Nová pravidla související s GDPR začnou být účinná 25. 5. 2018. O tom, čeho se budou týkat a co bychom neměli opomenout, jsme mluvili s Evou Škorničkovou, právní konzultantkou ochrany dat a bezpečnosti IT, odbornicí na právní problémy spojené nejen s GDPR legislativou.
V čem spočívá nové evropské nařízení k ochraně dat (GDPR)?
Nařízení míří na firmy, instituce i jednotlivce, kteří zacházejí s osobními údaji – zaměstnanců, zákazníků, klientů či dodavatelů, a to napříč segmenty a odvětvími. Zasáhne i ty, kteří sledují či analyzují chování uživatelů na webu, při používání aplikací nebo chytrých technologií. Cílem GDPR je chránit digitální práva občanů EU. GDPR zavádí celou řadu nových pravidel. Jejich platnost a dodržování bude muset každý správce i zpracovatel osobních údajů prokazatelně doložit po celou dobu zpracování. Přibude mu tím velká administrativní zátěž, bude muset například dokumentovat, že zpracovává pouze ta data, která jsou ke konkrétnímu účelu nezbytná.
GDPR dává lidem, kterým údaje patří (těm říká subjekty údajů), do rukou nová práva. Kromě toho, že budou muset být o svých právech důkladně informováni, pak budou moci po správcích údajů vyžadovat něco, co doposud nemohli. Jde například o právo vznést námitku proti zpracování, kdy správce po takové námitce nebude moci údaje dále zpracovávat, nebude-li k tomu mít závažné, prokazatelné důvody.
Občan by měl rovněž mít přístup k údajům, které jsou o něm shromažďovány, a tento přístup by měl být ideálně přímý a on-line. Naprosto novým elementem je právo na výmaz a jeho rozšíření na právo být zapomenut, díky kterému může osoba požadovat, aby byly bez zbytečného odkladu vymazány její osobní údaje, pokud neexistuje právní důvod pro jejich další zpracování. S GDPR dochází také k rozšíření definice osobních údajů. Nově sem spadají i technické parametry jako e-mail, IP adresa nebo tzv. cookie v zařízení uživatele. Nová je kategorie tzv. genetických a biometrických údajů, jejichž zpracování bude podléhat přísnějšímu režimu. Největším strašákem se pro mnohé stane oznamovací povinnost v případě narušení bezpečnosti údajů.
Jaká je situace v hotelnictví?
Podle jednoho průzkumu, provedeného na podzim minulého roku, mezi více jak 300 hotely různých velikostí ve Spojeném království, je pouze 20 % hotelů v pokročilé fázi příprav. 40 % hotelů pomalu s přípravami začíná a 40 % ještě vůbec nezačalo. Podle mého názoru bude situace v ČR obdobná, ne-li horší. Domnívám se, že velké hotelové řetězce budou připraveny v rámci celé skupiny hotelů včas. Obávám se, že menší hotely a jiná ubytovací zařízení včas připraveny nebudou. Domnívám se, že se vzdáleností hotelů od turistických center bude korelovat i připravenost na GDPR. Dále od turistických center bude i menší připravenost.
Co vyžaduje skutečná implementace nařízení? Kdo je pověřen dohledem?
Skutečná implementace obsahuje několik kroků, které je vždy vhodné konzultovat s příslušnými odborníky. V prvé řadě každému doporučuji, aby si podle svého nejlepšího vědomí a svědomí odpověděl na následující otázky:
- Proč se zabývat GDPR?
- Co zpracováváte a ukládáte?
- Jak osobní data zpracováváte?
- Kde údaje ukládáte?
- Kdy a jak dlouho?
Po zodpovězení daných otázek každému dojde, jak je jedinečný. Nelze tedy připravit plán, který by fungoval pro všechny beze změny. Po zodpovězení daných otázek by mělo následovat vytvoření bojového plánu. V něm by bylo vhodné uvážit, kolik času a peněz do přípravy chci investovat, z čehož by se mělo odvíjet další plánování. Je vhodné uvážit, zda přípravy zvládnu sám nebo budu hledat pomoc u odborníka. Na internetu jsou volně dostupné různé check-listy na přípravu, obecně by však největší přípravy měly proběhnout v revizi stávajících dokumentů, IT a procesů zpracování osobních údajů, v proškolení personálu a zabezpečení údajů. Proces přípravy rozhodně nekončí účinností GDPR, připravenost se bude neustále vyvíjet a přizpůsobovat skutečným potřebám vyplývajícím ze zavedené praxe. Pro Českou republiku zůstává dohledem pověřen Úřad pro ochranu osobních údajů. Ten provádí nejen dozor nad dodržováním povinností, ale také poskytuje konzultace. V některých případech je spolupráce s Úřadem dokonce povinná.
Pokud už hotel dodržoval zásady osobně identifikovatelných informací (PII), co pro něho nové evropské nařízení znamená?
