Hlavní navigace

Jak dopadne GDPR na hotely a penziony? Dotkne se především marketingu

Zdeněk Vesecký

Nové evropské nařízení o ochraně osobních údajů se dotkne i poskytovatelů ubytovacích služeb. A to zejména dat, která slouží k marketingovým účelům.

Doba čtení: 7 minut

Ubytovatelé sbírají víc osobních dat svých klientů ze zákona. Nové evropské nařízení GDPR se týká veškerého nakládání s daty, tedy samozřejmě i s takovými, která jsou získávána na základě plnění zákonné povinnosti, protože jednou z hlavních priorit evropského nařízení je jejich zabezpečení a ochrana.

Například zákon č. 326 o pobytu cizinců vyžaduje vést domovní knihu, do které ubytovatelé zapisují osobní údaje svých zahraničních hostů. Jde o jméno, datum narození, státní občanství, číslo občanského průkazu nebo cestovního pasu a počátek a konec ubytování. Někdy mohou ubytovatelé požadovat stejné informace i o tuzemských hostech, ale není to přímo nutné. Zákon č. 133 o evidenci obyvatel, který nahradil dřívější zákon o hlášení a evidenci pobytu občanů, už údaj „přechodný pobyt“ neobsahuje a neukládá ubytovatelům povinnost vést pro české a některé další občany ubytovací knihy. V tomto případě by tedy provozovatelé hotelů, penzionů a dalších ubytovacích kapacit měli být velmi opatrní. Hosté mohou poskytnutí svých údajů odmítnout.

Jak u tuzemských hostů, tak u cizinců je ale povinností ubytovatele zpracovávat jejich osobní údaje podle zákona č. 565 o místních poplatcích. A to v případech, kdy ubytovatel vybírá pro obec poplatek za rekreační a lázeňský pobyt nebo sám platí poplatek z ubytovací kapacity. K oběma těmto shromažďováním osobních údajů nemusí mít ubytovatelé souhlas svých klientů, protože provádí zpracování stanovené zvláštním zákonem. Vždy ale musí jakožto správci osobních údajů dodržet vůči subjektu údajů informační povinnost. To jim ukládá už § 11 odst. 1 a 2 zákona o ochraně osobních údajů. GDPR se tomu věnuje v článcích 13 a 14, které se týkají povinnosti správce poskytovat subjektu údajů informace o prováděném zpracování.

Lidé, kteří mají jiný důvod pobytu (například služební cesta), poplatek neplatí, a je v jejich zájmu uvedení tohoto jiného účelu. U osob, které poplatek platí, je ale možné uvádět pouze zákonem stanovený účel „léčení nebo rekreace“. Takto formulovaný účel by měl být zaznamenán u všech plátců poplatku, bez dalšího rozlišení, zda jde o léčení nebo rekreaci. Samotný údaj „léčení“ ve spojení se zdravotní specializací lázeňského místa by totiž v některých případech mohl být citlivým údajem vypovídajícím o zdravotním stavu ubytovaného.

K tématu GPDR dále čtěte: Chybějící zpracovatelské smlouvy. Dlouhodobý prohřešek firem má napravit GDPR

Úřad pro ochranu osobních údajů pak ve svém stanovisku k této problematice upozorňuje, že přiřazování jakýchkoli dalších osobních údajů nad uvedený rozsah či jejich zpracování k jiným účelům, než ke kterým byly údaje shromážděny, tedy účelům nezbytným pro plnění povinností a uplatnění práv ubytovatele, způsobuje, že evidence ubytovaných osob podléhá povinnosti získat souhlas subjektu údajů i oznamovací povinnosti. V této souvislosti je potřeba upozornit na zavedenou praxi některých ubytovatelů, kteří stále ještě nechávají volně dostupné knihy hostů, aby se do nich hosté sami zapisovali. To je z pohledu obecného nařízení GDPR i dnes platné české právní úpravy o ochraně osobních údajů zcela nezodpovědné nakládání s osobními údaji. Dotyční provozovatelé hotelů a penzionů si měli prostudovat článek 32 GDPR týkající se zabezpečení zpracování.

Jednou z povinností provozovatelů ubytovacích zařízení je naopak umožnit hostům nahlédnout do směrnice ubytovacího zařízení a poskytnout informace o tom, jak je s jejich osobními údaji nakládáno. Jde zejména o popis procesů, které se nakládání s osobními údaji týkají, kde jsou údaje uloženy, jakým způsobem jsou zpracovány a jak jsou chráněny. Je možné, že se někteří hosté pod vlivem medializace tématu ochrany osobních údajů budou dožadovat výmazu svých osobních dat, což by měl zpracovatel na jejich žádost provést. Ovšem pozor na výjimky, které představují dva výše uvedené zákony. V tomto případě se jedná o zpracování prováděné na základě právního důvodu uvedeného v článku 6 GDPR. Tato data musí hoteliér ze zákona držet po dobu šesti let. Vymazat je smí až po uplynutí této lhůty. Naopak je ubytovatel povinen na žádost hosta zaslat informaci o tom, jaká data o něm uchovává.

