GDPR pro hotely/penziony – jasně, stručně, srozumitelně
Pokud jste se o GDPR dosud moc nezajímali a vaším přáním je o tom vědět jen nezbytné minimum, pak je tento článek právě pro Vás. Žádné právní kecy, audity a memoranda, žádné „papežštější-než-papež“ opatření, bez balastu okolo. Cílené přesně pro ubytovatele.
Od kdy se mám bát?
25.5.2018 vstupuje GDPR v účinnost, ale pro vás se nic nezmění! Nadále můžete provozovat svůj hotel a nehrozí vám žádné (reálné) sankce. Úřad (ÚOOÚ) má aktuálně 7 inspektorů na celou ČR (celkově jich má být až 30), kteří jsou už teď zavaleni. ÚOOÚ se navíc opakovaně vyjádřil, že nebude nikoho šikanovat a bude vymáhat jen to, co zde platí již od roku 2000, tedy 18 let! Reálná hrozba sankce je zanedbatelná, proto se nestresujte. Maximálně vám jednou (až si nespokojený host či zhrzený zaměstnanec bude stěžovat) přijde datovkou výtka a vy to napravíte.
Co musím teď reálně udělat?
Skoro nic. Promyslete si, kde všude kromě hotelového systému (doufáme, že PREVIO :)), máte uloženy nějaké osobní údaje fyzických osob (tedy lidí, nikoliv firem). Co jsou osobní údaje naleznete zde. Máte je na papírech ve skříních? Máte je na nezaheslovaném počítači? Válí se vám po stole CD-čka s knihami hostů? … pak si položte otázku „Co z toho ještě opravdu potřebuji a někdy využiji?“ … a smažte/skartujte/rozlámejte vše, co už nepotřebujete. To je hlavní poselství GDPR: Neshromažďujte osobní data jen pro strýčka příhodu.
A také ta data nikomu dalšímu už nedávejte. Vaši zaměstnanci by o tom měli být poučeni a měli by to mít i v pracovní smlouvě – že data nebudou nikam vynášet, posílat, prodávat a nenechají je válet na pultu veřejně přístupné recepce.
Musím mít ten „souhlas“ (se zpracováním osobních údajů)?
Ne. Pokud máte data hostů v Previu, protože jste jim poskytli nebo poskytnete ubytování, pak je vše v pořádku. Žádný další souhlas nepotřebujete. Data sbíráte z titulu „plnění smlouvy“. Mimo to je sbíráte i z titulu „zákonná povinnost“ (zák. o místních poplatcích a o pobytu cizinců). Nikoho se nemusíte ptát, jestli si jeho datum narození můžete uložit, když vám to ukládá zákon. A že si k tomu uložíte i email a telefon? Na tom zase máte „oprávněný zájem“ – abyste klientům mohli poslat instrukce k pobytu, abyste jim mohli zavolat až na pokoji zapomenou košili, apod. A můžete si je nechat po „přiměřenou dobu“.
Jak dlouho mohu mít osobní data hostů uložena?
Teď myslíme ty, které vám neukládá zákon, tedy email, telefon a štítky. My doporučujeme si je nechat, dokud Vám ten klient neřekne, ať je smažete. Ale GDPR by to asi vidělo na max. 1-2 roky po posledním pobytu (přesně to tam napsáno není). Kdo chce být pintlich, ať smaže emaily a telefony hostů starší než 2 roky. V PREVIU vám k tomu dáme brzo jednoduchý nástroj, ale jak to uděláte ve všech svých emailech, vytištěných kartách hostů, zálohách, šanonech s vouchery, apod … k tomu Vám jen přejeme hodně štěstí 🙂 (a doporučujeme: Vynaložte „přiměřené úsilí“ a bude to stačit, nejste papež.)
Jakým datům se vyhnout?
Říká se jim „citlivá data“. V PREVIU je můžete uložit do Poznámky nebo do Štítků. Doporučujeme tam nepsat tyto údaje:
– rasový či etnický původ
– politický názor
– náboženské přesvědčení
– členství v odborech
– zdravotní stav
– sexuální orientaci či zvyky
Chcete-li si i toto uložit, pak si opravdu vyžádejte souhlas. Ale správně, tedy aktivní (nejlépe podpis), oddělený (ne součást jiného textu), nepodmíněný (neslibujte za to nic, co si klient nemůže opatřit i bez souhlasu) a se všemi nutnými informacemi (viz dále).
Jak si správně vyžádat „souhlas“ (s uložením emailu a telefonu na delší dobu)?
