Izba Gospodarcza Hotelarstwa Polskiego

Porady prawne

Zmiana zasad postępowania hoteli w zakresie meldowania gości hotelowych oraz przetwarzania ich danych osobowych

Czy wejście w życie dnia 01 stycznia 2013 r. ustawy z dnia 7 grudnia 2012 r. o zmianie ustawy o ewidencji ludności i dowodach osobistych oraz niektórych innych ustaw zmienia zasady postępowania hoteli w zakresie meldowania gości hotelowych i zarządzania bazą danych osobowych swoich gości, w tym ich gromadzenia, przechowywania, przetwarzania, udostępniania, wykorzystywania do celów marketingowych, bezpieczeństwa i innych? Jak nowa sytuacja zmienia te zasady i jaki aktualnie akt prawny reguluje tę kwestię?

 

Wspomniana nowelizacja w istotny sposób zmienia zasady postępowania hoteli w zakresie meldowania gości hotelowych oraz przetwarzania ich danych osobowych. Poprzez uchylenie przepisów dotyczących meldunku gości hotelowych z ustawy o ewidencji ludności i dowodach osobistych z dnia 10 kwietnia 1974 r. (Dz. U. z 2006 r., Nr 139, poz. 993, z późn. zm.) zmianie uległa podstawa prawna dostępu do danych osobowych gości hotelowych.

Wskutek tych zmian, aktem prawnym stanowiącym podstawę do przetwarzania danych osobowych gości hotelowych stała się ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 r. (Dz. U. 1997 Nr 133 poz. 883 ze zm.). 

 

Z dniem 31 grudnia 2012 r. przestały obowiązywać przepisy nakładające na gości hotelowych obowiązek zameldowania się na pobyt stały lub czasowy przed upływem 24 godzin od chwili przybycia do zakładu. Moc utraciły także szczególne regulacje ustawy odnoszące się do formy, w jakiej hotele powinny przechowywać dane osobowe gości – zostały zastąpione również przez przepisy ustawy o ochronie danych osobowych. Ma to doniosłe znaczenie, zwłaszcza dla konieczności powołania podstawy prawnej, na której opiera się żądanie przekazania przez gościa jego danych osobowych.

 

W jaki sposób pozyskać od gościa dane, które są niezbędne hotelowi?

 

Na gruncie ustawy o ochronie danych osobowych przetwarzanie danych osobowych, przez które rozumie się jakiekolwiek operacje wykonywane na danych osobowych, jest dopuszczalne tylko w wyczerpująco wymienionych sytuacjach, między innymi wówczas, gdy jest to niezbędne dla zrealizowania uprawnienia wynikającego z przepisu prawa lub gdy jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną. Jak zatem widać, jedną z podstawowych zasad rządzących przetwarzaniem danych osobowych jest zasada celowości. W związku z tym, hotel może żądać od gościa podania jedynie tych danych, które są niezbędne dla jego identyfikacji. Pamiętać przy tym trzeba, że również informacje, które dotyczą na przykład wzrostu czy koloru oczu, a nawet zdjęcie przedstawiające wizerunek osoby są danymi osobowymi, a wobec faktu, że nie są one niezbędne dla identyfikacji gościa w celu realizacji umowy, recepcjonista nie ma prawa żądać ich udostępnienia, jak również nie powinien utrwalać ich w jakiejkolwiek formie, aby nie naruszyć przepisów ustawy, które zabraniają przetwarzania danych osobowych bez zgody osoby uprawnionej.

 

Nie oznacza to jednak, że w każdej sytuacji odmowa zawarcia umowy przez hotel wobec niepodania przez gościa danych osobowych zostanie zinterpretowana jako uzależnianie zawarcia umowy od podania danych osobowych. Byłoby tak, gdyby zakres danych, których podanie jest przez hotel wymagane, przekraczał zakres danych niezbędnych do identyfikacji osoby przybywającej do hotelu. Dane osobowe identyfikujące gościa mogą zostać pobrane z dokumentu stwierdzającego tożsamość, który zawiera podstawowe dane pozwalające na identyfikację osoby. Przede wszystkim dokumentem takim jest dowód osobisty, czy też paszport.

 

Czy recepcjonista może żądać dowodu osobistego od gościa i go zatrzymać lub kserować?

