GDPR- 13 σημεία που πρέπει να προσέξουν τα ξενοδοχεία
Τι είναι το GDPR και γιατί είναι σημαντικό να γνωρίζετε για αυτό;
Στην ουσία, ο κανονισμός GDPR θα τεθεί σε ισχύ για να ενισχύσει και να ενοποιήσει την προστασία δεδομένων για όλα τα άτομα που ανήκουν στην Ευρωπαϊκή Ένωση. Στηριζόμενο στις οδηγίες για την προστασία δεδομένων του 1995, το GDPR εγκρίθηκε από το Ευρωκοινοβούλιο, το Συμβούλιο της Ευρωπαϊκής Ένωσης, και την Ευρωπαϊκή Επιτροπή στις 14 Απριλίου 2016. Μετά από μια δίχρονη περίοδο μετάβασης θα εφαρμοστεί στα 28 κράτη μέλη στις 25 Μαΐου 2018.
Το GDPR δίνει δύναμη στους πελάτες αναγκάζοντας τις εταιρίες να αποσαφηνίσουν το πώς συλλέγουν, αποθηκεύουν και μοιράζουν τα προσωπικά δεδομένα των πελατών τους. Αν και το GDPR εφαρμόζεται σε κάθε οργανισμό και κάθε επιχείρηση που μαζεύει δεδομένα ευρωπαίων πολιτών, τα ξενοδοχεία με τις διάφορες πηγές που κρατάνε δεδομένα όπως οι κρατήσεις στα OTA και τα συστήματα PMS οφείλουν να προσαρμοστούν σωστά.
Ποιο προσωπικό του ξενοδοχείου χρειάζεται να ξέρει για το GDPR;
Οι υπεύθυνοι λήψης αποφάσεων και τα βασικά άτομα σε ξενοδοχεία με έδρα εντός ΕΕ θα πρέπει να γνωρίζουν ότι ο νόμος για τη προστασία δεδομένων μεταβάλλεται με το GDPR. Στην ουσία αφορά τουλάχιστον τους ακόλουθους ρόλους αν υπάρχουν: Γενικός Διευθυντής (General Manager), Επικεφαλής του τμήματος Marketing (Marketing Manager) και ο Διευθυντής Εσόδων (Revenue Manager). Κάθε ένας από αυτούς τους ρόλους διαχειρίζεται ένα σημαντικό κομμάτι δεδομένων των πελατών και υπαλλήλων. Αυτά τα στελέχη θα πρέπει να εξετάσουν περαιτέρω τον τρόπο συμμόρφωσης στους τομείς που απασχολούνται σε σχέση με τα δεδομένα που διαχειρίζονται.
Τι είδος πληροφορίες πρέπει να είναι σε θέση να φυλάξει ένα ξενοδοχείο;
Όλα τα δεδομένα ενός ατόμου της ΕΕ καλύπτονται από το GDPR. Αυτό περιλαμβάνει δεδομένα πελατών αλλά και υπαλλήλων. Τα ξενοδοχεία θα πρέπει να τεκμηριώνουν ότι δεδομένα κατέχουν, από πού ήρθαν τα δεδομένα και με ποιον τα μοιράστηκαν. Τα ξενοδοχεία ίσως χρειαστεί να κάνουν ένα εσωτερικό έλεγχο ροής της πληροφορίας που λαμβάνουν, επεξεργάζονται και αποθηκεύουν.
«Τα προσωπικά δεδομένα» είναι οποιαδήποτε δεδομένα για ένα αναγνωρίσιμο άτομο. Το άτομο μπορεί να αναγνωριστεί από το όνομα, τον αριθμό τηλεφώνου, διεύθυνση email, αριθμό κράτησης, Διεύθυνση IP, ή άλλη πληροφορία που τους επιτρέπει να αναγνωρίζονται με μοναδικό τρόπο.
Το GDPR παραχωρεί επιπλέον προστασία για τα «ευαίσθητα δεδομένα». Αυτά περιλαμβάνουν προσωπικά δεδομένα που αποκαλύπτουν κάτι από τα παρακάτω:
Συμμετοχή σε κάποια οργάνωση, που μπορεί να αποκαλυφθεί από την παρουσία στο γεγονός που έλαβε χώρα σε ξενοδοχείο
Βιομετρικά με σκοπό να αναγνωριστεί κάποιος με μοναδικό τρόπο, όπως ένα αποτύπωμα που αποθηκεύτηκε για το άνοιγμα π.χ πόρτας στο ξενοδοχείο
Κατάσταση υγείας, που ίσως φανερώθηκε σε αίτημα του πελάτη προς το ξενοδοχείο
Σεξουαλική ζωή ή σεξουαλικός προσανατολισμός, που πάλι ίσως φανερώθηκε από αίτημα πελάτη.
