Lista kontrolna RODO dla małych hoteli (2026)
Praktyczna lista kontrolna RODO dla hoteli 20-80 pokoi: mapowanie danych, umowy powierzenia, zgłaszanie naruszeń w 72h, okresy retencji i zgody cookie.
Hotel o 34 pokojach w Monachium otrzymał we wtorek rano wniosek o dostęp do danych od gościa. W treści e-maila znalazło się sformułowanie “na podstawie artykułu 15.” Dyrektor generalny nie wiedział, w którym z dziewięciu systemów hotelu przechowywane są dane gości, nie miał udokumentowanej polityki retencji danych ani podpisanej umowy powierzenia przetwarzania danych (UPOD) z menedżerem kanałów sprzedaży. Miał 30 dni na odpowiedź. Koszt obsługi prawnej wyniósł około 3 400 euro, a same przygotowania trwały tygodniami, podczas gdy 90-minutowy audyt zgodności uczyniłby ten proces rutynowym.
Zgodność z RODO w małym hotelu nie polega na budowaniu działu prawnego. Chodzi o zrozumienie pięciu konkretnych obowiązków, zmapowanie przepływu danych i posiadanie gotowych odpowiedzi, zanim gość zada pytanie. Ten przewodnik obejmuje właśnie to: dla obiektu liczącego 20-80 pokoi, bez faktury za 5 000 euro od konsultanta.
Zastrzeżenie: Ten artykuł stanowi wyłącznie wskazówki operacyjne. Nie jest poradą prawną. Sytuacja każdego obiektu jest inna. W przypadku konkretnych pytań skonsultuj się z wykwalifikowanym prawnikiem ds. ochrony danych lub certyfikowanym inspektorem ochrony danych (IOD).
Co RODO naprawdę wymaga od 30-pokojowego hotelu
Rozporządzenie brzmi groźnie. W praktyce dla małego hotelu sprowadza się do pięciu obowiązków:
1. Podstawa prawna każdej operacji przetwarzania. Potrzebujesz udokumentowanego powodu prawnego dla każdej kategorii danych gości, które zbierasz. Większość danych operacyjnych (imię i nazwisko, szczegóły rezerwacji, dane płatności) jest objęta podstawą wykonania umowy na mocy art. 6 ust. 1 lit. b. E-maile marketingowe wymagają wyraźnej zgody na mocy art. 6 ust. 1 lit. a.
2. Inwentaryzacja i mapowanie danych. Musisz być w stanie wskazać: jakie dane posiadasz, gdzie się one znajdują, kto ma do nich dostęp, jak długo je przechowujesz i komu je udostępniasz. To jest Twój Rejestr Czynności Przetwarzania (RCP), wymagany na mocy art. 30. Nie musi być skomplikowany, wystarczy arkusz kalkulacyjny.
3. Umowy powierzenia przetwarzania danych (UPOD) z każdym procesorem. Zgodnie z art. 28 RODO, każda strona trzecia przetwarzająca dane osobowe w Twoim imieniu wymaga podpisanej UPOD. Dotyczy to Twojego dostawcy PMS, menedżera kanałów, platformy e-mail, dostawcy Wi-Fi, silnika rezerwacyjnego i procesora płatności.
4. Zgłoszenie naruszenia w ciągu 72 godzin. Jeśli doszło do naruszenia danych osobowych, które “może skutkować ryzykiem naruszenia praw lub wolności osób fizycznych,” musisz powiadomić krajowy organ nadzorczy w ciągu 72 godzin zgodnie z art. 33 RODO. W Polsce organem tym jest UODO (Urząd Ochrony Danych Osobowych). Przekroczenie terminu samo w sobie stanowi naruszenie.
5. Odpowiedź na żądania podmiotów danych w ciągu 30 dni. Goście mogą żądać dostępu do swoich danych (art. 15), sprostowania (art. 16), usunięcia (art. 17) lub przenoszenia (art. 20). Masz jeden miesiąc kalendarzowy od daty otrzymania wniosku na odpowiedź.
Według GDPR Enforcement Tracker, organy ochrony danych z 15 krajów nałożyły 83 kary w sektorze zakwaterowania i hotelarstwa na łączną kwotę około 22,6 mln euro.