To je na samostatný článek 🙁 Ale zjednodušeně musíte klientovi sdělit:
– Účel … „Abychom Vám mohli každý rok posílat blahopřání k narozeninám a zvát Vás na naše skvělé pobyty.“ (to je příklad)
– Co … „Chceme si uložit vaše jméno, e-mail, telefon a že jste vegetarián.“
– Dobu … „Budeme to mít uložené 5 let a chránit to budeme dle interní směrnice.“ (když dáte více než 10 let, tak vám to stejně nejspíš klient nepodepíše a ÚOOÚ shodí ze stolu jako nepřiměřené; na interní směrnici Vám nabízíme vzor zde)
Máte-li neodolatelnou potřebu souhlasy získávat, pak i v PREVIU (v Kartě hosta) bude brzy kolonka, kam si souhlas uložit. Ale je to zbytečné (viz výše).
Pravidla nakládání s osobními údaji (tu směrnici) si dejte i na web – na weby od Previa ji dáme automaticky my ve výchozím znění.
Pozor! Souhlas získáváte pouze k jednomu účelu. Na každý jiný účel musíte mít samostatný souhlas.
Co mám dělat, až někdo souhlas odvolá nebo bude chtít vymazat?
Prostě běžte do Karty hosta a odmažte email, telefon, štítky a poznámku. A pokud už je 6 a více let po pobytu, tak smažte celého hosta. A dejte nám vědět až se to stane – máme tu sázku, jestli jich bude více než 10 za rok v celém Previu 😉
Mohu nadále posílat newslettery?
Na tom se „GDPR odborníci“ neshodnou. Každopádně na emaily nasbírané dosud správný souhlas (nejspíše) nemáte. A stejně na ně emaily posíláte, takže tak můžete činit i nadále. Ovšem jen pokud jim dáte možnost se odhlásit! Vlastně se to GDPR ani tak moc netýká, to už máte plnit od roku 2005 🙂 Poslat email s nabídkou služeb, které jsou podobné tomu, co už u vás klient koupil (tedy ubytování) je v pořádku – dá se to schovat pod „oprávněný zájem“. Ale opravdu jen dokud vám neřekne klient „dost, už nechci“. Doporučení: když to někomu posíláte už 5 let a on si nic neobjednal, tak je to asi zbytečné a nedělejte to.
Mohu nahrávat prostory hotelu a okolí kamerou?
Děláte to proto, aby vám nebo vašim hostům nikdo nic neukradl a nezničil? Pak na to máte „oprávněný zájem“. Ale maximálně po týdnu ta data smažte, neukládejte je zbytečně dlouho. A také o tom hosty informujte – stačí ty cedulky, které už stejně máte. Pokud si o tom chcete přečíst více, můžete zde na stránkách ÚOOÚ.
Musím mít toho „pověřence“ (DPO)?
Ne. Pokud nemáte alespoň 250 zaměstnanců a máte data v cloudovém systému (v Previu) a k tomu podepsanou „Zpracovatelskou smlouvu (dodatek)“ (viz https://www.previo.cz/ke-stazeni), tak na pověřence v klidu zapomeňte. Kdyžtak se zeptáte nás, až po vás někdo něco bude chtít 🙂
K čemu to vlastně celé tedy je?
GDPR dává obyvatelům EU určitá práva – vědět, kdo o nich co eviduje a rozhodnout, že se tak nemá dít. Je to mířené na Facebook, Google, Twitter, apod. Ne každý to využije, ale firmy by už neměly posílat mnohastránkové nesrozumitelné právní texty obchodních podmínek, v nichž se upisujete k doživotnímu zahlcování schránky reklamními nabídkami a ani to nevíte (protože to nečte ani Věra Jourová, která má v GDPR dost prstů). Což je vlastně fajn, není to jen „další buzerace z EU“. To si jen armáda tzv. „GDPR konzultantů“ v ČR z toho dělá byznys. Například v Polsku či Maďarsku to nikdo neřeší zdaleka tak hekticky, jako my v Česku 🙁
PS: A že jsou data v Previu maximálně chráněna a jejich přenos je vždy zašifrován SSL certifikátem asi nemusím připomínat. Na to jsme opravdu nepotřebovali GDPR, abychom Vaše data o hostech chránili 🙂
————————————————
Pozn: Celý článek je osobním názorem zakladatele Previa, Pavla Kotase. Vychází z ročních konzultací s právníky, čtení veřejných zdrojů a rozhovorů. Určitě se najde mnoho lidí, kteří budou mít odlišný názor na výklad GDPR. Řiďte se prosím selským rozumem a vyberte si, kterou cestou chcete jít.