Obecnie trudno wyobrazić sobie rezerwację noclegów na wyjazd – nie tylko służbowy – bez pomocy internetowych portali pośredniczących. Firmy te nie tylko pośredniczą przy dokonaniu samej rezerwacji, ale także świadczą usługę, która znacznie ułatwia potencjalnemu klientowi znalezienie wolnych miejsc noclegowych w wybranej przez siebie lokalizacji i korzystnej cenie. W tej sytuacji szczególną uwagę należy zwrócić na ważną funkcję związaną nierzadko z przekazaniem imienia, nazwiska i danych kontaktowych pracownika. Co zrobić, by nie narazić się na ryzyko kary za bezprawne przekazanie danych osobowych pracowników w systemie rezerwacji online?

Rola pośrednika na gruncie RODO

Rozważyć należy dwa sprzeczne poglądy co do roli pośredników w procesie rezerwacji noclegów. Jedno stanowisko zakłada, że podmiot pośredniczący (jak popularne hrs.com, czy booking.com) będzie Procesorem w rozumieniu przepisów RODO, drugie – że Administratorem Danych Osobowych (ADO). W pierwszym przypadku – oczywiście – konieczne będzie zawarcie z takim podmiotem umowy powierzenia przetwarzania danych osobowych. Jeśli zaś ów pośrednik jest niezależnym ADO – nie zachodzi potrzeba podpisywania osobnej umowy w tym zakresie.

Początkowo, po wejściu w życie przepisów RODO w maju 2018 roku, powszechne było zawieranie umów powierzenia przetwarzania danych, jednak późniejsze stanowiska organów ochrony danych przyczyniły się do odejścia od tej praktyki.

Kluczowe znaczenie dla ustalenia roli pośrednika w tym stosunku prawnym jest to, czy samodzielnie decyduje on o celach i sposobach przetwarzania danych osobowych. Zgodnie z RODO, jeżeli nie ma on w tym zakresie autonomii (tzn. z danymi robi tylko i wyłącznie to, co poleci mu przekazujący dane i robi to w sposób zgodny z otrzymanym poleceniem) – jest Procesorem. Jeżeli zaś sam decyduje o tym, dlaczego dane przetwarza i w jaki sposób to robi – wówczas jest Administratorem.

Analiza polityki ochrony danych osobowych portalu HRS pozwala stwierdzić, że podmiot ten w opisanym powyżej stosunku prawnym występuje jako Administrator danych osobowych. Świadczy o tym m.in. ilość operacji, które zamierza wykonywać na otrzymywanych danych osobowych. Oprócz przekazania danych osobowych w celu dokonania rezerwacji hotelu (co jest celem głównym z punktu widzenia przedsiębiorcy dokonującego rezerwacji dla mającego odbyć podróż służbową pracownika), przewidziane jest również prowadzenie: biura obsługi klienta, konta użytkownika, działań marketingowych, analizy satysfakcji klienta oraz przekazywanie użytkownikowi informacji, które mogą okazać się przydatne podczas pobytu, jak również w celu zabezpieczenia i ochrony przed roszczeniami. Nadto – w przypadku korzystania z aplikacji mobilnych dostarczonych przez HRS – możliwe jest przetwarzanie danych o lokalizacji użytkownika. HRS podejmuje również samodzielnie decyzje o okresie przechowywania danych i udostępnianiu danych podmiotom zewnętrznym.

Również portal Trivago uznaje się za Administratora danych osobowych. Oprócz podstawowej funkcji, jaką jest pomaganie użytkownikom w wyszukiwaniu korzystnych ofert noclegowych i dokonywaniu rezerwacji noclegu, firma ta przetwarza dane również w celu: tworzenia nowych produktów i funkcji, prowadzenia działań reklamowych, marketingu bezpośredniego, poprawy wydajności własnych usług, czy dla potrzeb zapobieganie oszustwom i rozwiązywania sporów. Również i ten portal przetwarza dane o lokalizacji użytkownika, deklaruje nadto korzystanie z wtyczek portali społecznościowych, takich jak Facebook, Twitter, czy Instagram. Ze wskazanej powyżej prywatności wynika również, że to Trivago podejmuje decyzje o okresie przechowywania danych i udostępnianiu ich podmiotom zewnętrznym.

