Τρίτη Μαρτίου 20, 2018
Ο νέος Κανονισμός Γενικής Προστασίας Δεδομένων (GDPR) (Κανονισμός (ΕΕ) 2016/679) είναι προ των πυλών και φέρνει μαζί του μια νέα πραγματικότητα στον κόσμο των προσωπικών δεδομένων. Οι ξενοδόχοι, όπως όλοι οι επαγγελματίες, πρέπει να προσαρμοστούν άμεσα, καθώς στις 25 Μαΐου 2018 ο νέος κανονισμός τίθεται σε ισχύ σε όλη την Ευρωπαϊκή Ένωση.
Παρακάτω μαζέψαμε τις πιο σημαντικές ερωτήσεις που ίσως έχετε, και δίνουμε τις απαντήσεις που χρειάζεστε:
1) Τι είναι ο GDPR και γιατί πρέπει να ασχοληθώ;
Στην ουσία, ο GDPR τέθηκε σε ισχύ για να ενισχύσει και να ενοποιήσει την προστασία των δεδομένων για όλα τα άτομα εντός της Ευρωπαϊκής Ένωσης (ΕΕ). Βασιζόμενος στην οδηγία για την προστασία των δεδομένων του 1995 (οδηγία 95/46 / ΕΚ), ο GDPR εγκρίθηκε από το Ευρωπαϊκό Κοινοβούλιο, το Συμβούλιο της Ευρωπαϊκής Ένωσης και την Ευρωπαϊκή Επιτροπή στις 14 Απριλίου 2016. Μετά από μια μεταβατική περίοδο δύο ετών θα τεθεί σε ισχύ στις 25 Μαΐου 2018 σε όλα τα 28 κράτη μέλη.
Ο GDPR δίνει την εξουσία στους καταναλωτές, αναγκάζοντας τις εταιρείες να παράσχουν στοιχεία αν χρειαστεί, για τον τρόπο συλλογής, αποθήκευσης και κοινοποίησης των προσωπικών δεδομένων των πελατών τους. Παρόλο που ο GDPR ισχύει για οποιονδήποτε οργανισμό ή επιχείρηση που συλλέγει δεδομένα για τους πολίτες της ΕΕ, η φύση των ξενοδοχείων και των διαφόρων πηγών διατήρησης δεδομένων, όπως οι κρατήσεις OTA και τα συστήματα PMS, κλιμακώνουν τη ρύθμιση για τον χώρο του ταξιδιού και της φιλοξενίας.
2) Ποιο προσωπικό του ξενοδοχείου πρέπει να γνωρίζει για τον GDPR;
Οι υπεύθυνοι λήψης αποφάσεων και τα βασικά άτομα σε ξενοδοχεία της ΕΕ και του ΕΟΧ θα πρέπει να γνωρίζουν ότι ο νόμος για τον GDPR μεταβάλλεται. Αυτό θα περιλαμβάνει τουλάχιστον τις ακόλουθες θέσεις, αν υπάρχουν: General Manager, Head of Marketing, και ο Revenue Manager. Κάθε μια από αυτές τις θέσεις ασχολείται με ένα σημαντικό ποσό δεδομένων επισκεπτών και εργαζομένων.
3) Με ποιες πληροφορίες πρέπει οι ξενοδόχοι να είναι προσεκτικοί;
Όλα τα δεδομένα σχετικά με πρόσωπα στην ΕΕ καλύπτονται από τον GDPR. Αυτό περιλαμβάνει τόσο τους επισκέπτες όσο και τους υπαλλήλους. Τα ξενοδοχεία θα πρέπει να τεκμηριώνουν τα προσωπικά δεδομένα που κατέχουν, από πού προέρχονται και με ποιους μοιράζονται. Τα ξενοδοχεία ίσως χρειαστεί να οργανώσουν τμήμα για τον έλεγχο πληροφοριών.
"Προσωπικά δεδομένα" είναι οποιαδήποτε δεδομένα σχετικά με ένα αναγνωρίσιμο πρόσωπο. Ένα άτομο μπορεί να ταυτοποιηθεί με το όνομα, τον αριθμό τηλεφώνου, τη διεύθυνση ηλεκτρονικού ταχυδρομείου, τον αριθμό κράτησης, τη διεύθυνση IP ή οποιαδήποτε πληροφορία που τους επιτρέπει να αναγνωρίζονται με μοναδικό τρόπο.
