Ukládání dat a práce s nimi podle GDPR
Souhlasy se sběrem osobních údajů od klientů máme vyřešené. V minulém článku jsme si řekli, jak je sbírat a jak mají vypadat. Na Kafíčku s Previem zaznělo na téma GDPR několik zajímavých dotazů z praxe, sepsali jsme je pro vás.
Nyní máme data našich hostů. Jak s nimi budeme nakládat, abychom se drželi v mantinelech vytýčených GDPR?
Jak už bylo řečeno, vy jako ubytovatel jste tzv. správce dat, naše společnost vystupuje jako zpracovatel dat. Vzhledem k tomu, že Previo funguje na cloudovém principu, jsou veškerá data o vašich hostech uložena na našich serverech.
Samotné cloudové pojetí našeho hotelového systému je v rámci GDPR velkou výhodou. Na nás jako na zpracovatele se přenáší větší část zodpovědnosti za data hostů. Naší prací tedy velice zjednodušeně bude od 25. května evidence souhlasů, nastavení zabezpečení osobních údajů hostů a eliminace možnosti jejich úniků.
Na vašich bedrech zůstává zaškolení personálu, tedy nastavení procesu zpracování dat vašimi zaměstnanci. Dále domovní kniha, kniha hostů a agenda ubytovacích karet v papírové podobě apod. Jako správce dat jste povinen vědět, jak jsou osobní údaje hostů proti nebezpečí zneužití chráněny. Toho se ale nemusíte obávat, dodatek ke smlouvě s Previem tuto povinnost ošetří. Ukládání a zpracování dat v něm podrobně popíšeme pro případ „návštěvy“ ze strany kontrolního orgánu. Tím je v případě GDPR agendy Úřad pro ochranu osobních údajů.
Data budou na našich serverech uložena v různě strukturovaných sekcích podle typů souhlasů získaných od klientů. Nejdůležitější věcí je v tomto případě správná struktura souhlasů. Měly by splňovat pět základních podmínek uvedených v minulém článku.
Výrazně doporučujeme o hostech ukládat pouze takové informace, na jejichž shromážďování vám byl udělen souhlas. To, že budete mít velkou databázi klientů, je pěkná věc. Pokud ale budete údaje využívat pro účely, na které vám nebyl udělen souhlas, můžete se při kontrole dostat do problémů.
Nová práva vašich hostů
Uveďme si nyní ještě dvě práva, které vaši hosté se vstupem nařízení GDPR v platnost získají. Prvním z nich je právo na informaci, jaká data o nich máte uložena ve své databázi. Klientovi je nutné ve lhůtě maximálně tří měsíců poskytnout požadované informace ve formě běžně používaného datového souboru (tzn. doc, xls, pdf, csv atp).
Druhou novinkou je tzv. právo na okamžitý výmaz dat – klient může požádat o vymazání veškerých informací, které o něm ve své databázi evidujete. Tento výmaz by měl být okamžitý a kompletní jak u vás, tak i na našich serverech. V cestovním ruchu platí výjimka – existují osobní údaje, které si naopak ponechat musíte. Jsou jimi: jméno, příjmení, datum narození, adresa a doba ubytování, číslo a typ dokladu, případné vízum, účel pobytu. Vymazat je můžete až po uplynutí lhůty šesti let (viz 326/1999 Zákon o pobytu cizinců na území ČR a Zákon o místních poplatcích 565/1990, obecně známé jako Domovní a Evidenční kniha).
V obou případech uplatnění nového práva je nutné hosta identifikovat na základě platného dokladu. Pokud na recepci přijde někdo, kdo bude chtít vědět, jaké údaje máte uložené o Janu Novotném a případně požadovat jejich výmaz, musíte mít jistotu, že daná osoba je opravdu pan Novotný. Nikdo jiný nemá právo na přístup k těmto informacím, nebo dokonce nárok na jejich vymazání z vaší databáze. To samé platí v případě, že vám od pana Novotného přijde e-mail.
Dokumenty od Previa
Již brzy pro vás budeme mít připravené dodatky smluv, které budou nakládání s osobními daty klientů upravovat. Druhý dokument, který pro vás připravujeme, je vzor směrnice o nakládání s osobními údaji. Směrnici mějte od května umístěnou a volně přístupnou na recepci (a na webu, pokud na něm prodáváte své služby). Hosté mají právo do ní kdykoliv nahlédnout.
Směrnice musí obsahovat technické informace o ukládání a zabezpečení dat. Popište v ní, kde a jak data o hostech evidujete (cloud, papírová evidenční kniha na recepci atp.), kdo k nim má přístup, jak probíhá postup získávání dat a nakonec také kdo je váš pověřenec. Náš vzor vás povede.
Agenda pověřence
Pokud vám pojem pověřenec (můžete se setkat i s anglickou zkratkou DPO) nic neříká, vězte, že se jedná o novou pracovní pozici ve vaší společnosti. Nemusíte si ale chystat náborový inzerát, pověřencem se může jednoduše stát téměř kdokoliv z vašich zaměstnanců.
Neměl by to být člověk, který ve firmě nastavuje pravidla práce s osobními údaji – tzn. jednatel, vedoucí pracovník IT, nebo marketingový manažer. Vyberte důvěryhodnou osobu, nejlépe dlouholetého zaměstnance společnosti.
Pověřenec provádí dohled nad dodržováním nastavených pravidel a postupů při jakékoliv práci s osobními údaji jak vašich hostů, tak i samotných zaměstnanců. Pro vykonávání pozice pověřence není nutné žádné speciální vzdělání. Výklad směrnice říká, že daná osoba by měla mít znalosti o zabezpečení osobních údajů a GDPR jako celku.
Důležitá informace na konec, pověřenec má sice na starosti kontrolu, ale při porušení nastavených pravidel nemá žádnou hmotnou odpovědnost za vzniklé pochybení.
Pro dnešek to bude vše. Na příští týden už pro vás máme přichystaný druhý díl vašich dotazů na GDPR, které se objevily na některém z našich Kafíček s Previem.