Podobną analizę można przeprowadzić dla innych popularnych portali tego typu. Warto również wskazać, iż za przyznaniem pośrednikowi statusu ADO opowiedziała się również m.in. europejska Grupa Robocza Art. 29 w Opinii 1/2010 (WP 169), czy Bawarski Urząd Krajowy ds. Nadzoru nad Ochroną Danych (FAQ z dnia 20.07.2018 r.).

W opisanym powyżej konkretnym przypadku relacji przedsiębiorcy z portalem pośredniczącym (związanej z korzystaniem z usługi pośrednictwa przy rezerwacji hoteli w związku z realizacją podróży służbowych), stwierdzić należy, iż nie zachodzi potrzeba zawarcia umowy powierzenia przetwarzania danych osobowych. Mamy do czynienia relacją Administrator – Administrator (a nie Administrator – Procesor). Podkreślić należy, iż ta druga relacja jest dla przedsiębiorcy mniej korzystna, ponieważ wiąże się z odpowiedzialnością Administratora za ewentualne uchybienia Procesora.

Inne obowiązki przedsiębiorcy

Przy rezerwacji hotelu za pośrednictwem dedykowanego do tego portalu należy pamiętać o realizacji zasady minimalizacji przetwarzanych danych osobowych i nie przekazywać na zewnątrz organizacji danych nadmiarowych (to znaczy danych, które nie są niezbędne dla realizacji celu przetwarzania, takich jak numer dokumentu tożsamości czy informacja o stanie cywilnym). Truizmem będzie wskazać w tym miejscu, że pośrednik nie musi znać np. numeru dokumentu tożsamości osoby, dla której dokonywana jest rezerwacja. Oczywiście sam hotel ma co do zasady prawo uzyskania tej Informacji – bezpośrednio od swojego gościa.

Istotne jest również zapewnienie bezpieczeństwa danych osobowych pracowników. Do realizacji tego celu przyczynią się działania takie jak:

  • korzystanie z usług portali, które gwarantują bezpieczeństwo przetwarzanych danych osobowych, a w przypadku pośredniczenia w płatności – zapewniają stosowanie odpowiednio silnego szyfrowania,
  • stosowanie silnych haseł do profilu przedsiębiorcy na portalu pośredniczącym i nieudostępnianie ich osobom trzecim,
  • dopuszczenie tylko upoważnionych pracowników przedsiębiorcy do przetwarzania danych związanych z rezerwacją noclegów.

Proces polegający na przekazywaniu na zewnątrz organizacji danych osobowych pracowników powinien również zostać odnotowany w Rejestrze Czynności Przetwarzania Danych Osobowych, prowadzonym zgodnie z art. 30 RODO. Oczywiście stosowna wzmianka na ten temat powinna również znaleźć się w obowiązku informacyjnym doręczanym pracownikowi na podstawie art. 13 RODO.

Podsumowanie

Każde udostępnienie przez przedsiębiorcę danych osobowych poza organizację powinno być poprzedzone uważną analizą, tak strony formalnoprawnej podstawy przekazania danych i jak zapewnienia bezpieczeństwa danych w tranzycie i docelowym miejscu przetwarzania. Procesy te wymagają też odpowiedniego odnotowania w dokumentacji ochrony danych osobowych.

Jak wskazano powyżej, w przypadku opisanych portali pośredniczących możliwe jest przyjęcie korzystanej dla przedsiębiorcy konstrukcji udostępnienia danych osobowych niezależnemu administratorowi. Każda tego typu sytuacja powinna jednak być analizowana indywidualnie. Pamiętać również należy – szczególnie w kontekście niedawnego wyroku Europejskiego Trybunału Sprawiedliwości „Schrems II” – o obowiązkach Administratora Danych Osobowych związanych z ewentualnym przekazywaniem danych poza Europejski Obszar Gospodarczy (co obejmuje również rezerwacje wykonywane w obiektach znajdujących się poza tym obszarem).