25 maja 2018 roku Ustawa o Ochronie Danych Osobowych przestaje obowiązywać. Jej miejsce zajmie ujednolicone i spójne dla całej Unii Europejskiej, Rozporządzenie o Ochronie Danych Osobowych (RODO). Nie oznacza to, że wszystkie dotychczas poczynione dla ochrony danych działania znikną jak kamfora. W wielu miejscach wymagać będą tylko odświeżenia i uzupełnienia.

Obiekty usługowe pobierają i w różnych celach przetwarzają wiele danych swoich Klientów (m.in. imię, nazwisko, numer telefonu, adres skrzynki mailowej a także informacje o stanie zdrowia), a po ich uzyskaniu (do tej pory na zasadzie wyrażonych zgód przetwarzania) zarządzają nimi. Wykorzystują je głównie w celach meldunkowych oraz marketingowych, część także, by zapewnić bezpieczeństwo Gości i personelu (zapisy rozmów czy monitoringu kamer). W związku z tym są one, w myśl RODO, Administratorem Danych Osobowych. Spoczywa zatem na nich szereg obowiązków w tym takich, które do tej pory nie były jasno sprecyzowane. Przyjrzyjmy się wspólnie, co w RODO piszczy.

Do tej pory wiele obiektów, dzięki zaawansowanym nakładkom na systemy, poza podstawowymi danymi zapisywało te, które związane były z preferencjami Klientów. Pozwalało im to lepiej przygotować się do kolejnych jego wizyt, a jednocześnie budować długofalowe relacje. Dziś wydaje się, że nowe rozporządzenie „osuszy” nieco te relacje. Ale czy na pewno?

Najogólniej rzecz ujmując, po 25. maja 2018 roku, wolno nam będzie pobierać od Gości tylko te dane, które są niezbędne do kompleksowego zrealizowania usługi (noclegowej czy np. kosmetycznej), przy zachowaniu zasady możliwej ich minimalizacji (Ilości tych danych).

Dane wrażliwe

Dodatkowo obiekty w których wykonywane są zabiegi (SPA, sanatoria, gabinety kosmetyczne) mają prawo pozyskiwać informacje dotyczące stanu zdrowia Klienta (to tzw. dane wrażliwe). Jest to logiczne, nie tylko ze względu na fakt, że determinuje rodzaj dobieranych terapii, ale także w myśl RODO, informacje te są właśnie niezbędnym minimum do wykonania kompleksowych usług.

Jak wiemy hotele, i salony SPA posiadają wewnętrzne procedury, które mają „dopieścić” Gości, dając im coś więcej niż konkurencja. Dlatego wiele podmiotów posiada dane, które opisują, że np. pani Kowalska w trakcie zabiegu masażu lubi wsłuchiwać się w rytmy tybetańskie, a tuż po nim napić się swojej ulubionej herbaty z hibiskusa. Podczas gdy pan Kowalski po wyjściu z Sali cardio oczekuje w pokoju koktajlu z zielonych owoców, bo jest na diecie przeciw cholesterolowej. Czy posiadanie i wykorzystywanie tych danych jest naruszeniem rozporządzenia? W mojej ocenie nie. Są to informacje niezbędne, by kompleksowo zrealizować usługę. A to Administrator określa jak i po co uzyskuje te dane, by potem powiedzieć jak je zabezpiecza.

Ustawa mówi też, że nie wolno wymagać od Klienta podawania numeru pesel. Jednak chwilę później czytamy w niej, że jest to dozwolone, jeśli spodziewamy się przyszłych roszczeń lub sytuacji trudnych. Zatem można czy nie można? W mojej ocenie jak najbardziej można. Bo jak przewidzieć, czy takie sytuacje wystąpią?

Nie wolno natomiast robić kopii dokumentów poświadczających tożsamość.

Dane telemetryczne

Inne dane, które być może „pobierasz” od swoich Gości, nie zawsze mając tego świadomość, to tzw. dane telemetryczne. Hotele, szczególnie sieciowe, nagrywają rozmowy jakie recepcja prowadzi z Gośćmi i potencjalnymi gośćmi. Zapis głosu stanowi daną telemetryczną i należy ją również odpowiednio zabezpieczać. (O sposobach zabezpieczania przeczytacie poniżej). Odpowiednim zabezpieczeniom w myśl RODO podlegają także zapisy z monitoringu kamer.

Jednak w żadnym artykule rozporządzenia nie znajdziesz słowa, w jaki sposób technicznie, jakimi certyfikatami zabezpieczać te dane. Dlatego bezwzględnie sam musisz określić najpierw poziom zagrożenia oraz wskazać obszary na których dane mogą być narażone na wyciek i nadużycie lub modyfikacje. Obszary te musisz też stale monitorować.

