Hotele, SPA & Wellness jako administratorzy danych osobowych


Administrator danych osobowych odpowiedzialny jest za zgodne z prawem zorganizowanie procesu przetwarzania danych osobowych. Oprócz definicji tego pojęcia, przepisy ustawy o ochronie danych osobowych określają szereg obowiązków związanych z pełnieniem tej funkcji. Przedsiębiorcy z branży Beauty, a także świadczący usługi hotelarskie jako administratorzy danych osobowych przetwarzają dane osobowe zasadniczo celem identyfikacji Gości jako stron umowy o świadczenie usług, w celu wykonania umowy oraz dochodzenia ewentualnych roszczeń z tytułu przedmiotowej umowy. Wyjaśnienia zatem wymaga jaką rolę właściwie pełni administrator danych i jakiego rodzaju zadania nakłada na niego ustawa o ochronie danych osobowych.


Za administratora danych osobowych uznać należy każdy podmiot, który objęty został zakresem podmiotowym ustawy o ochronie danych osobowych i jednocześnie decyduje o celach i środkach przetwarzania danych. Administratorem danych osobowych jest zatem podmiot, który sprawuje faktyczną kontrolę nad przetwarzaniem danych. Decyduje on samodzielnie o tym, w jakim sposób prowadzony będzie proces przetwarzania danych i do realizacji jakich celów dochodzić będzie podczas ich przetwarzania. Wskazane cechy umożliwiają odróżnienie administratora danych osobowych od podmiotu przetwarzającego dane na zlecenie, który nie decyduje o celach przetwarzania danych osobowych, będąc uprawnionym do przetwarzania danych wyłącznie w zakresie określonym umową. Dla zobrazowania powyższej definicji warto posłużyć się następującym przykładem. Status administratora danych osobowych nie będzie przysługiwał agentowi ubezpieczeniowemu, który zawiera umowy ubezpieczenia z Klientami, z tego tytułu przetwarzając ich dane osobowe, ponieważ o celach i środkach przetwarzania danych decyduje inny podmiot, w tym przykładzie towarzystwo ubezpieczeniowe. Natomiast przez przetwarzanie danych osobowych należy rozumieć jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. Powyższe przykładowe wyliczenie opiera się na założeniu, że nie jest możliwe w sposób wyczerpujący określenie, jakie czynności wchodzą lub wchodzić mogą w zakres pojęcia przetwarzania danych.


Jak już zostało wskazane, przepisy ustawy o ochronie danych osobowych określają szereg obowiązków związanych z przetwarzaniem danych osobowych, które obligują każdego przedsiębiorcę pełniącego funkcję administratora danych osobowych do podejmowania określonych działań. W szczególności do ustawowych zadań administratora danych należy:

  1. stosowanie środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną – wyjaśnić należy, że zagadnienia związane ze sposobem prowadzenia i zakresem dokumentacji opisującej sposób przetwarzania danych osobowych, podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, a także wymagania w zakresie odnotowywania udostępniania danych osobowych i bezpieczeństwa przetwarzania danych osobowych określone zostały w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych;

  2. prowadzenie dokumentacji opisującej sposób przetwarzania danych oraz środków zapewniających ochronę danych osobowych – dokumentację opisującą sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych stanowi polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Przedmiotowa dokumentacja prowadzona powinna być przez administratora danych w formie pisemnej;

  3. zgłoszenie zbiorów danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych – decyzja czy dany zbiór podlega rejestracji spoczywa każdorazowo na administratorze danych osobowych. W zakresie działalności oferującej usługi SPA & Wellness mogą być to zbiory dotyczące, w szczególności danych Gości korzystających z zabiegów, korespondencji, skarg i wniosków czy reklamacji. Wyjątki od obowiązku zgłoszenie zbioru danych do rejestracji wymienione zostały enumeratywnie w art. 43 ust. 1 pkt. 1-11 ustawy o ochronie danych osobowych. Istotne, że katalog wskazanych wyjątków nie może być przez administratorów danych osobowych interpretowany rozszerzająco. Co do zasady, wyjątki od obowiązku zgłoszenia zbioru danych do rejestracji, nie znajdują zastosowania w odniesieniu do podmiotów z branży SPA & Wellness. Zgłoszenia zbioru do rejestracji administrator powinien dokonać przed rozpoczęciem przetwarzania danych. Powyższe nie dotyczy tzw. danych wrażliwych, podlegających szczególnej ochronie. Zbieranie tego rodzaju danych jest możliwe dopiero po uprzednim zarejestrowaniu zbioru. Zgłoszenia można dokonać osobiście w siedzibie GIODO, drogą elektroniczną lub za pośrednictwem poczty stosując odpowiedni formularz, którego wzór stanowi załącznik do rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008 roku w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Danych Osobowych;

  4. zapewnienie kontroli nad tym, jakie dane osobowe zostały wprowadzone do zbioru danych, kiedy i przez kogo oraz komu te dane są przekazywane – przedmiotowy obowiązek może być wykonywany przez administratora danych w dowolny sposób. Jeżeli jednak dane osobowe przetwarzane są w systemie informatycznym, to wówczas wykonywanie kontroli powinno odbywać się zgodnie z § 7 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych;

  5. zabezpieczenie danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem;

