GDPR FAQ

GDPR

  • Existuje pro GDPR certifikát?
  • Jaké pokuty mi hrozí, když budu GDPR ignorovat?
  • Lze se na GDPR pojistit?
  • Musím řešit GDPR, pokud v mém hotelů ubytovávám hosty dlouhodobě např. 1 rok?
  • Na jiném školení GDPR, co jsem byl, říkali, že info pro klienta o GDPR prý stačí jen vytisknout a vyvěsit na recepci.
  • Kdo bude chodit na kontroly?
  • Co bude kontrola pravděpodobně vyžadovat?
  • Může kontrola přijít, i když jsme se ničeho nedopustili?  
  • Pokud by chtěla obec provést kontrolu knihy hostů, musí být k tomu podepsaná smlouva?
  • Jak poznám, že je můj software GDPR OK?
  • Od jakého počtu pokojů musím zavést GDPR?
  • Je Seznam, Google nebo Icol GDPR OK?
  • Kdo má na starosti ochranu osobních údajů?
  • Musím na se na Úřadu na ochranu osobních údajů registrovat?

Software

  • Když je software GDPR ready stačí to?
  • Software vs návrhy dokumentů…co teda děláte?
  • Dohody o provedení práce bude také ukazovat případné kontrole odpovědná osoba?
  • Součástí řešení by měla být šablona pro cizineckou polici s vědomým souhlasem o zpracování dat.
  • Jak je to s napojením na EET, umí software dělat platby?
  • Lze naší pokladnu napojit na váš software?
  • Jak je zabezpečený software Siesta Solution?  
  • Kolik stojí software s GDPR řešením?
  • Musím si u Vás objednat všechny služby?
  • Co je dostatečné zabezpečení dat v PC?

Dokumenty

  • V případě, že v mém zařízení pracují lidé na IČ musím s nimi uzavřít smlouvu?
  • Co všechno lze realizovat přes váš software?
  • Jak bude fungovat kontaktní formulář pro hosty?
  • Všechny smlouvy mám k dispozici. Nestačí mi pouze dodatek k již uzavřené smlouvě?
  • Je povinné mít vnitřní směrnici?
  • Stačí nám interní směrnice hotelu, na kterou bude odkaz ve zaměstnanecké smlouvě?
  • Cizinecká police vyžaduje fyzické podpisy a ne jen v elektronické podobě.
  • Jak často má udělat záznam, že nastal bezpečnostní incident s osobními daty?
  • Kdo vytvoří souhlas s uchováním dat?
  • Musím mít doklad o skartaci dokumentů po 6ti letech?
  • Po kolika letech má být provedena skartace?

Odpovědná osoba

  • Mám provozního, který se stará o hotel, ale já jsem odpovědná osoba. Jak toto funguje?
  • Musím jmenovat odpovědnou osobu?

Práce s daty

  • Jak zabezpečit osobní počítač zaměstnance, ze kterého pracuje?
  • Musím zabezpečit WIFI?

 

Požadavky hostů

  • Práce s doklady – musí mi host ukázat doklad totožnosti?
  • Práce s doklady – co děti bez dokladů?
  • Musí mi host dát svůj doklady do ruky nebo stačí, když mi údaje nadiktuje?
  • Co je platný doklady u dětí do 15 let?
  • Jak si host může vyžádat vymazání svých dat?
  • Jak pracovat s papírovou knihou hostů?
  • Na základě čeho mám vyžadovat souhlas se zpracováním dat?
  • Při zapisování do knihy hostů mi host může koukat přes ruku na osobní data uvedené v knize. Mám zavést diskrétní zónu?
  • Pokud mi host dá své osobní údaje, musím mu dát podepsat souhlas s jejich zpracováním?
  • Podle jakého zákona je povinná ubytovací kniha?  
  • Mám-li od hosta podepsaný souhlas a host znovu po nějaké době přijdete, musí mi souhlas znovu podepsat?
  • Pokud mám stávající databázi klientů, kterým rozesílám newsletter, můžu v tom pokračovat?
  • V zařízení prostory střežíme kamerou, musí nám dát k tomu host souhlas?
  • Je možné mít od hosta i ústní souhlas?
  • Po skončení pobytu mám email a telefon hosta smazat?
  • Pokud nám host souhlas nepodepíše, tak co dělat?
  • Fotky z akcí na musí být také souhlasem?
  • Co když chce host vidět, jak uchovávám jeho data?
  • Musí být telefon a email i na hlášence pro polici?

