Co do zasady tworzenie przez hotele tzw. czarnych list gości, którzy np. dokonali kradzieży lub awanturowali się w hotelu, jest dopuszczalne, o ile takie listy są prowadzone na własne potrzeby. Przetwarzanie danych osobowych będzie się wtenczas odbywać na podstawie przesłanki legalizującej w postaci wypełnienia prawnie usprawiedliwionego celu przez administratora, w szczególności w związku z ewentualnym dochodzeniem roszczeń z tytułu prowadzonej działalności gospodarczej. Pamiętać należy również, iż odmowa świadczenia usługi hotelowej, do której jest zobowiązany przedsiębiorca, stanowi wykroczenie jedynie wtedy, gdy brak jest dla odmowy uzasadnionej przyczyny. Jeśli z kolei dany gość hotelowy dokonał przykładowo kradzieży, to można bronić poglądu, iż odmowa udostępnienia mu z tego powodu pokoju hotelowego następnym razem będzie uzasadniona. To dodatkowo wzmacnia tezę o istnieniu po stronie hotelu prawnie usprawiedliwionego celu przetwarzania w postaci możliwości odmowy świadczenia usługi z uzasadnionej przyczyny.
Z kolei w zakresie udostępnienia danych osobowych innemu administratorowi – w tym przypadku innemu hotelowi – mamy do czynienia ze zmianą podmiotu i celu przetwarzania. W takich przypadkach przetwarzanie jest dopuszczalne wyłącznie, jeśli nie narusza to praw i wolności osoby, której dane dotyczą, nowy administrator musi legitymować się przesłanką legalizującą przetwarzanie oraz spełnić wobec osób, których dane dotyczą, obowiązki informacyjne z ustawy o ochronie danych osobowych. W przypadku udostępniania czarnej listy gości można mieć bardzo poważne wątpliwości, czy te wymogi są zachowane. Z uwagi na fakt, iż dane dotyczą przewinień gości, ich udostępnianie innemu podmiotowi może naruszać prawa i wolności tych osób. Ponadto, jest wysoce wątpliwe, aby hotel uzyskujący dane w ramach czarnej listy legitymował się przesłanką posiadania prawnie usprawiedliwionego celu przetwarzania. Otóż z faktu, iż dana osoba ukradła coś w jednym hotelu nie oznacza automatycznie, iż osoba ta jest notorycznym złodziejem i na pewno dokona kradzieży również w innym hotelu. Wydaje się, iż samo ryzyko ponownego dokonania czynu nie jest wystarczające. Nie wydaje się zatem, aby udostępnianie danych osobowych klientów z czarnej listy przez hotele innym hotelom było zgodne z prawem.
Tym bardziej kwestionowane może być funkcjonowanie różnorodnych portali internetowych, do których hotelarze mogą zgłaszać klientów i z których korzystają inne hotele. W takim przypadku administratorem danych będzie sam portal i on nie będzie się legitymował prawnie usprawiedliwionym celem przetwarzania danych, bowiem tym celem legitymują się wyłącznie pokrzywdzone zachowaniem danego gościa hotele. Nie może być też tak, że administrator takiego portalu legitymowałby się prawnie usprawiedliwionym celem przetwarzania, związanym z prowadzoną działalnością gospodarczą, polegającym na pozyskiwaniu danych osobowych gości z czarnych list hoteli celem udostępniania tych danych innym hotelom. Taka interpretacja mogłaby oznaczać obejście ustawy o ochronie danych osobowych i w istocie zniweczyć tę ochronę, gdyż każdy mógłby w ten sposób legitymizować pozyskiwanie danych osobowych i ich udostępnianie dalej.
Autor: Aleksandra Błaszczyńska, radca prawny z Departamentu Własności Intelektualnej i Danych Osobowych Kancelarii Chałas i Wspólnicy