Ο κανονισμός GDPR παρέχει επιπλέον προστασία για "ευαίσθητα δεδομένα". Περιλαμβάνει προσωπικά δεδομένα που αποκαλύπτουν οποιοδήποτε από τα ακόλουθα:
• Συνδικαλιστική συμμετοχή, η οποία μπορεί να αποκαλυφθεί από τη συμμετοχή σε εκδήλωση
• Βιομετρικών στοιχείων με σκοπό τον μοναδικό εντοπισμό κάποιου, όπως το αποτύπωμα που αποθηκεύεται για το άνοιγμα των θυρών
• Κατάσταση υγείας, η οποία μπορεί να αποκαλυφθεί στα αιτήματα που κάνουν οι επισκέπτες κατά τη διαμονή τους
• Η σεξουαλική ζωή ή ο γενετήσιος προσανατολισμός, τα οποία μπορεί επίσης να αποκαλυφθούν σε ορισμένα αιτήματα επισκεπτών
Τα παρακάτω, είναι λιγότερο πιθανό να παρουσιαστούν σε ξενοδοχειακά συστήματα, αλλά θα πρέπει να θεωρούνται ευαίσθητα σε περίπτωση που χρειαστεί:
• Γενετικά δεδομένα
• Φυλετική ή Εθνική καταγωγή
• Πολιτικές απόψεις
• Θρησκευτικές ή φιλοσοφικές πεποιθήσεις
Όλοι οι παραπάνω τύποι ευαίσθητων δεδομένων μπορούν να αντιμετωπιστούν μόνο με ρητή συγκατάθεση. Εάν αυτό το είδος των δεδομένων συλλεχθεί τυχαία, πρέπει να αφαιρεθεί αμέσως, προκειμένου να αποφευχθεί η ανάληψη νέων υποχρεώσεων για την προστασία αυτών των δεδομένων.
4) Πώς επηρεάζει ο GDPR το λογισμικό που χρησιμοποιούν τα ξενοδοχεία;
Όλοι οι κανόνες που πρέπει να ακολουθούν τα ξενοδοχεία ισχύουν και για το λογισμικό που χρησιμοποιούν. Εάν ένα ξενοδοχείο χρησιμοποιεί ένα προϊόν για να επεξεργάζεται τα δεδομένα του, το προϊόν αυτό πρέπει να έχει τις ίδιες υποχρεώσεις με τον ξενοδόχο. Κάθε πωλητής (OTAs, Tour Operators κτλ.) που λαμβάνει προσωπικά δεδομένα από ένα ξενοδοχείο, πρέπει να μοιράζεται μια συμφωνία επεξεργασίας δεδομένων (DPA) με τον ξενοδόχο για να επιβεβαιώσει ότι ο πωλητής συμμορφώνεται με τους κανόνες του GDPR. Η DPA πρέπει να υπαγορεύει τους σκοπούς για τους οποίους ο επεξεργαστής επεξεργάζεται τα δεδομένα.
Εάν ένα ξενοδοχείο χρησιμοποιεί λογισμικό που του δόθηκε από το brand του, ενδέχεται να μην έχει τον πλήρη έλεγχο του τρόπου με τον οποίο θα συγκεντρωθούν οι πληροφορίες που θα χρειαστεί. Στην περίπτωση αυτή, ως κοινοί ελεγκτές των δεδομένων, το ξενοδοχείο και το brand του θα πρέπει να συντάξουν μια σύμβαση που να δηλώνει ρητά τη σχέση τους σε ότι αφορά τη διαχείριση των δεδομένων. Και τα δύο μέρη θα πρέπει να γνωστοποιήσουν τη σχέση τόσο στους επισκέπτες του ξενοδοχείου όσο και στους υπαλλήλους.
5) Μπορούν τα ξενοδοχεία της ΕΕ να χρησιμοποιούν προμηθευτές λογισμικού ή λογισμικό σε servers με έδρα εκτός της ΕΕ;
Ναι, αλλά υπάρχουν όρια στον τρόπο μεταφοράς των δεδομένων εκτός της ΕΕ / ΕΟΧ. Οι περισσότεροι μεγάλοι πάροχοι υπηρεσιών cloud, διαθέτουν συστήματα για την αντιμετώπιση αυτών των κανόνων. Για να επιβεβαιωθεί ότι μια υπηρεσία cloud είναι συμβατή με τον GDPR, οι ξενοδόχοι πρέπει να βεβαιωθούν ότι:
• Έχουν στη διάθεσή τους ένα Data Processing Agreement. Αυτές οι συμφωνίες απαιτούνται για όλους τους επεξεργαστές δεδομένων, και όχι μόνο για τους διεθνείς (GDPR Art.28 [3]).
