji gościa. Czy działanie takie znajduje jednak oparcie w obowiązujących przepisach?
Po pierwsze, należałoby wskazać, że długość przetwarzania danych osobowych klienta zależy od podstawy tego przetwarzania przewidzianej w art. 6 RODO.
Najczęściej wskazywaną przez obiekty hotelarskie przesłanką jest ta przewidziana w art. 6 ust. 1 pkt b, a stanowiąca, że przetwarzanie jest zgodne z prawem, gdy „jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy”. Hotele wskazują bowiem na konieczność gromadzenia i dysponowania danymi gościa w celu wykonania umowy o świadczenie usług hotelarskich bądź podjęcia działań przed zawarciem umowy na żądanie gościa, tj. dokonania rezerwacji jego pobytu. Zgodnie z RODO, w tej sytuacji obiekt winien usunąć dane klienta niezwłocznie po zakończeniu jego pobytu, chyba że obowiązek dłuższego przechowywania w/w danych wynika z obowiązku prawnego ciążącego na administratorze (hotelu), a to zgodnie z art. 6 ust. 1 pkt c RODO. Taki obowiązek wynika z kolei przykładowo z przepisów prawa podatkowego czy bankowego.
Jeżeli zatem hotel chce przechowywać dane gości hotelowych po zakończeniu ich pobytu w obiekcie, winien uzyskać na to stosowną zgodę klienta. Tym samym spełniona zostaje bowiem przesłanka wyrażona w art. 6 ust. 1 pkt a RODO: „przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków: a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów”.
Zgodnie z definicją zawartą w art. 4 pkt 11 RODO zgoda taka winna być z kolei dobrowolnym, konkretnym, świadomym i jednoznacznym wyrażeniem woli danej osoby na przetwarzanie jej danych osobowych. Powinna ona przybrać postać bądź oświadczenia bądź wyraźnego działania potwierdzającego. Co istotne, w sytuacji, gdy gość hotelowy nie ma możliwości odmowy lub wycofania swej zgody bez poniesienia negatywnych konsekwencji tego działania, przyjmuje się, iż wyrażona przez niego zgoda nie spełnienia przesłanki „dobrowolności”, a co za tym idzie jest ona nieważna. Przykładem obrazującym wspomnianą wyżej sytuację może być przypadek, gdy w ofercie hotelu znajduje się informacja o nieodpłatnym dostępie do Wi-Fi, natomiast podczas logowania do sieci obiekt żąda podania przez gościa adresu mailowego (w celu monitorowania zachowań klienta w sieci oraz jego profilowania), jednocześnie nie udostępniając przy logowaniu opcji pominięcia tego kroku. Takie działanie hotelu uznać należy za wymuszenie zgody i trzeba dojść do wniosku, iż w tej sytuacji hotel nie udostępnia swym gościom bezpłatnego Wi-Fi.
Z powyższego wynika zatem, iż obiekty powinny wyraźnie oddzielić w klauzuli w/w zgodę na przetwarzanie danych osobowych po zakończeniu świadczenia usług hotelowych. Jeśli bowiem zostanie ona włączona jako niepodlegająca negocjacjom część umowy o świadczenie usług hotelowych, domniemywa się, iż nie została ona wyrażona w sposób dobrowolny, a przetwarzanie danych odbywa się bez podstawy prawnej.
Dane „kłopotliwych” gości hotelowych – czy można przetwarzać dane w celu zapobiegnięcia złożenia „kolejnej problematycznej” rezerwacji lub pobytu w przyszłości?
Niejednokrotnie hotele spotykają się z klientami, którzy swym zachowaniem powodują, iż obiekt przypisuje im niechlubny status „persona non grata”. Czy istnieje jednak jakakolwiek podstawa prawna do przechowywania informacji o takowych osobach celem uniknięcia wizyty niepożądanego gościa w przyszłości?
Niestety nie ma ani jednoznacznych opinii ani wskazówek na ten temat zarówno ze strony polskich, jak i europejskich organów odpowiedzialnych za kontrolę legalności przetwarzania danych osobowych. Można jednak rozważyć czy przesłanką legalizacyjną w tym przypadku nie mógłby być art. 6 pkt 1 ppkt f RODO mówiący o „uzasadnionym prawnie interesie administratora”. Artykuł ten stanowi bowiem, że jednym z warunków zgodnego z prawem przetwarzania jest sytuacja, gdy: „przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem”.
Wskazać jednak należy, iż w oparciu o powyższą podstawę przetwarzanie danych może odbywać się w bardzo ograniczonym zakresie z uwagi na nieostry charakter wyjątku przewidzianego przez legislatora w drugiej części przytoczonego przepisu. Sporna zatem może być kwestia czy gromadzenie i przetwarzanie danych osoby zakwalifikowanej przez obiekt jako „persona non grata” ma charakter nadrzędny w stosunku do podstawowych interesów, praw i wolności tejże osoby.
Niezależnie od powyższych rozważań należy jednak podkreślić, iż z całą pewnością niedozwolona jest wymiana informacji nt. opisanych wyżej osób pomiędzy hotelami.
Anna Kuźniak, aplikantka radcowska
Kraków, kwiecień 2019 roku
Dodaj komentarz