Τα ακόλουθα είναι λιγότερο πιθανόν να εμφανιστούν σε συστήματα ξενοδοχείων, αλλά και πάλι πρέπει να γίνει κατανοητό ότι είναι ευαίσθητα δεδομένα σε περίπτωση που εμφανιστούν:
Γενετικά δεδομένα
Εθνικά ή φυλετικά δεδομένα
Πολιτικές πεποιθήσεις
Θρησκευτικές ή φιλοσοφικές πεποιθήσεις
Όλα τα παραπάνω είδη ευαίσθητων δεδομένων μπορούν να αντιμετωπιστούν/αποθηκευθούν μόνο με ρητή συγκατάθεση. Αν αυτό το είδος δεδομένων συλλέγεται τυχαία, θα πρέπει να αφαιρεθεί αμέσως για να αποφευχθεί η ανάληψη νέων υποχρεώσεων για την προστασία δεδομένων.
Πως επηρεάζει το GDPR το λογισμικό που μπορούν να χρησιμοποιήσουν τα ξενοδοχεία;
Όλοι οι κανόνες που πρέπει να ακολουθούν τα ξενοδοχεία εφαρμόζονται επίσης και στο λογισμικό κρατήσεων που χρησιμοποιούν. Αν ένα ξενοδοχείο χρησιμοποιεί ένα λογισμικό για να επεξεργαστεί τα δεδομένα του, αυτό το λογισμικό πρέπει να προσαρμοστεί και να υπακούει σε όλες τις υποχρεώσεις που έχει ο ξενοδόχος με το νέο κανονισμό. Κάθε προμηθευτής λογισμικού που αποθηκεύει προσωπικά δεδομένα από ένα ξενοδοχείο πρέπει να υπογράψει μια Συμφωνία Επεξεργασίας Δεδομένων (DPA - Data Processing Agreement) με το ξενοδοχείο για να επιβεβαιώσει ότι είναι σύμφωνος με τους κανόνες του GDPR. Η DPA πρέπει να περιγράφει τους λόγους για τους οποίους ο προμηθευτής επεξεργάζεται τα δεδομένα.
Αν ένα ξενοδοχείο χρησιμοποιεί ένα λογισμικό που του δόθηκε από την εταιρεία που εκπροσωπεί ή την αλυσίδα, ίσως να μην έχει πλήρη έλεγχο για το πώς χρησιμοποιούνται οι συγκεντρωμένες πληροφορίες. Σε αυτή την περίπτωση, ως κοινοί ελεγκτές δεδομένων, το ξενοδοχείο και η εταιρεία θα πρέπει να συντάξουν μια σύμβαση που να δηλώνει ρητά τη σχέση τους όσον αφορά τη διαχείριση δεδομένων. Και τα μέρη θα πρέπει να γνωστοποιήσουν την σχέση τους και στους πελάτες και στους υπαλλήλους.
Μπορούν τα ξενοδοχεία της ΕΕ να χρησιμοποιούν προμηθευτές λογισμικών ή λογισμικό σε servers που βρίσκονται εκτός της ΕΕ;
Ναι, αλλά υπάρχουν όρια στο πως τα δεδομένα μπορούν να μεταφερθούν εκτός της ΕΕ/ΕΕΑ. Οι περισσότεροι σημαντικοί πάροχοι υπηρεσιών cloud και πολλές άλλες εταιρίες, διαθέτουν συστήματα για να αντιμετωπίσουν αυτούς τους κανόνες. Για να σιγουρευτούν ότι μια υπηρεσία cloud είναι σύμφωνη με το GDPR , οι ξενοδόχοι πρέπει να βεβαιωθούν ότι:
Διαθέτουν Συμφωνία Επεξεργασίας Δεδομένων. Αυτές οι συμφωνίες απαιτούνται για όλους τους επεξεργαστές δεδομένων, όχι μόνο σε διεθνής εκτός ΕΕ (GDPR Art.28[3]).Υπάρχει μια νομότυπη βάση για την μεταφορά δεδομένων (GDPR Rec.39, 40, 41; GDPR Art.6[1]), η οποία μπορεί να γίνει μέσα από την συμμετοχή του παρόχου υπηρεσιών στην Private Shield (https://www.privacyshield.gov/) , με υπογεγραμμένες τυποποιημένες συμβατικές ρήτρες ή άλλους μηχανισμούς που επιτρέπονται βάσει του GDPR.