• Υπάρχει νόμιμη βάση για τη μεταφορά των δεδομένων (GDPR Rec.39, 40, 41, GDPR Art.6 [1]), η οποία μπορεί να γίνει μέσω της συμμετοχής του παρόχου υπηρεσίας στο Privacy Shield, υπογεγραμμένες τυποποιημένες συμβατικές ρήτρες ή άλλους μηχανισμούς που συμφωνούν με τον GDPR. Οι περισσότερες εταιρείες θα βασίζονται στις τυποποιημένες συμβατικές ρήτρες του GDPR.
• Η μεταφορά αναφέρεται στην πολιτική απορρήτου του ξενοδοχείου και εξηγείται ο σκοπός της μεταφοράς.
6) Τι πρέπει να κάνουν τα ξενοδοχεία για τους πωλητές τους;
Για κάθε πωλητή που επεξεργάζεται προσωπικές πληροφορίες των επισκεπτών, ένα ξενοδοχείο πρέπει να κάνει τα εξής:
• Προσδιορίστε τον τύπο δεδομένων που επεξεργάζεται ο προμηθευτής.
• Προσδιορίστε τον σκοπό της διαδικασίας επεξεργασίας.
• Αποκτήστε μια συμφωνία επεξεργασίας δεδομένων.
• Αν ο πωλητής βρίσκεται εκτός της ΕΕ, υπογράψτε τις τυποποιημένες συμβατικές ρήτρες (συνήθως μέρος της Συμφωνίας επεξεργασίας δεδομένων που αναφέρθηκε παραπάνω) ή επιβεβαιώστε ότι ο πωλητής είναι μέλος του Privacy Shield.
• Αναφέρετε τον πωλητή στην πολιτική απορρήτου του ξενοδοχείου, μαζί με το σκοπό ύπαρξής του και τον τρόπο με τον οποίο θα χρησιμοποιηθούν τα δεδομένα.
• Επιβεβαιώστε ότι ο προμηθευτής μπορεί να χειριστεί τα αιτήματα δικαιωμάτων δεδομένων με SLA (Service Level Agreements) σε λιγότερο από ένα μήνα (π.χ. 25 ημέρες).
7) Πώς πρέπει ένα ξενοδοχείο να επικοινωνεί με τους επισκέπτες;
Αναθεωρείστε τις τρέχουσες ειδοποιήσεις απορρήτου και θέστε σε εφαρμογή ένα σχέδιο για την πραγματοποίηση των απαραίτητων αλλαγών εγκαίρως για την υλοποίηση του GDPR. Θα πρέπει να ελέγξετε τον τρόπο με τον οποίο αναζητάτε, καταγράφετε και διαχειρίζεστε τη συγκατάθεση του επισκέπτη και εάν πρέπει να κάνετε οποιεσδήποτε αλλαγές. Ελέγξτε εάν οι συναινέσεις που έχετε έως τώρα, πληρούν το πρότυπο GDPR.
Οι ξενοδόχοι μπορεί να χρειαστεί να μιλούν με τους επισκέπτες κατά το check-in εάν απαιτείται ρητή συγκατάθεση για οποιεσδήποτε μορφές συλλογής δεδομένων που το απαιτούν, όπως η συγκατάθεση στις επικοινωνίες marketing. Όλα τα loyalty programs πρέπει να εξεταστούν για παρόμοιες απαιτήσεις εάν τα δεδομένα χρησιμοποιούνται με τρόπο που απαιτεί συγκατάθεση.
8) Πρέπει οι ξενοδόχοι και οι πωλητές να κρυπτογραφούν τις βάσεις δεδομένων τους;
Εξαρτάται. Ο GDPR συνιστά στις επιχειρήσεις να λάβουν μέτρα για την προστασία όλων των προσωπικών δεδομένων, αλλά δεν διευκρινίζει ποια είναι αυτά τα βήματα. Αντ' αυτού, οι εταιρείες καλούνται να εντοπίσουν τους κινδύνους για τα προσωπικά δεδομένα και να κάνουν ό, τι χρειαστεί γι’ αυτούς τους κινδύνους. Η κρυπτογράφηση είναι μία από τις πολλές διαθέσιμες επιλογές για την προστασία των δεδομένων, αλλά δεν απαιτείται συγκεκριμένα από το GDPR.
