Z naszych obserwacji wynika, że branża hotelarska – jak dotychczas – nie przejęła się za bardzo nowymi regulacjami prawnymi wynikającymi z RODO i w związku z tym, przynajmniej w odniesieniu do znacznej liczby hoteli, nie wdrożyła choćby podstawowych elementów systemu ochrony danych osobowych przetwarzanych w ramach świadczenia usług hotelarskich.
Obserwowane przez nas zaniechania branży hotelarskiej polegają m.in. na:
Pozostawianiu bez nadzoru recepcji hotelowej przy jednoczesnym braku zabezpieczenia danych osobowych przetwarzanych na recepcji (w ramach naszych własnych doświadczeń zaobserwowaliśmy niestrzeżoną przez kogokolwiek przez długi czas recepcję, w której znajdował się włączony i niezablokowany komputer umożliwiający swobodny dostęp do zgromadzonych w nim danych).
Całkowicie dowolnym stosowaniu monitoringu, a w szczególności nieinformowaniu gości hotelowych o jego stosowaniu i podmiocie odpowiedzialnym za jego stosowanie.
Braku realizacji obowiązku informacyjnego względem gości hotelowych – ten typ naruszenia był podstawą do nałożenia pierwszej w Polsce kary za naruszenie przepisów RODO.
Braku technicznych zabezpieczeń przetwarzanych danych osobowych.
Braku jakichkolwiek polityk, procedur, szkoleń z zakresu ochrony danych osobowych.
Braku rejestracji czynności przetwarzania danych osobowych.
Korzystaniu z poczty elektronicznej niedostosowanej i nieprzeznaczonej do działalności biznesowej.
Nasuwa się spostrzeżenie, że osoby zarządzające hotelami oraz hostelami oczekują na rozwój wydarzeń i wstrzymują się z inwestycją w ochronę danych osobowych do czasu otrzymania pierwszych roszczeń ze strony niezadowolonych klientów. Zauważyć należy jednakże, iż europejskie organy nadzorcze dostrzegły już problem, czego przejawem stało się nałożenie pierwszych kar finansowych (oraz zapowiedź ich nałożenia) za niewłaściwe przetwarzanie danych osobowych w hotelach. W ostatnich dniach sensację wzbudziła zapowiedź nałożenia na Marriott International, Inc. olbrzymiej kary w wysokości 99.200,236 GBP (a więc znacznie powyżej 100 mln EURO) za niewłaściwe zabezpieczenie hotelowych systemów informatycznych, co przyczyniło się do wycieku olbrzymiej ilości danych osobowych gości hoteli z grupy Marriott. Wyciek miał charakter międzynarodowy, a tylko stosunkowo nieznaczna część danych (ok. 7 mln z 339 mln rekordów) dotyczyła mieszkańców Wielkiej Brytanii. Brytyjski organ nadzorczy (ICO) wytknął Marriottowi, iż nie dochował on należytej staranności przy przejmowaniu hoteli i infrastruktury grupy Starwood, w której to infrastrukturze tkwiły podatności zagrażające bezpieczeństwu danych osobowych. W ten sposób ICO podkreślił również wagę odpowiedniego due diligence przy transakcjach typu M&A i odpowiedzialność podmiotu przejmującego za zaniechania po stronie podmiotu przejmowanego. Kara nałożona na Marriott będzie na ten moment najprawdopodobniej drugą najwyższą globalnie karą za naruszenie przepisów RODO – zaraz po jeszcze wyższej karze, która nałożona zostanie w najbliższym czasie na linie lotnicze British Airways.
Przypadkiem mniej spektakularnym, ale właśnie przez to – przynajmniej w założeniu – bardziej przemawiającym do wyobraźni przeciętnego managera hotelu, może być przypadek z dnia 02 lipca 2019 r., polegający na nałożeniu przez rumuński organ nadzorczy kary w wysokości 15.000,00 EUR za wyciek danych gości hotelu World Trade Bucharest S.A. Wyciek ten miał charakter zdecydowanie mniej spektakularny, polegał bowiem na niezabezpieczeniu drukowanych list gości restauracji hotelowej, którzy mieli wykupione śniadanie w hotelu, co doprowadziło do obfotografowania tych list i opublikowania ich w Internecie. Co ciekawe, naruszenie dotyczyło jedynie 46 gości przebywających w hotelu. Można więc powiedzieć, że upublicznienie danych każdego z gości kosztowało hotel przeszło 300 EUR. Z czego wynikało naruszenie? Naturalnie, z nieodpowiednich procedur ochrony danych osobowych w hotelu i braku odpowiedniego przeszkolenia personelu.
Dwa wyżej opisane przypadki powinny dać wiele do myślenia osobom zarządzającymi hotelami w Polsce. Mamy nowego Prezesa Urzędu Ochrony Danych Osobowych, którego polityka może zakończyć okres tolerancji na zaniechania administratorów i procesorów w zakresie ochrony danych osobowych – RODO obowiązuje już przecież od ponad roku. Do tego, pamiętać należy, że kontrolerzy z Urzędu Ochrony Danych Osobowych nocują w hotelach i demonstracja zaniechań w zakresie ochrony danych osobowych jest proszeniem się o kontrolę. Budowa podstawowego choćby systemu ochrony danych osobowych to inwestycja nie tylko we własny spokój umysłu i ochronę przed potencjalnie wysokimi karami pieniężnymi, ale także w renomę hotelu, która znacznie może ucierpieć na skutek wycieku danych osobowych.
Pamiętać należy i o tym, że niezależnie od działań Prezesa Urzędu Ochrony Danych Osobowych, każdy niezadowolony gość hotelu, wobec którego nie zrealizowaliśmy obowiązku informacyjnego, bądź przed którym ujawniliśmy, że nie strzeżemy należycie danych osobowych, może dochodzić swych praw nie tylko przed organem nadzorczym, ale również bezpośrednio przed sądem. Pierwsze powództwa o odszkodowanie za naruszenie ochrony danych osobowych są już rozpatrywane przez polskie sądy, a z naszego doświadczenia wynika, iż nawet zgłoszenie żądania realizacji obowiązku informacyjnego wywołuje popłoch w hotelu i konieczność gorączkowego poszukiwania remedium na „nagły problem”.
Data publikacji: 11.07.2019.