Hoteli svakodnevno obrađuju veliki broj ličnih podataka: podatke gostiju, zaposlenih, poslovnih partnera, podatke iz rezervacija, video-nadzora, programa lojalnosti, online plaćanja, kolačića i marketinških kampanja. Zato GDPR usklađenost nije samo formalna obaveza ili skup dokumenata. U hotelskom sektoru ona direktno utiče na povjerenje gostiju, sigurnost poslovanja, reputaciju hotela i sposobnost organizacije da dokaže da ličnim podacima upravlja odgovorno.
Iako se najveće GDPR kazne najčešće vezuju za tehnološke gigante, hotelski i turistički sektor ima više značajnih slučajeva koji jasno pokazuju gdje nastaju najveći rizici. Ti rizici se ne odnose samo na velike hakerske napade, već i na svakodnevne procese kao što su prijava gosta, čuvanje podataka u rezervacionim sistemima, marketing, kolačići, video-nadzor i saradnja sa eksternim platformama.
Najveće GDPR kazne u hotelskom i turističkom sektoru
1. Marriott International — oko 20,4 miliona eura
Jedna od najvećih kazni u hotelskom sektoru izrečena je kompaniji Marriott International zbog velikog bezbjednosnog incidenta povezanog sa Starwood hotelskom bazom podataka. Incident je obuhvatio podatke stotina miliona gostiju širom svijeta, uključujući podatke iz rezervacija, kontakt podatke, brojeve pasoša i podatke o platnim karticama. Regulator je utvrdio da nisu bile sprovedene dovoljne tehničke i organizacione mjere zaštite podataka.
Ovaj slučaj pokazuje da hotelske grupe i pojedinačni hoteli moraju ozbiljno upravljati pristupima, bazama podataka, dobavljačima, naslijeđenim sistemima i sigurnosnim provjerama, posebno kada koriste kompleksne rezervacione i informacione sisteme.
2. Accor — 600.000 eura
Francuski regulator kaznio je hotelsku grupu Accor zbog nepravilnosti u direktnom marketingu, informisanju korisnika, ostvarivanju prava lica čiji se podaci obrađuju i određenim sigurnosnim propustima. Posebno je važno to što su gosti automatski uključivani u promotivne newslettere putem unaprijed označenih polja za saglasnost. Takav način prikupljanja saglasnosti nije prihvatljiv, jer saglasnost mora biti slobodna, posebna, informisana i data jasnom aktivnom radnjom.
Za hotele je ovo naročito važno kod newslettera, loyalty programa, promotivnih ponuda, slanja posebnih akcija gostima i korišćenja podataka iz rezervacija u marketinške svrhe.
3. Booking.com — 475.000 eura
Booking.com je kažnjen zbog kašnjenja u prijavi povrede bezbjednosti ličnih podataka. U incidentu su kriminalci došli do podataka hiljada korisnika, uključujući kontakt podatke, podatke o rezervacijama i, u određenom broju slučajeva, podatke o platnim karticama. Problem nije bio samo u tome što je do incidenta došlo, već u tome što povreda nije blagovremeno prijavljena regulatoru.
GDPR zahtijeva da se određene povrede bezbjednosti prijave nadzornom organu bez nepotrebnog odlaganja, a najkasnije u roku od 72 sata od saznanja za incident. Za hotele ovo znači da nije dovoljno imati samo IT podršku. Potrebno je imati jasan interni postupak: ko prima prijavu incidenta, ko procjenjuje rizik, ko odlučuje da li se incident prijavljuje regulatoru i kako se obavještavaju gosti ako postoji visok rizik po njihova prava i slobode.
4. Arp-Hansen Hotel Group — oko 134.000 eura
Danski hotelski lanac kažnjen je zbog predugog čuvanja podataka gostiju. Regulator je utvrdio da su podaci velikog broja ranijih gostiju čuvani duže nego što je bilo opravdano i duže od internih rokova brisanja. Ovaj slučaj je posebno važan za hotele jer se podaci gostiju često zadržavaju u više sistema: recepcijskom softveru, rezervacionim platformama, e-mail komunikaciji, računovodstvu, programima lojalnosti, sistemima za pristup sobama i arhivama dokumenata.
GDPR zahtijeva da se lični podaci ne čuvaju duže nego što je potrebno za konkretnu svrhu. Zato svaki hotel treba da ima jasno definisane rokove čuvanja podataka i postupak brisanja ili anonimizacije kada ti rokovi isteknu.
