GDPR: Οδηγός επιβίωσης για τουριστικές επιχειρήσεις

regulation-gdpr-pixabay_640

Ένας νέος ευρωπαϊκός κανονισμός, εν ονόματι GDPR, που αφορά την προστασία των δεδομένων προσωπικού χαρακτήρα θα τεθεί σε ισχύ από τις 25 Μαΐου 2018. Ποιες επιχειρήσεις επηρεάζει, πως μπορούν να προστατευτούν και ποια τα πρόστιμα.

 

Ο GDPR (General Data Protection Regulation) αναμένεται να φέρει τα πάνω κάτω σε όποιες επιχειρήσεις, συμπεριλαμβανομένων και των τουριστικών, δεν κάνουν σωστή διαχείριση και δεν έχουν λάβει μέτρα για την προστασία των προσωπικών δεδομένων που συλλέγουν και επεξεργάζονται.

Όλα τα δεδομένα των προσώπων εντός της Ευρωπαϊκής Ένωσης, από τις 25 Μαΐου και μετά, θα προστατεύονται από τον κανονισμό GDPR.

Η προστασία αυτή αφορά τόσο τα δεδομένα που διατηρεί μία τουριστική επιχείρηση για τους πελάτες της όσο και για τους υπαλλήλους που απασχολεί.

Οι τουριστικές επιχειρήσεις, είτε είναι ξενοδοχεία είτε τουριστικά γραφεία θα πρέπει να μπορούν να τεκμηριώνουν τι είδους προσωπικά δεδομένα διατηρούν, πως τα απέκτησαν και με ποιον τα μοιράζονται.

“Ο Κανονισμός εκτός από υποχρεώσεις, δημιουργεί και ευκαιρίες, καθώς όσα Ξενοδοχεία επιδείξουν συμμόρφωση, θα κερδίσουν την εμπιστοσύνη και την προτίμηση πελατών και συνεργατών.”, τόνισε ο κ. Γιώργος Αντωνιάδης, Security Solutions & Services Manager ‘INTRASOFT International S.A., μιλώντας στην ημερίδα της ΕΞΑΑΑ με θέμα: “Υπηρεσίες & Στρατηγικοί Συνεργάτες Ξενοδοχείου”.

Ο κ. Αντωνιάδης, ανέφερε, μεταξύ άλλων, ότι “Για την συμμόρφωση με τον GDPR κάθε Ξενοδοχείο πρέπει να κάνει συστηματική προετοιμασία που ενδεικτικά περιλαμβάνει την τήρηση αρχείων επεξεργασίας προσωπικών δεδομένων, την εκτίμηση αντικτύπου των σχεδιαζόμενων πράξεων επεξεργασίας όταν αυτές είναι πιθανόν να επιφέρουν υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, τη λήψη συγκατάθεσης από τα φυσικά πρόσωπα σε συγκεκριμένες περιπτώσεις, την λήψη τεχνικών και οργανωτικών μέτρων για την προστασία των προσωπικών δεδομένων, την ετοιμότητα αντιμετώπισης αιτημάτων των φυσικών προσώπων για πρόσβαση στα δεδομένα τους, την ετοιμότητα για αντιμετώπιση ενδεχόμενου περιστατικού ασφάλειας και κοινοποίησης του προς τις ελεγκτικές αρχές και τα θιγόμενα πρόσωπα, την κατάλληλη ενημέρωση των πελατών, την αναθεώρηση εντύπων και συμβάσεων και την εκπαίδευση του προσωπικού.”

Ποιες επιχειρήσεις είναι υποχρεωμένες να συμμορφωθούν με τον Κανονισμό;

Όλες όσες συλλέγουν, διαχειρίζονται και επεξεργάζονται προσωπικά δεδομένα πελατών, χρηστών, εργαζομένων κ.λπ.

Δείτε εδώ ποιες επιχειρήσεις επηρεάζονται.

Τι εννοούμε με τον όρο “προσωπικά δεδομένα”;

Με τον όρο “Προσωπικά δεδομένα” θεωρούνται τα δεδομένα εκείνα που αφορούν το όνομα, το τηλέφωνο, τη διεύθυνση του ηλεκτρονικού ταχυδρομείου, τον αριθμό κράτησης μιας υπηρεσίας (διαμονή, εισιτήρια, κ.ο.κ.), τη διεύθυνση IP και κάθε άλλη πληροφορία που επιτρέπει την ταυτοποίηση ενός προσώπου.

Ο κανονισμός GDPR προβλέπει επιπλέον προστασία για τα “ευαίσθητα δεδομένα”. Αυτά περιλαμβάνουν τις εξής πληροφορίες:

  • Ιδιότητα μέλους συνδικαλιστικής οργάνωσης, που θα μπορούσε να αποκαλυφθεί από τη συμμετοχή του προσώπου σε κάποια εκδήλωση.
  • Βιομετρικά στοιχεία, όπως δακτυλικά αποτυπώματα.
  • Κατάσταση της υγείας των πελατών
  • Γενετήσιος προσανατολισμός των πελατών ή πληροφορίες για την ερωτική τους ζωή.

