Aké povinnosti prináša GDPR pre hotely a ubytovateľov?

Hotely, penzióny, iné druhy ubytovacích zariadení – aké majú povinnosti v oblasti ochrany osobných údajov? Aké účely spracúvania sú osobitné podľa GDPR pre hotely a ubytovateľov? Činnosť hotelov a ubytovateľov reguluje viacero právnych predpisov. Ťažiskom a hlavným predmetom spracúvania hotelov a ubytovateľov sú osobné údaje ubytovaných.

„Ubytovatelia“ sú zvyknutí na plnenie právnych povinností. Vyplývajú im z osobitných predpisov a vyhlášok. Ako ovplyvňujú samotné GDPR a spracúvanie osobných údajov? Ako riešiť situácie, kedy ubytovacie zariadenie využíva napríklad booking.com a iné aplikácie alebo rezervačné systémy?

GDPR pre hotely a ubytovanie – osobitné právne predpisy

V súvislosti s ubytovaním hosťa je pri dokumentácii potrebné zohľadniť:

Zákon o hlásení pobytu občanov

Zákon o hlásení pobytu občanov¹ vyžaduje od ubytovacieho zariadenia viesť knihu ubytovaných. Tá má obsahovať údaje o mene a priezvisku ubytovaného, číslo jeho občianskeho preukazu alebo cestovného dokladu, adresu trvalého pobytu a dobu ubytovania.

Zákon nevyžaduje získanie rodného čísla. Na rodné číslo je potrebné si dať osobitný pozor, keďže vo vzoroch kníh ubytovaných (predtlačené vzory, ktoré možno kúpiť aj v papiernictve) sa často rodné číslo uvádza. Získavať a spracúvať rodné číslo neodporúčame.

Tieto údaje je hotel alebo iný „ubytovateľ“ povinný poskytnúť štátnym orgánom.

Zákon o pobyte cudzincov

Zákon o pobyte cudzincov² nadväzuje na zákon o hlásení pobytu občanov. Pri cudzincoch, okrem uvedených osobných údajov (vyplývajúcich zo zákona o hlásení pobytu občanov), sa má uvádzať aj štátna príslušnosť a dátum narodenia.

Hotel a ubytovacie zariadenie sú tak povinný získavať aj štátnu príslušnosť a dátum narodenia.

Ubytovateľ je okrem iného povinný zabezpečiť vyplnenie úradného tlačiva o hlásení pobytu cudzinca a doručiť ho policajnému útvaru, ako aj umožniť policajnému útvaru vstup do priestorov ubytovacieho zariadenia na účel kontroly plnenia tejto povinnosti alebo iných povinností vyplývajúcich zo zákona o pobyte cudzincov.

V rámci ochrany osobných údajov pri zákonoch o hlásení pobytu občanov a o pobyte cudzincov možno tak ubytovateľ zaznamenáva účel spracúvania – vedenie zoznamu hostí s kategóriami osobných údajov, ktoré vyžadujú tieto právne predpisy.

Zákon o miestnych daniach a miestnom poplatku

Zákon o miestnych daniach a miestnom poplatku³, ako aj príslušné všeobecne záväzné nariadenia obcí a miest určujú povinnosti spojené s vyrubovaním a platením miestnej dane za ubytovanie.

Daň vyberá hotel a ubytovateľ, príslušnej obci ako správcovi dane túto daň za ubytovanie platí.

Vyberanie miestnej dane je samostatným účelom spracúvania osobných údajov a je špecifikovaný v § 37 a nasl. zákona o miestnych daniach. Účel môže byť pomenovaný ako výber miestnych daní a poplatkov ubytovaných hostí.

Podrobnosti o vedení evidencie o vybratej dani z ubytovania ustanovuje podľa zákona o miestnych daniach každá obec samostatne. Všeobecne záväzným nariadením obec stanovuje aj kategórie osobných údajov, ktoré je ubytovateľ povinný evidovať.