  6. prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych - ewidencja osób upoważnionych do przetwarzania danych osobowych powinna być prowadzona w formie pisemnej i zawierać takie informacje, jak: imię i nazwisko osoby upoważnionej, datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych, a także identyfikator, jeżeli dane są przetwarzane w systemie informatycznym;

  7. dopełnienie obowiązków informacyjnych - w przypadku zbierania danych od osoby, której one dotyczą (art. 24 ust. 1 ustawy o ochronie danych osobowych) administrator danych zobowiązany jest poinformować tę osobę o adresie swojej siedziby i pełnej nazwie, celu zbierania, znanych mu w momencie udzielania informacji lub przewidywanych odbiorcach danych, prawie dostępu do danych i prawie ich poprawiania, a także o dobrowolności lub obowiązku ich podania, a gdy wskazany obowiązek istnieje - o jego podstawie prawnej. Natomiast w przypadku zbierania danych nie od osoby, której one dotyczą (art. 25 ust. 1 ustawy o ochronie danych osobowych), administrator zobowiązany jest poinformować osobę, której one dotyczą, o swojej nazwie i adresie, celu i zakresie zbierania danych, w szczególności o ich odbiorcach, źródle danych, prawie dostępu do danych i prawie ich poprawiania, a także o prawie żądania zaprzestania przetwarzania danych lub wniesienia sprzeciwu wobec przetwarzania danych. W wyroku z dnia 22 stycznia 2004 roku Wojewódzki Sąd Administracyjny w Warszawie, wyjaśnił, iż firma, która nabyła zbiór danych osobowych od innego administratora danych, powinna powiadomić klientów, że posiada ich dane, oraz dać im czas, aby mieli szansę wnieść sprzeciw na ich przetwarzanie do celów marketingowych, bowiem niedotrzymanie tych warunków łamie przepisy o ochronie danych osobowych (sygn. akt II SA 2665/2002). Wydaje się, że dla ośrodków SPA&Wellness, hoteli najlepszą formą realizacji takiego obowiązku jest zamieszczenie na karcie pobytu stosownej klauzuli zawierającej powyższe informacje oraz treść zgody na przetwarzanie danych osobowych niezbędnych dla zawarcia i wykonania umowy zawieranej przez gościa z takim ośrodkiem. Każdy przedsiębiorca powinien przy tym mieć na uwadze, że obowiązek informacyjny odnosi się do każdego z celów, dla których ośrodek SPA&Wellness czy hotel zamierza przetwarzać dane osobowe Gości (wypełnianie dokumentów księgowych, realizacja płatności czy rejestracja w programach lojalnościowych);

  8. uzupełnianie, uaktualnianie, dokonanie sprostowania danych, czasowe lub stałe wstrzymywania przetwarzania kwestionowanych danych lub ich usunięcie ze zbioru, gdy zażąda tego osoba, której dane są przetwarzane przez administratora – warto wyjaśnić, iż w przypadku gdy administrator danych nie zastosuje się do określonego powyżej żądania osoby, której dane dotyczą, wówczas podmiot danych jest uprawniony do zwrócenia się do Generalnego Inspektora Danych Osobowych z wnioskiem o nakazanie administratorowi danych zadośćuczynienia jego żądaniom;

  9. respektowanie praw osób, których przetwarzane dane dotyczą oraz dokładanie szczególnej staranności w celu ochrony interesów osób, których dane dotyczą – w powyższym zakresie administrator danych zobowiązany jest zapewnić, aby dane były przetwarzane zgodnie z prawem, zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane, przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.


Dodatkowym, swoistym uprawnieniem administratora danych osobowych jest możliwość powołania administratora bezpieczeństwa informacji, do którego zadań należy między innymi zapewnianie przestrzegania przepisów o ochronie danych osobowych oraz prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych. W przypadku niepowołania administratora bezpieczeństwa informacji sam administrator danych osobowych pełni wówczas jego obowiązki z mocy prawa. Niezależnie od powyższego o zasadach, skutkach i korzyściach płynących z powołania administratora bezpieczeństwa informacji będą mogli Państwo dowiedzieć się w kolejnych artykułach poświęconych problematyce ochrony danych osobowych.


Administrator danych osobowych, jako podmiot decydujący o celach i środkach przetwarzania danych osobowych zobowiązany jest realizować powyższe zadania z najwyższą starannością, tak aby proces przetwarzania przez niego danych osobowych odpowiadał obowiązującym przepisom prawa. Powyższe zadania niejako przenikają się wzajemnie. Zauważyć należy, że w przypadku gdy zgłoszenie zbioru do rejestracji nie zawiera opisu środków technicznych i organizacyjnych zastosowanych w celu zabezpieczenia przetwarzanych danych osobowych, to Generalny Inspektor Danych Osobowych w drodze decyzji administracyjnej odmówi rejestracji zgłoszonego zbioru danych. Tym samym administrator danych zobowiązany jest każdorazowo, w sposób kompleksowy, realizować wszystkie obowiązki określone w ustawie o ochronie danych osobowych. Naruszenie powyżej wskazanych zasad może narazić przedsiębiorcę będącego administratorem danych osobowych na odpowiedzialność nie tylko administracyjną, ale przede wszystkim karną.

Wyróżnione posty
Ostatnie posty
Archiwum
Wyszukaj wg tagów