Καθώς επίσης και τις ακόλουθες πληροφορίες, που ίσως πιο σπάνια περιλαμβάνονται στα δεδομένα που διατηρούν οι τουριστικές επιχειρήσεις:

  • Γενετικά δεδομένα.
  • Φυλετική ή εθνοτική καταγωγή.
  • Πολιτικές απόψεις.
  • Θρησκευτικές ή φιλοσοφικές πεποιθήσεις.

Οποιεσδήποτε από τις παραπάνω “ευαίσθητες πληροφορίες”, θα πρέπει να διατηρούνται με τη ρητή συγκατάθεση των πελατών. Αν κάποια από αυτές τις πληροφορίες συγκεντρωθεί τυχαία, τότε θα πρέπει να αφαιρείται άμεσα, για την αποφυγή ανάληψης νέων υποχρεώσεων για την προστασία των δεδομένων αυτών.

Βασικές αρχές για την διαχείριση των προσωπικών δεδομένων

  1. Να επεξεργάζονται νομίμως, με δίκαιο και διαφανή τρόπο
  2. Να συλλέγονται για συγκεκριμένους, σαφείς και νόμιμους τρόπους και να μην επεξεργάζονται για διαφορετικούς σκοπούς από αυτούς για τους οποίους συλλέγονται.
  3. Να είναι ακριβείς και όπου είναι δυνατόν, ενημερωμένοι.
  4. Να διατηρούνται μόνο για το χρονικό διάστημα που είναι απαραίτητο
  5. Να επεξεργάζονται με κατάλληλο τρόπο ώστε να εξασφαλίζεται η ασφάλεια των δεδομένων αυτών.

Πότε μία τουριστική επιχείρηση είναι κατοχυρωμένη για τη διατήρηση και επεξεργασία δεδομένων προσωπικού χαρακτήρα;

  1. Ο πελάτης ή εργαζόμενος έχει δώσει τη συγκατάθεσή του.
  2. Η διαδικασία συλλογής είναι απαραίτητη για την διαχείριση μίας κράτησης ή την παροχή λοιπών υπηρεσιών
  3. Ο διαχειριστής των πληροφοριών αυτών συμμορφώνεται με τον κανονισμό.
  4. Η συλλογή και η επεξεργασία των δεδομένων αυτών είναι απαραίτητα για την προστασία της ζωής των πελατών ή εργαζομένων τους.
  5. Είναι απαραίτητα για την εκτέλεση εργασιών δημόσιου ενδιαφέροντος.
  6. Ο διαχειριστής ή κάποιο τρίτο μέρος έχει έννομο συμφέρον.

Απλά βήματα για τη συμμόρφωση με τον κανονισμό

  1. Ελέγξτε και προσαρμόστε την πολιτική απορρήτου σας, ώστε να συμμορφώνεται με τον Κανονισμό.
  2. Βεβαιωθείτε ότι οι πελάτες σας έχουν εύκολη πρόσβαση στην πολιτική απορρήτου, κυρίως όταν εγγράφονται στις υπηρεσίες σας.
  3. Ζητήστε τη συγκατάθεσή τους όταν εγγράφονται για πρώτη φορά στις υπηρεσίες σας.
  4. Δημιουργήστε μία καμπάνια στους υφιστάμενους πελάτες σας, εξηγώντας τους με τρόπο σαφή και κατανοητό τι στοιχεία διατηρείτε για αυτούς και για ποιο λόγο και ζητήστε τη συγκατάθεσή τους για να συνεχίσετε τη τήρηση και διαχείρισή τους.
  5. Ζητήστε από τον προμηθευτή λογισμικού, είτε βρίσκεται εντός ή είτε εκτός της Ε.Ε. ένα συμφωνητικό επεξεργασίας δεδομένων (DPA-Datat Processing Agreement), στο οποίο θα πρέπει να υπαγορεύονται οι σκοποί για τους οποίους το λογισμικό επεξεργάζεται τα δεδομένα που συλλέγει. Το συμφωνητικό αυτό, θα πρέπει να γίνει αποδεκτό και να υπογραφεί και από τα δύο μέρη (προμηθευτής λογισμικού – τουριστική επιχείρηση) και να κοινοποιηθεί προς ενημέρωση σε όλους τους πελάτες και το προσωπικό της τουριστικής επιχείρησης.
  6. Ψευδωνυμοποίηση (σκίαση των ταυτοτήτων) και κρυπτογράφηση δεδομένων προσωπικού χαρακτήρα τόσο των πελατών όσο και των εργαζομένων της επιχείρησης. Αν και ο συγκεκριμένος τρόπος δεν είναι υποχρεωτικός από τον κανονισμό, προτείνεται ως επιθυμητός για την προστασία των δεδομένων αυτών.