Zaměstnanci

  • Vydáváte doklad o proškolení?
  • Jak proběhne školení zaměstnanců a odpovědných osob?
  • Kuchař by potřeboval přístup do softwaru kvůli reportu o stravování, za jakých podmínek?
  • Odejde-li  nespokojený zaměstnanec (dal souhlas s číslem svého konta, apod.) co a kdy se musí smazat u něj?

Ostatní

  • Jaký je postup realizace, pokud se rozhodnu pro Vaše řešení?
  • Jedná se jednorázovou investici?
  • Pomůžete nám i se zpracováním dat nájemníků?
  • Jaká práva kontroly má ČOI?

 

Když je software GDPR ready stačí to?

Odpověď: Software “ready” znamená, že se poskytovatel software řídí pravidly GDPR a mj. poskytuje datům náležitou ochranu a stejně tak, že jeho smlouvy odpovídají požadavkům GDPR. Uživatelé software však musí přijmout další organizační a technická opatření, aby vyhověli požadavkům GDPR (např. upravit své interní procesy, zrevidovat smlouvy, informovat fyzické osoby o rozsahu zpracování atd.)

Musím jmenovat tzv. pověřence?

Odpověď: Ve většině ubytovacích zařízení pověřence není nutné jmenovat. Jako organizační opatření pro ochranu osobních údajů je však důležité určit osobu, která bude tyto otázky řešit a v případě kontroly ze strany ÚOOÚ bude schopna efektivně reagovat. Může to být např. provozní, ale i zcela jiná osoba.

Jak zabezpečit osobní počítač zaměstnance, ze kterého pracuje?

Odpověď: Nejlepší ochranou je zamezit, aby zaměstnanci vůbec mohli firemní data ukládat ve svých zařízeních. V případě, že zaměstnanec potřebuje s daty pracovat i na svém zařízení, doporučujeme zvolit řešení, kdy jsou data uložena v zabezpečeném cloudu či jinak přístupná vzdáleným přístupem. .

V případě, že v mém zařízení pracují lidé na IČ musím s nimi uzavřít písemnou smlouvu?

Odpověď: Pokud jde o poskytovatele, který zpracovává osobní údaje (např. obsluhuje recepci), pak půjde s největší pravděpodobností o tzv. zpracovatele a jste povinni s ním uzavřít písemnou zpracovatelskou smlouvu dle čl. 28 odst. 3 GDPR.

Co všechno lze realizovat přes váš software?

Odpověď: Přes software lze generovat dokumenty, formuláře, zpracovávat žádosti hostů nebo vyškolit zaměstnance.

Existuje pro GDPR certifikát?

Odpověď: V současné chvíli nic takového neexistuje, nicméně GDPR to předpokládá. Jakmile bude ustanovena osoba oprávněná certifikáty vystavovat, Siesta o něj bude usilovat.

Jaké pokuty mi hrozí, když budu GDPR ignorovat?

Odpověď: Pokuty stanovené GDPR jsou až 20 mil. EUR nebo 4% z obratu společnosti. Nelze sice předpokládat, že takto vysoké budou ukládány, nicméně je avizováno, že GDPR bude prosazováno důsledněji, než předchozí úprava.

Software vs návrhy dokumentů…co teda děláte?

Odpověď: Náš software umožňuje efektivní spravování rezervací a zároveň obsahuje generátor dokumentů, které předpokládá GDPR a  které si můžete snadno přizpůsobit Vašim potřebám.

Jak bude fungovat kontaktní formulář pro hosty?

Odpověď: Formulář si odkazem vložíte na Vaše webové stránky. Pokud host zašle dotaz, přijde Vám upozornění na e-mail, který si zaregistrujete v softwaru. Odpověď na dotaz hosta je nutné zrealizovat do jednoho měsíce.

Musím řešit GDPR, pokud v mém hotelu ubytovávám hosty dlouhodobě např. 1 rok?

Odpověď: Ano. Délka ubytování není rozhodná pro skutečnost, zda dochází ke zpracování osobních údajů.

Všechny smlouvy mám k dispozici. Nestačí mi pouze dodatek k již uzavřené smlouvě?

