RODO w hotelu 2026 — praktyczny przewodnik dla hotelarza

Sześć obowiązków, które dotyczą każdego polskiego hotelu niezależnie od wielkości:

1. Rejestr czynności przetwarzania (RCP). Dokument opisujący każdą kategorię danych, którą hotel przetwarza, cel, podstawę prawną i okres retencji. Bez RCP UODO praktycznie zawsze stwierdza naruszenie przy kontroli. To pierwsza rzecz, której kontroler poprosi.

2. Polityka prywatności. Opublikowana na stronie i dostępna w recepcji, opisująca jakie dane zbieramy i co z nimi robimy. Musi być pisana językiem dla gościa, nie prawnika.

3. Zgody na cele marketingowe. Zgoda na newsletter musi być wyraźna i dobrowolna. Nie wystarczy checkbox zaznaczony domyślnie. Dla każdego kanału (e-mail, SMS, WhatsApp) osobna zgoda.

4. Retencja danych. Każda kategoria danych ma maksymalny okres przechowywania. Dane meldunkowe — 3 lata po wyjeździe (KSeF/podatkowe). Zdjęcia dokumentów — usuń natychmiast po zameldowaniu, jeśli nie wymaga inaczej lokalne prawo meldunkowe. Dane marketingowe — póki obowiązuje zgoda.

5. Prawa gościa. Dostęp do własnych danych, sprostowanie, usunięcie, eksport. Hotel musi obsłużyć wniosek w ciągu 30 dni. Większość hoteli nie ma procesu — to gigantyczne ryzyko kontroli.

6. Powierzenie przetwarzania (DPA). Każdy dostawca przetwarzający dane gości w imieniu hotelu (PMS, channel manager, narzędzie maili, OCR dokumentów) musi mieć podpisaną umowę powierzenia. Bez DPA hotel jest sam za naruszenia dostawcy.

Większość polskich hoteli skanuje paszport lub dowód przy meldowaniu i trzyma zdjęcie w PMS-ie albo w mailu. To podwójnie problematyczne.

Po pierwsze, podstawa prawna. Hotel nie ma obowiązku skanowania dokumentu meldunkowego. Wystarczy spisanie danych. Zdjęcie jest „przetwarzaniem w nadmiarze” w rozumieniu RODO — pobierasz więcej danych, niż potrzebujesz do celu.

Po drugie, retencja. Jeśli już zeskanujesz, musisz natychmiast usunąć zdjęcie po spisaniu danych. Trzymanie zdjęcia paszportu w PMS „na wszelki wypadek” to klasyk, który UODO karze szczególnie surowo.

Co robić w praktyce: - Jeśli używasz OCR dokumentu (Guestivo, Azure Document Intelligence), zdjęcie służy tylko do wyciągnięcia danych i powinno być usunięte automatycznie po zatwierdzeniu danych przez gościa. - Jeśli musisz zachować zdjęcie (rzadko, np. dla policji w niektórych jurysdykcjach), zapisz uzasadnienie w RCP i ustaw konkretną retencję (zwykle 30 dni). - Nigdy nie wysyłaj zdjęć dokumentów mailem ani nie trzymaj w Dropboxie/Google Drive bez szyfrowania.

Monitoring wizyjny w lobby, korytarzach i parkingu to oczywista praktyka. RODO wymaga jednak konkretnych zasad:

- Informacja o monitoringu musi być widoczna w każdym monitorowanym miejscu — piktogram plus skrócona informacja kto, w jakim celu, jak skontaktować. - Cel monitoringu musi być uzasadniony — bezpieczeństwo gości, ochrona mienia. Nie można nagrywać „na wszelki wypadek”. - Retencja nagrań standardowo 30 dni, dłużej tylko jeśli toczy się postępowanie. Dłuższa retencja bez powodu = naruszenie. - Brak monitoringu w toaletach, pokojach, przebieralniach SPA, miejscach intymnych. Oczywiste, ale bywa łamane (zwłaszcza w SPA). - Dostęp do nagrań ograniczony do określonych osób (zwykle dyrektor + szef ochrony) z logiem dostępu.

Polskie hotele najczęściej tracą tu na: zbyt długą retencję, brak informacji w pokojach SPA, niezabezpieczony dostęp do rejestratorów.

