Adatkezelés a szálláshelyeken | Hazai Vendégváró

Olvasónkat adatkezelési tisztviselő alkalmazására igyekezett rábeszélni egy tanácsadó cég. Szerintük a kötelező turisztikai adatszolgáltatás ezt már a legkisebb szálláshelyeknél, egy kis vendégháznál is indokolttá teszi. Valóban ennyire bonyolultak lennének az adatvédelmi kérdések a kisebb szálláshelyeknél is? Aligha. Összefoglaljuk a legfontosabb tudnivalókat ezen a területen.

Szükség van szakemberre?

Egy adatvédelmi tisztviselőnek az a feladata, hogy az adatkezelés törvényességét felügyelje. Szó nincs arról, hogy minden vállalkozásnál szükség lenne ilyen szakember munkájára. Adatkezelési tisztviselőre például akkor van szükség, ha a szervezet nagy számú személyes adattal foglalkozik, vagy egészségügyi vagy bűnügyi adatokat is nagy számban tárolnak. Egy gyógyszállónak, szanatóriumnak szüksége lehet ilyen szakemberre, ha regisztrálják, hogy ki, milyen kezelést kap, milyen orvosi szolgáltatásokat vesz igénybe a szálláshelyen. Egy kis szállodának, panziónak vagy magánszállásnak azonban nem lesz szüksége ilyen szakember foglalkoztatására.

Az adatvédelemmel mindenképpen foglalkozni kell

Az adatvédelemmel kapcsolatos szabályok azonban akkor sem kerülhetők meg, ha külön szakembert nem kell alkalmaznunk. A legkisebb szálláshelynek is el kell készítenie az ezzel kapcsolatos dokumentumait. Ebben nincs méretbeli határ: aki adatot kezel, annak be kell tartania az uniós és hazai előírásokat. Márpedig, ha vendéget fogadunk, és felírjuk a személyi adatait, az már adatkezelésnek számít.

A tanácsadással foglakozó cégek persze szeretnék, hogy minél több szolgáltatásukat igénybe vegyük. Így igyekeznek a szükségesnél bonyolultabbnak láttatni ezt a kérdést. Pedig az adatkezelési szabályok nem olyan szörnyűek, mint amilyennek megpróbálják feltüntetni őket.

Az a céljuk, hogy:

a személyes adatainkat senki ne használhassa fel megfelelő felhatalmazás nélkül,
pontos tájékoztatást kapjunk arról, hogy mi történik az adatainkkal, mit, miért tárolnak rólunk és
élni tudjunk a jogainkkal, ha az adatokat módosítani, töröltetni akarjuk.

A lényeg, hogy csak azokat az adatokat használhatjuk, amikhez jogunk van, amikre szükségünk van és minderről az összes érintettet tájékoztatnunk kell. Egy szakember közreműködésével ez lényegesen egyszerűbb feladat, de saját maga is elkészítheti mindenki a szükséges dokumentumokat. Nemhogy adatvédelmi tisztviselőre nincs szükség, de még jogász sem kell feltétlenül a jogszerű adatkezelés kialakításához.

Mit tekintünk adatkezelésnek?

Adatkezelésnek számít minden, aminek során magánszemélyekről bármilyen személyes információ a tudomásunkra jut. Márpedig ez a lépés a szállás elfoglalásának a feltétele, tehát szállásadóként végeznünk kell adatkezelést. A szabályok rögzítésére és az érintettek tájékoztatására mindenhol szükség van, ahol a legkisebb adatkezelés is előfordulhat.

Személyes adat minden olyan információ, ami egy konkrét emberhez kapcsolható. A neve, születési ideje, adószáma, telefonszáma, lakcíme, érdeklődése, bármilyen róla szóló információ. Személyes adat az illetőről készült fotó is, vagy az is, hogy igénybe vette-e a szoláriumot és a szálloda wellnessrészlegét. A cégek adatai viszont nem személyes adatok, hiszen egy vállalkozás címe, adószáma, központi telefonszáma, e-mail címe nem kötődik magánszemélyekhez.

Adatkezelésnek mondunk általában véve minden műveletet, amit az adatokon végzünk. Az is adatkezelés, ha egy füzetbe felírjuk a szobát foglalók nevét és címét. Már ebben az esetben is át kell gondolnunk, hogy

milyen okból írjuk össze az adatokat, miért van rá szükségünk
pontosan mit akarunk tárolni, mire van szükség, mire nincs
meddig akarjuk ezeket megtartani
ki férhet hozzá stb.