Inwentaryzacja danych gości: gdzie faktycznie się znajdują
Typowy hotel o 40 pokojach przetwarza dane gości w co najmniej ośmiu miejscach:
| System | Przechowywane dane | Wymagana UPOD? |
|---|---|---|
| System zarządzania obiektem (PMS) | Imiona, daty, preferencje, tokeny płatności, notatki | Tak |
| Menedżer kanałów | Dane rezerwacji z OTA (Booking.com, Expedia) | Tak |
| Silnik rezerwacyjny | Dane bezpośrednich rezerwacji, dane karty | Tak |
| Narzędzie e-mail marketingowego | Adresy e-mail, rekordy zgód, wskaźniki otwarć | Tak |
| Procesor płatności | Dane karty (tokenizowane), historia transakcji | Tak |
| Portal captive Wi-Fi | Adres e-mail, ID urządzenia, logi sesji | Tak |
| Kamery CCTV / bezpieczeństwo | Nagrania gości w częściach wspólnych | Tak |
| Platforma recenzji | Publiczne recenzje, odpowiedzi zarządzania | Wspólny administrator |
Dane CCTV wymagają szczególnej uwagi. Według raportu GDPR Enforcement Tracker dla sektora hotelarstwa, monitoring wizyjny odpowiada za około dwie trzecie wszystkich kar w sektorze hotelowym. Typowe naruszenia: kamery obejmujące obszary pracownicze bez powiadomienia, przechowywanie nagrań dłużej niż konieczne, brak oznakowania informującego gości o nagrywaniu.
Aby zapoznać się z tym, jak PMS łączy się z resztą Twojego stosu technologicznego, zapoznaj się z przewodnikiem technologicznym dla butikowych hoteli.
Jak w praktyce obsłużyć żądanie usunięcia danych przez gościa
Krótka odpowiedź: masz jeden miesiąc i musisz usunąć dane ze wszystkich systemów, zachowując to, czego prawo wymaga.
Praktyczne kroki, w kolejności:
Krok 1: Zweryfikuj tożsamość. Przed podjęciem jakichkolwiek działań potwierdź, że wniosek pochodzi od rzeczywistego gościa. Poproś o potwierdzenie numeru rezerwacji lub adresu e-mail podanego podczas rezerwacji.
Krok 2: Określ zakres wniosku. Czy gość chce usunąć wszystko, czy tylko dane marketingowe? Wyjaśnij to przed działaniem.
Krok 3: Sprawdź obowiązki retencji. Niektórych danych nie można usunąć nawet na żądanie gościa. Dokumentacja podatkowa musi być przechowywana przez wymagany prawem okres (w Polsce 5 lat). Polska ustawa o meldunkach (obowiązek meldunkowy) oraz przepisy o księdze meldunkowej nakładają własne okresy przechowywania danych rejestracyjnych gości.
Krok 4: Usuń ze wszystkich systemów. Przejdź przez każdy system w inwentarzu danych: PMS, narzędzie e-mail, logi Wi-Fi, korespondencja na platformie recenzji.
Krok 5: Udokumentuj odpowiedź. Na mocy art. 17 RODO musisz odpowiedzieć w ciągu miesiąca i potwierdzić, co usunięto i co zatrzymano (oraz dlaczego).
Realistyczny czas obsługi dla 40-pokojowego hotelu, który zmapował swoje dane: około trzech godzin pracy.
Zasada 72-godzinnego powiadomienia o naruszeniu: co kwalifikuje się jako naruszenie
Błędne podejście: zdecydowanie wewnętrznie, że mały incydent “prawdopodobnie nie ma znaczenia” i pominięcie powiadomienia. To zawodzi zgodnie z art. 33 RODO, który ustala próg powiadomienia jako “mogące skutkować ryzykiem naruszenia praw lub wolności osób fizycznych”, znacznie niżej niż “uważamy, że to poważne.”
Właściwe podejście to udokumentowany plan reagowania na naruszenia z wewnętrznym terminem decyzji 24-godzinnym, a nie 72-godzinnym. Masz pierwsze 24 godziny na ocenę powagi naruszenia, a następnie pozostałe 48 godzin na sporządzenie i złożenie powiadomienia, jeśli jest wymagane.
Praktyczne scenariusze, w których zegar 72 godzin zaczyna tykać:
Scenariusz 1: Laptop z e-mailami gości skradziony z recepcji. Nawet jeśli był chroniony hasłem, niezaszyfrowana lista e-mail gości na zagubionym urządzeniu spełnia próg naruszenia.