„Dziękujemy za pobyt, zapraszamy ponownie z 10% rabatem” — czy taki mail jest zgodny z RODO bez osobnej zgody marketingowej?

Krótka odpowiedź: nie. Nawet jeśli gość niedawno był, wysyłanie mu oferty bez wyraźnej zgody na marketing to naruszenie. Wyjątek dotyczy bezpośredniego marketingu własnych usług na podstawie uzasadnionego interesu, ale to obszar prawniczo niejasny i polski UODO interpretuje go wąsko.

Bezpieczny wzorzec: 1. Przy meldowaniu (cyfrowym lub w recepcji) gość zaznacza opt-in na marketing — osobny checkbox, nie zaszyty w „akceptuję regulamin”. 2. Maile marketingowe wysyłaj tylko do gości z opt-in. 3. Każdy mail marketingowy ma jasny link „wypisz mnie” w stopce. 4. Wypisanie wykonywane natychmiast, nie „w ciągu kilku dni”.

Hotele, które jadą bez tego, dostają skargi gości do UODO regularnie. Kary za masowy nielegalny mailing rosną.

Każdy dostawca, który przetwarza dane gości w imieniu hotelu, jest „procesorem” w rozumieniu RODO. Hotel jest „administratorem”. Między nimi musi być podpisana umowa powierzenia (Data Processing Agreement, DPA), która określa:

- Jakie dane są powierzane. - Cel przetwarzania. - Środki techniczne i organizacyjne ochrony. - Czy dostawca może podpowierzyć (sub-procesor) — np. czy PMS może użyć AWS jako infrastruktury. - Co się dzieje z danymi po zakończeniu umowy.

Lista dostawców do których KAŻDY hotel potrzebuje DPA: - PMS (Apaleo, Mews, Cloudbeds, KWHotel, Profitroom, NFHotel, etc.) - Channel manager (jeśli osobny od PMS) - Booking engine - Narzędzie e-mail marketingu (Mailchimp, Klaviyo, etc.) - Platforma guest experience (Guestivo, Canary, Duve) - Narzędzia OCR dokumentów - Dostawcy płatności (Stripe, Tpay, PayU — zwykle DPA przez ich Terms) - Narzędzia analityczne (jeśli śledzą identyfikowalne dane)

Co sprawdzić w DPA dostawcy: - Czy serwery są w UE/EOG (preferowane) lub czy istnieje SCC dla transferu poza EOG. - Czy zachowuje listę sub-procesorów (powinien). - Czy daje 24h-72h notyfikację o naruszeniu (powinien). - Czy umożliwia eksport i usunięcie danych na żądanie (musi).

Guestivo publikuje pełen DPA i listę subprocesorów publicznie — to dobry znak dla każdego dostawcy SaaS.

UODO przeprowadza coraz więcej kontroli sektorowych w hotelarstwie. Co kontroler najczęściej sprawdza i jak się przygotować:

Dokumenty, które kontroler poprosi pierwsze: - Rejestr czynności przetwarzania (RCP). - Polityka prywatności (aktualna data publikacji). - Wzorce zgód marketingowych (jak wyglądają w praktyce dla gościa). - Umowy powierzenia z dostawcami. - Procedura obsługi praw gościa (kto i w jakim czasie odpowiada).

Co kontroler sprawdza w PMS i systemach: - Czy są zdjęcia dokumentów starsze niż 30 dni. - Czy są dane marketingowe gości bez zgody w bazie. - Kto ma dostęp do bazy gości (log dostępu). - Czy maile marketingowe wychodzą tylko do opt-in.

Co kontroler sprawdza fizycznie: - Czy formularze meldunkowe (jeśli papierowe) leżą widocznie z danymi. - Czy ekrany w recepcji są skierowane tak, że inni goście nie widzą cudzych danych. - Czy CCTV jest oznaczone w każdym miejscu.

Najczęstsze kary 2024-2026 dla polskich hoteli: - Brak RCP — 10-30 tys. zł. - Trzymanie zdjęć dokumentów ponad konieczność — 30-100 tys. zł. - Wysyłka marketingowa bez zgody — 20-150 tys. zł. - Wyciek danych przez niezabezpieczony PMS — 100 tys.-1 mln zł.

Najtańszy ruch przygotowawczy: jeden audyt zewnętrzny IODO raz na dwa lata.