Usługi hotelarskie

Rodzaj działalności

W toku kontroli usług hotelarskich ustalono, iż niektórzy przedsiębiorcy prowadzący hotele zarządzają hotelami własnymi, pozostali zaś zarządzają hotelami na podstawie zawartych umów o zarządzanie lub franczyzę. W przypadku hoteli działających na podstawie umów o zarządzanie, stronami zawartych umów były dwa podmioty, tj. spółka będąca właścicielem znaku handlowego, jak również podmiot, do którego należy przedsiębiorstwo hotelowe. W tego typu umowach podmiot będący właścicielem przedsiębiorstwa hotelowego uzgadnia z podmiotem, do którego należy znak handlowy, warunki korzystania z tego znaku oraz warunki zarządzania przedsiębiorstwem.

W przypadku takiej działalności zarządzanie obejmuje również wdrożenie i stosowanie systemu informatycznego służącego do przetwarzania danych osobowych osób korzystających z usług hotelowych. Natomiast w sytuacji zarządzania hotelami objętymi umową franczyzy, na podstawie zawartej umowy spółka będąca właścicielem znaku handlowego, zezwala lub umożliwia podmiotowi, do którego należy przedsiębiorstwo hotelowe, na korzystanie z jej znaku. W takich przypadkach podmiot, do którego należy przedsiębiorstwo hotelowe, całkowicie kieruje i zarządza przedsiębiorstwem hotelowym, korzystając wyłącznie ze standardów wynikających ze znaku handlowego. Przedsiębiorcy prowadzący hotele świadczą usługi hotelarskie w zakresie krótkotrwałego wynajmu pokoi, o którym mowa w art. 3 pkt 8 ustawy z dnia 29 sierpnia 1997 r. o usługach turystycznych (tj. Dz. U. z 2004 r. Nr 223, poz. 2268 z późn. zm.).

Wyniki kontroli

Oceniając wyniki przeprowadzonych kontroli stwierdzić należy, iż najwięcej zastrzeżeń w procesie przetwarzania danych osobowych wzbudzało niedopełnienie obowiązku informacyjnego, o którym mowa w art. 24 ust. 1 ustawy o ochronie danych osobowych. Wskazać bowiem należy, iż przedsiębiorcy prowadzący hotele jako administratorzy danych osób korzystających z usług hotelarskich, najczęściej nie informowali osób rezerwujących usługi hotelarskie o adresie swojej siedziby i pełnej nazwie. Na podkreślenie zasługuje fakt, iż we wszystkich skontrolowanych podmiotach nazwa hotelu nie była tożsama z nazwą administratora danych. W niektórych przypadkach również adres hotelu nie był tożsamy z adresem siedziby administratora danych. Natomiast w większości przypadków osoby korzystające z usług hoteli informowane były jedynie o adresie i siedzibie danego hotelu, natomiast nie informowano ich o nazwie administratora danych i adresie jego siedziby.

Ponadto liczne uchybienia dotyczyły niedopełnienia, wynikającego z art. 40 ustawy o ochronie danych osobowych, obowiązku zgłoszenia Generalnemu Inspektorowi Ochrony Danych Osobowych do rejestracji prowadzonych zbiorów danych, dotyczących osób korzystających z usług hotelarskich.

Natomiast w pojedynczych przypadkach stwierdzano nieprawidłowości polegające na przetwarzaniu danych osobowych w zakresie nieadekwatnym do celu, w jakim zostały zebrane (w związku z pozyskiwaniem danych dotyczących numeru paszportu na potrzeby prowadzonego programu lojalnościowego), nieokreśleniu terminu przechowywania danych osób, które dokonały anulowania rezerwacji pobytu w hotelu oraz terminu usuwania ze skrzynek poczty elektronicznej rezerwacji dokonanych drogą elektroniczną, a także nieopracowaniu procedur, które regulowałyby sposób działania archiwów prowadzonych w hotelach, w tym m.in. zasady przekazywania dokumentacji do archiwum i jej wypożyczania, a także okresy przechowywania dokumentacji w archiwum i jej niszczenia.

Przeprowadzone kontrole wykazały również uchybienia w procesie przetwarzania danych osobowych w systemach informatycznych. Dotyczyły one m.in. dokonywania zmiany haseł dostępu do systemu informatycznego rzadziej niż co 30 dni, używaniu do uwierzytelnienia hasła niezawierającego co najmniej 8 znaków oraz przesyłaniu za pośrednictwem strony internetowej danych osobowych w sposób niezabezpieczony protokołem szyfrującym https.

Aby zapoznać się z przepisami przejdź do naszej podstrony Ustawy i rozporządzenia.

Analizę opracowano na podstawie sprawozdania rocznego GIODO na rok 2012.

Dalsze analizy przypadków już wkrótce!