Připomeňte si: GDPR v praxi marketéra aneb Osobní údaje nejsou jen e-mailing

Souhlas se zpracováním údajů bude nutný téměř vždy

Ubytovací zařízení zachází s osobními údaji tří základních segmentů – klientů, zaměstnanců a dodavatelů. A v rámci toho mohou vystupovat v roli správce i zpracovatele. Všechny podniky si proto musejí především důsledně zmapovat svoji roli a procesy směrem k těmto subjektům údajů a připravit plán, do kterého je nutné zahrnout veškeré aktivity podniku. Domnívám se, že už samotný tento proces povede k přehodnocení některých činností a pročištění, případně likvidaci či minimalizaci shromažďovaných dokumentů či dat. Zásadní změnu v hotelnictví budou představovat zvýšené nároky na profesionalitu při práci s daty a informovaností. Jakékoliv pochybení nebo laxnost může mít závažné důsledky. Na druhou stranu se omezí možnost případného zneužití dat ze strany zaměstnanců, kteří k těmto údajům mají přístup, myslí si Anna Kulíková, ředitelka pro oblast pracovněprávních vztahů a ochrany osobních údajů hotelové sítě CPI Hotels.

Ptejte se odborníka v poradně GDPR po praktické stránce
Ing. Kamil Beránek
poradce pro GDPR

Majitelé ubytovacích zařízení by měli skutečně ukládat jen taková data, která opravdu potřebují a na která mají právo. To znamená, že jejich držení host odsouhlasil a je obeznámen s tím, k jakému účelu je poskytuje. Není to snadné, protože ubytovatelé dnes ve velkém využívají služeb OTA’s (Booking.com, Hotel.cz…), přes které získávají velké množství rezervací a tím pádem i osobních dat. Zároveň si vedle toho budují svůj vlastní marketing, komunikují se zákazníky napřímo a za tímto účelem zpracovávají osobní údaje hostů. Pro majitele ubytovacích zařízení, kteří používají kontakty svých hostů pro marketingové účely, se může nová evropská legislativa zdát omezující. Na druhou stranu může GDPR zkvalitnit databáze, protože v nich zůstanou validnější kontakty. A jsou to právě loajálnější a angažovanější hosté, kteří od ubytovacích zařízení opravdu chtějí dostávat obsah. Kromě toho bude pro některé marketingové účely a statistiky možným řešením anonymizace údajů. A co se týká obchodních sdělení, bude zde nově možnost zasílat relevantní informace současným hostům v přiměřeném rozsahu, k čemuž nebude nutný souhlas, dodává Anna Kulíková z hotelové sítě CPI Hotels.

Provozovatelé ubytovacích kapacit by si nicméně měli dát tu práci a obeslat všechny své stávající kontakty s žádostí o nový souhlas se zpracováním dat. A ještě předtím se zamyslet se nad tím, k čemu se jim vlastně data mohou v budoucnu hodit. O každý nový způsob užití osobních dat, ke kterému host (subjekt údajů) nedal souhlas, bude nutné požádat znovu. Platí to třeba při věrnostních programech. Pokud poskytujete zákazníkovi slevu za to, že u vás pobývá opakovaně, znamená to, že využíváte jeho data o předchozích návštěvách a musíte k tomu mít výslovný souhlas. Všechny podobné komunikační aktivity obchodního charakteru musí být zákazníkem explicitně odsouhlaseny, upozorňuje Jiří Šindelář, obchodní ředitel hotelového systému Previo.

Psali jsme: Důvěřuj, ale prověřuj. Je váš poskytovatel ERP systému připraven na GDPR?

Content 2018 tip Losekoot

Nejčastěji budou využity tři druhy souhlasu – souhlas se zpracováním osobních údajů, souhlas s marketingovými účely a souhlas se všeobecnými obchodními podmínkami včetně storno podmínek. Souhlasit se storno podmínkami, které jsou většinou součástí všeobecných obchodních podmínek, musí host při objednání služby, respektive je to hoteliérům doporučováno vyžadovat. Tento souhlas tedy může být vynucený a nepodmíněný. Například rezervační formulář Previa neumožňuje bez souhlasu s všeobecnými obchodními podmínkami dokončit nákup. Nezapomeňte, že souhlasy budete potřebovat nejen od hostů, kteří si pobyt rezervovali on-line, ale i od hostů takzvaně z ulice, připomíná Jiří Šindelář.

S tím souvisí i případná situace, kdy host se zpracováním svých osobních údajů nesouhlasí. Připomeňme, že směrnice říká, že poskytnutí služby, pro kterou není zpracování osobních údajů nezbytné, nelze podmiňovat souhlasem. Ubytovat hosta je tedy možné. V takovém případě si ale smíte ponechat jen informace nezbytné pro poskytnutí služby. Jde o osobní údaje vyžadované zákony o místních poplatcích a o pobytu cizinců. Vše ostatní jste povinni po check-outu smazat, uvádí obchodní ředitel Previa Jiří Šindelář s tím, že například tento systém data smaže automaticky. Ta shromažďovaná ze zákona po šesti letech, ostatní ihned do check-outu. Primárně je důležitá informační povinnost. Pokud je například možnost rezervace ubytování na internetových stránkách, je potřeba splnit informační povinnost ještě před vytvořením objednávky. To pro vytvoření rezervace postačí. Pro zasílání obchodních sdělení už ale bude potřeba vytvořit políčko s aktivním souhlasem, doplňuje Anna Kulíková, ředitelka pro oblast pracovněprávních vztahů a ochrany osobních údajů hotelové sítě CPI Hotels.