GDPR: Τι πρέπει να ξέρει ένα ξενοδοχείο και τι πρέπει να κάνει

Ένας οδηγός συμμόρφωσης με το GDPR.

Το GDPR είναι ένας κανονισμός της Ευρωπαϊκής νομοθεσίας (ΕΕ) για την προστασία των δεδομένων και την προστασία της ιδιωτικής ζωής για όλα τα άτομα στην Ευρωπαϊκή Ένωση και εξετάζει τον τρόπο με τον οποίο οι εταιρείες διαχειρίζονται, χρησιμοποιούν και μοιράζονται προσωπικά δεδομένα. Το GDPR θα τεθεί σε ισχύ στις 25 Μαΐου 2018.

Μπορείτε να κατεβάσετε τις οδηγίες σε μορφή pdf: GDPR – Hotel survival guide – Τι πρέπει να γνωρίζει ένα ξενοδοχείο και τι πρέπει να κάνει στην ιστοσελίδα του

Το GDPR ισχύει για φυσικά πρόσωπα, ανεξάρτητα από την εθνικότητά τους ή τον τόπο διαμονής, των οποίων τα προσωπικά δεδομένα υποβάλλονται σε επεξεργασία και των οποίων η συμπεριφορά παρακολουθείται εντός της ΕΕ. Αυτή η αλλαγή στη νομοθεσία σημαίνει ότι επηρεάζονται σχεδόν όλες οι ηλεκτρονικές υπηρεσίες και ο κανονισμός έχει ήδη οδηγήσει σε σημαντικές αλλαγές για τους χρήστες όλων των εθνικοτήτων και οι εταιρείες αρχίζουν να προσαρμόζονται.

 

Τα θεμέλια του GDPR βρίσκονται σε κανόνες που θεσπίστηκαν από παλαιότερα μέτρα προστασίας της ιδιωτικής ζωής της ΕΕ, όπως η οδηγία για την ασπίδα του ιδιωτικού βίου και την προστασία δεδομένων, και επεκτείνει αυτά τα μέτρα προστασίας της ιδιωτικής ζωής με δύο κρίσιμους τρόπους.

ΠΙΟ ΣΗΜΑΝΤΙΚΕΣ ΑΛΛΑΓΕΣ ΜΕ ΤΟ GDPR
1. Ο ορισμός και οι απαιτήσεις σχετικά με τα δεδομένα προσωπικού χαρακτήρα έχουν επεκταθεί.
Πρώτον, το GDPR ορίζει τα προσωπικά δεδομένα ως οποιαδήποτε πληροφορία που μπορεί να χρησιμοποιηθεί για την άμεση ή έμμεση αναγνώριση ενός υποκειμένου δεδομένων, όπως μια διεύθυνση IP. Το GDPR θέτει υψηλότερο πρότυπο για τη συλλογή προσωπικών δεδομένων από ποτέ. Από προεπιλογή, κάθε φορά που μια εταιρεία αποκτά προσωπικά δεδομένα σχετικά με κάτοικο της ΕΕ, θα χρειαστεί νομική βάση για τη συλλογή των δεδομένων αυτών, όπως ρητή συγκατάθεση από το εν λόγω πρόσωπο. Ακόμη πιο σημαντικό, οι χρήστες χρειάζονται επίσης έναν τρόπο για να ανακαλέσουν αυτή τη συγκατάθεση και μπορούν να ζητήσουν όλα τα δεδομένα που μια εταιρεία έχει συλλέξει για τους ίδιους ως τρόπο να επαληθεύσουν τη συγκατάθεσή τους. Αυτοί οι ισχυροί κανονισμοί επεκτείνονται ρητώς σε εταιρείες όπου κι αν εδρεύουν αν έχουν πελάτες από την ΕΕ (άρα σε όλα τα ξενοδοχεία και τα καταλύματα της Ελλάδας).

2. Οι ποινές είναι πιο αυστηρές.
Οι κυρώσεις του GDPR είναι σοβαρές και έχουν δύο επίπεδα επιβολής προστίμων. Τα μέγιστα πρόστιμα ανά παραβίαση ορίζονται ως το 4% των ετήσιων συνολικών εσόδων μιας εταιρείας ή 20 εκατ. Ευρώ, όποια είναι μεγαλύτερη. Τα πρόστιμα χαμηλότερου επιπέδου φθάνουν έως και δύο τοις εκατό των ετήσιων συνολικών εσόδων μιας επιχείρησης ή 10 εκατομμύρια ευρώ, όποια είναι μεγαλύτερη. Οι κυρώσεις αυτές υπερβαίνουν κατά πολύ τα πρόστιμα που επιτρέπει η οδηγία για την προστασία των δεδομένων και υποδεικνύει πόσο σοβαρή είναι η προστασία της ιδιωτικής ζωής των δεδομένων από την ΕΕ.

ΑΠΟΦΥΓΕΤΕ ΠΑΡΑΝΟΗΣΕΙΣ ΚΑΙ ΜΑΘΕΤΕ ΤΑ ΓΕΓΟΝΟΤΑ

1. Όλα τα ξενοδοχεία έχουν επιπτώσεις και πρέπει να λάβουν τα μέτρα τους σύμφωνα με το GDPR
Το GDPR ισχύει για όλα τα καταλύματα που στοχεύουν τους κατοίκους της ΕΕ ως πελάτες ανεξάρτητα από το πού βρίσκονται. Αυτό σημαίνει ότι το GDPR επηρεάζει όλα τα ξενοδοχεία σε όλο τον κόσμο και όχι μόνο στην Ευρώπη.