Το άρθρο 32 του GDPR δίνει τις ακόλουθες επιλογές, καμία από τις οποίες δεν είναι αυστηρές απαιτήσεις, αλλά οι οποίες θα πρέπει να λαμβάνονται υπόψη για τα οφέλη στην ιδιωτική ζωή των επισκεπτών σας:
• Το ψευδώνυμο και την κρυπτογράφηση των προσωπικών δεδομένων
• Η ικανότητα να εξασφαλίζεται η συνεχής εμπιστοσύνη, ακεραιότητα, διαθεσιμότητα και ανθεκτικότητα των συστημάτων και υπηρεσιών επεξεργασίας
• Την ικανότητα αποκατάστασης της διαθεσιμότητας και της πρόσβασης σε προσωπικά δεδομένα εγκαίρως σε περίπτωση φυσικού ή τεχνικού συμβάντος
• Καθώς και τη διαδικασία τακτικού ελέγχου, εκτίμησης και αξιολόγησης της αποτελεσματικότητας των τεχνικών και οργανωτικών μέτρων για τη διασφάλιση της ασφάλειας της επεξεργασίας
9) Πώς μπορούν οι ξενοδόχοι να είναι σε θέση να ανταποκριθούν στις αιτήσεις μεταφοράς, διόρθωσης ή διαγραφής δεδομένων, π.χ. "το δικαίωμα να ξεχαστεί";
Οι επισκέπτες, οι υπάλληλοι ή οποιοσδήποτε του οποίου τα προσωπικά δεδομένα είναι αποθηκευμένα σε ένα ξενοδοχείο μπορεί να ζητήσει τη διαγραφή των δεδομένων του. Μπορεί επίσης να ζητήσει αντίγραφο όλων των δεδομένων του (δικαίωμα μεταφοράς δεδομένων) ή να διορθωθούν. Υπάρχουν περιπτώσεις στις οποίες αυτό δεν χρειάζεται να τηρηθεί, για παράδειγμα εάν υπάρχει συμβατική ή νομική υποχρέωση διατήρησης των δεδομένων. Αλλά στις περισσότερες περιπτώσεις, το αίτημα θα πρέπει να προχωρήσει. Το άρθρο 59 του GDPR απαιτεί να απαντηθούν αυτά τα αιτήματα εντός ενός μηνός. Η περίοδος αυτή μπορεί να παραταθεί σε εξαιρετικές περιπτώσεις, ζητώντας ακόμη ένα μήνα.
Προκειμένου να είναι σε θέση να χειριστούν έγκαιρα αυτά τα αιτήματα, τα ξενοδοχεία πρέπει να προγραμματίσουν εκ των προτέρων τον τρόπο με τον οποίο μπορούν να εκπληρωθούν τα αιτήματα. Κάθε σημείο όπου αποθηκεύονται δεδομένα θα πρέπει να αντιστοιχιστεί με ένα σχέδιο για τον τρόπο αντιμετώπισης της αίτησης δικαιωμάτων για δεδομένα στην τοποθεσία αυτή. Κάθε πωλητής πρέπει επίσης να ελεγχθεί για να επιβεβαιώσει ότι έχουν παρόμοιο σχέδιο. Οι προμηθευτές θα πρέπει να έχουν SLA (Service-level agreement), το οποίο να είναι μικρότερο από ένα μήνα (π.χ. 25 ημέρες), προκειμένου να δοθεί χρόνος επικοινωνίας μεταξύ εσάς και του πωλητή σε κάθε άκρο της διαδικασίας όταν κάποιος επισκέπτης κάνει αίτημα.
Για τις αιτήσεις μεταφοράς δεδομένων, ο νόμος απαιτεί την παροχή των δεδομένων στον επισκέπτη σε τυποποιημένο format για τη μεταφορά σε άλλες εταιρείες. Δεδομένου ότι προς το παρόν δεν υπάρχουν βιομηχανικά πρότυπα για τη μεταφορά αυτού του είδους δεδομένων από ένα ξενοδοχείο, πρέπει να χρησιμοποιήσετε μια γενική αλλά εύκολα μεταβιβάσιμη μορφή, όπως αρχεία κειμένου με κεφαλίδες και τιμές που χωρίζονται με κόμματα.