Η μεταφορά αναφέρεται στην ιδιωτική πολιτική του ξενοδοχείου και ο σκοπός της μεταφοράς αιτιολογείται.
Τι χρειάζεται να κάνουν τα ξενοδοχεία για τους υπαλλήλους και τους συνεργάτες τους;
Για κάθε υπάλληλο που επεξεργάζεται προσωπικές πληροφορίες πελατών, το ξενοδοχείο χρειάζεται να κάνει τα παρακάτω:
Καθορίστε το είδος των δεδομένων που επεξεργάζεται ο υπάλληλος.
Καθορίστε τον λόγο που γίνεται η επεξεργασία.
Κάντε μια Συμφωνία Επεξεργασίας Δεδομένων (DPA - Data Processing Agreement).
Αν ο υπάλληλος/ συνεργάτης είναι εκτός της ΕΕ, υπογράψτε τις τυποποιημένες συμβατικές ρήτρες (συνήθως μέρος της συμφωνίας επεξεργασίας δεδομένων που αναφέρθηκε παραπάνω), ή επιβεβαιώστε ότι ο συνεργάτης είναι μέλος της Private Shield (https://www.privacyshield.gov/).
Αναφέρετε τον συνεργάτη στη ιδιωτική πολιτική του ξενοδοχείου, μαζί με τον σκοπό του και πως θα χρησιμοποιηθούν τα δεδομένα.
Επιβεβαιώστε ότι ο συνεργάτης μπορεί να χειριστεί τα αιτήματα δικαιωμάτων των δεδομένων με ένα SLA (Service Level Agreements) μέσα σε ένα μήνα
Πως θα πρέπει το ξενοδοχείο να γνωστοποιήσει πολιτικές σημειώσεις στους πελάτες;
Θα πρέπει να ελέγξετε τις τρέχουσες πολικές σας και να βάλετε ένα πλάνο, ώστε να κάνετε οποιεσδήποτε απαραίτητες αλλαγές στην ώρα τους για την εφαρμογή του GDPR. Πρέπει να ελέγχετε πως ψάχνετε, καταγράφετε, και λαμβάνετε την συγκατάθεση του πελάτη και αν χρειάζεται να κάνετε κάποια αλλαγή και σε αυτό το κομμάτι. Ανανεώστε τις υπάρχουσες συναινέσεις στην σελίδα σας αν δεν ταιριάζουν με τις προδιαγραφές του GDPR.
Ίσως χρειαστεί να μιλάτε με τους πελάτες στο check-in και να λαμβάνετε τη ρητή συγκατάθεση για οποιεσδήποτε μορφές συλλογής δεδομένων όπου απαιτείται, όπως συγκατάθεση στις επικοινωνίες για marketing. Όλα τα προγράμματα αφοσίωσης πρέπει να εξεταστούν για παρόμοιες προϋποθέσεις αν χρησιμοποιούνται δεδομένα με οποιοδήποτε τρόπο που απαιτείται συγκατάθεση.
Χρειάζεται τα ξενοδοχεία ή οι συνεργάτες τους να κωδικοποιούν τις βάσεις δεδομένων τους;
Εξαρτάται. Το GDPR προτείνει ότι οι εταιρίες λαμβάνουν μέτρα για να προστατέψουν όλα τα προσωπικά δεδομένα, αλλά δεν προσδιορίζει ποια πρέπει να είναι αυτά τα μέτρα. Αντί αυτού, οι εταιρίες καλούνται να αναγνωρίσουν τους κινδύνους για τα προσωπικά δεδομένα και να κάνουν ότι είναι κατάλληλο για αυτούς. Η κρυπτογράφηση είναι από τις πολλές επιλογές που είναι διαθέσιμες για την προστασία των δεδομένων, αλλά δεν απαιτείται συγκεκριμένα στο GDPR.
