Gdpr за хотелиерите често задавани въпроси Какво е gdpr?

По същество GDPR беше влязъл в сила, за да се укрепи и обедини защитата на данните за всички лица в рамките на Европейския съюз (ЕС). Като се основава на Директивата за защита на данните от 1995 г. (Директива 95/46 / ЕО), GDPR беше одобрен от Европейския парламент, Съвета на Европейския съюз и Европейската комисия на 14 април 2016 г. След двугодишен преходен период ще станат приложими в 28-те държави-членки на 25 май 2018 г.

GDPR връща властта на потребителите, като ги принуждава да станат прозрачни в това, как събират, съхраняват и споделят информация за личните данни на своите клиенти. Въпреки че GDPR се прилага за всяка организация или бизнес, събиращи данни за гражданите на ЕС, характерът на хотелите и различните източници на данни, като например резервациите за ОТА и системите PMS, ескалира регулирането за туристическите и хотелиерските индустрии.

Тъй като ALICE расте и се разширява на нови пазари, ние спазваме GDPR, за да гарантираме, че нашите настройки за поверителност са адекватно интегрирани, което позволява на нашите партньори да се адаптират на всеки етап от жизнения цикъл на данните за личните данни на клиентите.

Взимащите решения и ключовите хора в хотелите в ЕС и в ЕИП трябва да са наясно, че законът се променя в ГДРП. Това би включвало поне следните роли, ако има такива: генерален мениджър, ръководител на маркетинга и мениджър по приходите. Всяка от тези роли се занимава със значителна част от данните за клиентите и служителите. Тези лидери трябва да прочетат тези често задавани въпроси и да помислят по-подробно как да се съобразят в областите, които ръководят.

Всички данни за лицата в ЕС са обхванати от ГДРП. Това включва както гости, така и служители. Хотелите трябва да документират какви лични данни държат, откъде идват и с кого се споделят. Може да се наложи хотелът да организира информационен одит.

„Лични данни“ са всички данни за лице, което може да бъде идентифицирано. Едно лице може да бъде идентифицирано по име, телефонен номер, имейл адрес, номер на резервация, IP адрес или всякаква информация, която позволява да бъдат уникално идентифицирани.

GDPR предоставя допълнителни защити за „чувствителни данни“. Това включва лични данни, които разкриват някое от следните:

• 
  членство в синдикални организации, което може да бъде разкрито от присъствието на събитието
  
• 
  биометрични данни с цел уникално идентифициране на някого, като например отпечатъци, съхранени за отваряне на врати
  
• 
  здравословно състояние, което може да бъде оповестено в заявките за гости
  

Следните са по-малко вероятно да се появят в хотелските системи, но все пак трябва да бъдат разбирани като чувствителни, в случай че се появят:

• 
  генетични данни
  
• 
  расов или етнически произход
  
• 
  политически мнения
  
• 
  религиозни или философски вярвания
  

Всички горепосочени видове чувствителни данни могат да бъдат обработвани само с изрично съгласие. Ако тези данни се събират случайно, те трябва незабавно да бъдат премахнати, за да се избегнат новите задължения за защита на тези данни.

Всички правила, които хотелите трябва да следват, важат и за софтуера, който използват. Ако хотел използва продукт за обработка на данните си, този продукт трябва да се придържа към всички същите задължения, които има хотелиерът. Всеки един продавач, който получава лични данни от хотел, трябва да споделя споразумение за обработка на данни (DPA) с хотелиера, за да потвърди, че продавачът е в съответствие с правилата на GDPR. DPA трябва да диктува целите, за които процесорът обработва данните.

Ако хотел използва софтуера, който му е даден от неговата марка или знаме, може да не е в пълен контрол как ще се използва събраната информация. В този случай, като съвместни администратори на данните, хотелът и неговата марка ще трябва да изготвят договор, който изрично посочва връзката им по отношение на управлението на данните. И двете страни ще трябва да съобщят връзката както с гостите, така и със служителите си.

Да, но съществуват ограничения за това как данните могат да се прехвърлят извън ЕС / ЕИП. Повечето големи доставчици на услуги за облак и много други компании, като ALICE, разполагат със системи за адресиране на тези правила. За да потвърдите, че услугата за облаци е в съответствие с GDPR, хотелиерите трябва да се уверят, че:

• 
  Те имат споразумение за обработка на данни. Тези споразумения се изискват за всички обработващи данни, а не само за международни (GDPR Art.28 [3]).
  
• 
  Съществува законна основа за предаване на данните (GDPR Rec.39, 40, 41, GDPR Art.6 [1]), което може да стане чрез членството на доставчика на услуги в Privacy Shield , подписани стандартни договорни клаузи или други механизми под GDPR. Повечето компании ще разчитат на стандартните договорни клаузи на GDPR.
  
