13. prosinac 2019.

Često putujete? Evo što hoteli moraju raditi s vašim osobnim podacima, a da vi to (sigurno) niste znali

 foto Getty Images/cultura Rf
piše Natalija Parlov Una
una@apicura.hr
piše Natalija Parlov Una [email protected]

Dolaskom gosta u hotel počinje proces prikupljanja i obrade njegovih osobnih podataka zbog ispunjavanja zakonske obveze i omogućavanja što ugodnijeg boravka u svrhu ponovnog dolaska i daljnje preporuke. Iz potonjeg razloga hoteli prikupljaju puno više podataka o vama nego što se to čini prilikom same registracije na recepciji. 

Medicinsko stanje zbog kojeg bi vam osoblje trebalo biti na raspolaganju s većom pažnjom, prehrambene navike ili ograničenja tipa kosher i halal hrane ili bezglutenske prehrane, osobne preferencije prema određenoj smještajnoj jedinici s kompletnom povijesti vašeg dosadašnjeg odsjedanja, podaci djece u svrhu organizacije posebnih aktivnosti i još mnogo toga učinit će svaki vaš sljedeći dolazak mnogo ugodnijim. To vas financijski neće koštati više, ali moglo bi vas koštati vaše privatnosti, osobito ukoliko dođe do curenja prikupljenih podataka.

S druge strane, hotelijerstvo je izrazito radno intenzivan sektor s velikom fluktuacijom radne snage. Svim zaposlenicima također moraju biti osigurana sva prava nad njihovim osobnim podacima koja im zakonom pripadaju. Istovremeno, hotelski službenik za zaštitu podataka je prva kontaktna točka koju ispitanici, bilo gosti ili sami zaposlenici, kontaktiraju u slučaju incidenta ili zahtjeva za ostvarivanjem propisanih prava te je on zadužen i za kontakt s nadzornim tijelom. Sve češće se događa da imenovani službenik za zaštitu podataka ne posjeduje potrebne kvalifikacije za obnašanje te funkcije i svojim aktivnostima prema ispitanicima ili nadzornom tijelu samom hotelu nenamjerno nanese štetu. Tako slučajevi pokušaja sanacije (najčešće) benignih incidenata dovedu do neposrednog nadzora i posljedične kazne.

U nastavku je mali vodič vezan uz prikupljanje i obradu podataka u hotelima, te osnovne stavke na koje treba obratiti posebnu pozornost:

Identifikacija i registracija gostiju

Zadržavanje osobnih dokumenata na recepciji dulje nego što zahtijeva sama registracija gosta u hotelski informacijski sustav nije dozvoljena, kao niti kopiranje i arhiviranje osobnih dokumenata. Nadzorna tijela zemalja članica EU stava su kako se za to nikako ne smije koristiti pravna osnova legitimnog interesa. Jedno od rješenja koje bi zadovoljilo potrebe hotela i ubrzalo procese prilikom registracije gostiju svakako je implementacija provjerenih OCR aplikacija koje putem specijaliziranih čitača skeniraju osobne dokumente i obrađuju samo nužne podatke u svrhu registracije gosta. Pri tome svakako treba voditi računa da proizvođači OCR aplikacija nakon njihove instalacije u hotelske sustave u najvećem broju slučajeva imaju uvid u podatke pa je s njima obavezno potpisivanje Ugovora o obradi podataka s jasno definiranim ovlastima i odgovornostima voditelja i izvršitelja obrade. Osobitu pažnju treba obratiti na to da nije dovoljno da pružatelji ovakvih vrsta usluga daju općenitu izjavu da su usklađeni sa GDPR-om već to zaista i trebaju biti. U slučaju incidenata curenja podataka odgovornost voditelja i izvršitelja obrade je podijeljena, a teret dokazivanja je na voditelju obrade.

Debitne i kreditne kartice gostiju

Evidentiranje i čuvanje brojeva debitnih i kreditnih kartica dozvoljeno je samo ukoliko je u hotelu implementiran sustav sigurne pohrane PCI DSS i gost je dao privolu za čuvanje te vrste podataka. Hoteli najčešće zbog visoke cijene nemaju implementiran taj sustav pohrane kartičnih podataka gostiju već brojeve debitnih i kreditnih kartica čuvaju u hotelskom informacijskom sustavu u nekom od otvorenih polja za unos podataka. Time su te informacije dostupne osoblju koje ima pristup aplikaciji, ali i tvrtkama koje pružaju usluge podrške i održavanja hotelskog informacijskog sustava čime apsolutno nisu osigurani neophodni tehnički uvjeti za zaštitu te vrste podataka.

