Jak mało kto wie od 1 stycznia 2013 roku weszła w życie nowelizacja ustawy o ewidencji ludności i dowodach osobistych, która zasadniczo zmienia zasady na jakich zakłady hotelowe przetwarzają dane osobowe swoich gości. Od tej pory zasady meldowania gości hotelowych nie będą regulowane przez ustawę o ewidencji ludności i dowodach osobistych. Jak postępować z danymi osobowymi gości hotelowych?
Dotychczasowa praktyka meldowania gości hotelowych była ściśle związana z brzmieniem art. 10 ust. 2 ustawy o ewidencji ludności oraz dowodach osobistych (dalej jako: „ustawa”) który do dnia 31 grudnia 2012 roku stanowił, że osoba, która przybywa do zakładu hotelarskiego jest obowiązana zameldować się na pobyt stały lub czasowy przed upływem 24 godzin od chwili przybycia. Zgodnie z ówczesnym brzmieniem art. 13 ustawy, zameldowania w zakładzie hotelarskim dokonywało się u kierownika zakładu lub upoważnionej przez niego osoby.
Z kolei rozdział 5 ustawy (obecnie uchylony) określał zasady obowiązku meldunkowego wczasowiczów i turystów – podobnie wymagał on, by osoba, która przybywa m.in. do domu wczasowego lub hotelu dokonała zameldowania na pobyt czasowy u kierownika zakładu przed upływem 24 godzin od chwili przybycia.
Nie dochowanie wyżej wymienionego obowiązku oznaczało popełnienie wykroczenia określonego w uchylonym z dniem 1 stycznia 2013 roku art. 147 § 1 kodeksu wykroczeń polegającego na niedopełnieniu ciążącego na nim obowiązku meldunkowego.
Co więcej, podobnie uchylony z dniem 31 grudnia 2012 roku art. 44b ustawy określał w sposób precyzyjny, że zbiór danych osobowych w zakładach hotelarskich prowadzić należało w formie książki zameldowań, lub w systemie teleinformatycznym, gdzie należało przechowywać takie dane jak: nazwisko, imię, imiona rodziców, datę i miejsce urodzenia, adres miejsca pobytu stałego, datę przybycia i zamierzony czas trwania pobytu, oraz oznaczenie dowodu osobistego lub innego dokumentu stwierdzającego tożsamość, a w tym numer i serię, datę jego wydania, datę ważności oraz oznaczenie organu, który go wydał.
Ponadto – zgodnie z brzmieniem art. 9 ust. 1 ustawy przy dopełnianiu obowiązku meldunkowego należy „przedstawić dowód osobisty, a w uzasadnionych przypadkach inny dokument pozwalający na ustalenie tożsamości”.
Powyższy obowiązek realizowany był w ten sposób, że gość hotelowy podawał dane niezbędne do wypełnienia karty meldunkowej przedstawiając jednocześnie osobie upoważnionej (najczęściej pracownikowi recepcji) dowód tożsamości w celu weryfikacji danych osobowych gościa hotelowego.
Czy, skoro przepis stanowiący podstawę prawną przetwarzania przez zakłady hotelarskie danych osobowych gości hotelowych został uchylony – to tym samym utraciły one możliwość zgodnego z prawem weryfikowania tożsamości osób korzystających z ich usług?
Odpowiedź na tak postawione pytanie jest negatywna. Brak możliwości weryfikacji tożsamości gości hotelowych uniemożliwiałby hotelom zabezpieczenie się przed konsekwencjami nieodpowiedzialnego zachowania z ich strony, a w konsekwencji narażałby prowadzących zakłady hotelarskie na nieuzasadnione ryzyko strat w związku z prowadzona działalnością. Co więcej, należy zauważyć, że szczegółowe przepisy dotyczące obowiązku meldunkowego nie stanowią jedynej podstawy do przetwarzania przez zakłady hotelowe danych osobowych gości hotelowych.
Dostrzegając doniosłość zagwarantowania odpowiedniego poziomu zabezpieczenia prowadzącego hotel, ustawodawca w art. 850 kodeksu cywilnego przyznał prowadzącemu hotel, dla zabezpieczenia należności za „mieszkanie, utrzymanie i usługi dostarczone osobie korzystającej z jego usług” ustawowe prawo zastawu na rzeczach wniesionych przez gościa hotelowego.
Jaka jest podstawa prawna przetwarzania danych osobowych gości hotelowych?
Pozostając na gruncie przepisów prawa cywilnego, uznając wynajęcie przez gościa pokoju za umowę cywilnoprawną pomiędzy nim a podmiotem prowadzącym hotel, należy odwołać się do brzmienia art. 353 [1] kodeksu cywilnego, który stanowi, iż „strony zawierające umowę mogą ułożyć stosunek prawny według swego uznania, byleby jego treść lub cel nie sprzeciwiały się właściwości (naturze) stosunku, ustawie ani zasadom współżycia społecznego”. Skoro zatem istnieje możliwość ułożenia treści umowy pomiędzy prowadzącym hotel a jego gościem w sposób dowolny, należałoby zadać pytanie, czy istnieje przepis, który zakazywałby zobowiązania się gościa hotelowego do okazania dokumentu tożsamości – inaczej mówiąc, czy z samego faktu że uchylone zostały przepisy dotyczące obowiązku meldunkowego, które precyzowały procedurę pozyskiwania danych zawartych w dowodzie tożsamości w związku z obowiązkiem jego dopełnienia, można wnioskować, że ustawa w obecnym brzmieniu zakazuje przedstawienia przez gościa hotelowego dowodu tożsamości pracownikowi hotelu w celu jej weryfikacji ?
Przyjęcie takiego poglądu mogłoby prowadzić do absurdalnych sytuacji, w których osoba zatrzymująca się w hotelu podawała by dowolne dane, a prowadzący hotel nie dysponowałby żadnymi instrumentami na weryfikację prawdziwości danych podawanych przez gościa hotelowego.
Natomiast, spoglądając na powyższe zagadnienie z perspektywy ustawy o ochronie danych osobowych, należy zadać pytanie, czy żądanie okazania przez gościa hotelowego np. dowodu osobistego w celu weryfikacji podawanych przez niego danych nie będzie oznaczało „wymuszenia zgody” na przetwarzanie danych osobowych zawartych na dowodzie tożsamości. W tym kontekście warto przypomnieć stanowisko GIODO w związku z często stosowaną praktyką zostawiania dowodu osobistego do depozytu jako zabezpieczenie wypożyczonego sprzętu – w takim przypadku uzależnianie zawarcia umowy od pozostawienia dowodu na zabezpieczenie wypożyczonego sprzętu GIODO klasyfikował jako wymuszenie zgody, a w konsekwencji powiadomienie GIODO o takiej praktyce mogłoby skutkować wydaniem decyzji wzywającej do zaprzestania stosowania tego typu praktyki. Nie jest też jednoznaczne, czy taką sytuację można by było zaklasyfikować jako popełnienie wykroczenia polegającego na bezprawnym zatrzymaniu dowodu osobistego, skoro osoba sama decyduje o tym, czy zawrzeć daną umowę na określonych warunkach, czy też nie.
Powracając jednak do tematyki bezpośrednio związanej przetwarzaniem danych osobowych gości hotelowych, należy stwierdzić, że bez uzyskiwania wyodrębnionej, formalnie zgodnej z ustawą o ochronie danych osobowych zgody, upoważniony pracownik hotelu jest uprawniony do spisania z dowodu jedynie tych danych, które pozwalają na identyfikację gościa hotelowego – należy podkreślić, że w przypadku kserowania dowodu osobistego, włączone do zbioru przetwarzanego przez zakład hotelowy zostają wszystkie dane w nim zwarte – w tym punkcie należy zgodzić się ze stanowiskiem GIODO, że np. imiona rodziców czy kolor oczu nie są niezbędne do wykonania usług związanych z zakwaterowaniem gościa w zakładzie hotelowym, w konsekwencji należy stwierdzić, że dokonanie ksera dowodu tożsamości jest niedopuszczalne na gruncie art. 23 ust. 1 pkt 3.
