GDPR και Ξενοδοχεία – Συχνές Ερωτήσεις (FAQ)
Η συμμόρφωση με τον Κανονισμό
O Κανονισμός GDPR εφαρμόζεται σε όλες τις επιχειρήσεις που συλλέγουν δεδομένα από τους πολίτες της ΕΕ, η φύση των ξενοδοχείων και οι ποικίλες πηγές κράτησης δεδομένων, όπως είναι οι πάροχοι Online Υπηρεσιών (OTA), οι άμεσες κρατήσεις μέσω εφαρμογών των ξενοδοχείων καθώς και τα συστήματα διαχείρισης περιουσιακών στοιχείων ή λειτουργικά συστήματα ξενοδοχείων) δημιουργούν αυξημένες υποχρεώσεις στις τουριστικές επιχειρήσεις και ειδικότερα τις ξενοδοχειακές επιχειρήσεις.
Πώς ο GDPR επηρεάζει το λογισμικό που τα ξενοδοχεία μπορούν να χρησιμοποιούν;
Όλοι οι κανόνες που τα ξενοδοχεία πρέπει να ακολουθούν, εφαρμόζονται και στο λογισμικό που χρησιμοποιούν. Εάν ένα ξενοδοχείο χρησιμοποιεί ένα προϊόν για να επεξεργαστεί τα δεδομένα που χρησιμοποιεί τότε και αυτό το προϊόν πρέπει να συμμορφώνεται με όλες τις υποχρεώσεις που ο ξενοδόχος έχει.
Κάθε ένας προμηθευτής που λαμβάνει προσωπικά δεδομένα από ένα ξενοδοχείο πρέπει να έχει συνάψει Συμφωνία Επεξεργασίας Δεδομένων (ΣΕΔ) με τον ξενοδόχο, για να επιβεβαιώσει ότι ο προμηθευτής του συμμορφώνεται και αυτό με τους κανόνες του GDPR. Η ΣΕΔ πρέπει να υπαγορεύει τους σκοπούς για τους οποίους ο εκτελών την επεξεργασία επεξεργάζεται τα δεδομένα καθώς και να περιέχει διαδικασίες προστασίας τους.
Εάν ένα ξενοδοχείο χρησιμοποιεί ένα λογισμικό που του έχει δοθεί από την μητρική εταιρεία του ή την εταιρεία η οποία έχει δώσει franchise, είναι πιθανό να μην έχει πλήρη έλεγχο του πώς οι συγκεντρωμένες πληροφορίες πρόκειται να χρησιμοποιηθούν. Σε αυτή την περίπτωση, ως από κοινού υπεύθυνοι επεξεργασίας των δεδομένων, το ξενοδοχείο και η μητρική εταιρεία ή η εταιρεία δικαιοπάροχος θα πρέπει να συντάξουν μια σύμβαση που να αναφέρει ρητά τη σχέση τους όσον αφορά τη διαχείριση δεδομένων. Και τα δύο μέρη θα πρέπει να γνωστοποιήσουν τη σχέση τόσο στους επισκέπτες όσο και στους υπαλλήλους.
Πώς θα πρέπει το ξενοδοχείο να ανακοινώνει στους επισκέπτες του την πολιτική απορρήτου;
Θα πρέπει να ελέγξετε όλες τις γνωστοποιήσεις τήρησης προσωπικών δεδομένων και την πολιτική απορρήτου της εταιρείας σας και να βάλετε σε εφαρμογή ένα πλάνο για να κάνετε οποιεσδήποτε απαραίτητες αλλαγές εγκαίρως πριν την εφαρμογή του GDRP. Θα πρέπει να ελέγξετε πώς αναζητείτε, καταγράφετε και διαχειρίζεστε τη συναίνεση των πελατών σας και εάν χρειάζεται να προβείτε σε αλλαγές. Ανανεώστε τις ήδη υπάρχουσες συναινέσεις τώρα, εάν δεν συμβαδίζουν με τις απαιτήσεις του GDPR.