• 
  Трансферът е посочен в декларацията за поверителност на хотела и целта на прехвърлянето е обяснена.
  

За всеки доставчик, който обработва личната информация на гостите, хотелът трябва да направи следното:

1. 
   Определете типа данни, които процесите на доставчиците.
   
2. 
   Определете целта, за която се извършва обработката.
   
3. 
   Получаване на споразумение за обработка на данни.
   
4. 
   Ако продавачът е извън ЕС, подпишете стандартните договорни клаузи (обикновено част от Споразумението за обработка на данни, споменати по-горе) или потвърдете, че продавачът е член на Privacy Shield.
   
5. 
   Посочете продавача в декларацията за поверителност на хотела, заедно с целта на доставчика и как ще се използват данните.
   
6. 
   Уверете се, че доставчикът може да обработва заявки за права за данни със SLA под един месец (напр. 25 дни).
   

Хотелиерите може да се наложи да говорят с клиентите при настаняване, ако се изисква изрично съгласие за всички форми на събиране на данни, които го изискват, като например съгласие за маркетингови съобщения. Всички програми за лоялност трябва да бъдат изследвани за подобни изисквания, ако данните се използват по начин, който изисква съгласие.

Зависи. GDPR препоръчва компаниите да предприемат стъпки за защита на всички лични данни, но не уточнява какви трябва да бъдат тези стъпки. Вместо това от компаниите се изисква да идентифицират рисковете за личните данни и да направят това, което е подходящо за тези рискове. Криптирането е една от многото опции, които са на разположение за защита на данните, но не са изрично изисквани от GDPR.

Член 32 от GDPR дава следните варианти, никоя от които не са строги изисквания, но които трябва да бъдат взети предвид за техните ползи за неприкосновеността на личните данни на вашите гости:

1. 
   псевдонимизацията [затъмняване на идентичностите] и криптиране на лични данни;
   
2. 
   способността да се гарантира непрекъснатата поверителност, целостта, достъпността и устойчивостта на системите и услугите за обработка;
   
3. 
   способността за своевременно възстановяване на наличността и достъпа до лични данни в случай на физически или технически инцидент;
   
4. 
   процес за редовно тестване, оценка и оценка на ефективността на техническите и организационни мерки за гарантиране на сигурността на обработката.
   

За да могат да се справят с тези искания навреме, хотелите трябва да планират предварително как могат да бъдат удовлетворени исканията. Всяко място, където се съхраняват данни, трябва да бъде очертано с план за това как да се отговори на заявката за права за данни в това местоположение. Всеки продавач също трябва да бъде проверен, за да потвърди, че има подобен план на място. Доставчиците трябва да имат SLA, който е по-малко от месец (напр. 25 дни), за да се даде време за комуникация между вас и продавача на всеки край на процеса, когато се получи заявка.

За заявки за преносимост на данни, законът изисква данните да бъдат предоставени на клиента в стандартен формат за прехвърляне към други компании. Тъй като в момента няма промишлен стандарт за прехвърляне от този тип на данни, трябва да използвате общ, но лесно прехвърляем формат, като например текстови файлове с заглавия и стойности, разделени със запетая.


10. Как трябва хотели да обработват данните за децата?

В рамките на ЕС / ЕИО "дете" се определя като човек, който е на възраст между 13 и 16 години. В повечето случаи хотелът няма да се нуждае от съгласието на децата или родителите да обработват информация за госта, базата за обработка на данни обработва резервации. Въпреки това, в случаите, когато съгласието е основа за обработка на данни, например за маркетингови цели, данните за децата трябва да се обработват с допълнителни грижи.

Трябва да започнете да мислите сега дали трябва да въведете системи, за да проверите възрастта на отделните хора и да получите съгласието на родителите или настойника за всяка дейност по обработка на данни. Данните за децата могат да се обработват само с изрично съгласие, когато се изисква съгласие.

Най-добрият начин е да се избягва събирането и съхраняването на данни за деца, освен ако това е законово изискване или абсолютно необходимо за обработка на резервация.

Трябва да посочите някого, който да поеме отговорност за спазването на изискванията за защита на данните, и да прецени къде тази роля ще се появи в структурата и управленската структура на организацията ви, дори ако официално не се изисква да имате ДЗД. Трябва да обмислите дали от вас се изисква официално да посочите служител по защита на данните и това обозначение зависи от обема и чувствителността на информацията. На ниво верига и на голяма група е почти задължително дадена ДЗД, но за отделните хотели законът все още не е ясен и трябва да потърсите съвет от местния съвет, дали е необходимо.

Съгласно член 3 от GDPR, регламентите обхващат дейности, извършвани в рамките на ЕС, или обработка на данни от организации, базирани в ЕС. Когато гражданин на ЕС пътува извън ЕС, дейността му извън ЕС вече не е защитена от ГДРП, освен ако организацията, която обработва данните, се намира в ЕС.