12 twardych faktów o RODO

Szykuje nam się rewolucja w ochronie danych osobowych w związku z nieubłagalnym terminem rozpoczęcia funkcjonowania nowych przepisów. Mowa oczywiście o Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 96/46/WE – ogólne rozporządzenie o ochronie danych osobowych (dalej zwane RODO). Już sama część wstępna RODO to 173 punkty na prawie 30 stronach A-4, może to skutecznie odstręczyć od lektury i analizy nowych przepisów, dlatego proponuję dziś Państwu krótkie i klarowane kompendium podstawowych zagadnień z zakresu RODO, które przyda się w branży hotelarskiej.

1. Czy warto zapoznać się z RODO, czy lepiej czekać na polskie przepisy je wprowadzające?

Przede wszystkim trzeba wyraźnie napisać, że istota prawna tych zmian opiera się na tym, że Unia wprowadziła je w drodze rozporządzenia, które będzie obowiązywało bez konieczności uchwalania w poszczególnych państwach ustaw krajowych regulujących tę materię. Te same przepisy zatem będą obowiązywały w zakresie danych osobowych np. w Polsce i w Hiszpanii. RODO będzie miało w Unii zastosowanie od 25 maja 2018 r. Polskie przepisy wewnętrzne dotyczące danych osobowych nie znikną jednak całkowicie, gdyż ustawodawca będzie musiał uregulować np. kwestie proceduralne obowiązujące w tym zakresie w RP (np. przemianowaniu ulegnie GIODO i jego urzędnicy). Obecnie trwają prace nad tymi regulacjami w Polsce, natomiast samo RODO już się nie zmieni, będzie obowiązywać u nas w takim kształcie, w jakim zostało uchwalone w 2016 r.

2. Kogo chroni RODO?

RODO chroni wyłącznie osoby fizyczne, gdyż dane osobowe dotyczą nadal wyłącznie ich. Nie można zatem mówić o danych osobowych w przypadku firm. Nie musimy zatem w hotelu stosować żadnych specjalnych procedur związanych z ochroną danych osobowych np. w przypadku danych firmy zamawiającej u nas wydarzenie dla pracowników czy noclegi (dane takie mogą być jednie chronione na podstawie ogólnych przepisów prawa cywilnego, poszanowania tajemnicy przedsiębiorstwa czy tajemnicy kontraktowej). Wynika to wprost z definicji danych osobowych w RODO, zgodnie z którą dane te oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”). Ochrona dotyczy przetwarzania danych osobowych zarówno w sposób automatyczny (np. w systemach komputerowych), jak i niezautomatyzowany (np. consierge zapisuje sobie preferencje stałego klienta, by móc niejako je uprzedzać w przypadku kolejnej wizyty).

3. Administrator czy podmiot przetwarzający?

W hotelach w praktyce może powstać wątpliwość, kto jest administratorem danych. Inny podmiot może być właścicielem, inny operatorem, może też dojść do powierzenia przetwarzania danych podmiotowi trzeciemu. RODO definiuje administratora jako m.in. osobę fizyczną lub prawną, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych, zaś podmiot przetwarzający jako osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora. Przy rozszczepieniu pomiędzy właścicielem obiektu a jego operatorem dane osobowe gości będzie przetwarzać siłą rzeczy operator.

4. Przetwarzanie danych osobowych w sieciach hotelarskich

Rozporządzenie to ma zastosowanie do przetwarzania danych osobowych osób, których dane dotyczą, przebywających w Unii przez administratora lub podmiot przetwarzający niemających jednostek organizacyjnych w Unii, jeżeli czynności przetwarzania wiążą się z: a) oferowaniem towarów lub usług takim osobom, których dane dotyczą, w Unii – niezależnie od tego, czy wymaga się od tych osób zapłaty; lub b) monitorowaniem ich zachowania, o ile do zachowania tego dochodzi w Unii. 3. Jeżeli zatem nasz hotel w Polsce działa w ramach sieci, przy czym przekazujemy dane osobowe naszych gości do podmiotu niemającego siedziby na terenie Unii, a on wykorzystuje je dla jednego z celów wskazanych w dwóch literach powyżej, jest zobowiązany stosować się do RODO. Dotyczy to także systemów rezerwacyjnych prowadzonych przez podmioty spoza Unii. Inna sprawa, jak Unia zareaguje i czy w ogóle będzie miała faktyczną możliwość skutecznego wymuszenia stosowania RODO na podmiotach, które nie p...