Odpověď: V podstatě to takto můžete vyřešit, když znáte správné dodatky.

Jedná se o jednorázovou investici?

Odpověď: GDPR je proces a je nutné neustále sledovat Vaši činnosti a všechny procesy GDPR podřizovat (např. pokud změním technologii, změní se jiné zákony apod.).

Jak je zabezpečený software Siesta Solution?  

Odpověď: Co se samotného softwaru týká, tak přenos dat je šifrován technologií SSL, databáze a server je chráněna bezpečnostními technologiemi. Data jsou uložena ve Francii v data centru Microsoftu. Navíc používáme umělou inteligenci, která vyhodnocuje podezřelou aktivitu.

Kolik stojí software s GDPR řešením?

Odpověď:

dotazník vč. návodu k vyplnění ZDARMA

analýza 3000 Kč bez DPH

Software 8 500 – 40 000 Kč bez DPH
cena bude upřesněna na základě závěrů z analýzy
_________________________________________________________________________________

pro nové klienty Siesta Solution – GDPR řešení je v ceně GDPR integrace

v případě standardní situace v hotelu a při zakoupení

Siesta EXTRANET / START / EXPERT

 

Musím si u Vás objednat všechny služby?

Odpověď: ne

Práce s doklady – musí mi host ukázat doklad totožnosti?

Odpověď: Hosta je nutné ztotožnit pro účel zákona o cizincích a zákona o místních poplatcích. Kopii občanského průkazu si však obecně nechat nesmíte. Je to sice možné se souhlasem, ale jde o nadbytečné zpracování, které nelze doporučit.

Práce s doklady – co děti bez dokladů?

Odpověď: Jak jsme psali výše, není důvod si zpracovávat doklady, potřebné údaje si z nich můžete opsat, případně se zeptat rodičů, kteří za dítě odpovídají.

Jak si host může vyžádat vymazání svých dat?

Odpověď: Cest je samozřejmě několik. V našem softwaru to řeší formulář. Ideálně vyžadujte písemný požadavek, abyste vše měli zdokumentované.

Je povinné mít vnitřní směrnici?

Odpověď: Jde o standardní organizační opatření k ochraně dat a lze ji doporučit.

Na základě čeho mám vyžadovat souhlas se zpracováním dat? (např. nám volají z O2)

Odpověď: V drtivé většině případů žádný souhlas ke zpracování nepotřebujte. Když volají z jiných společností, chtějí po Vás souhlas navíc, který je dobrovolný (např. aby mohli Vaše data dále prodávat). Vaše podnikání tedy může většinou bez problému fungovat i bez udělování souhlasů.

Jak pracovat s papírovou knihou hostů?

Odpověď: Ideálně archivovat v trezoru, aktuální knihu mít alespoň v uzamykatelné skříni s omezeným přístupem.

Při zapisování do knihy hostů mi host může koukat přes ruku na osobní data uvedené v knize. Mám zavést diskrétní zónu?

Odpověď: Ano, je to jedno z řešení.

Co je dostatečné zabezpečení dat v PC?

Odpověď: Toto bude vždy záviset na konkrétním případě, obecně však musíte zajistit, že se Vám do počítače snadno nikdo nedostane (a to ani v situacích, kdy např. počítač ztratíte).

Pomůžete nám i se zpracováním dat nájemníků?

Odpověď: Pomůžeme s jakýmkoli zpracováním dat a rádi Vám zprostředkujeme kontakt našeho právního zástupce.

Kdo bude chodit na kontroly?  

Odpověď: Na kontroly chodí úředník z Úřadu na ochranu osobních údajů.

Jak poznám, že je můj software GDPR OK?

Odpověď: obraťte se na svého dodavatele software nebo Vám to řekne naše analýza

Pokud si mi host dá své osobní údaje, musím mu dát podepsat souhlas s jejich zpracováním?

Odpověď: Host by měl mít souhlas podepsaný již od Bookingu. Ideální je hostovi dát podepsat souhlas současně s cizineckou policií. Pokud si od hosta berete osobní údaje, které jsou vyžadovány zákonem, žádný podepsaný souhlas od něho nepotřebujete.

Podle jakého zákona je povinná ubytovací kniha u necizinců?  

