Již za necelých devět měsíců začnou platit nová pravidla pro zacházení s osobními údaji, konkrétně Obecné nařízení o ochraně osobních údajů z dílny EU. Hoteliérů se budou tyto regule týkat měrou nemalou. Už s ohledem na extrémní sankce, které jim v případě prohřešků hrozí, by měli věnovat pozornost přípravám na příchod nové legislativy. Stejně tak jejich dodavatelé hotelových systémů.
„Dnem D“, kterým bude 25. květen příštího roku, dojde ke změně v oblasti nakládání s osobními údaji, kterou mnozí nazývají revolucí. Změna se dotkne všech, kteří shromažďují a zpracovávají osobní údaje, a to nejen zákazníků, ale také třeba zaměstnanců nebo dodavatelů. V praxi tedy téměř jakékoli firmy, ale i řady fyzických osob. Zcela logicky budou novým pravidlům podléhat i ubytovatelé.
Nová pravidla najdete třeba na stránkách Úřadu pro ochranu osobních údajů, do jehož gesce problematika pochopitelně spadá. Řada pravidel obsažených v GDPR již delší dobu prakticky funguje, novinek je ale v nařízení víc než dost. Ne že by hotely přišly o svůj poklad, který pro ně osobní údaje hostů obvykle představují, změní se ale pravidla, jak mohou k tomuto pokladu přijít a jak s ním zacházet. Zatímco dnes žije řada firem v iluzi, že osobní údaje jsou jejich majetkem (a také velmi žádanou komoditou na trhu), GDPR se snaží vrátit je do vlastnictví jednotlivců, subjektů osobních údajů. Dosavadní praxe, kdy host při příjezdu do hotelu podepíše registrační kartu s předvyplněným souhlasem se zpracováním svých osobních údajů, vezme zasvé. Kdo bude chtít hostům zasílat newslettery či s nimi jinak marketingově komunikovat, bude muset disponovat jejich explicitním souhlasem s takovým využitím jejich osobních údajů. A tento souhlas bude muset mít host možnost kdykoli v budoucnu odvolat, resp. bude moci požadovat vymazání svých údajů z dané databáze, pokud není jejich zpracování podloženo jiným právním důvodem (plnění ze smlouvy, zákonná povinnost, oprávněný zájem).
Účastníci červnové COTakhle snídaně, na které se uvedená problematika probírala, se vesměs shodli na tom, že v důsledku GDPR zřejmě stoupne význam hotelových věrnostních programů – jejich účastníci s vidinou budoucích benefitů zřejmě ochotněji než ostatní hosté podepíšou souhlas se zpracováním jejich osobních údajů. Háček je v tom, že u řady věrnostních programů si zřejmě budou muset jejich provozovatelé tyto souhlasy účastníků nově vyžádat.
Subjekty údajů (v případě hotelů tedy hosté) budou muset být důkladně informovány o svých právech a budou moci vznést námitku proti zpracování svých osobních údajů – správce, který k tomu nebude mít závažné a prokazatelné důvody, pak bude muset se zpracováváním těchto údajů skončit. Jsou-li data zpracovávána automaticky, má být ve vybraných případech zaručena jejich přenositelnost mezi jednotlivými správci. Člověk by měl podle nového nařízení mít možnost přístupu k údajům, jež jsou o něm shromažďovány, a to přímo a on-line. Nově je také definováno, že mezi osobní údaje patří třeba i e-mailové adresy, IP adresy či cookies.
O problematice GDPR se diskutovalo mj. na červnové COTakhle snídani
|
Novinkou je třeba skutečnost, že správce i zpracovatel osobních údajů budou muset prokazatelně doložit, že po celou dobu zpracovávání údajů dodržovali pravidla GDPR a že zpracovávají pouze data pro daný účel nezbytná. To vše s sebou ponese určitou administrativní i finanční zátěž. A někteří hoteliéři budou muset navíc jmenovat tzv. pověřence pro ochranu osobních údajů.
Nejhlubší vrásky však mnohým hoteliérům do čel vyrývá oznamovací povinnost v případě narušení bezpečnosti údajů. Každý únik či ohrožení zabezpečení osobních dat budou muset být zdokumentovány a v případě, že by představovaly riziko pro subjekty osobních údajů, budou muset být do 72 hodin od zjištění hlášeny ÚOOZ. V obzvlášť závažných případech budou muset být informovány i osoby, kterých se tento problém s osobními údaji týkal. To s sebou samozřejmě nese silné reputační riziko a také riziko vysokých, vpravdě astronomických pokut. Za porušení povinností souvisejících s úniky dat hrozí pokuta až 20 milionů eur nebo 4 procenta z ročního obratu firmy (podle toho, která částka bude vyšší). Že by pro mnoho firem byla taková pokuta likvidační, je nabíledni. Je tedy zřejmé, že přípravy na příchod GDPR není radno brát na lehkou váhu.
Připraveni musejí být samozřejmě nejen hoteliéři, ale také dodavatelé rezervačních a hotelových systémů. U těch pak, jak na zmíněné snídani připomněl Filip Kühnel z HotelTime, záleží na tom, kde jsou data o hotelových hostech uložena. „Hoteliér může mít všechna data uložena u sebe v počítači, pak hovoříme o lokální instalaci softwaru. V takovém případě je na něm, aby si správně zabezpečil, kdo se k systémům, serverům a datům může dostat, což může být ve finále celkem komplikované a do budoucna to bude ještě komplikovanější. Anebo může využívat systém postavený na cloudovém řešení, kde jsou veškerá data uložena u dodavatele, který za ně odpovídá. To je i náš případ,“ uvedl Kühnel.
Dlužno podotknout, že lokální instalace softwaru už dnes začíná být raritní. „Aplikace, které nabízejí klientům možnost lokální instalace, se pomalu mění na dinosaury. A je to tak správně,“ komentuje Martin Blažek, zakladatel projektu Better Hotel. Přesto se na trhu najdou dodavatelé, kteří i dnes sázejí na lokální instalaci – příkladem může být společnost ASW Systems, která dodává hotelový software protel SPE/MPE.
Zkušenosti odborníků hovoří o tom, že ne každý hoteliér má přesný přehled o tom, kam se jím shromažďovaná data ukládají. Inventura aktuálního stavu je tak prvním krokem v přípravě na GDPR. Jednodušší situaci mají ti, jejichž data jsou uložena u dodavatelů. Jak už bylo uvedeno, za bezpečnost uložení dat totiž v takovém případě odpovídají právě tito dodavatelé. Leč pozor – správce (tedy hotel) se odpovědnosti nezbaví. Musí si totiž vybrat takového zpracovatele (např. cloudový provider), který je schopen dostát požadavkům GDPR. Data v lokálně instalovaném systému samozřejmě kladou větší nároky na hoteliéra, pokud jde o zabezpečení. V obou případech však hoteliéři odpovídají za své zaměstnance, kteří mají oprávnění s daty pracovat. Je třeba věnovat pozornost nastavení přístupů apod. „V principu jde o to, aby zaměstnanci neměli větší přístupy k datům, než nezbytně nutně potřebují,“ shrnuje Filip Kühnel.