 

Recepcjonista ma prawo żądać dowodu osobistego od gościa w celu przetwarzania danych niezbędnych dla identyfikacji. Przetwarzanie danych, które nie posiadają wspomnianej cechy, jest w myśl przepisów o ochronie danych osobowych niedopuszczalne. Wykonanie kserokopii dowodu osobistego jest formą utrwalenia danych, które się w nim znajdują, a to, według ustawy o ochronie danych osobowych, stanowi przetwarzanie danych osobowych, dla którego konieczna jest zgoda osoby uprawnionej. Wobec wspomnianej wcześniej zasady celowości przetwarzania danych osobowych oraz faktu, że dowód osobisty zawiera także dane, które nie są niezbędne dla identyfikacji gościa (np. kolor oczu, wzrost), należy uznać, że występuje brak podstawy prawnej dla kserowania dowodu osobistego gościa hotelowego przez recepcjonistę.

 

Jeżeli zaś chodzi o zatrzymanie dowodu osobistego gościa, należy mieć na uwadze, że zatrzymanie cudzego dowodu osobistego bez podstawy prawnej, w myśl art. 55 ust. 1 pkt 2 ustawy o ewidencji ludności i dowodach osobistych, stanowi wykroczenie. Żądanie udostępnienia danych innych niż niezbędne do identyfikacji gościa, które przecież znajdują się w tym dokumencie, jest natomiast pozbawione takiej podstawy, gdyż umożliwia dostęp także do danych, które nie pozwalają na identyfikację gościa hotelu.

 

Jak weryfikować dane osobowe gościa hotelowego? Jakie dane może gromadzić hotel przy meldowaniu gości?

 

Dane osobowe gościa mogą być weryfikowane przez recepcjonistę poprzez sprawdzenie ich zgodności z danymi zamieszczonymi np. w dowodzie osobistym. Należy jednak pamiętać, ze względów przytoczonych wyżej, że może ono nastąpić w drodze żądania przedstawienia dowodu osobistego przez gościa, przez które należy rozumieć udostępnienie dokumentu „do wglądu”, a następnie spisanie danych przez recepcjonistę.

 

Zakres danych, które hotel ma prawo gromadzić przy meldowaniu gości jest uwarunkowany cechą niezbędności dla identyfikacji osób przybywających do hotelu. Można do nich zaliczyć: imię, nazwisko, imiona rodziców, data i miejsce urodzenia, adres miejsca pobytu stałego, data przybycia i zamierzony czas trwania pobytu, numer i seria dokumentu stwierdzającego tożsamość oraz oznaczenie organu, który go wydał, PESEL.

 

Komu hotel może udostępniać dane osobowe gości i na jakich zasadach?

 

Udostępnianie danych osobowych jest, w myśl ustawy o ochronie danych osobowych, jedną z form ich przetwarzania i jako takie jest dopuszczalne jedynie przy spełnieniu określonych przez prawo przesłanek.

 

Zgodnie z art. 44h ustawy o ewidencji ludności i dowodach osobistych, dane znajdujące się w książkach meldunkowych hoteli powinny być udostępnione, o ile są one niezbędne do realizacji ich ustawowych zadań, następującym podmiotom:

 

1)      organom administracji publicznej, sądom i prokuraturze;

2)      Policji, Straży Granicznej, Służbie Więziennej, Służbie Kontrwywiadu Wojskowego, Służbie Wywiadu Wojskowego, Służbie Celnej, Żandarmerii Wojskowej, Agencji Bezpieczeństwa Wewnętrznego, Agencji Wywiadu, Biuru Ochrony Rządu, Centralnemu Biuru Antykorupcyjnemu, Szefowi Krajowego Centrum Informacji Kryminalnych i strażom gminnym (miejskim);

3)      organom kontroli skarbowej i wywiadu skarbowego;

4)      państwowym i komunalnym jednostkom organizacyjnym oraz innym podmiotom - w zakresie niezbędnym do realizacji zadań publicznych określonych w odrębnych przepisach;

5)      Polskiemu Czerwonemu Krzyżowi - w zakresie danych osób poszukiwanych.