Zákon o občianskych preukazoch

Zákon o občianskych preukazoch⁴ definuje, že občiansky preukaz „sa nesmie odovzdať alebo prijať ako záloh a nesmie sa odovzdať ani odobrať pri vstupe do objektu alebo na pozemok a nesmie sa odovzdať ani odobrať v súvislosti s poskytovaním služieb;…“⁵.

Postup, kedy si ubytovateľ na nejaký čas nechá občiansky preukaz aby mohol neskôr vyplniť údaje do knihy ubytovaných hostí a potom vrátiť občiansky preukaz hosťovi,  je v rozpore s týmto zákonom.

V rámci ochrany osobných údajov sa môže považovať aj za porušenie zásady minimalizácie osobných údajov, pretože občiansky preukaz obsahuje väčší rozsah osobných údajov, ako je potrebné viesť v knihe ubytovaných hostí. Odporúčaný postup je identifikácia hosťa a získanie potrebných osobných údajov pri začatí pobytu.

V tomto prípade môže byť účelom spracúvania identifikácia dotknutej osoby.

Občiansky zákonník

Ako predpis upravujúci celý zmluvný vzťah, vrátane úpravy zmluvy o ubytovaní definuje povinnosti ubytovateľa aj ubytovaného. K plneniu zmluvných povinností je tiež potrebné získavať len nevyhnutný rozsah osobných údajov potrebných na uzatvorenie a plnenie zmluvy.

Teda identifikácia ubytovaného, prípadne do úvahy prichádzajú aj telefónne číslo alebo e-mailová adresa (napríklad pri komunikácii cez tieto kanály), ktoré však môžu byť využívané len v súvislosti s plnením zmluvy.

Okrem uvedeného upravuje Občiansky zákonník aj zodpovednosť za škodu na vnesených veciach a všeobecnú zodpovednosť za škodu spôsobenú ubytovaným hosťom na ubytovacom zariadení – pri účeloch spracúvania spojených s náhradou škody pôjde o spracúvanie osobných údajov pri plnení zákonných povinností podľa Občianskeho zákonníka.

Článok pokračuje pod videoškolením, v ktorom s odstupom času hodnotíme najčastejšie chyby podnikateľov pri riešení GDPR a ochrany osobných údajov:

V prípade, že sa vám video nezobrazuje je potrebné povoliť zbieranie cookies.

Bonus: externí sprostredkovatelia ubytovania a interné systémy

Hotely a ubytovatelia tiež často využívajú externé aplikácie (booking.com, hotels.com a iné). Zároveň majú aj svoje rezervačné systémy, za ktorých licenciu „platia“. Existuje viacero variant týchto vzťahov.

Ubytovateľ vo vzťahu k aplikáciám ako booking.com

V tomto prípade ide o vzťah dvoch samostatných prevádzkovateľov, z ktorých každý si určuje účely a prostriedky spracúvania osobných údajov samostatne (nejde o vzťah prevádzkovateľ – sprostredkovateľ).

Dôvod? Rezervačný portál si sám určuje ako a aké osobné údaje bude spracúvať za účelom sprostredkovania ubytovania. Zároveň vystupuje vo vlastnom mene, nie v mene konkrétneho ubytovacieho zariadenia. Na druhej strane po doručení údajov – ubytovateľ určuje ako a aké osobné údaje bude spracúvať za účelom uzatvorenia zmluvy o ubytovaní a plnenia svojich zákonných povinností. Návštevník rezervačného portálu vstupuje do dvoch samostatných zmluvných vzťahov (jeden s rezervačným portálom a jeden s ubytovateľom).

Dopad na ubytovateľa je taký, že osobné údaje o hosťoch, ktorý si rezervovali pobyt v zariadení získava ubytovateľ od rezervačného portálu, nie priamo od hosťa ako dotknutej osoby, je preto potrebné plniť informačnú povinnosť podľa čl. 14 GDPR. Preto je v informačnej povinnosti („privacy policy“) ubytovateľ povinný uvádzať zdroj osobných údajov.

Bežnou praxou je, že booking.com a ďalší obdobní sprostredkovatelia majú ochranu osobných údajov s ubytovateľom vyriešenú – prichádza k uzatvoreniu zmluvy s ubytovateľom online a súčasťou zmluvy sú aj ustanovenia týkajúce sa ochrany osobných údajov.

