Ο ΚΑΝΟΝΙΣΜΟΣ ΠΡΟΣΤΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ (GDPR) ΚΑΙ TA ΞΕΝΟΔΟΧΕΙΑ – FAQ

Η συμμόρφωση με τον Κανονισμό δεν είναι «βουτιά» στο άγνωστο

O Κανονισμός GDPR εφαρμόζεται σε όλες τις επιχειρήσεις που συλλέγουν δεδομένα από τους πολίτες της ΕΕ. H φύση, όμως, των ξενοδοχείων και οι ποικίλες πηγές τήρησης δεδομένων, όπως οι πάροχοι Online Υπηρεσιών (OTA), οι άμεσες κρατήσεις μέσω εφαρμογών των ξενοδοχείων καθώς και τα συστήματα διαχείρισης περιουσιακών στοιχείων ή τα λειτουργικά συστήματα ξενοδοχείων, δημιουργούν αυξημένες υποχρεώσεις στις τουριστικές επιχειρήσεις και ειδικότερα στις ξενοδοχειακές επιχειρήσεις.

Πώς ο GDPR επηρεάζει το λογισμικό που τα ξενοδοχεία μπορούν να χρησιμοποιούν;

Όλοι οι κανόνες που πρέπει να ακολουθούν τα ξενοδοχεία, απαιτείται να εφαρμόζονται και στο λογισμικό τους. Εάν ένα ξενοδοχείο χρησιμοποιεί ένα προϊόν για να επεξεργαστεί τα δεδομένα που χρησιμοποιεί, τότε και αυτό το προϊόν πρέπει να συμμορφώνεται με όλες τις υποχρεώσεις που φέρει ο ξενοδόχος. Κάθε προμηθευτής που λαμβάνει προσωπικά δεδομένα από ένα ξενοδοχείο πρέπει να έχει συνάψει Συμφωνία Επεξεργασίας Δεδομένων (ΣΕΔ) με τον ξενοδόχο, για να επιβεβαιωθεί ότι ο προμηθευτής συμμορφώνεται και ο ίδιος με τους κανόνες του GDPR. Η ΣΕΔ πρέπει να υπαγορεύει τους σκοπούς για τους οποίους ο εκτελών την επεξεργασία επεξεργάζεται τα δεδομένα καθώς και να περιέχει τις διαδικασίες προστασίας τους.
Εάν ένα ξενοδοχείο χρησιμοποιεί ένα λογισμικό που του έχει δοθεί από τη μητρική εταιρεία του ή την εταιρεία που δίνει το franchise, είναι πιθανό να μην έχει τον πλήρη έλεγχο του πώς οι συγκεντρωμένες πληροφορίες πρόκειται να χρησιμοποιηθούν. Σε αυτή την περίπτωση, ως από κοινού υπεύθυνοι επεξεργασίας των δεδομένων, το ξενοδοχείο και η μητρική εταιρεία ή η εταιρεία δικαιοπάροχος θα πρέπει να συντάξουν μια σύμβαση που να ορίζει ρητά τη σχέση τους όσον αφορά τη διαχείριση δεδομένων. Τα δύο συμβαλλόμενα μέρη θα πρέπει να γνωστοποιήσουν τη σχέση αυτή τόσο στους επισκέπτες όσο και στους υπαλλήλους.

Πώς θα πρέπει το ξενοδοχείο να ανακοινώνει στους επισκέπτες του την πολιτική απορρήτου;

Θα πρέπει να ελέγξετε όλες τις γνωστοποιήσεις τήρησης προσωπικών δεδομένων και την πολιτική απορρήτου της εταιρείας σας και να βάλετε σε εφαρμογή ένα πλάνο για να κάνετε οποιεσδήποτε απαραίτητες αλλαγές εγκαίρως πριν την εφαρμογή του GDRP. Θα πρέπει να ελέγξετε πώς αναζητείτε, καταγράφετε και διαχειρίζεστε τη συναίνεση των πελατών σας και εάν χρειάζεται να προβείτε στις απαραίτητες αλλαγές. Ανανεώστε τις ήδη υπάρχουσες συναινέσεις τώρα, εάν δεν συμβαδίζουν με τις απαιτήσεις του GDPR.
Οι ξενοδόχοι είναι πιθανόν να πρέπει να λάβουν από τους πελάτες κατά το «check-in» τις ειδικότερες συναινέσεις που τυχόν απαιτούνται για οποιαδήποτε μορφή συλλογής δεδομένων στις οποίες προβαίνει ένα ξενοδοχείο, όπως για παράδειγμα στη συγκατάθεση για επικοινωνία μάρκετινγκ. Όλα τα προνομιακά προγράμματα για πιστούς πελάτες πρέπει να εξεταστούν υπό τους όρους του GDRP περί παροχής συναίνεσης αν όχι περί συγκατάθεσης.