Czy jednak, gdy zostanie wyodrębniona zgoda (spełniająca ustawowe wymagania) gościa hotelowego na skserowanie jego dowodu, to przetwarzanie przez prowadzącego hotel wszystkich danych zawartych w dowodzie tożsamości będzie w dalszym ciągu nie miało podstawy prawnej ? W tym momencie warto odnieść się do regulacji wynikającej z art. 112b prawa bankowego, przepis ten wprost stanowi iż: Banki mogąprzetwarzać dla celów prowadzonej działalności bankowej informacje zawarte w dokumentach tożsamości osób fizycznych. Jest to przepis szczególny, z którego wynika, że nie jest konieczne odrębne sformułowanie klauzuli zgody, kiedy ksero dowodu jest wykonywane przez upoważnioną osobę będącą pracownikiem banku, w związku z prowadzoną przez bank działalnością.
Jednak jeżeli chodzi o hotele – brak jest analogicznego przepisu, aczkolwiek nie ma też nigdzie podstaw do odmówienia gościowi hotelowemu prawa do wyrażenia zgody np. na dokonanie ksera jego dowodu tożsamości. W miejscu zasadne jest sformułowanie kolejnego pytania – czy prowadzący zakład hotelowy ma prawo uzależniać zawarcie umowy od przekazania (wyrażenia zgody) dowodu tożsamości w celu dokonania jego kserokopii? Biorąc pod uwagę że zakres danych zawartych w dowodzie tożsamości jest znacznie szerszy niż ten, który jest konieczny do zakwaterowania gościa hotelowego, odpowiedź na pytanie musi być negatywna.
Natomiast uzależnianie zawarcia umowy od okazania dowodu osobistego w celu jedynie spisania informacji niezbędnych do identyfikacji gościa hotelowego należy uznać już za w pełni uzasadnione.
Należy także pamiętać, by zgłaszając zbiór danych osobowych do GIODO nie podawać jako podstawy przetwarzania danych ustawy o ewidencji ludności i o dowodach osobistych – te jej przepisy, które dotyczyły hoteli zostały bowiem uchylone. A konieczność realizacji zawartej umowy lub, ewentualnie, zgodę osób, których dane są przetwarzane .
W dokumencie udostępnianym gościowi hotelowemu przed zawarciem umowy, np. w regulaminie, należy ustalić, jakie dane i w jakim celu są pobierane, podać nazwę podmiotu prowadzącego hotel (jako administratora danych osobowych) . Istotnym również jest, by, jeżeli prowadzi się wysyłkę e-maili do byłych gości informacji o promocjach należy zadbać o wyrażenie przez nich zgody na otrzymywanie informacji handlowych drogą elektroniczną w rozumieniu ustawy o świadczeniu usług drogą elektroniczną.
Konsekwencje uchylenia art. 44h ustawy o ewidencji ludności i dowodach osobistych
Należy również zwrócić uwagę na konsekwencje uchylenia art. 44h ustawy o ewidencji ludności i dowodach osobistych, do udostępnienia danych znajdujących się w książkach meldunkowych hoteli powinny być udostępnione, o ile są one niezbędne do realizacji ich ustawowych zadań, następującym podmiotom (sprawdzić jak jest w pierwotnym brzmieniu przepisu):
1) Organom administracji publicznej, sądom i prokuraturze;
2) Policji, Straży Granicznej, Służbie Więziennej, Służbie Kontrwywiadu Wojskowego, Służbie Wywiadu Wojskowego, Służbie Celnej, Żandarmerii Wojskowej, Agencji Bezpieczeństwa Wewnętrznego, Agencji Wywiadu, Biuru Ochrony Rządu, Centralnemu Biuru Antykorupcyjnemu, Szefowi Krajowego Centrum Informacji Kryminalnych i strażom gminnym (miejskim);
3) Organom kontroli skarbowej i wywiadu skarbowego;
4) Państwowym i komunalnym jednostkom organizacyjnym oraz innym podmiotom – w zakresie niezbędnym do realizacji zadań publicznych określonych w odrębnych przepisach;
5) Polskiemu Czerwonemu Krzyżowi – w zakresie danych osób poszukiwanych.
