Blog pro hoteliéry Novinky, rady, tipy z oblasti hotelnictví

Souhlas se sběrem osobních údajů podle GDPR

Previo
Přidal do Novinky a tipy v Previu
20. února 2018

V druhé části našeho miniseriálu o GDPR se podíváme na nové nařízení Evropské unie detailněji. V minulém článku jsme si popsali nové chápání pojmu osobní údaj. Zmínili jsme, která data byla již dříve za osobní údaj považována a která po implementaci GDPR do této škatulky nově přibudou. Nyní se dostáváme k samotnému procesu získávání těchto údajů.

Většině z vás se za dobu podnikání v oblasti cestovního ruchu jistě podařilo získat rozsáhlou databázi klientů, kteří alespoň jednou přenocovali ve vašem ubytovacím zařízení. Tato databáze zcela jistě obsahuje data, která do škatulky osobních údajů podle GDPR spadají. Je teda nutné připravit ji na implementaci GDPR.

Nabízí se otázka: Jak začít?

Pro začátek doporučujeme ještě před 25. květnem rozeslat emaily všem těmto klientům a požádat je o nový souhlas se zpracováním jejich osobních údajů.

Doporučení nemusíte realizovat, pokud jste si 100% jisti, že souhlasy získané od klientů v minulosti, jsou v souladu s novým nařízením GDPR. V tom může nastat zádrhel. Praxe mnoha subjektů působících v cestovním ruchu i mimo něj se totiž nacházela za hranou pravidel vstupujících nově v platnost. Bude tomu tak v případě, že v ruce držíte příliš obecné souhlasy se zpracováním osobních údajů „pro marketingové účely“ nebo v případě, že souhlasy nebyly klienty uděleny aktivně (přichystali jste jim předem zaškrtnuté políčko „Souhlasím“).

Nově budete muset být konkrétní. To nás vede k doporučení: zamyslete se již teď nad tím, jak osobní údaje budete chtít využívat do budoucna. Popište klientům konkrétní účely, kvůli kterým od nich údaje chcete získat. I ty do budoucna plánované.

Myslet dopředu se zde opravdu vyplatí. Pokud si za pár měsíců uvědomíte, že data chcete použít k dalším účelům, budete muset znovu oslovit všechny své klienty a vyžádat si na nový účel souhlas. A pokud vám souhlas udělí jen polovina, začne vaše databáze být nepřehledná.

Pro vaše účely budou nejdůležitější: souhlas se zpracováním osobních údajů, souhlas s obchodními a storno podmínkami a souhlas s využitím dat pro marketingové účely.

Uvědomte si také, že souhlas budete do budoucna potřebovat jak od hostů, kteří k vám dorazí přes online rezervační kanály, tak od hostů, kteří přijdou jako tzv. „walk in“ bez předchozí rezervace.

Jak má tedy souhlas správně vypadat?

Měl by splňovat tyto základní náležitosti:

  • Transparentní podání informací – klientovi musí být informace o účelu, pro který data sbíráte, podány jasně, srozumitelně a jednoznačně bez možnosti jiných interpretací.
  • Souhlas s konkrétním využitím dat – popište všechny způsoby, jak budete jeho osobní údaje využívat. Není možné slučovat např. souhlas s marketingovým využitím dat dohromady s všeobecnými obchodními podmínkami.
  • Aktivní souhlas – klient musí aktivně potvrdit, že souhlasí se zpracováním údajů. Dokument buď podepíše, nebo případně v online prostředí sám zaškrtne políčko se souhlasem (nesmí být vyplněno předem).
  • Svobodný souhlas – poskytnutí služby nesmí být podmíněno sběrem dat o klientovi. Ten může souhlas odmítnout. Existují zde určité výjimky (viz další odstavce).
  • Datum souhlasu – pečlivě si uložte datum udělení souhlasu klientem. Uložte si také plné znění souhlasu, ať ho můžete v případě potřeby doložit.

 

Ještě se vrátíme ke zmiňovanému svobodnému souhlasu a případnému zamítnutí zpracování osobních dat ze strany klienta. GDPR hovoří o této věci jasně – souhlas nesmíte podmiňovat poskytnutím konkrétní služby, u které není zpracování osobních údajů nezbytné.

V praxi tedy host nemusí souhlasit se zpracováním údajů. Ubytovat ho můžete, ale ponechat si smíte pouze nezbytné údaje pro poskytnutí ubytovací služby. Pravděpodobně už tušíte, že směřujeme k osobním údajům, které máte o hostech evidovat v návaznosti na zákony 326/1999 (Zákon o pobytu cizinců na území ČR) a 565/1990 (Zákon o místních poplatcích, který se dotýká vedení Domovní a Evidenční knihy hostů.).

Jakékoliv další údaje, které o daném hostovi evidujete nad rámec vašich zákonných povinností, musíte po jeho odjezdu neprodleně vymazat z vaší databáze.

V příštím díle se podíváme na podrobnosti týkající se ukládání a zpracování osobních dat klientů.

Líbil se Vám článek? Nezapomeňte ho sdílet s ostatními!