Οι ξενοδόχοι είναι πιθανόν να πρέπει να λάβουν από τους πελάτες κατά το «check-in», τις ειδικότερες συναινέσεις που τυχόν απαιτούνται απαιτείται για οποιαδήποτε μορφή συλλογής δεδομένων που κάνει ένα ξενοδοχείο, όπως για παράδειγμα την η συγκατάθεση για τις επικοινωνίες μάρκετινγκ. Όλα τα προγράμματα πιστότητας πρέπει να εξεταστούν για παρόμοιες απαιτήσεις, εάν τα δεδομένα χρησιμοποιούνται με τρόπο που απαιτεί συγκατάθεση (συνήθως).
Χρειάζεται οι ξενοδόχοι ή οι προμηθευτές τους να κρυπτογραφήσουν τις βάσεις δεδομένων τους;
Ο GDPR προτείνει στις εταιρείες να κάνουν βήματα για να προστατεύουν όλα τα προσωπικά δεδομένα, αλλά δεν προσδιορίζει ποια είναι αυτά τα βήματα που πρέπει να γίνουν. Αντ’ αυτού, οι εταιρείες καλούνται να προσδιορίσουν τους κινδύνους για τα προσωπικά δεδομένα και να κάνουν ό, τι είναι απαραίτητο για να μειώσουν τους κινδύνους αυτούς. Η κρυπτογράφηση είναι μία από τις πολλές διαθέσιμες επιλογές για την προστασία των δεδομένων, αλλά δεν απαιτείται ειδικά από το GDPR. Συνεπώς, επειδή η κρυπτογράφηση επιβαρύνει ιδιαίτερα την επεξεργαστική ισχύ της ΙΤ υποδομής μιας επιχείρησης, αυτή θα πρέπει να γίνει στοχευμένα. Ιδιαίτερη μέριμνα θα πρέπει να γίνει στην περίπτωση που χρησιμοποιείτε υπηρεσίες cloud. Οι πάροχοι υπηρεσιών cloud θεωρούνται και αυτοί συν – υπεύθυνοι επεξεργασίας και συνεπώς θα πρέπει να είναι αξιόπιστοι.
Πώς μπορούν οι ξενοδόχοι να βεβαιωθούν ότι είναι ικανοί να ανταποκριθούν στα αιτήματα για τη φορητότητα, τη διόρθωση, ή τη διαγραφή των δεδομένων ή αλλιώς, όπως είναι γνωστό, στο «δικαίωμα στη λήθη»;
Οι πελάτες, οι υπάλληλοι, ή οποιοδήποτε άλλος του οποίου τα προσωπικά δεδομένα τηρούνται από ένα ξενοδοχείο, μπορεί να ζητήσει να διαγραφούν τα δεδομένα του. Μπορούν επιπρόσθετα, να ζητήσουν ένα αντίγραφο όλων των δεδομένων τους (δικαίωμα φορητότητας) ή να ζητήσουν να διορθωθούν τα δεδομένα τους. Υπάρχουν περιπτώσεις στις οποίες το αίτημα αυτό δεν μπορεί να ικανοποιηθεί, για παράδειγμα εάν υπάρχει συμβατική ή νομική υποχρέωση διατήρησης των δεδομένων (π.χ. στο μέτρο που απαιτείται για φορολογικούς λόγους). Αλλά στις περισσότερες περιπτώσεις, τα αιτήματα θα πρέπει να ικανοποιούνται. H αιτιολογική σκέψη 59 του GDPR απαιτεί να απαντώνται αυτά τα αιτήματα μέσα σε ένα μήνα. Αυτή η προθεσμία μπορεί να παραταθεί κάτω από εξαιρετικές καταστάσεις, ζητώντας ακόμα ένα μήνα.
Προκειμένου να είναι σε θέση να χειριστούν έγκαιρα αυτά τα αιτήματα, τα ξενοδοχεία πρέπει να προγραμματίσουν εκ των προτέρων τον τρόπο με τον οποίο μπορούν να εξετάζουν τα αιτήματα. Κάθε σημείο (φυσικό ή εικονικό/ virtual) όπου αποθηκεύονται τα δεδομένα θα πρέπει να χαρτογραφηθεί με ένα σχέδιο για τον τρόπο αντιμετώπισης των ανωτέρω αιτημάτων. Κάθε προμηθευτής υπηρεσιών που τηρούν δεδομένα (όχι όμως εξοπλισμού hardware) θα πρέπει επιπλέον να ελεγχθεί για να επιβεβαιωθεί ότι διαθέτει ένα παρόμοιο σχέδιο. Με τους προμηθευτές που χρησιμοποιούν δεδομένα θα πρέπει να έχει καταρτιστεί σύμβαση και να έχει προβλεφθεί από κοινού τρόπος εξέτασης και ικανοποίησης των αιτημάτων.
