Revoluce v ochraně osobních údajů se dotkne i hotelů a restaurací

Evidujete osobní údaje ubytovaných hostů? Nebo Vaše restaurace vyžaduje email pro přihlášení do wifi? Následující krátké shrnutí nastíní, co znamená nařízení GDPR pro hotely a restaurace a doporučí, jaké první kroky podniknout.

Od 25. května 2018 bude účinné nové evropské Obecné nařízení o ochraně osobních údajů, které se anglicky zkracuje jako GDPR. Nařízení se dotkne zpracování jakýchkoliv osobních údajů zaměstnanců, ubytovaných hostů či návštěvníků stránek, mezi které patří především jejich jména, příjmení a data narození. Patří mezi ně ale také všechny další údaje, ze kterých je možno někoho přímo či nepřímo identifikovat, nově např. také IP adresa nebo email. Přitom není nařízení omezeno na počítačové zpracování, ale vztahuje se rovněž na zpracování manuální. Dá se říci, že pokud budete chtít v Evropě podnikat, budete se muset s GDPR vyrovnat vždy. Pokud byste nařízení chtěli ignorovat, připravte se přitom na riziko astronomických pokut. Pokuty za jeho nedodržování mají totiž být „účinné, přiměřené“, ale také „odrazující“...

V první řadě bude třeba rozlišit, zda osobní údaje, ať už hostů nebo zaměstnanců, musíte evidovat na základě nějakého právního předpisu, anebo zda jde o údaje, které dostáváte na základě souhlasu se zpracováním. Souhlasy se zpracováním a poskytované informace budou muset být v souladu s novým nařízením. Udělené souhlasy budete coby správce muset umět doložit kontrolnímu orgánu i budoucnu. Zvláštní podmínky se navíc budou vztahovat na ochranu dětí, neboť u nich bude navíc nutný souhlas rodičů. Nová pravidla upravují povinnosti hlásit neprodleně dozorovému úřadu případy porušení zabezpečení ochrany osobních údajů. Kromě dalšího bude potřeba nastavit procesy pro odvolávání souhlasů s dalším zpracováním a zabezpečit poskytování informací dotčeným osobám o zpracovávaných jejich osobních údajů.

V některých případech budou správci muset provádět povinné průběžné posuzování vlivu na ochranu osobních údajů. Někteří správci budou mít dále povinnost jmenovat tzv. pověřence pro ochranu osobních údajů, který bude poskytovat správci informace a poradenství o jeho povinnostech a který bude současně sloužit jako kontaktní místo pro potřeby dozorového úřadu.

Změn tedy bude celá řada, ale čím začít?

  1. Zajímejte se o GDPR a určete osobu ve vedení, která bude mít GDPR na starosti.
  2. Pokud máte pobočky v EU, zjistěte, zda již někdo GDPR neřeší, neboť se vyplatí postupovat jednotně.
  3. Zjistěte, jaké osobní údaje vlastně zpracováváte.
  4. Zjistěte, s kým osobní údaje sdílíte a kam je fyzicky ukládáte, zejména zda jsou úložiště v EU.
  5. Vyhledejte odborníky na nastavení procesů, úpravu počítačového systému a kontrolu textů souhlasů se zpracováním a dalších textů.

Photo: depositphotos.com

2 Responses

  1. Ales
    Dobrý den, jako restaurace využíváme rezervační knihu, asi jako každá jiná. V knize zapisujeme příjmení a telefonní číslo, nic víc. WiFi zdarma je na zaškrtnutí políčka "souhlas s pravidly poskytovatele". Bude i v takových případech potřeba administrativní pracovník pro správu GDPR? Děkuji mnohokrát za odpověď na potenciálně stupidní otázku. Aleš Strnádek Chicago Bar & Grill Liberec
    • admin
      Dobrý den Aleši, díky za otázku, není stupidní, je věcná, osobním údajem se rozumí jakýkoliv údaj, na základě kterého lze identifikovat konkrétní osobu. Jméno a telefonní číslo jsou v tomto případě osobní údaje a pokud je spravujete, bude to třeba činit v souladu se zákonem. Být vámi, vyčkám na konkrétnější instrukce příslušného úřadu, popřípadě asociace hotelů a restaurací, která se tím zabývá.

Přidat komentář

You must be Logged in to post a comment.