W jednym zdaniu. Hotel i restauracja przetwarzają dane gości z rezerwacji, portali OTA i monitoringu — dwa najczęstsze błędy to kopiowanie dowodu przy meldunku (co do zasady niedopuszczalne) oraz brak jasnego układu ról z Booking.com i innymi platformami.
RODO w hotelarstwie dotyczy każdego, kto zbiera dane gości: od małego pensjonatu po sieć hoteli i restaurację z programem lojalnościowym. Branża łączy kilka wrażliwych obszarów naraz — rezerwacje przez pośredników, monitoring wizyjny, marketing i dane pracowników sezonowych. Każdy z nich ma własne pułapki. Część z tych obszarów — monitoring wizyjny i programy lojalnościowe — dzieli z handlem detalicznym.
Najważniejsze punkty
- Kopiowanie dowodu osobistego przy meldunku jest co do zasady niedopuszczalne — dane można spisać w niezbędnym zakresie.
- Rezerwacje przez OTA (Booking, Expedia) wymagają ustalenia, kto jest administratorem, a kto procesorem.
- Monitoring wizyjny musi spełniać wymogi poradnika UODO i — wobec pracowników — art. 22² Kodeksu pracy.
- Zgody marketingowe (newsletter, program lojalnościowy) muszą być odrębne i dobrowolne.
- Dane pracowników sezonowych przetwarza się na podstawie Kodeksu pracy, z krótszą, ale realną retencją.
1. Dane gości z rezerwacji
Hotel jest administratorem danych gościa dokonującego rezerwacji bezpośredniej. Podstawą jest art. 6 ust. 1 lit. b RODO (wykonanie umowy) dla danych niezbędnych do pobytu oraz art. 6 ust. 1 lit. c dla obowiązków meldunkowych i podatkowych. Zbieraj tylko to, co potrzebne: imię, nazwisko, dane kontaktowe, dane niezbędne do wystawienia faktury.
Każdy gość musi otrzymać klauzulę informacyjną — najlepiej dostępną przy rezerwacji i w recepcji.
2. Rezerwacje przez OTA — Booking, Expedia, portale
To najczęściej mylony punkt. Gdy gość rezerwuje przez Booking.com, obie strony przetwarzają dane, ale w różnych rolach:
| Sytuacja | Rola hotelu | Rola platformy |
|---|---|---|
| Rezerwacja przez OTA | Administrator danych pobytu | Odrębny administrator / pośrednik |
| Dane przekazane do hotelu | Administrator | — |
| Marketing platformy | — | Administrator własny |
Kluczowe: hotel nie może wykorzystywać danych z rezerwacji OTA do własnego marketingu bez odrębnej podstawy (zgody). Przeniesienie e-maili gości z Booking do własnego newslettera bez zgody to klasyczne naruszenie.
3. Meldunek i dowód osobisty
UODO konsekwentnie wskazuje, że kserowanie i skanowanie dowodu osobistego przy meldunku jest co do zasady niedopuszczalne — narusza zasadę minimalizacji z art. 5 ust. 1 lit. c RODO. Recepcja może spisać dane niezbędne do zameldowania i wystawienia dokumentów, ale nie powinna przechowywać kopii dokumentu tożsamości.
Wyjątki wynikają wyłącznie z przepisów szczególnych. Jeśli personel „na wszelki wypadek" robi zdjęcie dowodu telefonem — to naruszenie i realne ryzyko wycieku.
4. Monitoring wizyjny w hotelu i restauracji
Monitoring to standard w branży, ale wymaga podstawy i ograniczeń zgodnych z poradnikiem UODO:
- Cel — bezpieczeństwo osób i mienia (art. 6 ust. 1 lit. f, uzasadniony interes).
- Zakaz obejmowania miejsc naruszających prywatność (pokoje, toalety, przebieralnie).
- Oznaczenie stref monitorowanych i klauzula informacyjna.
- Retencja nagrań — zwykle do 3 miesięcy, chyba że stanowią dowód w postępowaniu.
Monitoring pracowników (kuchnia, zaplecze) podlega dodatkowo art. 22² Kodeksu pracy — wymaga poinformowania załogi i zapisania w regulaminie pracy. Szerzej o obowiązkach pracodawcy piszemy w tekście o danych pracowników.
5. Marketing: newsletter i programy lojalnościowe
Marketing bezpośredni wymaga zgody (e-mail, SMS) lub wąskiego soft opt-inu dla istniejących klientów. Program lojalnościowy przetwarza dane zakupowe i często profiluje preferencje gości — to wymaga osobnej klauzuli i przemyślanej podstawy. Reguły marketingu rozwijamy w przewodniku po marketingu bezpośrednim.
Zasada: zgoda marketingowa musi być odrębna od zawarcia rezerwacji. Nie wolno uzależniać rezerwacji od zapisania na newsletter.
6. Dane pracowników sezonowych
Hotelarstwo i gastronomia opierają się na pracownikach sezonowych. Ich dane przetwarza się na podstawie Kodeksu pracy (dla umów o pracę) lub umowy (dla zleceń). Retencja akt jest krótsza w praktyce niż przy zatrudnieniu wieloletnim, ale obowiązki archiwizacyjne (ZUS, dokumentacja pracownicza) obowiązują tak samo. Nie trzymaj CV kandydatów sezonowych „do następnego sezonu" bez zgody.
