Drodzy WuBookerzy, jak doskonale wiecie, jednym z obowiązków hotelarza jest chronienie informacji o swoich gościach. Na pierwszy rzut oka brzmi to oczywiście, jednak w praktyce rodzi szereg wyzwań prawnych i organizacyjnych. Sprawdźmy więc, jakie przepisy dotyczą prywatności w hotelach (ze szczególnym uwzględnieniem RODO) i w jaki sposób można wypełniać je z pomocą nowoczesnych narzędzi.

RODO: przegląd najważniejszych informacji

Ogólne rozporządzenie o ochronie danych (RODO, w języku angielskim GDPR) to europejskie rozporządzenie precyzujące, w jaki sposób można wykorzystywać, przechowywać, chronić i udostępniać dane osobowe.

Jak wskazuje Komisja Europejska, RODO obowiązuje:

• każdą firmę lub podmiot przetwarzający dane osobowe w ramach działalności jednego ze swoich oddziałów zlokalizowanych w UE, niezależnie od tego, gdzie odbywa się przetwarzanie danych;
• każdą firmę spoza UE, która oferuje towary lub usługi (odpłatnie lub bezpłatnie) lub monitoruje zachowania osób w UE.

Oznacza to na przykład, że również hotele działające poza Europą, ale przetwarzające dane osobowe europejskich gości, podlegają tym przepisom. RODO wprowadza szereg obowiązków, w tym m.in. prawo użytkowników do żądania usunięcia swoich danych z baz firmy (tzw. prawo do bycia zapomnianym) czy konieczność informowania w przypadku naruszenia bezpieczeństwa danych (data breach).

W niniejszym artykule skupiamy się przede wszystkim na prywatności danych, a więc procedurach związanych z gromadzeniem i wykorzystywaniem danych gości już od momentu dokonania rezerwacji.

Jakie dane hotel może gromadzić i przetwarzać?

W celu dokonania rezerwacji i pobytu w obiekcie goście muszą podać pewne dane osobowe, takie jak imię i nazwisko (niezbędne do identyfikacji klienta), adres e-mail czy numer telefonu (w celu komunikacji w sprawie rezerwacji) oraz dane płatnicze. Te informacje są kluczowe, aby zawrzeć umowę o świadczenie usług hotelarskich.

Niekiedy potrzebne są również dodatkowe dane, np. wiek czy płeć, które mogą służyć ulepszaniu doświadczenia gościa albo celom marketingowym (np. wysyłanie wiadomości handlowych i promocji).

Szczególną kategorią są dane wrażliwe: informacje o pochodzeniu etnicznym, poglądach politycznych i religijnych, stanie zdrowia, orientacji seksualnej itp. Takie dane mogą być gromadzone wyłącznie, gdy jest to niezbędne dla zapewnienia bezpieczeństwa gościa. Na przykład dane dotyczące alergii pokarmowych mogą być konieczne do świadczenia odpowiednich usług gastronomicznych.

Przetwarzanie danych w hotelu

Pod pojęciem przetwarzania danych rozumiemy każdą operację lub zestaw operacji na danych, w tym ich gromadzenie, przechowywanie, przesyłanie – niezależnie od tego, czy odbywa się to w formie cyfrowej czy analogowej.

Aby móc przetwarzać dane, hotel musi uzyskać wyraźną zgodę gości, przedstawiając im stosowny dokument: tzw. klauzulę informacyjną o ochronie danych osobowych.

Taki dokument powinien w sposób czytelny, jasny i jednoznaczny wyjaśniać, jakie dane są zbierane i w jakim celu, a także jak gość może je modyfikować lub usuwać.

Klauzula może być przedstawiana w formie papierowej podczas zameldowania w hotelu lub elektronicznie, np. w trakcie check-inu online.

W każdym przypadku akceptacja klauzuli jest obowiązkowa w odniesieniu do celów marketingowych, natomiast w przypadku danych niezbędnych do realizacji usługi często uznaje się zgodę za domniemaną – choć zawsze warto zadbać o explicitną akceptację.

Prywatność danych a PMS w hotelach: przykład Zak

Jak widzimy, niektóre dane są niezbędne, by zapewnić usługę i jednocześnie mogą stać się cenną bazą do analiz oraz ulepszania oferty. Kluczowe jest jednak, by ich zbieranie i przechowywanie odbywało się z poszanowaniem RODO (a w razie poważnych naruszeń mogą grozić kary sięgające nawet 20 mln euro lub 4% globalnego obrotu firmy).

Zak, PMS dla branży hotelarskiej od WuBook, oferuje kilka istotnych rozwiązań w zakresie ochrony danych zgodnie z dyrektywą europejską.

Pobieranie zgody

Pierwszą z nich jest właśnie pobieranie zgody na przetwarzanie. Na stronie rezerwacyjnej (Booking Engine) w Zak hotelarz może umieścić link do swojej polityki prywatności, który wyświetla się klientowi do akceptacji.

Ten sam link można zamieścić w panelu gościa (guest page), w którym klienci wprowadzają i edytują swoje dane osobowe oraz szczegóły rezerwacji.

Dodatkowo, hotel może zażądać podpisu cyfrowego gościa podczas zameldowania online (gość może podpisać się myszką lub palcem, jeśli korzysta z urządzenia mobilnego).

Przechowywanie danych i usuwanie

Automatyzacja gromadzenia i przechowywania danych cyfrowych przynosi liczne korzyści. Poza ograniczeniem błędów ludzkich, oszczędnością miejsca, czasu oraz zasobów (papier, tusz), cyfryzacja umożliwia też szybsze działanie w razie potrzeby usunięcia danych.

Zak oferuje aż 3 poziomy automatycznej anonimizacji, które uruchamiają się po ustalonym przez hotelarza czasie (np. po roku):

1. Soft: usuwane są wszystkie dane gościa z wyjątkiem imienia, nazwiska i kraju.
2. Medium: pozostają tylko nazwisko, kraj i pierwsza litera imienia.
3. Hard: wszystkie dane zostają w pełni usunięte.

Ochrona i bezpieczeństwo

Co w przypadku ewentualnego wycieku danych – np. kradzieży czy nieuprawnionego rozpowszechnienia informacji przez osoby trzecie? Zak został zaprojektowany tak, aby zapewnić wysoki poziom ochrony także w tym obszarze. Infrastruktura jest certyfikowana zgodnie ze standardem PCI-DSS (Payment Card Industry Data Security Standard), co oznacza zabezpieczenie transakcji kartą płatniczą (przy użyciu payment gateway), a w przypadku Zak certyfikacja obejmuje cały obszar serwerów, chroniąc nie tylko transakcje, lecz także dane osobowe.

Codzienne kopie zapasowe i zaawansowane systemy odzyskiwania danych w razie awarii gwarantują przywrócenie baz w krótkim czasie (nawet do 15 minut!).

Ponadto wprowadzono mechanizmy przeciwdziałające wyciekowi danych oraz złośliwemu działaniu złośliwego oprogramowania i wirusów. Wysoka jakość kodu, ciągły monitoring i bezpieczeństwo chmury, w której znajduje się Zak, czynią to rozwiązanie jednym z najkorzystniejszych i najbardziej niezawodnych na rynku.

Podsumowując, przestrzeganie RODO i ochrona prywatności użytkowników jest nie tylko obowiązkiem, ale też wyrazem profesjonalizmu oraz troski o reputację obiektu. Dzisiejsza technologia dostarcza wielu rozwiązań, które pomagają spełnić te wymagania – ważne jest tylko, by zwracać uwagę na aspekty prawne i bezpieczeństwo już na etapie wyboru narzędzi.