Odpověď: Jde o zákon č. 565/1990 Sb., o místních poplatcích, v účinném znění, primárně ustanovení § 3 odst. 4.

Od jakého počtu pokojů musím zavést GDPR?

Odpověď: GDPR neřeší počet pokojů, ale to, že zpracováváte osobní údaje.

Mám-li od hosta podepsaný souhlas a host znovu po nějaké době přijede, musí mi souhlas znovu podepsat?

Odpověď: Pokud host v mezičase souhlas neodvolal, tak to není potřeba. Pokud máte ale podepsaný souhlas, který nevyhovuje GDPR, nemůžete jej použít. Prakticky všechny souhlasy doposud udělané, nejsou použitelné a je nutné si pořídit nový. Jak jsme psali výše, souhlas k většině úkonů vůbec nepotřebujete.

Pokud mám stávající databázi klientů, kterým rozesílám newsletter, můžu v tom pokračovat?

Odpověď: U rozesílání newsletterů je klíčové, jaké newslettery se rozesílají a komu. Pokud jde o Vaše zákazníky a získali jste od nich e-mail (pozor, musí jít o zákazníka, nikoli potenciální zákazníka), můžete na tento e-mail zasílat obchodní sdělení týkající se vašich vlastních obdobných výrobků nebo služeb. Zákazník musí mít jasnou a zřetelnou možnost jednoduchým způsobem a zdarma toto zasílání odmítnout (např. v rámci zprávu kliknout na odhlásit se z newsletterů). U Vašich zákazníků tedy nemusíte pro tento účel žádný dodatečný souhlas vyžadovat.

Pokud byste však chtěli zasílat např. sdělení třetích stran (nabídky zážitkových aktivit, restaurací v okolí apod.) musíte k takovému zasílání mít souhlas Vašich zákazníků. Tento souhlas musí splňovat podmínky GDPR, resp. zákona č. 480/2004 Sb., o některých službách informační společnosti, a to zejména informace o účelu zpracování, dobu zpracování, způsoby a prostředky zpracování, komu a kam jsou údaje předávány (např. při využití mailingových klientů) a další. Tyto informace musí být uvedeny předtím, než uživatel souhlas poskytne. To samé platí i v situacích, kdy byste chtěl zasílat sdělení osobám, které nejsou Vaši zákazníci (např. přihlásili se k odběru newsletterů na Vašich stránkách).

Nezapomeňte, že souhlas musíte být schopni doložit, pokud tedy disponujete e-mailovými kontakty osob, které nejsou prokazatelně Vaši zákazníci, ani nedisponujete potřebnými souhlasy či jiným právním titulem pro zpracování, měli byste tyto kontakty smazat. Pokud jste již souhlas v minulosti používali, doporučujeme jej zrevidovat, neboť nelze po účinnosti zpracovávat údaje na základě souhlasů, které neodpovídají GDPR.

Jak často mám udělat záznam, že nastal bezpečnostní incident s osobními daty?

Odpověď: Pokud nastane bezpečnostní incident, je nutné záznam udělat vždy. Na odpovědné osobě je pak zvážit, zda se jedná o vážný incident, který je nutné nahlásit na ÚOOÚ a případně incident ohlásit. Pokud nedojde k žádnému incidentu, doporučujeme záznam generovat 2-4 x do roka a uchovat pro případ kontroly.

Je Seznam, Google nebo Icol GDPR OK?

Odpověď: To je na přezkoumání právníkem. Google deklaruje, že je GDPR compliant.  

Vydáváte doklad o proškolení?

Odpověď: V rámci našeho řešení je připraven test pro zaměstnance, po jehož absolvování dostane zaměstnanec doklad o proškolení. Doklad od každého zaměstnance pak doporučujeme založit jako doklad pro kontrolu.

V zařízení prostory střežíme kamerou, musí nám dát k tomu host souhlas?

Odpověď: Záleží za jakým účelem se záznam pořizuje, pokud jde o střežení prostor, pak je nutné mít tabulku o monitorování v souladu s GDPR. Pokud jde o sledování zaměstnanců, je nutné mít upraveny vnitřní předpisy ohledně zpracování.

Pokud nám host souhlas nepodepíše, tak co dělat?

Odpověď: Žádný souhlas k Vaší činnosti většinou nepotřebujete. Osobní údaje zpracovávate na základě plnění smlouvy se zákazníkem, pro plnění Vašich zákonných povinností nebo pro ochranu Vašich oprávněných zájmů.