 

W razie wystąpienia przez jeden z wyżej wymienionych podmiotów z żądaniem udostępnienia danych osobowych, należy pamiętać o upewnieniu się, że dane są przekazywane osobie faktycznie pełniącej jedną z wymienionych funkcji oraz o konieczności istnienia podstawy prawnej takiego żądania w postaci niezbędności danych do realizacji ustawowych zadań wymienionych podmiotów, mając na uwadze okoliczność, że udostępnienie lub umożliwienie dostępu do danych osobowych osobom nieupoważnionym stanowi przestępstwo podlegające grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2 (art. 51 ustawy o ochronie danych osobowych).

 

Jakie obowiązki musi spełnić hotel jako administrator danych osobowych gości hotelowych?

 

Wśród obowiązków, jakie ustawa o ochronie danych osobowych nakłada na administratorów danych, w tym na hotele, wskazać należy na:

 

a)      obowiązek informacyjny– hotel, jako administrator danych, powinien poinformować osobę, której dane dotyczą, o adresie swojej siedziby i pełnej nazwie, celu zbierania danych, w tym o odbiorcach lub kategoriach odbiorców danych, jeżeli są oni administratorowi znani w czasie udzielania informacji, prawie dostępu do swoich danych oraz ich poprawiania, a także o podstawie prawnej obowiązku podania danych osobowych. Najdogodniejszą dla hotelu formą wypełnienia takiego obowiązku wydaje się zamieszczenie na karcie meldunkowej stosownej klauzuli zawierającej powyższe informacje oraz treść zgody na przetwarzanie danych osobowych  niezbędnych dla zawarcia i wykonania umowy zawieranej przez gościa z hotelem; należy mieć przy tym na uwadze, że obowiązek informacyjny odnosi się do każdego z celów, dla których hotel zamierza przetwarzać dane osobowe gości. Jeżeli na przykład hotel chciałby wykorzystać dane osobowe gości do celów marketingowych, wówczas osoba, której dane dotyczą, musi zostać o tym poinformowana i wyrazić na to zgodę (to także może nastąpić poprzez podpisanie odpowiedniej klauzuli zamieszczonej w karcie meldunkowej);

 

b)      obowiązek zabezpieczenia danych osobowych– w tym zakresie administrator obowiązany jest zastosować odpowiednie środki techniczne i organizacyjne zapewniające ochronę danych osobowych. W zakresie obowiązków należących do tej grupy należy wymienić następujące działania, które powinien podjąć hotel jako administrator danych:

·         prowadzenie dokumentacji opisującej sposób przetwarzania danych oraz zastosowane środki bezpieczeństwa. Do najważniejszych dokumentów w tym zakresie należą: Polityka Bezpieczeństwa, Instrukcja Zarządzania Systemem Informatycznym oraz ewidencja osób upoważnionych do przetwarzania danych;

·         zapewnienie, aby dostęp do przetwarzania danych osobowych miały jedynie osoby, którym administrator udzielił stosownego upoważnienia;

·         wyznaczenie administratora bezpieczeństwa informacji;

·         zapewnienie kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały wprowadzone do zbioru oraz komu są przekazywane;

·         stosowanie środków technicznych (między innymi w zakresie sprzętu i oprogramowania) zapewniających bezpieczeństwo przetwarzania danych;

 

c)       obowiązek zgłoszenia zbioru danych osobowych do rejestracji– omówiony poniżej.

 

Czy hotel ma obowiązek rejestracji zbiorów danych osobowych?

 

Ustawa o ochronie danych osobowych nakłada na administratorów danych osobowych obowiązek zgłoszenia zbioru danych do rejestracji, traktując go jako zasadę, od której wyjątki zostały w ustawie wyliczone enumeratywnie. Żaden z wyjątków nie znajduje zastosowania w odniesieniu do hoteli, a zatem na hotelu ciąży obowiązek zgłoszenia zbiorów, w których przetwarza dane osobowe Generalnemu Inspektorowi Ochrony Danych Osobowych. Zgłoszenia takiego można dokonać na formularzu, którego wzór stanowi załącznik do rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Danych Osobowych, poprzez przesłanie pocztą lub złożenie go osobiście w Biurze GIODO. Możliwe jest także dokonanie zgłoszenia drogą elektroniczną.