Át kell tekinteni a vállalkozás működésének minden egyes folyamatát abból a szempontból, hogy hol kerülhetünk kapcsolatba személyes adatokkal. A későbbiekben ezekre kell tájékoztatókat készíteni. A vállalkozás működését a vezető ismeri legjobban, első lépésként tehát neki kell átnéznie, hogy hol lehetnek a problémás helyzetek.

Adatkezelők és adatfeldolgozók

Vállalkozóként tehát biztos, hogy adatkezelők leszünk. Az adatkezelő az, aki gyűjti és használja az adatokat, meghatározza az adatkezelés célját és végrehajtja az adatkezelésre vonatkozó döntéseket. Megkülönböztetjük tőle az adatfeldolgozót, aki a kész adatokat kapja meg. Nem ő dönti el, hogy mit kell gyűjteni, és azt sem, hogy milyen célra fogják felhasználni. Az adatfeldolgozó többnyire technikai feladatot lát el, az adatkezelő utasításai alapján dolgozik, és ezzel kapcsolatban saját döntést nem is hozhat.

Ezt azért fontos látnunk, mert fel kell sorolnunk a munkánkkal kapcsolatos adatfeldolgozói kapcsolatokat is. Például adatfeldolgozást lát el a könyvelőnk, akinek átadjuk a vendégek adatait. Vagy ha használunk hírlevelet, akkor adatfeldolgozó lesz a hírlevél-rendszert működtető szolgáltató is, melynek a rendszerébe feltöltjük ügyfeleink nevét és címét.

Az NTAK-adatszolgáltatástól nem lesz bonyolultabb a rendszer

Az említett tanácsadó arra hivatkozott, hogy a kötelező turisztikai adatszolgáltatás miatt lesz szükség az adatvédelemmel foglalkozó, képzett szakemberre. Ez nem igaz, az adatszolgáltatás egyáltalán nem teszi bonyolultabbá a helyzetet.

A turisztikai adatszolgáltató központnak át kell adnunk a vendégek adatait. Az NTAK éppen ezért adatfeldolgozói szerepbe kerül. Erre törvény kötelezi az adatkezelőt, azaz minket. Az adatkezelési tájékoztatónkban fel kell tüntetnünk ezt a kapcsolatot. Jeleznünk kell, hogy a vendégek adatait ennek a szolgáltatónak átadjuk, s az átadás jogalapja a törvényi előírás. Ezzel ki kell egészíteni a meglévő adatkezelési tájékoztatókat, de más dolgunk nem lesz ezzel a változással.

Milyen szabályokat kell betartani?

Az adatkezelési kérdések azért tűnnek bonyolultnak, mert az ezzel kapcsolatos fő uniós rendelet nem konkrét előírásokat tartalmaz, hanem alapelveket rögzít (ez a sokat említett GDPR, a 679/2016 EU rendelet). Tisztességesen kell eljárni, s hogy ez pontosan mit jelent, annak a pontos szabályait sok esetben magunknak kell kitalálnunk.

A főbb uniós alapelvek a következők:

célhoz kötöttség – ennek alapján csak azt kezelhetjük, amire valamilyen felhatalmazásunk van. A NTAK számára például rögzíteni kell a személyi okmányok adatait, ezt tehát törvényi felhatalmazás alapján kezeljük. A vendég e-mail címének rögzítése viszont már saját hozzájárulás alapján lehetséges. Ha nem adja meg, nem követelhetjük tőle.
Adattakarékosság – ez azt jelenti, hogy minden adatot csak úgy kezelhetünk, ha annak konkrét célja van. Rögzítenünk kell például az ügyfél nevét és más adatait, de nem kell másolatot készítenünk az iratairól. Ennek már nem lenne célja, nem tudjuk a szükségességét indokolni. Tehát ne is gyűjtögessük feleslegesen a másolatokat!
Korlátozott tárolhatóság – ez is nagyon lényeges. Azt jelenti, hogy minden adatot csak addig tárolhatunk, ameddig szükség van rá, és van is felhatalmazásunk a kezelésére. Nem rakosgathatjuk például azoknak a listáját, akik évekkel ezelőtt érdeklődtek szálláslehetőségről, de nem lettek végül a vendégeink.

Adatkezelések szálláshelyeken

Szálláshelyen a vendégek adatainak a kezelését nem lehet kikerülni, hiszen a nevét, címét és az igazolványának számát mindenkinek meg kell adnia. Nem is egy, hanem több különböző adatkezeléssel kell számolnunk. Minden egyes művelet ugyanis külön adatkezelésnek számít, ahol az adatokat más-más célból tároljuk, használjuk. Így külön-külön adatkezelést jelent:

az ajánlatkérések, majd a foglalások nyilvántartása
a szállásra bejelentkezők adatai
az esetleges plusz szolgáltatások igénybevétele, ha bármilyen célból is rögzítjük a vendégek adatait (pl. szauna használata, eszközök bérlete)
a számlázáshoz használt adatok
marketinghez használt adatok (pl. címlista hírlevélhez) stb.