Scenariusz 2: Pracownik klika link phishingowy i atakujący uzyskuje dostęp do konta e-mail przez 20 minut. Jeśli konto zawierało potwierdzenia rezerwacji gości, to jest naruszenie danych osobowych.
Scenariusz 3: Odkryto skimmer na terminalu płatniczym. Wyzwala to powiadomienie RODO (do UODO) oraz procedury PCI DSS.
Techniczne aspekty reagowania na naruszenia omawia uzupełniający przewodnik ds. cyberbezpieczeństwa i ochrony danych hotelu.
Polityki retencji: jak długo musisz (i nie wolno Ci) przechowywać dane gości
RODO nie określa stałych okresów retencji. Wymaga, abyś sam je ustalił, udokumentował i faktycznie egzekwował.
W Polsce hotele podlegają kilku nakładającym się obowiązkom retencji:
Dokumentacja podatkowa: Polskie prawo podatkowe wymaga przechowywania dokumentacji finansowej przez 5 lat od końca roku podatkowego. Faktury za pobyt gościa muszą być przechowywane przez ten okres nawet po złożeniu wniosku o usunięcie danych.
Obowiązek meldunkowy: W Polsce hotele są zobowiązane do prowadzenia księgi meldunkowej dla gości. Okresy przechowywania tych danych wynikają z przepisów o ewidencji ludności, niezależnie od RODO.
Nagrania CCTV: UODO zaleca maksymalnie 30 dni dla ogólnego monitoringu w częściach wspólnych, chyba że materiał jest potrzebny w toku aktywnego postępowania.
Praktyczny harmonogram retencji dla 40-pokojowego hotelu:
| Typ danych | Okres retencji | Podstawa prawna | Metoda usunięcia |
|---|---|---|---|
| Faktury/dokumenty gości | 5 lat (PL) | Obowiązek podatkowy | Archiwizacja planowa |
| Profile gości (po pobycie) | 2 lata (następnie anonimizacja) | Uzasadniony interes | Auto-usunięcie PMS |
| Lista e-mail marketingowej | Aktywna + 3 lata po rezygnacji | Zgoda | Narzędzie usunięcia ESP |
| Nagrania CCTV | 14-30 dni | Uzasadniony interes | Auto-nadpisanie |
| Rejestracja meldunkowa | Zgodnie z prawem lokalnym | Obowiązek prawny | Jak określono |
| Rejestry naruszeń | Minimum 3 lata | Obowiązek dokumentacyjny | Bezpieczne usunięcie |
Umowy powierzenia z dostawcami technologii
UPOD to prawnie wiążąca umowa określająca sposób, w jaki dostawca przetwarza dane osobowe w Twoim imieniu. Art. 28 RODO wymaga jej od każdego dostawcy obsługującego dane gości.
Większość butikowych hoteli nie ma ani jednej podpisanej UPOD. Dostawcy je mają, a hotel po prostu nigdy nie podpisał.
Gdzie znaleźć UPOD i czego się spodziewać:
Dostawcy PMS: Cloudbeds zawiera UPOD w standardowych warunkach, dostępną z ustawień konta. Mews udostępnia UPOD na żądanie przez zespół prawny. Little Hotelier i RoomRaccoon mają warunki przetwarzania danych w swoich umowach serwisowych.
Platformy komunikacji z gościem: Jeśli korzystasz z Duve, Akia, Canary Technologies, Guestivo lub podobnych narzędzi, sprawdź ich stronę internetową pod kątem linku do UPOD lub poproś o nią dział obsługi. Te platformy obsługują dane gości przed przyjazdem i cyfrowe zameldowanie, więc UPOD jest niezbędna.
E-mail marketing: Mailchimp, Brevo i Klaviyo udostępniają UPOD samoobsługowo w ustawieniach konta.
Narzędzia zgody cookie: Termly i OneTrust zapewniają szablony UPOD w ramach subskrypcji platformy compliance. Termly zaczyna od około 10 USD/mies.
Podczas migracji PMS Twoje obowiązki wynikające z UPOD przenoszą się na nowego dostawcę. Przewodnik migracji PMS hotelu omawia praktyczne kroki przekazywania danych.