Fotky z akcí na webových stránkách musí být také souhlasem?

Odpověď: Toto je jeden z případů, kdy je souhlas relevantní. Doporučujeme však spíše s účastníky focení uzavírat smlouvu o focení. Nezapomeňte, že souhlas je dobrovolný a je možné jej kdykoli odvolat.

Stačí nám interní směrnice hotelu, na kterou bude odkaz v zaměstnanecké smlouvě?

Odpověď: Ano, ale v hotelu by měl být zaveden proces dodržování směrnice. Pokud se nevymáhá a zaměstnanci o směrnici neví, jde o špatný postup.

Dohody o provedení práce bude také ukazovat případné kontrole odpovědná osoba?

Odpověď: Ano, to je možné nebo odkáže kontrolu na toho, kdo je za tuto část agendy zodpovědný.

Musí mi host dát svůj doklad do ruky nebo stačí, když mi údaje nadiktuje?

Odpověď: Ověření dokladu je relevantní způsob, tedy lze ověřit z dokladu. Nedělejte si však kopii.

Umí software generovat informace pro cizineckou policii?

Odpověď: Ano

Pokud by chtěla obec provést kontrolu knihy hostů, musí být k tomu podepsaná smlouva?

Odpověď: S hosty se uzavírají typicky ústní smlouvy, tedy není dle našeho názoru důvod.

Kuchař by potřeboval přístup do softwaru kvůli reportu o stravování, za jakých podmínek?

Odpověď: Obecně není zakázáno, aby k datům měly přístup i osoby, které s nimi nepracují, je ale potřeba, aby osoby byly o tomto poučeny (event. byl přijat interní proces např. pomocí směrnice) a došlo k uzavření alespoň dohody o mlčenlivosti. Lepší je samozřejmě pomocí software přidělit různá uživatelská oprávnění, aby k datům měly přístup pouze oprávněné osoby.

Jak je to s napojením na EET, umí software dělat platby?

Odpověď: Ano

Lze naší pokladnu napojit na váš software?

Odpověď: Náš software je pokladnou i tiskárnou. Je to 100% náhrada a používáte pak jen jednu aplikaci. Duplicitní software nemá smysl napojovat. Provázání s restauračním systémem je na další jednání.

Na jiném školení GDPR, co jsem byl říkali, že info pro klienta o GDPR prý stačí jen vytisknout a vyvěsit na recepci.

Odpověď: Máte povinnost klienty informovat o rozsahu zpracování. Vyvěšení na recepci může být relavatní, doporučujeme i na webu (případně rezervačních portálech, je-li to možné) a v rámci pokojů. Nezapomeňte na různé jazykové mutace dle struktury hostů.

Lze se na GDPR pojistit?

Odpověď: Ano, už od půlky dubna to dělá Kooperativa

Po skončení pobytu mám e-mail a telefon hosta smazat?

Odpověď: Legálně získaný elektronický kontakt si obecně můžete u Vašich zákazníků nechat za účelem zasílání obchodních sdělení o Vašich obdobných službách. O tomto doporučujeme hosta informovat. Pokud však sdělení nezasíláte a nemáte jiný relevantní důvod si kontakt nechat, je nadbytečné je dále mít a je tedy nutné je smazat.

Odejde-li  zaměstnanec, co a kdy se musí smazat u něj?

Odpověď: U zaměstnanců je nutné sledovat jednak zákonné lhůty (např. v souvislosti se mzdovým účetnictvím), kdy určité dokumenty a údaje musíte zpracovávat i po ukončení zaměstnání. Řadu údajů rovněž uchováváte pro účely svých oprávněných zájmů, např. kdyby Vás chtěl zaměstnanec žalovat, nebo vy jeho nebo pro účely inspekce práce. Relevantní jsou zde tedy promlčecí lhůty či lhůty, kdy může orgán veřejné moci provádět kontroly. Existuje pak celá řada druhů zpracování, které pokračuje i po ukončení zaměstnání a záleží tedy na Vašich vnitřních procesech.

Musím zabezpečovat WIFI?