Το άρθρο 32 του GDPR δίνει τις ακόλουθες επιλογές, καμία από τις οποίες δεν είναι αυστηρές προϋποθέσεις, αλλά πρέπει να ληφθούν υπόψη για τα οφέλη που αποκομίζουν από την ιδιωτική ζωή των επισκεπτών:
Τα ψευδώνυμα [απόκρυψη ταυτοτήτων] και η κρυπτογράφηση των προσωπικών δεδομένων
Η ικανότητα να εξασφαλίζεται η τρέχουσα εχεμύθεια, διαθεσιμότητα και αντοχή των συστημάτων και υπηρεσιών επεξεργασίας των δεδομένων.
Η ικανότητα να επαναφέρεται η διαθεσιμότητα και η πρόσβαση σε προσωπικά δεδομένα εγκαίρως σε περίπτωση υλικού ή τεχνικού ατυχήματος.
Μια διαδικασία τακτικού ελέγχου, εκτίμησης και αξιολόγησης της αποτελεσματικότητας των τεχνικών και οργανωτικών μέτρων για τη διασφάλιση της ασφάλειας της επεξεργασίας.
Πως μπορούν οι ξενοδόχοι να σιγουρευτούν ότι μπορούν να διεκπεραιώσουν τα αιτήματα για την φορητότητα, διόρθωση, ή διαγραφή δεδομένων, "the right to be forgotten" όπως λέγεται;
Οι πελάτες, οι υπάλληλοι, ή οποιοσδήποτε άλλος του οποίου τα προσωπικά δεδομένα είναι αποθηκευμένα σε ένα ξενοδοχείο μπορεί να ζητήσουν να διαγραφούν τα δεδομένα τους. Επίσης μπορούν να ζητήσουν μια αντιγραφή όλων των δεδομένων τους (δικαίωμα στην φορητότητα των δεδομένων) ή μια διόρθωση. Υπάρχουν περιπτώσεις στις οποίες αυτό δεν χρειάζεται να γίνει, για παράδειγμα αν υπάρχει μια τρέχουσα συμβατική ή νόμιμη προϋπόθεση για να διατηρηθούν τα δεδομένα. Αλλά στις περισσότερες περιπτώσεις, το αίτημα πρέπει να γίνει αποδεκτό. Η ανάγνωση αρθρου 59 του GDPR ζητάει αυτά τα αιτήματα να απαντηθούν μέσα σε ένα μήνα. Αυτή η περίοδος μπορεί να επεκταθεί κάτω από εξαιρετικές προϋποθέσεις, ζητώντας ένα ακόμα μήνα.
Για να μπορέσετε να χειριστείτε αυτά τα αιτήματα εγκαίρως, το ξενοδοχείο χρειάζεται να σχεδιάσει προκαταβολικά πως αυτά τα αιτήματα μπορούν να απαντηθούν. Για κάθε σημείο που αποθηκεύονται δεδομένα θα πρέπει να οργανωθεί ένα σχέδιο για το πώς θα αντιμετωπιστούν τα δικαιώματα των αιτημάτων για τα δεδομένα στο συγκεκριμένο σημείο. Κάθε θέση εργασίας που επεξεργάζεται δεδομένα, επίσης χρειάζεται να ελεγχθεί για να επιβεβαιώσει ότι έχει ένα πλάνο για τέτοια αιτήματα.
Για τα αιτήματα φορητότητας δεδομένων, ο νόμος απαιτεί τα δεδομένα να δοθούν στον πελάτη σε μία συγκεκριμένη μορφή για την μεταφορά σε άλλες εταιρίες. Δεδομένου ότι προς το παρόν δεν υπάρχει πρότυπο για αυτό το είδος δεδομένων που θα μεταφερθεί από ένα ξενοδοχείο, πρέπει να χρησιμοποιήσετε μια γενική αλλά εύκολα μεταβιβάσιμη μορφή, όπως αρχεία κειμένου και αρχεία με τιμές που χωρίζονται με κόμμα (csv) .
Πως θα πρέπει να αντιμετωπίσουν τα παιδικά δεδομένα οι ξενοδόχοι;
Μέσα στην ΕΕ/EEC, ένα παιδί ορίζεται ως κάποιος νεότερος από μια ηλικία ανάμεσα στα 13 και 16. Στις περισσότερες περιπτώσεις, τα ξενοδοχεία δεν χρειάζεται να βασίζονται στην συγκατάθεση των παιδιών ή των γονέων για να επεξεργαστούν τις πληροφορίες πελατών, επειδή η πρωταρχική βάση για την επεξεργασία δεδομένων αφορά κρατήσεις που γίνονται από ενήλικα. Ωστόσο, σε περιπτώσεις που η συγκατάθεση είναι η βάση της επεξεργασίας δεδομένων, για παράδειγμα για λόγους marketing, τα δεδομένα παιδιών χρειάζεται να αντιμετωπιστούν με ιδιαίτερη προσοχή.
