Úniky osobních údajů z rezervačních systémů hotelů

 Dne 1. 8. 2018 zveřejnil Úřad pro ochranu osobních údajů (dále jen „Úřad“) zprávu, že prověřuje porušení zabezpečení osobních údajů zákazníků hotelů a jiných ubytovacích zařízení. V době přípravy tohoto článku (srpen 2018) registroval Úřad dvě desítky ohlášení ze strany hotelů. K úniku osobních údajů mělo dojít na straně společného zpracovatele, který provozuje rezervační systém.

Jelikož řízení není v době přípravy tohoto článku ještě ukončeno, Úřad nezveřejnil, o který rezervační systém se jedná. Nicméně i tak lze hotelům jen doporučit, aby prověřily, zda jejich rezervační systém nebyl terčem útoku zvenčí. Cílem právního článku je objasnit, jak vyhodnocovat již zjištěné porušení zabezpečení osobních údajů a jakým způsobem ho hlásit na Úřad.

Obecné Nařízení o ochraně osobních údajů (dále jen „GDPR“) zavádí povinnost hlásit některá porušení zabezpečení osobních údajů Úřadu. Porušením zabezpečení osobních údajů se rozumí takové porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů. V praxi hotelů se bude typicky jednat o únik osobních údajů hostů nezávisle na tom, zda osobní údaje „vynesl“ zaměstnanec či se jednalo o vnější útok.

Pokud dojde k úniku osobních údajů, hotely si budou muset posoudit, zda tento únik představuje pro hosty riziko, případně jak je toto riziko vysoké. Od toho se odvíjí následný postup. Pokud zneužití osobních údajů rizikové není, např. v situaci, kdy zaměstnanec ztratil zaheslovaný flashdisk, který obsahoval minimální množství údajů o nízkém počtu zákazníků a který je zálohován na serveru hotelu, není nutné toto porušení zabezpečení hlásit na Úřad. Nicméně je nutné poznamenat si tuto ztrátu údajů do interní evidence. Na tomto místě je vhodné upozornit, že každý správce osobních údajů, tedy i hotel, je povinen vést evidenci veškerých porušení zabezpečení osobních údajů a na žádost ji předložit Úřadu.

Pokud dojde z jakéhokoli důvodu k porušení zabezpečení osobních údajů, které splňuje minimální míru rizikovosti, musí na to správce osobních údajů bez zbytečného odkladu, zpravidla však do 72 hodin, upozornit Úřad. Vedle toho je opět povinen toto porušení interně evidovat. V praxi bude obvyklé ujednání, že ohlášení na Úřad provádí pověřenec pro ochranu osobních údajů, pokud ho hotel jmenoval.

Ve třetí situaci, pokud by se jednalo o velmi rizikový únik dat, kde hrozí např. zneužití údajů z platební karty, je nutné poznamenat si porušení zabezpečení do interní evidence, ohlásit jej na Úřad a informovat o této skutečnosti též subjekty údajů – hosty.

V každém případě by mělo být samozřejmostí podniknout takové kroky, aby důsledky úniku byly minimalizovány a aby se únik údajů v budoucnu již neopakoval.

Ohlašování na Úřad pro ochranu osobních údajů má svá pevná pravidla. Únik osobních údajů je nutné nahlásit do 72 hodin od chvíle, kdy se o porušení hotel dozvěděl. Pokud tak činí později, musí zpoždění zdůvodnit. Úřad pro ochranu osobních údajů doporučuje zasílat oznámení buď e-mailem na: posta@uoou.cz nebo do datové schránky: qkbaa2n.

 
Pokud si hotely nevědí rady, jak únik osobních údajů vyhodnotit či zda a jakým způsobem je nutné jej ohlašovat, měly by se obrátit na svého pověřence pro ochranu osobních údajů, pokud ho jmenovaly, nebo na jiného profesionála. Advokátní kancelář Holubová advokáti poskytuje služby pověřence pro ochranu osobních údajů, běžné konzultace a audity v oblasti ochrany osobních údajů.

JUDr. Klára DvořákováHolubová advokáti s.r.o.
klara.dvorakova@holubova.cz