Odpověď:  GDPR výslovně nepřikazuje, aby docházelo k zabezpečování WIFI sítě. Pokud je uživatel upozorněn na skutečnost, že síť není zabezpečená, jde pouze o jeho rozhodnutí, zda bude takovou komunikaci využívat. Povinnost síť zabezpečit v tuto chvíli nevyplývá z žádného předpisu, nicméně daná otázka se řešila v rámci rozhodovací praxe evropských soudů (Rozsudek ve věci C-484/14 Tobias Mc Fadden v. Sony Music Entertainment Germany GmbH). Dané rozhodnutí konstatovalo, že v případě, kdy dochází k porušování práv určité osoby skrze WIFI síť (např. porušování autorských práv), může se poškozená strana domáhat u soudu, aby došlo k přijetí opatření k zamezení takové činnosti. Takovým opatření je pak právě povinnost provozovatele sítě (skrze kterou docházelo k porušování práv) síť zabezpečit a uživatele identifikovat. Povinnost provozovat WIFI síť, která identifikuje své uživatele tak může být uložena až rozhodnutím soudu, a je tedy možné nadále nezabezpečené WIFI sítě provozovat.

Pokud však provozujete zabezpečenou Wi-Fi s registracemi uživatelů, půjde s největší pravděpodobností o osobní údaje a je nutné vůči těmto uživatelům plnit povinnosti při zpracování (tedy např. informovat je o rozsahu zpracování osobních údajů dle čl. 13 a čl. 14 v rámci poskytování služby, včetně stanovení doby uchování dat, účelu zpracování atd.). Lze tedy rozhodně doporučit mít s uživateli sjednané podmínky užití WIFI včetně informačního dokumentu.

 

Co bude kontrola pravděpodobně vyžadovat?

Odpověď: Kritickou je tzv. zpracovatelská smouva, tedy smlouva upravující podmínky zpracování Vašich dat třetími osobami (např. účetními, poskytovateli IT řešení apod.). Častými rovněž bývají kontroly ohledně zasílání obchodních sdělení, kdy musíte prokázat, že sdělení jste zaslali Vašim zákazníkům (resp. že jste je vyřadili z rozesílání, pokud se odhlásili). Rovněž budete muset prokazovat, že jste provedli technická a organizační opatření k ochraně dat (např. zabezpečili software, školili zaměstnance, uzavřeli dohody o mlčenlivosti apod.). Zatím však nemáme praxi k tomu, jak budou kontroly probíhat.

Může kontrola přijít, i když jsme se ničeho nedopustili?

Odpověď:  Ano

Jak proběhne školení zaměstnanců a odpovědných osob?

Odpověď:  V našem softwaru to řešíme e-learningem a po jehož absolvování dostane zaměstnanec  doklad o proškolení.

Cizinecká police vyžaduje fyzické a ne jen v elektronické podobě.

Odpověď: Ano, kromě knihy hostů musí být vedena i v papírové podobě.

Co když chce host vidět, jak uchovávám jeho data?

Odpověď: Host má právo na přístup ke svým osobním údajů a ty mu musíte poskytnout ve většině případů ve strukturovaném, elektronickém běžně čitelném formátu.

Který zákon má přednost?

Odpověď: GDPR je evropské nařízení a má tedy přednost před národními zákony.

Tady bylo vždy tvrzení, že GDPR pokrývá vše, co nepokrývají zákony členských států.

Jaká práva kontroly má ČOI?

Odpověď:  Co se týká ochrany osobních údajů je zodpovědným orgán Úřad pro ochranu osobních údajů. Česká obchodní inspekce primárně přezkoumává dodržování zákona na ochranu spotřebitele.

Kdo má na starosti ochranu osobních údajů?

Odpověď: Úřad pro ochranu osobních údajů

Musím mít doklad o skartaci dokumentů po 6ti letech?

Odpověď: Nemusíte, ale pokud ho můžete získat, je dobré si ho uložit pro případ kontroly.

Po kolika letech má být provedena skartace?

Odpověď: Skartace osobních údajů vyplývá z toho, za jakým účelem se osobní údaje zpracovávají. Někdy lhůtu stanoví přímo zákon, někdy odpovídá oprávněným zájmům správce či plnění smlouvy.

Musím na se na Úřadu na ochranu osobních údajů registrovat?

Odpověď: Ne

Musí být telefon a email i na hlášence pro polici?

Odpověď: Ne.