Απαραίτητη η συγκατάθεση

Αν και ο κανονισμός δεν υποχρεώνει τις επιχειρήσεις να ακολουθήσουν συγκεκριμένους τρόπους προστασίας των δεδομένων προσωπικού χαρακτήρα είναι σαφές ότι θα πρέπει έχουμε τη συγκατάθεση των προσώπων που τα αφορούν.

Για παράδειγμα, θα πρέπει να ενημερώσουμε τους παραλήπτες των emails που στέλνουμε αν επιθυμούν να συνεχίσουμε την αποστολή. Επίσης, θα πρέπει να τους ενημερώσουμε για τα στοιχεία που διατηρούμε, εξηγώντας παράλληλα για ποιο λόγο είναι σημαντικό να διατηρεί η επιχείρηση τα στοιχεία αυτά και να ζητήσουμε τη συγκατάθεσή τους.

Πλέον, με το νέο κανονισμό κάθε πελάτης ή εργαζόμενος έχει το δικαίωμα να ζητήσει να διαγραφούν τα στοιχεία που διατηρεί η επιχείρηση γι αυτόν καθώς επίσης να αιτηθεί ένα αντίγραφο των στοιχείων αυτών ή/και τη διόρθωση τους.

Υπάρχουν, ωστόσο, περιπτώσεις, που η επιχείρηση μπορεί να αρνηθεί τη διαγραφή δεδομένων, κυρίως όταν βρίσκεται σε εξέλιξη παροχή υπηρεσιών ή ενεργό συμβόλαιο εργασίας.

Στην περίπτωση,για παράδειγμα, ενός ενεργού υπαλλήλου, η επιχείρηση δεν μπορεί να διαγράψει τα στοιχεία του, κυρίως όσα υποχρεούται να διατηρεί από την εργατική νομοθεσία.

Συγκατάθεση θα πρέπει να ζητάμε και από κάθε νέο πελάτη, εργαζόμενο ή παραλήπτη των emails που στέλνουμε.

Ιδιαίτερη προσοχή απαιτείται στη διαχείριση προσωπικών δεδομένων παιδιών.

Αν και δεν απαιτείται συγκατάθεση των γονέων ή κηδεμόνων για τη διαχείριση της κράτησής τους, ωστόσο, θα πρέπει τα δεδομένα που συλλέγονται για ανήλικους πελάτες να διαχειρίζονται με προσοχή στις περιπτώσεις των προωθητικών ενεργειών και μάρκετινγκ των επιχειρήσεων.

Η καλύτερη πρακτική, σε αυτήν την περίπτωση, θα ήταν η αποφυγή συλλογής και αποθήκευσης δεδομένων που αφορούν παιδιά εκτός αν νομίμως απαιτείται ή είναι απολύτως απαραίτητα για το χειρισμό μίας κράτησης.

Τι ισχύει για ταξίδια εκτός Ευρωπαϊκής Ένωσης

Όταν μία κράτηση γίνεται εντός της Ευρωπαϊκής Ένωσης για ταξίδι που αφορά χώρες εκτός Ευρωπαϊκής Ένωσης, τότε τα δεδομένα που συλλέγονται προστατεύονται από τον Κανονισμό GDPR.

Όταν όμως ο Ευρωπαίος πολίτης ταξιδέψει εκτός των συνόρων της Ε.Ε., οι επιχειρήσεις φιλοξενίας που χρησιμοποιεί δεν είναι υποχρεωμένες να συμμορφώνονται με τον εν λόγω κανονισμό κι έτσι τα στοιχεία του δεν είναι απαραίτητα προστατευμένα.

Επιπτώσεις από τη μη συμμόρφωση με τον κανονισμό

Οι επιχειρήσεις που δεν λαμβάνουν τα απαραίτητα μέτρα για την προστασία των προσωπικών ή/ και ευαίσθητων προσωπικών δεδομένων των πελατών και εργαζομένων τους και δεν συμμορφώνονται με τον κανονισμό, προβλέπεται η επιβολή προστίμων ίσων με το 4% του ετήσιου κύκλου εργασιών τους ή 20 εκ. ευρώ (όποιο είναι υψηλότερο).

Σε κάθε περίπτωση, οι τουριστικές επιχειρήσεις για να αποφύγουν τις κυρώσεις από τη μη σωστή τήρηση του κανονισμού, θα ήταν χρήσιμο να ζητήσουν τη συμβουλή ενός νομικού ή/και ειδικού στο θέμα.

Μοιραστείτε τα νέα