A feladat az, hogy alaposan át kell gondolnunk a vállalkozás működését, és külön-külön leírni minden egyes adatkezelés folyamatát. Mindenképpen válaszolnunk kell az alábbiakra:

pontosan milyen adatot fogunk a vendégtől elkérni, azt mire használjuk
milyen jogalapra hivatkozva használjuk az adatait (pl. törvényi előírás, önkéntes hozzájárulás vagy a vállalkozás jogos érdeke)
szükségünk van-e minden adatra, amit rögzítünk
ezeket mennyi ideig tároljuk, ki, milyen feltételekkel ismerheti meg őket
kikerülnek-e az adatai más vállalkozáshoz és
mik a vendégek jogai az adatok megismerésével, módosításával, törlésével kapcsolatban.

A fő feladatunk az, hogy saját magunk pontosan lássuk, megismerjük az adatkezelési folyamatokat. Ha szóba kerül, hogy a vendég nevét fel kell írni, mert bérel egy biciklit, akkor tudnunk kell ezzel kapcsolatban válaszolni a fenti kérdésekre.

Ellenőrzéskor nekünk kell bizonyítani

Ha kapunk egy ellenőrzést, akkor nem az adatvédelmi hatóságnak kell bizonyítania, hogy jogsértés történt. Éppen ellenkezőleg. Nekünk kell azt igazolnunk, hogy foglalkoztunk a kérdéssel, még ha vannak is hibák az eljárásban.

A vállalkozások az adatkezeléssel kapcsolatban három alapvető hibát szoktak elkövetni – igyekezzünk elkerülni őket:

nem csinálnak semmit, hátha nem lesz baj belőle
másolnak néhány dokumentumot valaki mástól
készíttetnek saját anyagokat, de nem tartják be őket.

Ha egy ellenőrzés során a hatóság azt tapasztalja, hogy semmit nem tettünk az adatvédelemmel kapcsolatban, akkor nem sok jóindulatra számíthatunk a részükről. Önmagában az sem jelent sokat, ha van egy kész adatvédelmi tájékoztató – csak éppen az nem a cégnél zajló valós folyamatokat mutatja be. Ez többnyire akkor fordul elő, ha valaki lemásolja egy másik vállalkozás dokumentumait. Igyekszik visszaadni ugyanazt a jogi szöveget, de az semmit sem ér, ha nem az itt folyó munkán alapul. Hiába vesszük elő ezt a szöveget, ha köszönő viszonyban sincs a nálunk folyó tényleges adatkezelésekkel.

A harmadik eset, amikor a vállalkozó ügyvéddel, szakértővel elkészítteti az adatvédelmi dokumentumokat, és azt hiszi, hogy ezzel kész is a munka. Ilyenkor maga a dokumentáció valóban profi munka lehet, csakhogy a tényleges adatkezelés nagyon messze van ettől az ideális állapottól.

Adatkezelési tájékoztatások

Amit az adatkezeléssel kapcsolatban összegyűjtünk, annak írásban meg kell lennie nálunk. Ha az ellenőrző hatóság vizsgálatot indít, akkor be kell mutatnunk mindent, ami az adatkezelés jogszerűségét igazolja.

Mellette minderről tájékoztatnunk is kell az érintetteket. Ez a munkának az a része, ami kívülről is látszik. A vendégnek mindig, minden adatkezeléssel kapcsolatban meg kell kapnia a megfelelő tájékoztatást, azaz el kell készítenünk az adatkezelési tájékoztatókat. Ezt aztán elhelyezzük a vállalkozás honlapján, s például a bejelentőlapon feltüntetjük a hozzáférés lehetőségét. Így mindenki megtalálja a szükséges tájékoztatókat.

A lényeg, hogy adatkezelési tájékoztatóval minden szálláshely-szolgáltatónak rendelkeznie kell. Ebben részletesen és átláthatóan le kell írni mindent, ami az adatokkal történik. Írjunk érthetően, lehetőleg kerüljük a bonyolult jogi megfogalmazásokat, ne másoljunk ki oldalakat a jogszabályokból! Nem az a cél, hogy legyen valami jogi szövegünk, hanem az, hogy az érintett vendég megértse, mi történik a személyes adataival és mik az ő jogai ezzel kapcsolatban.

Nagy Csaba

Megjelöltadatkezelés GDPR NTAK szálláshely

A sikeres vendéglátók és szállásadók szakmai lapja

Dokumentumtár

Ügyfélszolgálat

Ne maradjon le!