 

Jak długo hotel może przechowywać dane meldunkowe pobierane do 1.01.2013 r. oraz po tej dacie, już według nowych zasad?

 

Odnośnie okresu, przez jaki hotel może przechowywać dane osobowe gości, ustawa nowelizująca nie wprowadza szczególnych regulacji ani określonego terminu, w jakim dozwolone jest przechowywanie danych osobowych, niezależnie od tego, czy zostały one zgromadzone przed, czy też już po wejściu w życie ustawy. Oznacza to, że znajdą tutaj zastosowanie reguły ogólne odnoszące się do ochrony danych osobowych, na czele z zasadą celowości ich gromadzenia. W myśl tej zasady, zgromadzone dane osobowe powinny być przechowywane tak długo, jak długo są one niezbędne dla osiągnięcia celu, dla którego zostały zebrane. Tym samym, administrator powinien czuwać nad zakresem danych zgromadzonych w zbiorze pod kątem celowości ich dalszego przechowywania. Jeżeli więc administrator obiektywnie stwierdzi, że dane osobowe gościa przestały spełniać cechę niezbędności dla celu, w jakim zostały zgromadzone (jak na przykład wobec wykonania zawartej umowy i braku ewentualnych roszczeń z tego tytułu), powinien te dane usunąć.

 

Jakie dokumenty z zakresu ochrony danych osobowych powinien posiadać hotel?

 

Wśród dokumentów, do których posiadania ustawa zobowiązuje administratorów danych osobowych, wymienić należy:

a)      politykę bezpieczeństwa, która powinna zawierać między innymi wykaz budynków i pomieszczeń, w których przetwarzane są dane osobowe, wykaz zbiorów danych osobowych i programów używanych do ich przetwarzania czy określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych;

 

b)      instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, określającą sposób i procedury postępowania z systemem, w tym między innymi metody i środki uwierzytelniania dostępu do systemu, sposób i miejsce przechowywania nośników zawierających dane osobowe czy procedury wykonywania przeglądów i konserwacji wspomnianych systemów i nośników;

 

c)       upoważnienia do przetwarzania danych osobowych;

 

d)      ewidencję osób upoważnionych do przetwarzania danych osobowych;

 

e)      oświadczenie o zachowaniu w tajemnicy danych osobowych oraz informacji o sposobach ich zabezpieczenia;

 

f)       wnioski rejestracyjne do GIODO;

 

g)      umowy powierzenia przetwarzania danych osobowych,jeżeli zostały zawarte.

 

Czy hotel ponosi odpowiedzialność karną za nieprzestrzeganie przepisów ustawy o ochronie danych osobowych?

 

Ustawa o ochronie danych osobowych przewiduje odpowiedzialność karną za naruszenie jej przepisów w razie:

a)      przetwarzania w zbiorze danych osobowych, których przetwarzanie jest niedopuszczalne lub do których przetwarzania podmiot przetwarzający nie jest upoważniony,

b)      udostępniania lub umożliwiania dostępu do danych osobowych osobom nieupoważnionym,

c)       naruszenia obowiązku zabezpieczenia danych przed zabraniem przez osobę nieuprawnioną , uszkodzeniem lub zniszczeniem,

d)      niezgłoszenia zbioru danych do rejestracji mimo bycia do tego obowiązanym,

e)      niepoinformowania osoby, której dane dotyczą o jej prawach przysługujących na podstawie przepisów o ochronie danych osobowych lub informacji umożliwiających jej korzystanie z tych praw,

f)       udaremnienia lub utrudnienia GIODO wykonania czynności kontrolnej.

 

Należy podkreślić, że zakres podmiotowy odpowiedzialności karnej za powyższe czyny jest zróżnicowany. Czyny wymienione w pkt. a) oraz f) mają charakter powszechny, co oznacza, że dopuścić się ich może każda osoba; czyny wymienione w pkt. c) i e) mogą zostać popełnione jedynie przez podmiot administrujący danymi; czyn wymieniony w pkt. b) może zostać popełniony przez podmiot administrujący danymi lub obowiązany do ochrony danych osobowych, zaś czyn wskazany w pkt. d) może zostać popełniony jedynie przez osobę obowiązaną do zgłoszenia zbioru danych do rejestracji.