Tato mezinárodní norma stanoví obecně akceptované kontrolní cíle, opatření a směrnice pro zavedení opatření na ochranu osobně identifikovatelných informací (PII) v souladu s principy soukromí uvedené v ISO/IEC 29100 pro prostředí veřejného cloud computingu.
Vzhledem k tomu, že PII pokrývá prostředí rizik bezpečnosti informací poskytovatele veřejných cloudových služeb, domnívám se, že jde vedlejší cestou než GDPR. Pokud hotel dodržuje zásady PII, bude mít implementační proces velmi zjednodušen, alespoň co se týče technické stránky zabezpečení dat apod. Nicméně stále bude trvat informační povinnost směrem k hostům (a zaměstnancům), opatření v případech úniku dat, vedení potřebné dokumentace atd.
Co je v hotelovém prostředí považováno za citlivé údaje?
Dle GDPR jsou citlivými údaji údaje o rasovém či etnickém původu, údaje vypovídající o politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, genetické údaje, biometrické údaje (pokud jsou zpracovávány za účelem jedinečné identifikace) a údaje o zdravotním stavu či o sexuálním životě nebo sexuální orientaci. Hotelnictví se pravděpodobně nebude týkat citlivých osobních údajů, v případě lázeňství se patrně dá uvažovat o údajích o zdravotním stavu.
Osobním údajem je, zjednodušeně řečeno, jakákoliv informace o jednici, která může vést k jeho jednoznačné identifikaci. V prvé řadě je vhodné si uvědomit, že nepůjde pouze o osobní údaje hostů, ale také zaměstnanců. V případě hostů je také třeba dbát na speciální ochranu osobních údajů hostů – dětí.
Hotely nejčastěji zpracovávají tyto kategorie osobních údajů: jméno, pohlaví, adresa bydliště/práce (v případech pracovních cest), telefonní a e-mailový kontakt, občanství, datum a místo narození, údaje z cestovního pasu/občanského průkazu, údaje o vízech, datum příjezdu a odjezdu, hotelové objednávky, speciální požadavky, typ objednávky a specifikace ubytování, přijaté/odchozí hovory pomocí hotelových telefonů, údaje ohledně platebních karet, speciálních členských karet, fotografie, údaje o zaměstnavateli (v případě pracovních cest). Kromě tedy klasických identifikačních údajů se jedná i o velmi specifické údaje jako např. zmiňované objednávky hotelových služeb, údaje o hovorech z hotelových telefonů nebo samotná specifikace typu ubytování (např. hypoalergenní peřiny, bezlepková strava apod.).
Jak budou muset hotely nově koncipovat svoji vstřícnost vůči klientům?
Vstřícnost vůči klientům by se nijak měnit neměla. Považuji za vhodné klienty informovat před samotným ubytováním v dostatečném a srozumitelném rozsahu. Podrobnější informace, tak jak to vyžaduje GDPR, doporučuji umístit do všech pokojů. Rovněž by měly být vždy připravené na recepci. Doporučuji nezapomínat na případné kamerové systémy, vhodně rozmístit cedulky s upozorněním a další informace poskytnout spolu s výše zmíněnou informační povinností, třeba i formou webové stránky, avšak nejenom tímto způsobem.
Jaká práva hostů spojená s osobními daty musí hotely respektovat?
Obecně lze vycházet z toho, že veškeré jednání s hosty by mělo být vedeno v duchu zásad GDPR. Tyto zásady je nutné bezpodmínečně respektovat. Lze zmínit např. zásadu minimalizace údajů, podle které je možné zpracovávat pouze relevantní údaje v přiměřeném rozsahu. Bezpodmínečně je nutné respektovat právo hostů na informace o zpracování, resp. ze strany hotelů se jedná o informační povinnost. Rovněž musí být respektováno právo na přístup k osobním údajům, tj. zda osobní údaje, které se dané osoby týkají, jsou či nejsou zpracovávány a k tomu další doplňující informace. Bezpodmínečně je třeba respektovat i právo na opravu, právo na omezení zpracování a právo vznést námitku proti zpracování. Mezi další základní práva patří právo na výmaz, u kterého však nalezneme určité výjimky, související zejména se zpracováním na základě plnění zákonné povinnosti, tj. v zásadě pro účely státní správy.
Poznamenají přísná pravidla e-mailovou komunikaci?
E-mailovou komunikaci lze pro zjednodušení rozdělit do dvou skupin. První skupina je komunikace vedená za účelem vytvoření rezervace apod. V tomto případě nebude potřeba získávat souhlas se zpracováním, jelikož půjde ze strany hoteliéra o zpracování za účelem uzavření smlouvy. Je potřeba však dávat pozor na rozsah požadovaných informací. Údaje o věku, pohlaví apod. rozhodně nelze považovat za údaje potřebné pro uzavření smlouvy!
Druhou kategorií je marketingová komunikace. Pro zasílání obchodních sdělení je vhodné mít souhlas, nicméně pokud se jedná o zasílání současným hostům, souhlasu v přiměřeném rozsahu není potřeba (např. nabídnutí typu pokoje, ve kterém byl host ubytován, za akční cenu). Pod tuto výjimku však nelze schovat např. týdenní newslettery ohledně novinek z hotelové kuchyně. K zasílání obchodních sdělení potenciálním hostům je souhlasu potřeba vždy. V každém případě je potřeba splnit informační povinnost.
