Druga najveća kazna za nepoštivanje odredbi GDPR-a izrečena hotelskom lancu Marriott uznemirila cijeli sektor
Administracija osobnih podataka gostiju, kontekstualizacija i administracija privola te ostvarivanje prava ispitanika najveći su izazovi s kojima se susreću svi obveznici GDPR-a. Hotelijerstvo je jedan od najzahtjevnijih sektora u kojem brza administracija predstavlja apsolutni imperativ. Zbog izrazito dinamičnog poslovanja naizgled gotovo da i ne postoji mogućnost uvođenja novih procesa bez ugrožavanja 'turističkog doživljaja' pa se velik broj hotela odlučuje za odgodu usklađivanja s ovom zakonskom regulativom. Slijedom tog trenda, nadzorna tijela bilježe sve veći broj prijava kršenja odredbi Uredbe od strane ispitanika – ne samo od gostiju hotela već i od samih zaposlenika.
Niti nakon izricanja druge najveće kazne u povijesti u području zaštite privatnosti i osobnih podataka u iznosu od približno 117 milijuna eura, kojom je britansko nadzorno tijelo ICO u srpnju ove godine kaznilo poznati hotelski lanac Marriott, u Hrvatskoj se malo toga promijenilo. Samo kratko da se podsjetimo, u studenom 2018. Marriott je izdao priopćenje da je otkrio neovlašten pristup svojoj bazi podataka koja je sadržavala brojne kategorije osobnih podataka korisnika njihovih usluga. Baza podataka stečena je prilikom akvizicije tvrtke Starwood 2016. godine, a u istrazi je utvrđeno da je neovlašten pristup toj bazi kontinuirano trajao od 2014. godine. U obrazloženju kazne, u srpnju ove godine, ICO je naveo da hotelski lanac Marriott 'nije proveo dovoljno temeljitu identifikaciju stranaka (due diligence)' prilikom kupnje Starwooda te da je 'morao poduzeti bolje organizacijske i tehničke mjere u području informacijske sigurnosti'.
Ilustracije radi, većini hrvatskih hotelijera baze podataka administriraju treće strane odnosno tvrtke koje im programiraju, održavaju ili ustupaju svoja programska rješenja hotelskih informacijskih sustava. Često se događa da te tvrtke nemaju certificirane sustave u smislu informacijske sigurnosti, kao i da nisu usklađene s GDPR-om čime i sami hotelijeri posredno krše Uredbu angažirajući ih.
Usklađivanje hotela s GDPR-om nije nimalo jednostavan proces i ne podrazumijeva jednokratnu aktivnost. Implementacija odredbi Uredbe u hotelski sustav mora biti dobro isplanirana, a konzultanti koji provode projekt moraju biti stručnjaci kako za europsku pravnu regulativu tako i za informacijsku sigurnost jer usklađivanje podrazumijeva dubinske analize te uspostavljanje kako tehničkih tako i organizacijskih mjera. Iz tog razloga ne postoje niti jednostavna niti brzinska rješenja. Uvriježeno je mišljenje da hoteli prikupljaju samo osobne podatke u svrhu prijava gostiju i eventualnih kontakata vezanih uz promotivne aktivnosti.
Međutim, kad se provede temeljita i opsežna snimka stanja te se analiziraju hotelski procesi, transparentno postane i prikupljanje posebno osjetljivih podataka koji, primjerice, uključuju medicinske dijagnoze zbog eventualnih alergija na hranu ili zdravstvenog stanja gosta i zahtjeva za pojačanim nadzorom osoblja te spremnost na rješavanje mogućih hitnih medicinskih stanja, podaci vezani uz brojeve kreditnih kartica, osobni podaci djece, naizgled neosjetljivi podaci vezani uz imena gostiju smještenih u jednoj smještajnoj jedinici koji svojom objavom mogu nanijeti značajne štete pojedincu... I to je tek površina. Također, hotelijerski sektor je radno intenzivan te je obrada osobnih podataka privremenih i stalnih zaposlenika također jedan od aspekata koji se ne smiju zanemariti jer su upravo prijave bivših zaposlenika vrlo učestale, i to ne samo po osnovi GDPR-a.
Svakako treba naglasiti i da inozemni gosti, ukoliko smatraju da su im povrijeđena prava koja se odnose na GDPR, mogu i bez najave samom hotelu u kojem su ostvarili svoju posjetu, prijaviti svoju zabrinutost i tvrdnju za neostvarivanje propisanih prava nadzornim tijelima u svojim državama koja potom obrađuju prijavu i prosljeđuju ih našem nacionalnom nadzornom tijelu AZOP-u te ta tijela dalje s njime zajednički dogovaraju djelovanje.