Privola

Mogućnost davanja i povlačenja privole jedno je od temeljnih prava ispitanika propisanih GDPR-om i svim gostima mora biti omogućen jednostavan i transparentan proces, kako davanja tako i povlačenja privola. Privole moraju biti pravilno definirane te moraju sadržavati sve svrhe prikupljanja i eventualnog dijeljenja podataka s trećim stranama, a za koje ne postoji druga pravna osnova prikupljanja. Svrhe ne smiju biti općeg karaktera. Različite svrhe navedene u privoli moraju biti odvojene i ne smiju biti unaprijed potvrđene, a gostima mora biti omogućeno da svojevoljno odaberu za koju od svrha želi dati privolu. Osobito treba uzeti u obzir da gostu mora biti omogućeno i povlačenje dijela privole ukoliko se radi o više svrha pa se prilikom osmišljavanja same procedure administracije privola mora voditi računa i o operativnim mogućnostima hotelskog sustava.

Organizacijske i tehničke mjere

Uprava hotela i cjelokupno hotelsko osoblje moraju biti upućeni i educirani o osnovnim načelima GDPR-a i pravima ispitanika te svjesni odgovornosti koju nosi prikupljanje i obrada podataka. U organizacijskom dijelu poslovnih procesa na recepciji hotela svi djelatnici bi trebali koristiti svoje korisničko ime i zaporku prilikom unosa podataka u hotelski informacijski sustav jer je u slučaju incidenta curenja podataka važno moći identificirati vrijeme i odgovornu osobu koja je u to vrijeme bila u smjeni. Curenje podataka najčešće se događa na recepciji, a incidenti se najčešće događaju kad su gosti javne osobe. Visoka razina sigurnosti informacijskog sustava i uvođenje procesa nužnih za osiguravanje svih propisanih prava ispitanicima predstavljaju obvezu, a ne preporuku.

Zaposlenici hotela

Najčešća greška koja se događa u hotelima jest da vlastiti zaposlenici, bilo stalni ili sezonski nisu prepoznati u terminu 'ispitanici' te im često nisu osigurana sva prava koja im po GDPR-u pripadaju. Zaposlenicima hotela svakako mora biti omogućeno konzumiranje svih prava po GDPR-u u opsegu koji nije propisan drugom nacionalnom zakonskom regulativom.

Službenik za zaštitu podataka

Hoteli kontinuirano prikupljaju, obrađuju i pohranjuju izuzetno velik broj i opseg osobnih podataka, a u taj su proces često uključene i treće strane poput Booking.com, Airbnb i dr. Tu se, uz samu količinu i dinamiku prikupljanja radi i o karakteristikama podataka kao npr. osobnim podacima djece, medicinskim podacima, podacima o bivšim boravcima i osobnim prehrambenim preferencijama ili ograničenjima. Zbog tog razloga velik broj hotela je u obvezi imenovanja Službenika za zaštitu podataka. Odgovornost Službenika za zaštitu podataka nije bezazlena i opisana je u članku 38. Opće uredbe pod odredbama Radno mjesto službenika za zaštitu podataka te to svakako treba uzeti u obzir kod odluke o korištenju internog kadra ili angažmanu eksternog konzultanta.

Autorica: Natalija Parlov Una doktorandica Međunarodnih odnosa i stručnjakinja za informacijsku sigurnost i bihevioralni digitalni marketing. Autorica je brojnih znanstvenih i stručnih radova iz područja informacijske sigurnosti, bihevioralnog marketinga, plasmana na vanjska tržišta i međunarodnih odnosa. Konzultantica je inozemnim i domaćim tvrtkama te institucijama u poljima procesne forenzike, informacijske sigurnosti, bihevioralne marketinške analitike te uvođenja sukladnosti s europskom pravnom regulativom. Auditorica je sustava upravljanja informacijskom sigurnosti (ISO 27001), sustava upravljanja kvalitetom (ISO 9001) te sustava upravljanja za suzbijanje podmićivanja (ISO 37001) najveće njemačke certifikacijske kuće TÜV NORD. Direktorica je dviju tvrtki: PARLOV Digital Intelligence za bihevioralni digitalni marketing te APICURA Business Intelligence za informacijsku sigurnost i usklađivanje s europskom pravnom regulativom. LinkedIn