Zgody cookie, analityka i strona internetowa hotelu
Po wprowadzeniu TCF 2.2 “dorozumiana zgoda” poprzez kontynuowanie przeglądania nie jest ważna na mocy RODO. Zgodna baner cookie musi:
- Pojawić się przed ustawieniem jakichkolwiek nieistotnych plików cookie
- Oferować równie widoczne opcje Akceptuj i Odrzuć
- Zapewniać szczegółową zgodę według celu (analityka, reklama, personalizacja)
- Umożliwiać wycofanie zgody tak łatwo, jak jej udzielenie
Chorwacki hotel został ukarany grzywną w wysokości 45 000 euro przez chorwacki organ ochrony danych właśnie za niezgodne przetwarzanie poprzez pliki cookie bez ważnej zgody.
Praktyczne narzędzia: CookieYes (od około 10 USD/mies.) i Cookiebot (od około 10 USD/mies.) automatycznie skanują Twoją witrynę, generują zgodny baner i tworzą politykę cookie.
5-dniowe przegląd RODO dla 40-pokojowego hotelu
| Dzień | Zadanie | Szacowany czas |
|---|---|---|
| Dzień 1 | Inwentaryzacja danych: lista każdego systemu, danych i dostępu | 2-3 godziny |
| Dzień 2 | Przegląd UPOD: znajdź, sprawdź i podpisz UPOD ze wszystkimi procesorami | 2-4 godziny |
| Dzień 3 | Polityka retencji: ustal okresy dla każdej kategorii danych, udokumentuj | 1-2 godziny |
| Dzień 4 | Plan reagowania na naruszenia: jednostronicowy dokument z decydentem, szablonem powiadomienia | 1 godzina |
| Dzień 5 | Proces DSR + baner cookie: szablon odpowiedzi na wnioski dostępu/usunięcia; instalacja narzędzia cookie | 2-3 godziny |
Łącznie: około 8-13 godzin pracy dla jednej osoby.
Najczęściej zadawane pytania
Ile mam czasu na odpowiedź na wniosek o dostęp do danych (SAR)? Jeden miesiąc kalendarzowy od daty otrzymania wniosku, zgodnie z art. 12 RODO. Możesz przedłużyć o dwa dodatkowe miesiące, jeśli wniosek jest złożony, ale musisz poinformować gościa o przedłużeniu w ciągu pierwszego miesiąca.
Czy RODO obowiązuje nasz hotel, jeśli jesteśmy poza UE? Tak, jeśli przetwarzasz dane osobowe obywateli UE. RODO ma zasięg eksterytorialny na mocy art. 3. Jeśli Twój hotel pojawia się na OTA dostępnych w UE lub przyjmuje rezerwacje od obywateli UE, RODO ma zastosowanie.
Jakie kary faktycznie grożą małym hotelom? Większość kar w sektorze hotelowym mieści się w przedziale 5 000-50 000 euro dla małych obiektów. W 2024 roku hotel w Niemczech zapłacił 16 000 euro za przechowywanie kopii dokumentów gości bez podstawy prawnej. Organ nadzorczy w Polsce to UODO, który jest aktywny i prowadzi postępowania wyjaśniające również wobec małych podmiotów.
Czy RODO obejmuje też dane pracowników? Tak. Dane osobowe pracowników podlegają RODO tak samo jak dane gości. Umowy o pracę, listy płac, nagrania CCTV obszarów pracowniczych: wszystko to są dane osobowe podlegające tym samym zasadom.
Co zrobić, jeśli gość składa wniosek o usunięcie danych, które muszę przechowywać z mocy prawa? Możesz odmówić usunięcia tej konkretnej kategorii danych, powołując się na obowiązek prawny. Musisz poinformować gościa na piśmie o konkretnej podstawie prawnej retencji. Usuń wszystko, do czego nie masz obowiązku prawnego zatrzymania.
Czy RODO dotyczy Cię jako wspólny administrator z OTA takimi jak Booking.com? EROD wydała wytyczne wskazujące, że hotele i OTA mogą być wspólnymi administratorami w określonych czynnościach przetwarzania. Booking.com posiada własne warunki przetwarzania danych dla hoteli; przejrzyj je uważnie, gdyż dzielisz odpowiedzialność za dane zebrane za pośrednictwem platformy OTA.
Większość małych hoteli nigdy nie zostanie ukarana grzywną. Praktyczny powód przestrzegania RODO jest taki, że gdy gość escaluje sprawę, chcesz mieć odpowiedź w 48 godzin, nie w spirali paniki.
Napisał Maciej Dudziak
Tematy