GDPR pro hotely, penziony, apartmány a jiná ubytovací zařízení

Co je GDPR?

GDPR je nařízení EU o ochraně osobních údajů. Ukládá osobám zpracovávající osobní údaje (správce a zpracovatel), které působí na území EU, přijmout vhodná technická a organizační opatření proti rizikům při zpracování osobních údajů.

Týká se GDPR mě a mého ubytovacího zařízení?

Pokud podnikáte na trhu EU a ukládáte osobní údaje, tak ano. Není třeba se ale děsit žádný drastických opatření nebo nákladů.

Musím mít od každého hosta souhlas s uložením osobních údajů?

Nemusíte. V případě objednávky nebo rezervace ubytování máte zákonný důvod pro uchování nezbytných osobních údajů zákazníka i bez souhlasu. Osobní údaje potřebujete k plnění smlouvy mezi vámi a hostem a také k z důvodu naplnění zákonných povinností vyplývajících ze zákona o místních poplatcích a zákona o pobytu cizinců na území ČR. Měli byste ale hosty informovat o zásadách zpracování osobních údajů.

 

Vzor zásad najdete např. zde.

V Trevlixu můžete zásady vložit zde:

Ochrana osobních údajů

Pokud chcete „pro svůj dobrý pocit“ vyžadovat souhlas, můžete zaškrtnout tlačítko „vyžadovat souhlas“. Ale z hlediska GDPR to potřebné není.

Můžu ukládat jakákoli data?

Ne. Můžete ukládat především osobní data, která potřebujete ze zákonných důvodů (včetně např. data narození, kontaktních údajů, adresy). Doporučujeme ale vyhnout se citlivým osobním údajům typu náboženství, rasa, sexuální orientace nebo zdravotní stav.

 

Jaká opatření by měla udělat každá firma pro naplnění EU požadavků GDPR?

Neexistuje žádný jednotný postup pro pro zavedení požadavků GDPR do praxe, ale uvádíme několik bodů, kterým by každá firma měla v souvislosti s naplněním nařízení GDPR věnovat pozornost:

1. Seznam provedených činností

Pokud chcete být dobře připraveni na případnou (i když vzhledem k počtu inspektorů na celou ČR velmi nepravděpodobnou) kontrolu, všechny kroky provedené níže si jednoduchým způsobem v bodech stručně sepište a vytvořte si svou „GDPR složku“. V ní budete mít záznamy o všech provedených opatřeních pro případnou kontrolu. Kontrolním orgánem v ČR je Úřad pro ochranu osobních údajů.

2. Informuji o Zásadách zpracování osobních údajů na svém webu?

Toto je nejviditelnější bod ze všech. Říká hostům i případným kontrolním orgánům, že ochranu údajů berete vážně. Pokud ještě Zásad zpracování osobních údajů na webu nemáte, doplňte je. Vzor zásad a způsob vložení do Trevlixu (a tím i do svého webu) najdete výše v tomto textu. Ověřte, že zásady skutečně odpovídají vaší situaci. Není to zbytečná práce, pokud budete spouštět platební bránu, budou po vás zveřejnění zásad pravděpodobně stejně požadovat před aktivací platební brány.

3. Kde v rámci firmy uchováváme osobní údaje (elektronické i listinné)?

Sepište seznam všech míst, kde v rámci firmy dochází k uchovávání osobních údajů (počítače, notebooky, servery, chytré telefony, šanony, skříně, …).

4. Jsou osobní údaje dostatečně zabezpečeny proti ztrátě nebo zničení?

Pokud ne, zaveďte vhodná opatření, např. instalace antivirů a pravidelné zálohování na externí disky nebo na vzdálené úložiště.

5. Jsou osobní údaje dostatečně zabezpečeny proti úniku dat?

Zvažte všechna místa, kde by osobní data mohla nejpravděpodobněji uniknout.

Například: Máte dostatečně silná hesla pro přihlašování k počítačům? Ukládáte hesla bezpečným způsobem (např. pomocí bezpečných aplikací na správu hesel)? Jsou písemné osobní údaje bezpečně uschovány v uzamykatelné skříni? Jsou počítače s osobními daty umístěny v uzamčené místnosti nebo jsou vždy zabezpečeny přístupovým heslem? Likvidujete nosiče osobních dat (disky, média, listiny) takovým způsobem, aby nemohlo dojít k obnovení a úniku dat? Pokud ne, zaveďte vhodná opatření.

6. Kdo má ve firmě přístup k osobním údajům?

Sepište, kdo ve firmě má přístup k jakým osobním údajům (elektronickým i listinným). Ověřte, zda je přístup osoby k daným údajům nezbytný. Pokud ne, zajistěte přístup pouze pro oprávněné osoby. Pokud ano, poučte osobu o zásadách nakládání s osobními údaji.

7. Předávám osobní údaje jiným subjektům, aby je pro mě zpracovávali?

Jedním z hlavních příčin vzniku GDPR bylo zamezení obchodování s osobními údaji. Nikdy nepředávejte osobní údaje nikomu, kdo je nepotřebuje. Předáváte osobní data např. účetní firmě, přepravní službě, provozovateli online služeb, webhostingové firmě, cloudové službě atd.? Pokud ano, EU nařízení GDPR vám ukládá povinnost uzavřít se všemi subjekty zpracovatelskou smlouvu. Tu naši najdete níže pod tímto článkem ke stažení.

8. Využívám osobní údaje zákazníků pro marketingové účely?

Rozesíláte například newslettery? Názory na tuto výklad této oblasti se liší snad nejvíce. Ideální je, pokud máte ke každému adresátovi zajištěn dobrovolný prokazatelný souhlas se zasíláním newsletterů. Ujistěte se také, že každý newsletter v sobě obsahuje odkaz pro odhlášení z odběru newsletterů a že odhlášení proběhne okamžitě a má trvalý účinek (např. tohoto adresáta již nebude možné následně vložit omylem do databáze).

9. Pravidla pro výmaz a opravu osobních údajů

Umíte ve firmě zajistit výmaz osobních údajů v případě, že již nejsou potřebné nebo na základě odvolání souhlasu osoby, pokud není k uchování dat zákonný důvod? (Např. v případě objednávky máte zákonný důvod pro uchování nezbytných osobních údajů zákazníka i bez souhlasu.) Umíte osobní údaje smazat ve všech elektronických i listinných formách? Umíte zajistit úpravu osobních údajů? Pokud ne, proveďte potřebná opatření.

10. Uchovávám osobních údaje, ke kterým nemám souhlas nebo zákonný důvod?

Osobní údaje, k jejichž uchovávání nemáte zákonný důvod nebo ověřitelný souhlas osoby vymažte.


Závěr: Je potřeba se bát? 

Uvedené informace shrnují naše názory na implementaci GDPR získané studiem zákonů a různých informačních zdrojů. Možná vám některá z opatření připadají trochu přehnaná. Praxe ukazuje, že se nekoná žádný velký hon těch několika málo inspektorů na malé firmy, které zpracovávají osobní údaje svých zákazníků. Ostatně Úřad pro ochranu osobních údajů jasně sdělil, že nehodlá nikoho zbytečně buzerovat ani šikanovat. Když budete zacházet s osobními údaji bezpečně, nikomu je neprodáte a nebudete opakovaně obtěžovat někoho, kdo nemá o služby zájem, není důvod ke zbytečným obavám  

Přílohy
pdfSmlouva o zpracování osobních údajů [pdf, 47 kB] - GDPR zpracovatelská smlouva pro uživatele systému Trevlixu