Wyciek danych gości hotelu – czy hotel musi zgłosić incydent do UODO?

Dzień dobry. 1. Tak, hotel ma bezwzględny obowiązek zgłoszenia tego naruszenia do UODO. Hotel jest bowiem administratorem danych osobowych (ADO), a firma zewnętrzna jedynie podmiotem przetwarzającym. Awaria systemu u podwykonawcy nie zdejmuje odpowiedzialności z hotelu – to hotel odpowiada przed organem nadzorczym za bezpieczeństwo danych swoich gości. Ponieważ skradzione dane są już aktywnie wykorzystywane przez przestępców do phishingu na WhatsAppie, występuje wysokie ryzyko naruszenia praw lub wolności osób fizycznych. 2. Zgodnie z art. 33 RODO hotel musi formalnie powiadomić UODO w ciągu 72 godzin od wykrycia incydentu. Ponadto, z uwagi na bezpośrednie zagrożenie oszustwem, art. 34 RODO nakłada na hotel obowiązek natychmiastowego zawiadomienia wszystkich zagrożonych gości o wycieku i metodach działania sprawców. Od firmy zewnętrznej należy równolegle zażądać pisemnego raportu technicznego z wypadku do celów dowodowych. Pozdrawiam. Adw. Tomasz R. Weigt, tel. 601-225-208