Uchylenie tego przepisu również nie powinno prowadzić do wniosku, że skoro ten przepis już nie obowiązuje, to organy wymienione w tym przepisie nie mają prawa domagać się udostępnienia informacji przetwarzanych w zbiorze gości hotelowych – jednak każdy przypadek powinien być rozpatrywany indywidualnie, a konkretny organ za każdym razem powinien wskazywać właściwy przepis lub konkretne postępowanie, uprawniające go do skierowania takiego żądania.
Nie należy również zapominać o obowiązkach prowadzących hotele jako administratorów danych osobowych zatrzymujących się u nich gości – w związku z tym należy zadbać o prowadzenie zgodnej z ustawą o ochronie danych osobowych dokumentacją przetwarzania danych osobowych.
Jakie obowiązki płynące z ustawy o ochronie danych osobowych musi spełnić prowadzący zakład hotelowy, jako administrator danych osobowych gości hotelowych?
Do najważniejszych dokumentów, jakie musi posiadać i prowadzić każdy administrator danych osobowych, w tym prowadzący zakład hotelowy, należy zaliczyć:
- Politykę Bezpieczeństwa;
- Instrukcję Zarządzania Systemem Informatycznym (służącym do przetwarzania danych osobowych);
- Ewidencję osób upoważnionych do przetwarzania danych.
Jeżeli chodzi o dokument, zwany Polityką Bezpieczeństwa, powinien on zawierać:
- wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe;
- wykaz zbiorów danych osobowych (wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych);
- opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi;
- sposób przepływu danych pomiędzy poszczególnymi systemami;
- określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.
Powyższe dane mogą być zawarte bezpośrednio w dokumencie – „Polityka Bezpieczeństwa” lub w formie załącznika do tego dokumentu. Obowiązek ujęcia powyższych informacji w dokumencie, o którym mowa wynika z § 4 rozporządzenia do art. 39a ustawy o ochronie danych osobowych.
Natomiast jeśli chodzi o „Instrukcję Zarządzania Systemem Informatycznym służącym do przetwarzania danych osobowych” powinna ona zawierać (w podobnej formie jak w przypadku „Polityki Bezpieczeństwa”):
- procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności;
- stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem;
- procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu;
- procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania;
- sposób, miejsce i okres przechowywania:
- elektronicznych nośników informacji zawierających dane osobowe,
- kopii zapasowych zbiorów danych,
- sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego;
- sposób realizacji wymogu odnotowania informacji o odbiorcach, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia (ten warunek nie dotyczy jednak udostępnienia danych: – osobom, których to dane dotyczą, – osobom posiadającym upoważnienie do przetwarzania danych, – organom państwowym lub organom samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem);
- procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.
- konieczność ujęcia powyższych informacji w Instrukcji Zarządzania wynika z kolei z § 5 rozporządzenia do art. 39a ustawy o ochronie danych osobowych.
Należy zwrócić uwagę, że wymagane jest zastosowanie hasła zabezpieczającego dostęp do systemu informatycznego składającego się z co najmniej 8 znaków, zawierającego małe i wielkie litery oraz cyfry lub znaki specjalne, które powinno być zmieniane nie rzadziej, niż co 30 dni (zgodnie z częścią B załącznika do rozporządzenia do art. 39a ustawy o ochronie danych osobowych).
Pełną treść źródłową artykułu znajdą Państwo na stronie http://rbdo.pl/category/informacje-prawne/
Karol Cieniak
prawnik, specjalista ds.ochrony danych osobowych
www.rbdo.pl