Για τα αιτήματα σχετικά με τη φορητότητα των δεδομένων, ο νόμος απαιτεί τα δεδομένα να δίνονται στον πελάτη σε ένα τυποποιημένο μορφότυπο. Δεδομένου ότι προς το παρόν δεν υπάρχουν βιομηχανικά πρότυπα για τη μεταφορά αυτού του είδους δεδομένων από ένα ξενοδοχείο, πρέπει να χρησιμοποιείτε μια γενική αλλά εύκολα μεταβιβάσιμη μορφή, όπως αρχεία κειμένου (.doc, .xls, .pdf κτλ.) με κεφαλίδες και τιμές που χωρίζονται με κόμματα.
Πώς πρέπει τα ξενοδοχεία να χειρίζονται τα δεδομένα των παιδιών;
Εντός της ΕΕ/ΕΟΚ, ως «παιδί» ορίζεται κάποιος νεότερος από την ορισμένη από τη χώρα γεννήσεώς του, ηλικία, μεταξύ των 13 και των 16 ετών. Για τις περισσότερες περιπτώσεις, τα ξενοδοχεία δεν θα χρειάζεται να στηριχθούν στην συγκατάθεση των παιδιών ή των γονέων για να επεξεργαστούν πληροφορίες πελατών, δεδομένου ότι η κύρια βάση για την επεξεργασία δεδομένων χειρίζεται κρατήσεις (ΟΤΑ) ή οι κρατήσεις γίνονται από τους κηδεμόνες. Ωστόσο, σε περιπτώσεις όπου η συναίνεση είναι η βάση για την επεξεργασία των δεδομένων, για παράδειγμα για σκοπούς μάρκετινγκ, τα δεδομένα των παιδιών θα πρέπει να διαχειριστούν περισσότερο προσεκτικά.
Θα πρέπει να αρχίσετε από τώρα να σκέφτεστε, εάν χρειάζεται να θέσετε σε ισχύ συστήματα που θα επαληθεύουν τις ηλικίες του κάθε καλεσμένου σας και να αποκτάτε την γονική συναίνεση ή την συναίνεση του κηδεμόνα για οποιαδήποτε επεξεργασία δεδομένων. Τα δεδομένα των παιδιών μπορούν μόνο να διαχειριστούν με προηγούμενη ρητή (και ειδική) συγκατάθεση, όπου απαιτείται συγκατάθεση.
Η καλύτερη πρακτική είναι να αποφύγετε τη συλλογή και την αποθήκευση δεδομένων που αφορούν παιδιά, εκτός εάν υπάρχει νομική υποχρέωση ή είναι απόλυτα είναι απολύτως απαραίτητο για τον χειρισμό μιας κράτησης.
Είναι υποχρεωμένα τα ξενοδοχεία να προσλάβουν Υπεύθυνους Προστασίας Δεδομένων (DPO);
Θα πρέπει να ορίσετε κάποιον DPO να αναλάβει την ευθύνη για τη συμμόρφωση με τις προβλέψεις του νέου Κανονισμού. Θα πρέπει να αναλογισθείτε, εάν απαιτείται να ορίσετε επισήμως έναν Υπεύθυνο Προστασίας Δεδομένων και αυτός ο προσδιορισμός εξαρτάται από τον όγκο και την ευαισθησία των πληροφοριών. Στο επίπεδο μίας αλυσίδας και ενός μεγάλου ξενοδοχείου, ένας ΥΠΔ απαιτείται σίγουρα, αλλά για μεμονωμένα ξενοδοχεία, ο νόμος δεν είναι ακόμα ξεκάθαρος και θα πρέπει να αναζητήσετε καθοδήγηση από κάποιον ειδικό σύμβουλο που θα εξετάσει την δομή σας, ως προς το αν απαιτείται.