10) Πώς πρέπει τα ξενοδοχεία να χειρίζονται τα δεδομένα των παιδιών;
Εντός της ΕΕ / ΕΟΚ, ένα "παιδί" ορίζεται ως κάποιος νεότερος από τις ηλικίες 13 έως 16 ετών. Στις περισσότερες περιπτώσεις, τα ξενοδοχεία δεν θα πρέπει να βασίζονται στη συγκατάθεση των παιδιών ή των γονέων για την επεξεργασία των πληροφοριών των επισκεπτών, καθώς ο πρωταρχικός σκοπός για την επεξεργασία δεδομένων είναι ο χειρισμός κρατήσεων. Ωστόσο, σε περιπτώσεις όπου η συγκατάθεση είναι η βάση για την επεξεργασία δεδομένων, για παράδειγμα, για λόγους marketing, τα δεδομένα των παιδιών πρέπει να αντιμετωπίζονται με πρόσθετη προσοχή.
Θα πρέπει να αρχίσετε να σκέφτεστε εάν πρέπει να θέσετε σε ισχύ συστήματα που επαληθεύουν την ηλικία και να λάβετε τη συγκατάθεση των γονέων ή των κηδεμόνων για οποιαδήποτε δραστηριότητα επεξεργασίας δεδομένων. Τα δεδομένα των παιδιών μπορούν να διαχειριστούν μόνο με ρητή συγκατάθεση, όταν αυτή απαιτείται.
Η βέλτιστη πρακτική είναι να αποφευχθεί η συλλογή και η αποθήκευση δεδομένων σχετικά με τα παιδιά, εκτός εάν αυτό απαιτείται από το νόμο ή είναι απολύτως απαραίτητο για τη διαχείριση μιας κράτησης.
11) Πρέπει τα ξενοδοχεία να προσλάβουν Data Protection Officers (DPOs)
Πρέπει να ορίσετε κάποιον να αναλάβει την ευθύνη για τη συμμόρφωση με την προστασία δεδομένων. Καλό είναι επίσης να εξετάσετε εάν πρέπει να ορίσετε επισήμως έναν υπεύθυνο προστασίας δεδομένων, που εξαρτάται βέβαια από τον όγκο και την σημαντικότητα των πληροφοριών. Σε επίπεδο αλυσίδας και μεγάλου ομίλου, ο ΥΠΔ (Υπεύθυνος Προστασίας Δεδομένων) είναι σχεδόν βέβαιο ότι απαιτείται, αλλά για μεμονωμένα ξενοδοχεία ο νόμος δεν είναι ακόμη σαφής και θα πρέπει να ζητήσετε οδηγίες από τον σύμβουλό σας για το αν είναι απαραίτητος.
12) Τα ξενοδοχεία που βρίσκονται έξω από ΕΕ / ΕΟΧ χρειάζεται να συμμορφωθούν με τον GDPR;
Σύμφωνα με το άρθρο 3 του GDPR, οι κανονισμοί καλύπτουν τη δραστηριότητα που εκτελείται εντός της ΕΕ ή την επεξεργασία δεδομένων από οργανισμούς εγκατεστημένους στην ΕΕ. Όταν ένας πολίτης της ΕΕ ταξιδεύει εκτός της ΕΕ, οι δραστηριότητές του εκτός της ΕΕ δεν προστατεύονται πλέον από τον GDPR, εκτός εάν ο οργανισμός που επεξεργάζεται τα δεδομένα έχει την βάση του στην ΕΕ.
Ωστόσο, μια διαδικασία κράτησης που πραγματοποιείται μεταξύ ενός ατόμου στην ΕΕ και ενός ξενοδοχείου εκτός της ΕΕ, θεωρείται ότι καλύπτεται από τον GDPR. Τα δεδομένα που συλλέγονται στην ΕΕ κατά τη διάρκεια αυτής της διαδικασίας είναι μια δραστηριότητα που πραγματοποιείται εντός της ΕΕ. Έτσι, τα ξενοδοχεία εκτός της ΕΕ συγκεντρώνουν δεδομένα που καλύπτονται από τον GDPR ως μέρος της διαδικασίας ηλεκτρονικής κράτησης. Αυτά τα δεδομένα πρέπει να προστατεύονται με τις κατάλληλες διασφαλίσεις που υπαγορεύονται παραπάνω.
13) Ποιες είναι οι συνέπειες για τη μη συμμόρφωση με τον GDPR;
Οι επιχειρήσεις μπορούν να επιβληθούν με πρόστιμα ύψους έως 4% του ετήσιου παγκόσμιου τζίρου ή 20 εκατομμυρίων ευρώ, όποιο από τα δύο είναι υψηλότερο λόγω μη συμμόρφωσης με τους κανόνες GDPR.
Πηγή: info.aliceapp.com