 

Osobą, która zasadniczo ponosi odpowiedzialność karną w związku z naruszeniem wyżej wspomnianych przepisów, jest osoba pełniąca funkcję administratora danych osobowych, chyba że został wyznaczony administrator bezpieczeństwa informacji, którego powołanie nie jest wszakże obowiązkiem (jego zadania może wykonywać administrator danych osobowych).

 

Czy hotelowi grożą za nieprzestrzeganie przepisów o ochronie danych osobowych kary finansowe?

 

Generalny Inspektor Ochrony Danych Osobowych został przez przepisy ustawy o ochronie danych osobowych wyposażony w uprawnienia organu egzekucyjnego w zakresie egzekucji administracyjnej obowiązków o charakterze niepieniężnym. Wśród środków, które może zastosować GIODO, znajduje się grzywna w celu przymuszenia, która może zostać przez GIODO nałożona w razie stwierdzenia niewykonywania przepisów o ochronie danych osobowych. Na osobę prawną i jednostkę nieposiadającą osobowości prawnej, której ustawa przyznaje zdolność prawną, grzywna może zostać nałożona jednorazowo w wysokości do 50.000 zł, przy czym może być ona stosowana wielokrotnie z ograniczeniem kwotowym do 200.000 zł łącznie.

 

Czy istnieje obowiązek pobierania danych od osoby współzamieszkującej w pokoju typu Twin?

 

Kwestię pobierania danych od osoby współzamieszkującej w pokoju typu Twin należy rozpatrywać w sposób dwojaki: z jednej strony w kategorii obowiązku żądania danych osobowych gościa współzamieszkującego w pokoju typu Twin, z drugiej zaś jako prawa do żądania podania przez gościa swoich danych osobowych w takiej sytuacji. Należy pamiętać, że na podstawie przepisów ustawy o ochronie danych osobowych przetwarzanie danych jest dopuszczalne tylko w takim celu, w jakim zostały one pobrane, a pobranie danych osobowych gości hotelowych następuje w celu ich identyfikacji i zawarcia z nimi umowy.

 

Odpowiedź na pytanie o zakres danych, o których podanie należy albo można prosić gości, przy uwzględnieniu specyfiki pokojów typu Twin, zależy od przyjęcia, czy między hotelem a gośćmi zamierzającymi zamieszkać w takim pokoju dochodzi do zawarcia jednej czy dwu odrębnych umów. Jeżeli hotel przyjmuje zawarcie umowy z jedną z takich osób, a tym samym odpowiedzialność tylko jednej osoby za jej realizację, to brak wówczas podstawy prawnej dla żądania podania danych osobowych drugiego z gości ze względu na fakt, iż nie jest on stroną umowy. Jeżeli natomiast dochodzi do zawarcia w istocie dwu odrębnych umów, na mocy których obie osoby stają się stronami niezależnych od siebie umów łączących je z hotelem, a tym samym ponoszą niezależną od siebie odpowiedzialność za ich realizację – żądanie podania danych osobowych jest uzasadnione w odniesieniu do obu gości.

 

Rączkowski, Kwieciński Adwokaci Sp. p.


Targi

W środku sezonu pomyśl o TT Warsaw

Rozpoczął się szczyt wakacyjnych wyjazdów, a firma MT Targi Polska, organizator 24. Międzynarodowych Targów Turystycznych TT Warsaw, już mobilizuje siły na listopad i zaprasza przedstawicieli sektora turystycznego do udziału w tym ważnym wydarzeniu.    

Przygotowania do Targów WorldHotel

Jesienią odbędą się 9. Międzynarodowe Targi Wyposażenia Obiektów Noclegowych WorldHotel.    

Partnerzy Medialni

www.hotelprofit.pl
www.rynekpodrozy.com.pl
www.horecainfo.pl
www.horecanet.pl
www.świathoteli.pl
www.pbtv.pl/kontakt.html
www.horeca.pl
www.e-hotelarz.pl

Partnerzy Merytoryczni

www.mg.gov.pl
www.tpa-horwath.pl
www.pot.gov.pl
www.worldhotel.pl
www.zlotystandard.info
www.msport.gov.pl
Realizacja: Ideo
CMS Edito Powered by:
Izba Gospodarcza Hotelarstwa Polskiego
wszelkie prawa zastrzeżone