Θα πρέπει να αρχίσετε να σκέφτεστε απο τώρα σχετικά με τον αν χρειάζεται να βάλετε συστήματα για να εξακριβώσετε τις ατομικές ηλικίες και να αποκτήσετε την συγκατάθεση του γονέα ή του κηδεμόνα για οποιαδήποτε δραστηριότητα επεξεργασίας δεδομένων. Τα δεδομένα παιδιών μπορούν χειριστούν με ρητή συγκατάθεση όταν είναι απαραίτητη.
Η καλύτερη πρακτική είναι να αποφεύγετε την συλλογή και αποθήκευση δεδομένων σχετικά με τα παιδιά εκτός και αν είναι νομικά απαραίτητο ή οπωσδήποτε σημαντικό για να γίνει μια κράτηση.
Χρειάζεται τα ξενοδοχεία να προσλάβουν Υπαλλήλους Προστασίας Δεδομένων (DPOs Data Protection Officer);
Θα πρέπει να ορίσετε κάποιον να αναλάβει την ευθύνη για την συμμόρφωση με την προστασία δεδομένων και να αξιολογήσει πού θα διαδραματιστεί αυτός ο ρόλος στο πλαίσιο της δομής και της οργάνωσης της επιχείρησης σας, ακόμη και αν δεν απαιτείται τυπικά να έχετε έναν DPO. Θα πρέπει να λάβετε υπόψη σας αν καλείστε επίσημα να ορίσετε έναν Υπάλληλο προστασίας δεδομένων, και αυτός ο ορισμός εξαρτάται από την αξία και την ευαισθησία των πληροφοριών. Σε αλυσίδα ξενοδοχείων και σε μεγάλο επίπεδο ομάδας, ένας DPO σίγουρα απαιτείται, αλλά για μεμονωμένα ξενοδοχεία, ο νόμος δεν είναι ακόμα ξεκάθαρος και θα πρέπει να ζητήσετε οδηγίες για το αν είναι απαραίτητο.
Πρέπει τα ξενοδοχεία εκτός της ΕΕ/ΕΕΑ να κάνουν κάτι για να συμφωνήσουν με το GDPR;
Σύμφωνα με το άρθρο 3 του GDPR, η νομοθεσία καλύπτει δραστηριότητες που γίνονται μέσα στην ΕΕ ή επεξεργασία δεδομένων από οργανισμούς με βάση την ΕΕ. Όταν ένας πολίτης της ΕΕ ταξιδεύει εκτός της ΕΕ, οι δραστηριότητες του εκτός της ΕΕ δεν προστατεύονται πλέον από το GDPR εκτός αν ο οργανισμός που επεξεργάζεται τα δεδομένα έχει βάση στην ΕΕ.
Ωστόσο, η διαδικασία κράτησης που συμβαίνει ανάμεσα σε ένα άτομο της ΕΕ και σε ένα ξενοδοχείο εκτός της ΕΕ θεωρείται καλυμμένο από το GDPR. Τα δεδομένα που συλλέγονται στην ΕΕ κατά την διαδικασία αυτή είναι μια δραστηριότητα που γίνεται μέσα στην ΕΕ. Οπότε τα ξενοδοχεία έξω από την ΕΕ όντως συλλέγουν δεδομένα που καλύπτονται από το GDPR ως μέρος της διαδικτυακής διαδικασίας κράτησης. Αυτά τα δεδομένα χρειάζεται να προστατευτούν με κατάλληλα μέτρα ασφαλείας που αναφέρθηκαν παραπάνω.
Ποιες είναι οι επιπτώσεις για την μη συμμόρφωση με το GDPR;
Οι επιχειρήσεις μπορούν να έχουν πρόστιμα ύψους έως το 4% των ετήσιων παγκόσμιων πωλήσεων ή 24.6 εκατομμύρια (20 εκατομμύρια), οποιοδήποτε από τα δύο είναι υψηλότερο λόγω της μη συμμόρφωσης με τους κανόνες του GDPR.