Kwestie samego bezpieczeństwa szczegółowo określa Art. 32 ust. 1 RODO, który to wskazuje, że Administrator po określeniu ryzyka, sam musi wdrożyć odpowiednie zabezpieczenia, ale jak wspomniałem powyżej, nie wskazuje jakie. Podaje natomiast ogólne zakresy działań które należy podjąć, w tym m.in. :

• szyfrowanie danych osobowych,
• odporność systemów zabezpieczeń na wszelkie ingerencje z zewnątrz,
• zapewnienie poufności danych osobowych, a także regularne kontrole systemów.

Jak wiadomo najważniejszy pozostaje czynnik ludzki, i możliwe błędy bądź celowe działania człowieka. Dlatego też wielu analityków wskazuje jako celowe ograniczenie uprawnień dostępu do systemu pracownikom, dając im tylko ten niezbędny do codziennej pracy (ograniczamy wówczas ryzyko ściągnięcia i instalowania oprogramowania mogącego nieść zagrożenie). A skoro jesteśmy przy pracownikach, działaniem z wyboru jest także stałe ich doszkalanie w temacie pozyskiwania, przechowywania oraz wykorzystywania danych osobowych Gości.

RODO wymaga, by wszystko było jasne i zrozumiałe dla Twoich Klientów. Dlatego musisz ich poinformować w jakim celu pobierasz od nich dane, kto jest ich administratorem, oraz o tym, że – i tu jest novum – w każdej chwili Gość może zażądać, by jego dane zostały usunięte ze wszystkich baz. Ten przywilej daje mu tzw. prawo do bycia zapomnianym. Informacje te stanowią najczęściej załączniki do korespondencji z Klientami i Gośćmi.

Rekrutacje w myśl RODO

Gromadzenie danych ma na celu nie tylko umożliwienie późniejszego check-inu czy wykonania zabiegu. Ma też służyć działaniom marketingowym, a także procesom rekrutacyjnym, co znaczy, że RODO w swej treści ujmuje nie tylko relacje Ty – Twój Klient, ale także Ty i Twój potencjalny pracownik. A biorąc pod uwagę fakt, że rynek usług jest dość specyficzny, warto pamiętać co wolno, a czego nie w procesie rekrutacji.

Do tej pory mieliśmy często do czynienia z faktem „krążenia” CV kandydata z rąk do rąk. Po 25. maja 2018, każda z osób mająca dostęp do danych zawartych w CV, będzie musiała mieć odpowiednie upoważnienie od administratora danych osobowych (ADO).

Prowadząc procesy rekrutacji należy też jasno określić, jak długo pozyskane w ich toku dokumenty pozostaną w naszych bazach. Standardowo zatem należy określić czas trwania całego procesu, oraz poinformować, że po tym czasie dokumenty zostaną trwale usunięte. Można jednak umożliwić sobie pozostawienie dokumentów na potrzeby kolejnych rekrutacji, zawierając klauzulę, która mówi, że zbierane dane będą przetwarzane w procesie obecnej, jak również w przypadku kolejnych procesów rekrutacji.

Jeśli danego kandydata chcesz również brać pod uwagę na inne stanowisko, niż na to, na które sam się zgłosił, musisz uzyskać jego zgodę.

Wyobraźmy sobie sytuację, w której doświadczony kelner przesyła do nas dokumenty, zgłaszając chęć wzięcia udziału w wyścigu o inne stanowisko, niż dotychczas przez niego zajmowane. Chce zmienić profil zawodowy i zgłasza kandydaturę na stanowisko recepcyjne. Jeśli mimo to, rekruter chce wziąć go pod uwagę, by ewentualnie obsadzić wakat kelnerski, musi uzyskać zgodę osoby składającej dokumenty.

Kontrola

Unie Europejska na terenie każdego z Państw członkowskich wyznaczy zespoły komisarzy, mających dbać, by przepisy były nie tylko wdrożone, ale przede wszystkim przestrzegane. Choć uważam, że kary w wysokości do 20 000 000 Euro skutecznie pozwolą wszystkim podmiotom dopiąć przepisy, bez przekraczania deadlinu, wypadającego 25. maja 2018 r.

W kolejnych artykułach przedstawię Case Study, w których omówię „na gorąco” przypadki z obiektów hotelarskich i SPA.

Podsumowując

1. Wyodrębnij i określ ryzyko dotyczące sposobu pozyskiwania i przechowywania oraz przetwarzania danych osobowych.
2. Jasno określ do jakich celów pozyskujesz te dane oraz powiedz jak je chronisz, by nie wpadły w niepowołane ręce.
3. Poinformuj Klientów, że w każdej chwili ich dane mogą zostać usunięte z Twoich baz, jeśli tylko tego zażądają.
4. Jeśli do należytego wykonania usługi potrzebujesz informacji, które wykraczają poza standardowe dane Klienta (chociażby takich jak preferencje) ujmij to w procedurze, poproś o te dane i odpowiednio je zabezpiecz.