Ubytovateľ vo vzťahu k interným systémom z pohľadu GDPR pre hotely

Ak ako ubytovateľ pre manažment rezervácií využívate externú aplikáciu (čo je bežné najmä pri väčších ubytovacích zariadeniach), situácia je iná. Externá aplikácia je vašim sprostredkovateľom – ak poskytuje služby spojené so správou rezervácií a v nich uvedených osobných údajov.

Aj tu platí, že väčšie spoločnosti s vami zmluvu uzatvárajú online. V tomto prípade ide o zmluvu o poverení so spracúvaním osobných údajov. Preto je na strane ubytovateľa potrebné evidovať dodávateľa ako sprostredkovateľa v zozname sprostredkovateľov. A uvádzať ho v kategóriách príjemcov pri všetkých účeloch spracúvania, ktorých sa to týka. Zmluvu je potrebné uzatvoriť s každým sprostredkovateľom (aj s účtovnou firmou, dodávateľom BOZP a pod.)

GDPR hotely a ubytovatelia – zhrnutie k osobitným zákonom

Z vyššie uvedeného môžete identifikovať účely spracúvania, ktoré sú súčasťou ubytovania hostí v ubytovacích zariadeniach. Tie majú byť súčasťou „privacy policy“ a každý ubytovaný by mal mať možnosť sa s podmienkami spracúvania osobných údajov oboznámiť – ešte pred získaním osobných údajov.

Keďže osobné údaje ubytovaných hostí sú ťažiskom pre spracúvanie osobných údajov v hoteloch a ubytovacích zariadeniach, odporúčame venovať pozornosť oboznamovaniu hostí najmä v zmysle čl. 13 a čl. 14 GDPR Nariadenia. Tá má obsahovať účely spracúvania, kategórie spracúvaných osobných údajov, označenie dotknutých osôb, informácie o príjemcoch (orgány štátnej správy, ale aj externé aplikácie a rezervačné systémy), bezpečnostných opatreniach a pod.

Ubytovacie zariadenia majú všetky ostatné povinnosti, ako aj podnikatelia spracúvajúci osobné údaje. Od stanovenia interných postupov, bezpečnostných opatrení, cez poverenia, poučenia a oboznamovanie, až po školenie oprávnených osôb…  Správne nastavenie ochrany osobných údajov a GDPR hotel má zároveň chrániť. Tak, aby boli chránené osobné údaje hostí.

Do tohto všetkého v roku 2020 a 2021 vstúpili aj povinnosti kontrolovať ubytovaných, či disponujú negatívnym testom ku COVID, následne potvrdením o očkovaní. Aj v týchto prípadoch bolo potrebné reagovať a zaviesť nové účely spracúvania.

Naša securion. dokumentácia má pre GDPR ubytovacie zariadenia a hotely uľahčiť a zautomatizovať procesy a zjednodušiť celkovú správu ochrany osobných údajov. Ak potrebujete poradiť, napíšte nám, radi vám poskytneme bezplatnú konzultáciu.

1. V plnom znení zákon č. 253/1998 Z.z. o hlásení pobytu občanov SR a o registri obyvateľov SR v znení neskorších predpisov ↩

2. V plnom znení zákon č. 404/2011 Z.z. o pobyte cudzincov a o zmene a doplnení niektorých zákonov v znení neskorších predpisov ↩

3. V plnom znení zákon č. 582/2004 Z.z. o miestnych daniach a miestnom poplatku za komunálne odpady a drobné stavebné odpady v znení neskorších predpisov ↩

4. V plnom znení zákon č. 395/2020 Z.z. o občianskych preukazoch a o zmene a doplnení niektorých zákonov v znení neskorších predpisov ↩

5. Pozn.: § 15 ods. 4 zákona o občianskych preukazoch ↩

GDPR pre hotely, penzióny a ubytovacie zariadenia - prevedieme vás procesom k správnemu nastaveniu GDPR

Viac info