Χρειάζεται οι ξενοδόχοι ή οι προμηθευτές τους να κρυπτογραφήσουν τις βάσεις δεδομένων τους;

Εξαρτάται. Ο GDPR προτείνει στις εταιρείες να κάνουν βήματα για να προστατεύουν όλα τα προσωπικά δεδομένα, αλλά δεν προσδιορίζει ποια είναι αυτά τα βήματα που πρέπει να γίνουν. Αντ’ αυτού, οι εταιρείες καλούνται να προσδιορίσουν τους κινδύνους για τα προσωπικά δεδομένα και να κάνουν ό, τι είναι απαραίτητο για να μειώσουν τους κινδύνους αυτούς. Η κρυπτογράφηση είναι μία από τις πολλές διαθέσιμες επιλογές για την προστασία των δεδομένων, αλλά δεν απαιτείται ειδικά από το GDPR. Συνεπώς, επειδή η κρυπτογράφηση επιβαρύνει ιδιαίτερα την επεξεργαστική ισχύ της ΙΤ υποδομής μιας επιχείρησης, αυτή θα πρέπει να γίνει στοχευμένα. Ιδιαίτερη μέριμνα θα πρέπει να γίνει στην περίπτωση που χρησιμοποιείτε υπηρεσίες cloud. Οι πάροχοι υπηρεσιών cloud θεωρούνται και αυτοί συν – υπεύθυνοι επεξεργασίας και συνεπώς θα πρέπει να είναι αξιόπιστοι.

Πώς μπορούν οι ξενοδόχοι να βεβαιωθούν ότι είναι ικανοί να ανταποκριθούν στα αιτήματα για τη φορητότητα, τη διόρθωση, ή τη διαγραφή των δεδομένων ή αλλιώς, όπως είναι γνωστό, στο «δικαίωμα στη λήθη»;

Οι πελάτες, οι υπάλληλοι, ή οποιοδήποτε άλλος του οποίου τα προσωπικά δεδομένα τηρούνται από ένα ξενοδοχείο, μπορεί να ζητήσει να διαγραφούν τα δεδομένα του. Μπορούν επιπρόσθετα, να ζητήσουν ένα αντίγραφο όλων των δεδομένων τους (δικαίωμα φορητότητας) ή να ζητήσουν αυτά να διορθωθούν. Υπάρχουν περιπτώσεις στις οποίες το αίτημα αυτό δεν μπορεί να ικανοποιηθεί, για παράδειγμα εάν υπάρχει συμβατική ή νομική υποχρέωση διατήρησης των δεδομένων (π.χ. στο μέτρο που απαιτείται για φορολογικούς λόγους). Αλλά στις περισσότερες περιπτώσεις, τα αιτήματα θα πρέπει να ικανοποιούνται. H αιτιολογική σκέψη 29 του GDPR απαιτεί να απαντώνται αυτά τα αιτήματα μέσα σε ένα μήνα. Αυτή η προθεσμία μπορεί να παραταθεί κάτω από εξαιρετικές καταστάσεις, ζητώντας ακόμα ένα μήνα.
Προκειμένου να είναι σε θέση να χειριστούν έγκαιρα αυτά τα αιτήματα, τα ξενοδοχεία πρέπει να προγραμματίσουν εκ των προτέρων τον τρόπο με τον οποίο μπορούν να εξετάζουν τα αιτήματα. Κάθε σημείο (φυσικό ή εικονικό/ virtual) όπου αποθηκεύονται τα δεδομένα θα πρέπει να χαρτογραφηθεί με ένα σχέδιο για τον τρόπο αντιμετώπισης των ανωτέρω αιτημάτων. Κάθε προμηθευτής υπηρεσιών που τηρούν δεδομένα (όχι όμως εξοπλισμού hardware) θα πρέπει επιπλέον να ελεγχθεί για να επιβεβαιωθεί ότι διαθέτει ένα παρόμοιο σχέδιο. Με τους προμηθευτές που χρησιμοποιούν δεδομένα θα πρέπει να έχει καταρτιστεί σύμβαση και να έχει προβλεφθεί από κοινού τρόπος εξέτασης και ικανοποίησης των αιτημάτων.
Για τα αιτήματα σχετικά με τη φορητότητα των δεδομένων, ο νόμος απαιτεί τα δεδομένα να δίνονται στον πελάτη σε ένα τυποποιημένο μορφότυπο. Δεδομένου ότι προς το παρόν δεν υπάρχουν βιομηχανικά πρότυπα για τη μεταφορά αυτού του είδους δεδομένων από ένα ξενοδοχείο, πρέπει να χρησιμοποιείτε μια γενική αλλά εύκολα μεταβιβάσιμη μορφή, όπως αρχεία κειμένου (.doc, .xls, .pdf κτλ.) με κεφαλίδες και τιμές που χωρίζονται με κόμματα.