Je třeba přizpůsobit i webové stránky hotelu?
Považuji za vhodné, ba dokonce nezbytné přidat veškeré informace ohledně zpracování osobních údajů, kontaktních osob apod. na internetové stránky. V případě, že lze skrze stránky přímo ubytování objednávat, je potřeba splnit informační povinnost před vytvořením objednávky. V rámci objednávkového formuláře je vhodné minimalizovat rozsah dotazovaných údajů. Pokud bude nabízeno zasílání obchodních sdělení, políčko souhlasu nesmí být předvyplněné. Co se týče obchodních sdělení, musí dojít k tzv. dvojitému ověření, při kterém musí být souhlas potvrzen ještě následujícím e-mailem. Rovněž bude zřejmě potřeba revidovat upozornění ohledně tzv. cookies. Ještě bych upozornila na oblíbená tlačítka propojující stránky se sociálními sítěmi (např. sdílení, lajkování apod.). Webové stránky nesmí, bez souhlasu návštěvníka, automaticky získávat údaje ze sociálních sítí (např. nemělo by být vidět, kolika kamarádům na Facebooku se daná věc líbí).
Co znamenají chystané změny pro informatiky ve službách hotelů?
Informatici budou muset pro hotel provést technickou část příprav. Bude potřeba vyhodnotit tok dat, zabezpečení jejich přístupu, uložení, fungování internetových stránek apod. Rovněž bude zřejmě potřeba revidovat smlouvy s IT experty, což bude však úkol spíše pro právní poradenství.
Co nastane, když dojde k porušení ochrany citlivých dat nebo jejich krádeži?
V případě porušení ochrany (včetně krádeže) mohou vzniknout dvě oznamovací povinnosti, vůči ÚOOÚ a vůči subjektům údajů. V každém případě je nutné, jako první věc, sesbírat co nejvíce informací o porušení a provést jeho vyhodnocení (jak došlo k útoku, jaká data byla zasažena, jaká slabá místa v systému zůstávají). Následně je nutné co nejdříve začít pracovat na zabezpečovacích opatřeních. Pokud by bylo pravděpodobné, že porušení ochrany by mělo za následek riziko pro práva a svobody fyzických osob, je nutné porušení ohlásit ÚOOÚ. Toto by mělo proběhnout bez zbytečného odkladu, nejlépe do 72 hodin od zjištění porušení.
Pokud hrozí vysoké riziko pro práva a svobody fyzických osob, je nutné o porušení notifikovat i tyto osoby. Notifikace však není v tomto případě nutná, pokud (i) byla zavedena taková opatření, která činí ztracená/ukradená data nečitelná, (ii) byla přijata opatření, která zajistí, že se vysoké riziko již neprojeví nebo (iii) vyžadovalo by to nepřiměřené úsilí.
Je potřeba mít v hotelu zaměstnance pověřeného péčí o ochranu osobních údajů?
Určitě je vhodné, aby hoteliér měl k dispozici zaměstnance detailně proškoleného v oblasti ochrany osobních údajů. Podle GDPR musí být v některých případech jmenován tzv. pověřenec pro ochranu osobních údajů. V případě hoteliérů by to bylo v situaci, kdy by zpracování bylo rozsáhlé a pravidelné. V případě menších hotelů to nutnost zřejmě není, v případě větších hotelových sítí nejspíš ano. Výhodou je, že pro skupinu hotelů může být jmenován jediný pověřenec.
Je nutné proškolit i personál?
Rozhodně doporučuji provést alespoň základní školení téměř všech zaměstnanců. Zaměstnanci, kteří budou s osobními údaji pracovat více, ať již jako manažeři nebo zaměstnanci komunikující s hosty, je třeba proškolit pečlivěji. Pravděpodobně bude potřeba revidovat a upravit stávající procesy ohledně pracovněprávních vztahů.
Kde mohou hoteliéři získat metodickou pomoc?
Nejsnáze lze informace nalézt samozřejmě na internetu. Snadná dostupnost informací má však svou cenu, a to je riziko nespolehlivosti uvedených informací. Pro získání obecných informací o GDPR bych doporučila sledovat stránky Úřadu pro ochranu osobních údajů (www.uoou.cz) nebo např. web www.gdpr.cz. Pro získání specifičtějších informací pro hoteliérskou oblast doporučuji sledovat stránky Asociace hotelů a restaurací ČR (www.ahrcr.cz). Asociace mimo jiné nabízí speciální workshopy k tématu GDPR. Pro kontrolu smluv, vnitřních směrnic a dalších dotčených dokumentů doporučuji se obrátit na některou z advokátních kanceláří, které se na ochranu osobních údajů specializují.
Text: Michaela Šulcová Foto: Archiv
On-line verze časopisu
Časopis AHR