7. Bezpieczeństwo i procesorzy
Typowi procesorzy hotelu: system PMS, dostawca płatności, firma sprzątająca z dostępem do danych, agencja marketingowa. Każdy wymaga umowy powierzenia z art. 28 RODO. Zastosuj adekwatne środki bezpieczeństwa: kontrola dostępu do PMS, szyfrowanie, MFA, ograniczenie dostępu personelu recepcji tylko do niezbędnych danych.
8. Legiscope w praktyce hotelu
Sieć obiektów z wieloma procesorami, monitoringiem i programem lojalnościowym musi utrzymać spójny rejestr czynności przetwarzania i komplet klauzul. Platforma taka jak Legiscope generuje i wersjonuje tę dokumentację centralnie, z eksportem gotowym na kontrolę UODO — zamiast rozproszonych plików w każdym obiekcie.
9. Naruszenia typowe dla hotelarstwa
Branża hotelarska ma kilka powtarzalnych scenariuszy naruszeń, które warto znać, by im zapobiec:
- Wyciek listy gości przez błędnie zaadresowaną wiadomość e-mail (np. wysyłka potwierdzeń do całej grupy w polu „Do" zamiast „UDW").
- Zdjęcie dowodu telefonem recepcjonisty „na wszelki wypadek" — nielegalne przetwarzanie i ryzyko wycieku.
- Zgubiony laptop lub tablet recepcyjny z dostępem do systemu PMS bez szyfrowania.
- Nagrania z monitoringu przechowywane latami bez uzasadnienia.
- Przekazanie danych gości firmie zewnętrznej (np. organizatorowi eventu) bez umowy powierzenia.
Każdy z tych scenariuszy może wymagać zgłoszenia naruszenia do UODO w ciągu 72 godzin, jeśli wiąże się z ryzykiem dla praw i wolności osób.
10. Praktyczna checklista dla obiektu
Zanim przyjdzie kontrola lub skarga gościa, warto zweryfikować minimum:
- Klauzula informacyjna dostępna przy rezerwacji i w recepcji.
- Odrębna zgoda marketingowa (newsletter, program lojalnościowy).
- Umowy powierzenia z dostawcą PMS, płatności, firmą sprzątającą, agencją marketingową.
- Oznaczenie stref monitoringu i regulamin pracy z zapisem o monitoringu pracowników.
- Ustalone i udokumentowane okresy retencji (rezerwacje, faktury, nagrania).
- Zakaz kopiowania dowodów przy meldunku wpisany w procedury recepcji.
- Kontrola dostępu do PMS i ograniczenie uprawnień personelu.
Ten minimalny zestaw pokrywa większość ryzyk, jakie UODO bada w tej branży.
FAQ
Czy hotel może skanować dowód osobisty gościa przy meldunku?
Co do zasady nie. UODO wskazuje, że kopiowanie dowodu przy meldunku narusza zasadę minimalizacji z art. 5 ust. 1 lit. c RODO. Recepcja może spisać dane niezbędne do zameldowania i wystawienia dokumentów, ale nie powinna przechowywać kopii dokumentu tożsamości.
Czy mogę wysyłać newsletter do gości, którzy rezerwowali przez Booking?
Nie bez odrębnej zgody. Dane z rezerwacji OTA służą wykonaniu pobytu, nie marketingowi hotelu. Wykorzystanie ich do własnego newslettera wymaga osobnej, dobrowolnej zgody gościa.
Jak długo hotel może przechowywać nagrania z monitoringu?
Zwykle do 3 miesięcy, chyba że nagranie stanowi dowód w postępowaniu — wtedy do zakończenia sprawy. Strefy monitorowane muszą być oznaczone, a monitoring nie może obejmować pomieszczeń naruszających prywatność.
Czy restauracja z monitoringiem kuchni musi informować pracowników?
Tak. Monitoring pracowników podlega art. 22² Kodeksu pracy — wymaga poinformowania załogi, zapisania w regulaminie pracy oraz oznaczenia stref. Cel musi być uzasadniony (bezpieczeństwo, ochrona mienia), a zakres proporcjonalny.
Czy mały pensjonat też musi prowadzić dokumentację RODO?
Tak. Zwolnienie z rejestru czynności (art. 30 ust. 5 RODO) prawie nigdy nie działa, bo przetwarzanie danych gości i pracowników jest regularne. Zasada proporcjonalności pozwala na prostszą dokumentację, ale nie na jej brak.
Podsumowanie
RODO w hotelarstwie i gastronomii sprowadza się do dyscypliny w kilku powtarzalnych punktach kontaktu z gościem: rezerwacji, meldunku, monitoringu i marketingu. Największe ryzyka są prozaiczne — recepcjonista kopiujący dowód, e-mail z listą gości wysłany do wszystkich w polu „Do", newsletter wysłany do bazy z Bookinga bez zgody. Żadne z tych naruszeń nie wymaga złej woli, wystarczy brak procedury. Obiekt, który ma klauzule informacyjne, odrębne zgody marketingowe, komplet umów powierzenia i jasną politykę retencji nagrań, pokrywa większość obszarów badanych przez UODO. Dla sieci obiektów kluczowa jest spójność tej dokumentacji między lokalizacjami — rozjeżdżające się pliki w każdym hotelu to najczęstsze źródło luk przy kontroli.
Podstawa prawna i źródła
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial