K
KKalkulator.Place
Kalkulator
Natrag
HrvatskaHrvatska
Blog
CtrlK
← Natrag na blog
  1. Hrvatska
  2. /
  3. Blog
  4. /
  5. Hotelski check-in i krađa podataka: zašto hoteli skupljaju previše i čuvaju premalo
Objavljeno 30. svibnja 2026.·Aron Balog

Hotelski check-in i krađa podataka: zašto hoteli skupljaju previše i čuvaju premalo

383 milijuna Marriott gostiju, 437.000 Otelier adresa, GDPR kazne u desetcima milijuna — hotelska industrija ima ozbiljan problem s podacima koje skuplja.

Recepcionar i gost na hotelskom check-inu
Recepcionar i gost na hotelskom check-inu

Prijavite se na recepciji hotela u Dubrovniku. Dajete putovnicu, kreditnu karticu, potpišete papir. Za pet minuta imate ključ sobe. Što ste zapravo ostavili iza sebe? Vaše puno ime, adresu stanovanja, broj putovnice, datum isteka, nacionalnost, broj kartice, e-mail za potvrdu, telefonski broj — i sve to pohranjeno u sustavu koji, statistički gledajući, nije adekvatno zaštićen.

U listopadu 2024. američka Federalna komisija za trgovinu (FTC) obvezala je Marriott International na sveobuhvatni program kibernetičke sigurnosti. Razlog: hakiranje koje je trajalo od 2014. do 2018., otkriveno tek četiri godine kasnije. U tom periodu kompromitirana su osobna podataka 383 milijuna gostiju. Marriott je platio 52 milijuna dolara nagodbe u 50 američkih saveznih država plus £18,4 milijuna GDPR kazne u Ujedinjenoj Kraljevini. Ovo nije bio izoliran slučaj — to je symptom sustavnog problema u cijeloj industriji.

Koliko podataka zapravo prikuplja jedan hotel

Moderan hotel za standardni check-in legitimno treba: dokaz identiteta, broj kreditne kartice, e-mail i eventualno telefonski broj. To je to. U praksi, hotelski sustavi za upravljanje imovinom (Property Management Systems, PMS) prikupljaju znatno više.

Loyalty programi bilježe svaki boravak, preferencije sobe, prehrambene zahtjeve, posebne prilike — godišnjice, rođendane, alergije. Hotelski spa sustavi pamte tretmane i zdravstvene napomene. Parkirni sustavi bilježe registracijske ploče. Restoran pamti narudžbe i preferencije. Fitness centar može koristiti biometrijsko praćenje. U visokokategoriziranom hotelu, profil "poznatog gosta" može biti bogatiji od profila kojeg o vama ima vaša banka.

Svaki od tih fragmenta informacije pohranjen je u sustavu od različitih dobavljača, integriranih API-jima koji ne prolaze uvijek kroz iste sigurnosne procjene. A kad svi ti podaci postoje, postaju meta.

Pregled vrsta osobnih podataka koje hoteli prikupljaju Osobni podaci u hotelskim sustavima Identifikacijski (putovnica, adresa) 100% Platni podaci (kartica, povijest) 90% Kontakt (email, mobitel) 80% Preferencije boravka i loyalty 65% Zdravstveni / dijetetski zahtjevi 50% Biometrija / registracijske ploče 35% Postotak hotela koji prikupljaju navedenu vrstu podatka — Hospitality Net / Mews 2024.

Slučaj Otelier: kad jedno sučelje eksponira 10.000 hotela

Postoji napad iz 2024. koji mnogi u branši smatraju ozbiljnijim od Marriott incidenta jer je pogodio infrastrukturu, ne samo jedan lanac. Otelier je cloud platforma za hotelske operacije koju koriste Marriott, Hilton, Hyatt i tisuće manjih hotela diljem svijeta. Napadači su pristupili podacima kroz pogrešno konfigurirani AWS S3 bucket — ne eksploatacijom sofisticirane ranjivosti, nego zbog lošeg IT procesa.

Ishod: izloženo 437.000 e-mail adresa gostiju, plus imena, fizičke adrese, telefonski brojevi, detalji putnih rezervacija, računi i u nekim slučajevima djelomični podaci kreditnih kartica. Sve to postalo dostupno zbog jednog nedovoljno zaštićenog cloud dobavljača kojeg nitko od zahvaćenih hotela nije direktno kontrolirao.

Ovo je temeljni strukturalni problem hotelske industrije. Hoteli nisu tech kompanije, ali u potpunosti ovise o tehnologiji. Outsourceaju rezervacijske kanale, loyalty programe, revenue management, restoranske softvere — i svaki od tih dobavljača ima pristup podacima gostiju. Kada procjenjujete sigurnost hotela, ne procjenjujete samo IT tim hotela nego i sve dobavljače u lancu.

GDPR i hoteli: što zakon traži, a što se događa

GDPR obvezuje sve hotele koji posluju s europskim državljanima — dakle de facto sve europske hotele — na jasne obaveze. Podaci se moraju čuvati samo onoliko dugo koliko je nužno, koristiti samo u svrhu za koju su prikupljeni, i adekvatno zaštititi. Ove odredbe postoje od 2018. godine.