Vzhledem k tomu, že o peníze jde vždy až v první řadě, hoteliéry obvykle zajímá, jak nákladná pro ně příprava na GDPR bude. Obecně lze říci, že lépe jsou na tom ti, kdo se problematikou ochrany osobních údajů zabývali i v minulosti, pak jejich procesy a systémy budou potřebovat spíše doladění než rekonstrukci. Naopak ti, kdo problematiku zanedbávali, si připlatí. A pokud jde o hotelové systémy, záleží na každém jednotlivém dodavateli, zda úpravy související s přípravami na GDPR promítne do cen. „Stejně jako naši klienti nepřipláceli za přípravu systému na EET, nebudou platit ani v tomto případě. Legal complience považujeme za samozřejmost, která je obsažena v měsíčním paušálu, který uživatelé našich licencí platí,“ uvedl na COTakhle snídani Filip Kühnel z HotelTime. Podobně je tomu i v případě Better Hotel. „Tak jako všechny ostatní legislativní změny, reflektujeme i GDPR automaticky a bez jakýchkoli dalších doplatků nebo nutnosti dokupování dalších modulů,“ vysvětluje Martin Blažek. Prakticky stejně hovoří i Hedvika Trunečková z ASW Systems, podle které by tak s úpravami hotelového systému neměly být spojené žádné výrazné náklady. Úpravy systému jsou ovšem pouze jedna stránka věci. Jaké náklady vynaloží hoteliéři na úpravu dokumentace, proškolení zaměstnanců, vytvoření nových interních předpisů a další práce, nelze spolehlivě predikovat.
„Naše zkušenost s hotelnictvím v České republice je taková, že je toto téma podceňováno,“ uvedl na červnové snídani odborník PwC na problematiku ochrany osobních údajů Ján Bača. Kdo splňoval dosavadní požadavky legislativy v oblasti ochrany osobních údajů, ten by neměl mít s přípravou na příchod GDPR problém. Řada firem (průřezově celým hospodářstvím) však problematice nevěnovala velkou pozornost, a pro takové může být dnes již pozdě. Případně musí počítat s tím, že se jim příprava na GDPR prodraží – investovat musí do školení zaměstnanců, které dnes nabízí řada firem (vlastní semináře chystá ve spolupráci s PwC i Asociace hotelů a restaurací ČR), nebo se mohou obrátit na konzultanty, kteří s přípravami pomohou. A ti si samozřejmě za své profesionální služby obvykle nechají dobře zaplatit. Na druhou stranu, investice do přípravy se svou výší nemohou rovnat s případnými sankcemi nebo s částkami, které by mohli v rámci mimosoudních vyrovnání požadovat „vykukové“, kteří cíleně vyhledávají díry v systémech a ty se pak snaží zneužít a získat odškodnění v mimosoudním vyrovnání. Mimochodem – řada advokátních kanceláří se rozhodla na problematice GDPR postavit svůj business model.
Angažovat do celého procesu konzultanty, třeba právě z PwC, je rozhodně doporučeníhodné. „Prvním krokem u každého našeho klienta je analýza současného stavu a srovnání s požadavky GDPR. Z výsledků této rozdílové analýzy následně vyvozujeme detailní návrhy řešení pro dosažení souladu s novým nařízením. Opatření se můžou týkat právní dokumentace, systémových IT změn ale také změn v procesech. Našim klientům pomůžeme také s následnou implementací těchto změn,“ shrnul Ján Bača. Problematikou GDPR se budeme zabývat i na říjnové COTakhle snídani, stejně tak v prosincovém vydání COT.
Foto: -pmu-
Kam pro text nařízení?Obecné nařízení o ochraně osobních údajů najdete v plném znění na webu ÚOOÚ pod následujícím odkazem: https://goo.gl/mEYhQn. |
Vážení čtenáři, Váš oblíbený portál Celyoturismu.cz bude v horizontu 3 měsíců uzavřen. To podstatné z cestovního ruchu – vývoj, statistiky, analýzy, legislativní problematiku atd. – proto nově najdete na zpravodajském portálu Hospodářské komory ČR www.komoraplus.cz a také ve...
Asociace hotelů a restaurací ČR (AHR) ve spolupráci se společností Data Servis – informace zveřejnila výsledky vývoje tržeb v ubytovacích a stravovacích zařízeních za první čtvrtletí letošního roku. Z průzkumu vyplývá, že provozovatelé restaurací zažívají postupný návrat hostů na...
Během 84. valného shromáždění konfederace HOTREC, které se uskutečnilo v Praze, obdržel Pavel Hlinka evropské ocenění za svůj mimořádný přínos k propagaci odvětví cestovního ruchu a pohostinství v České republice. V tiskové zprávě to uvedla Asociace hotelů a restaurací České republiky (AHR...