5. Hoteli u Hrvatskoj — 45.000 eura zbog kolačića
Hrvatski regulator kaznio je dva hotela zbog nezakonite obrade ličnih podataka putem kolačića na web sajtu. Slučaj je važan za sve hotele koji koriste web stranice, online rezervacije, analitiku, remarketing, Google alate, Meta Pixel ili druge marketinške tehnologije. Kolačići koji nisu neophodni za osnovno funkcionisanje sajta po pravilu zahtijevaju prethodnu, jasnu i aktivnu saglasnost korisnika. Nije dovoljno samo obavještenje da sajt koristi kolačiće, niti unaprijed uključena saglasnost.
Za hotele u Crnoj Gori ovo je posebno relevantno jer se online oglašavanje, direktne rezervacije i digitalni marketing sve više oslanjaju na praćenje korisnika preko web sajta.
Manje kazne, ali vrlo važne lekcije
U hotelskom sektoru nisu rizični samo veliki sistemi i veliki incidenti. Regulatori često postupaju i u slučajevima koji se odnose na svakodnevne hotelske procese, kao što su kopiranje ličnih dokumenata gostiju bez jasnog pravnog osnova, preširoko prikupljanje podataka prilikom prijave gosta, video-nadzor koji snima javne površine ili nema odgovarajuće obavještenje, slanje promotivnih poruka bez validne saglasnosti, neuređeni odnosi sa dobavljačima i platformama, nepostojanje evidencija aktivnosti obrade, predugo čuvanje podataka u recepcijskim i rezervacionim sistemima, nepostojanje procedure za postupanje po zahtjevima gostiju i nepostojanje plana za postupanje u slučaju curenja podataka.
U praksi, upravo ovakve situacije najčešće prave problem hotelima, jer se dešavaju u svakodnevnom radu recepcije, marketinga, prodaje, računovodstva i IT podrške. Zato usklađenost ne treba posmatrati samo kao pravno pitanje, već kao dio svakodnevne organizacije rada.
Šta hoteli u Crnoj Gori treba da urade?
Hoteli u Crnoj Gori već sada treba da se pripremaju za viši nivo zaštite ličnih podataka. Domaća regulativa se postepeno usklađuje sa evropskim standardima, a ulaskom Crne Gore u Evropsku uniju GDPR će se primjenjivati direktno.
Usklađivanje ne treba posmatrati kao jednokratnu izradu dokumenata. Pravi cilj je da hotel razumije koje podatke prikuplja, zašto ih obrađuje, gdje ih čuva, kome ih dostavlja, koliko dugo ih zadržava i kako ih štiti. Prvi koraci treba da obuhvate mapiranje podataka gostiju, zaposlenih i partnera, pregled procesa rezervacije, prijave i odjave gosta, provjeru da li se kopije dokumenata prikupljaju zakonito i nužno, uređenje video-nadzora i informisanja gostiju, provjeru kolačića i online marketing alata, izradu ili ažuriranje politike privatnosti, uspostavljanje evidencija aktivnosti obrade, definisanje rokova čuvanja i brisanja podataka, uređenje ugovora sa obrađivačima podataka, pripremu procedure za incidente i povrede bezbjednosti i obuku zaposlenih koji svakodnevno rade sa podacima gostiju.
Zašto se uskladiti na vrijeme?
Usklađivanje sa pravilima zaštite ličnih podataka nije važno samo zbog mogućih kazni. Za hotele je posebno važno da mogu da pokažu gostima, partnerima, platformama i regulatorima da podacima upravljaju odgovorno i transparentno.
Dobro uređen sistem zaštite ličnih podataka smanjuje rizik od incidenata, olakšava postupanje u slučaju zahtjeva gostiju, pomaže zaposlenima da znaju šta smiju, a šta ne smiju da rade sa podacima, i omogućava hotelu da u slučaju kontrole ili incidenta pokaže da je preduzeo razumne i dokumentovane mjere.
U praksi, GDPR usklađenost nije samo pitanje pravne dokumentacije, već i pitanje povjerenja. Gost koji hotelu ostavlja svoje lične podatke, podatke o dokumentima, plaćanju, boravku i navikama, očekuje da se ti podaci koriste samo za jasne i zakonite svrhe, da budu zaštićeni i da se ne čuvaju duže nego što je potrebno.
Besplatna samoprocjena i konsultacije
Ako želite da provjerite trenutno stanje GDPR usklađenosti vašeg hotela, možete uraditi besplatnu samoprocjenu i zatražiti konsultacije kako biste dobili jasniju sliku o prioritetima i narednim koracima.