U praksi, hoteli često drže podatke o gostima godinama bez jasne pravne osnove. PMS sustavi tipično čuvaju kompletne registracijske podatke — uključujući kartične podatke — znatno dulje nego što GDPR dopušta. Loyalty programi miješaju marketinšku i operativnu upotrebu podataka bez jasne segmentacije u sustavima. Pravo gosta na uvid i brisanje podataka zajamčeno GDPR-om provodi se rijetko — jer gosti ne znaju da ga imaju, a hoteli ga aktivno ne promovišu.

Kazne nisu apstraktne. Marriott je platio £18,4 milijuna britanskon ICO-u. InterContinental Hotels Group (IHG) prošao je GDPR istragu zbog hakiranja 2022. godine. Prosječni trošak kršenja podataka u ugostiteljstvu porastao je s 3,36 milijuna dolara u 2022. na 4,03 milijuna dolara u 2025., prema IBM Cost of a Data Breach izvješćima.

Rast prosječnog troška kršenja podataka u ugostiteljstvu 2022–2025 Prosječni trošak kršenja podataka — ugostiteljstvo (M USD) 3.36 2022. 3.62 2023. 4.03 2025. Izvor: IBM Cost of a Data Breach Report / Help Net Security 2025.

Što hoteli trebaju napraviti — a ne rade

Problem nije samo tehnički, nego procesni i kulturalni. Najveće ranjivosti u hotelskim sustavima su predvidljive i ponavljajuće: zadane lozinke na PMS terminalima koje se nikad ne mijenjaju, dijeljeni korisnički računi između smijena (jer je "lakše"), Wi-Fi koji ne razdvaja gostetvenu mrežu od operativne, USB portovi na javnim računalima koji nisu onemogućeni.

NIST NCCoE (National Cybersecurity Center of Excellence) objavio je specifične smjernice za PMS sigurnost: multi-faktorska autentikacija, segmentacija mreže, kriptiranje podataka u mirovanju i prijenosu, redovite revizije korisničkih prava pristupa. Ovo nisu napredne mjere — to su osnove. No istraživanje VikingCloud iz 2025. pokazalo je da samo 28% hotela provodi penetracijske testove, a samo 26% nadzire dark web za procurjele podatke.

Postoji i konkretan primjer koji pokazuje dubinu problema: keycard sustav za pristup sobama u integriranom hotelu najčešće je direktno spojen s PMS-om. Napadač koji kompromitira PMS ne samo da vidi gdje su gosti smješteni — teorijski može generirati ključeve za sobe. Ovo nije teoretski scenarij, istraživači su demonstrirali takve napade u kontroliranim uvjetima.

Što može napraviti gost

Gost nije potpuno bespomoćan. Koristiti virtualnu karticu ili prepaid karticu umjesto glavne kreditne kartice za hotelske rezervacije smanjuje izloženost financijskim podacima. Rezervirati direktno kod hotela koji ima jasnu GDPR politiku smanjuje broj posrednika koji imaju podatke. Davati minimalnu količinu podataka — ako hotel za aktivaciju Wi-Fi-a traži datum rođenja, to je previše i nije opravdano.

Pravo na uvid i brisanje podataka garantira GDPR. Svaki gost može pisanim zahtjevom tražiti koje podatke hotel drži o njemu i zahtijevati brisanje. Koliko gostiju to koristi? Gotovo nitko. Koliko hotela ima vidljivo objašnjen postupak za podnošenje takvog zahtjeva? Znatno manje nego što bi zakon tražio.

Hotelska industrija je godinama gradila sustave optimizirane za operativnu efikasnost, ne za zaštitu privatnosti. Tehnički dug je ogroman, IT stručnjaka je malo, a sezonska priroda posla znači da IT timovi rade u trajno reaktivnom modu. Dok se to strukturalno ne promijeni, podaci koje ostavljate na recepciji vrijede — za potencijalne napadače — više nego vama.

Izvori i dodatno čitanje

  • FTC Takes Action Against Marriott and Starwood Over Multiple Data Breaches (2024)
  • Hotel Data Breach: Causes, Risks and Prevention — Mews
  • Hospitality Industry Cybersecurity Challenges — Help Net Security 2025
  • Top 15 Hotel Cybersecurity Case Studies 2026 — DigitalDefynd
  • NIST NCCoE: Securing Property Management Systems
  • Data Privacy Breaches: A Wake-Up Call for Hotel Operators — Hospitality Net

Više članaka

  • dark webcybersecurity

    Što je zapravo dark web: mit vs. stvarnost

    30. svibnja 2026.

  • cybersecurityPMS

    Kako hakiraju sustave za upravljanje hotelima: od recepcije do svake sobe

    30. svibnja 2026.

  • cybersecurityhoteli

    Sezone i hakiranja: zašto hoteli u srpnju imaju tri puta više sigurnosnih incidenata

    30. svibnja 2026.

KKalkulator.Place

Besplatni kalkulatori plaće za Hrvatsku, BiH i Srbiju.

Ažurirano za 2026

Kalkulatori

  • Hrvatska
  • Bosna i Hercegovina
  • Srbija

Korisno

  • Bruto u neto
  • Neto u bruto
  • Porezne stope
  • Minimalna plaća
  • Olakšice za djecu
  • Blog

Pravno

  • Politika Privatnosti
  • Politika kolačića
  • Uvjeti korištenja
  • O nama
  • Kontakt

© 2026 Kalkulator.Place. Sva prava pridržana.

hr·bs·sr·en·it·fr·de

Kalkulator
Natrag
Blog