Πώς πρέπει τα ξενοδοχεία να χειρίζονται τα δεδομένα των παιδιών;

Εντός της ΕΕ/ΕΟΚ, ως «παιδί» ορίζεται κάποιος νεότερος από την ορισμένη από τη χώρα γεννήσεώς του, ηλικία, μεταξύ των 13 και των 16 ετών. Για τις περισσότερες περιπτώσεις, τα ξενοδοχεία δεν θα χρειάζεται να στηριχθούν στη συγκατάθεση των παιδιών ή των γονέων για να επεξεργαστούν πληροφορίες πελατών, δεδομένου ότι η κύρια βάση για την επεξεργασία δεδομένων χειρίζεται κρατήσεις (ΟΤΑ) ή οι κρατήσεις γίνονται από τους κηδεμόνες. Ωστόσο, σε περιπτώσεις όπου η συναίνεση είναι η βάση για την επεξεργασία των δεδομένων, για παράδειγμα για σκοπούς μάρκετινγκ, τα δεδομένα των παιδιών θα πρέπει να τύχουν επιμελέστερης διαχείρισης.
Θα πρέπει να αρχίσετε από τώρα να σκέφτεστε, εάν χρειάζεται να θέσετε σε ισχύ συστήματα που θα επαληθεύουν τις ηλικίες του κάθε καλεσμένου σας και να αποκτάτε την γονική συναίνεση ή την συναίνεση του κηδεμόνα για οποιαδήποτε επεξεργασία δεδομένων. Τα δεδομένα των παιδιών μπορούν μόνο να επεξεργαστούν με προηγούμενη ρητή (και ειδική) συγκατάθεση, όπου απαιτείται συγκατάθεση.
Η καλύτερη πρακτική είναι να αποφύγετε τη συλλογή και την αποθήκευση δεδομένων που αφορούν παιδιά, εκτός εάν υπάρχει νομική υποχρέωση ή είναι απόλυτα είναι απολύτως απαραίτητο για τον χειρισμό μιας κράτησης.

Είναι υποχρεωμένα τα ξενοδοχεία να προσλάβουν Υπεύθυνους Προστασίας Δεδομένων (DPO);

Ακόμα και εάν κάνετε επεξεργασία δεδομένων σε μικρή κλίμακα και συνεπώς μπορεί να θεωρηθεί ότι εξαιρείστε της υποχρέωσης ορισμού DPO, εν τούτοις θα πρέπει να ορίσετε κάποιον να αναλάβει την ευθύνη για τη συμμόρφωση με τις προβλέψεις του νέου Κανονισμού. Θα πρέπει να αναλογισθείτε, εάν απαιτείται να ορίσετε επισήμως έναν Υπεύθυνο Προστασίας Δεδομένων και αυτός ο προσδιορισμός εξαρτάται από τον όγκο και την ευαισθησία των πληροφοριών. Στο επίπεδο μίας αλυσίδας και ενός μεγάλου ξενοδοχείου, ένας DPO απαιτείται σχεδόν σίγουρα. Ωστόσο για μεμονωμένα ξενοδοχεία, ο νόμος δεν είναι ακόμα ξεκάθαρος και θα πρέπει να αναζητήσετε καθοδήγηση από κάποιον ειδικό σύμβουλο που θα εξετάσει την δομή σας, ως προς το αν απαιτείται.

Leave a Reply

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Αυτός ο ιστότοπος χρησιμοποιεί το Akismet για να μειώσει τα ανεπιθύμητα σχόλια. Μάθετε πώς υφίστανται επεξεργασία τα δεδομένα των σχολίων σας.

Top