2. Τα ξενοδοχεία είναι υπεύθυνα για το GDPR
Ανεξάρτητα από τους συνεργάτες ή τον παροχέα λύσεων, το ξενοδοχείο – το οποίο, σύμφωνα με το GDPR, θα θεωρείται ο data controller – είναι απόλυτα υπεύθυνο για τη χρήση εργαλείων που συμμορφώνονται με το GDPR.

3. Κοινή τιμολογιακή πολιτική για όλη την ΕΕ
Συνήθως παραβλέπεται αυτή η παράμετρος του GDPR,  και είναι σημαντικό να σημειωθεί ότι τα ξενοδοχεία δεν μπορούν να χρησιμοποιήσουν το προφίλ για να καθορίσουν τις τιμές με βάση την τοποθεσία του επισκέπτη στην ΕΕ. Συνεπώς τιμές ανά αγορά, τιμοκατάλογοι ανά IP κλπ, πρέπει να καταργηθούν. Σύμφωνα με το GDPR όλοι οι πολίτες της ΕΕ πρέπει να τυγχάνουν κοινής τιμολογιακής πολιτικής.

ΠΩΣ ΕΦΑΡΜΟΖΕΤΑΙ Η GDPR ΣΤΗΝ ΠΟΛΙΤΙΚΗ ΔΕΔΟΜΕΝΩΝ ΤΟΥ ΚΑΤΑΛΥΜΑΤΟΣ ΣΑΣ

Το GDPR επηρεάζει την πολιτική δεδομένων του ξενοδοχείου σας σχετικά με τους επισκέπτες της ιστοσελίδας της ΕΕ με έξι βασικούς τρόπους.

1. Συγκατάθεση

Οι επισκέπτες στον ιστότοπό σας πρέπει να κατανοούν ακριβώς πώς σκοπεύετε να χρησιμοποιήσετε τα δεδομένα τους και τη νομική βάση για τον λόγο για τον οποίο συλλέγετε τα δεδομένα. Η σαφής συγκατάθεση αποτελεί βασικό στοιχείο της νομοθεσίας GDPR και είναι σημαντικό για κάθε δικτυακό τόπο του ξενοδοχείου που συλλέγει τα προσωπικά δεδομένα να λάβει συγκεκριμένη άδεια για τη χρήση του κατά τη διάρκεια της συναλλαγής μαζί του. Εάν ζητάτε συγκατάθεση από τον πελάτη, ο χρήστης πρέπει να συμφωνεί με κάθε συγκεκριμένο σκοπό. Για παράδειγμα, εάν έχετε τη διεύθυνση ηλεκτρονικού ταχυδρομείου κάποιου που πραγματοποίησε κράτηση στο ξενοδοχείο σας, επιτρέπεται να του προσφέρετε διαφορετικές υπηρεσίες και προϊόντα μόνο εάν έχουν συμφωνήσει ρητά σε αυτό. Ομοίως, οι ειδοποιήσεις απορρήτου ενδέχεται να απαιτούν την αναδιατύπωση ώστε να συμβαδίζουν με τους κανόνες GDPR. Οι Πολιτικές Απορρήτου και οι Όροι Παροχής Υπηρεσιών πρέπει να είναι απλοί και κατανοητοί. Ένας καλός κανόνας εδώ είναι ότι ένας 16χρονος πρέπει να κατανοήσει τους Όρους Παροχής Υπηρεσιών.

2. Πρόσβαση στα δεδομένα

Ένα κύριο στοιχείο του GDPR έχει πλήρη επίγνωση του ποιος έχει πρόσβαση σε προσωπικά δεδομένα που καταγράφονται και αποθηκεύονται στο σύστημα διαχείρισης περιεχομένου του ιστοτόπου του ξενοδοχείου ή στη βάση δεδομένων. Το πρώτο βήμα είναι να συντάξετε μια λίστα με τα άτομα που έχουν πρόσβαση σε αυτά τα δεδομένα. Στη συνέχεια, προσδιορίστε αν όλοι οι χρήστες στη λίστα απαιτούν αυτό το επίπεδο πρόσβασης. Αν η απάντηση είναι αρνητική, η άδεια θα πρέπει να ανακληθεί και να εφαρμοστούν μέτρα για τον έλεγχο της μελλοντικής πρόσβασης. Υπάρχει επίσης μια ισχυρή διαδικασία για τη διαγραφή δεδομένων που δεν είναι πλέον επικαιροποιημένα και οι εταιρείες δεν επιτρέπεται να διατηρούν τα δεδομένα για περισσότερο από ό, τι είναι απολύτως απαραίτητο.

3. Λογοδοσία δεδομένων

Ανεξάρτητα από τον παροχέα λύσεων, τα ξενοδοχεία είναι τελικά υπεύθυνα για τη χρήση εργαλείων σύμφωνα με το GDPR. Υπό αυτό το πρίσμα, τα ξενοδοχεία θα πρέπει να ελέγχουν τυχόν εξωτερικές υπηρεσίες που χρησιμοποιούν, οι οποίες θα μπορούσαν να έχουν πρόσβαση στα δεδομένα τους, προκειμένου να διασφαλίσουν ότι οι διαδικασίες τους συμμορφώνονται. Ως ιδιοκτήτης δεδομένων (data controller) είστε τελικά υπεύθυνος για αυτό, ακόμα και αν έχετε αναθέσει σε τρίτους τμήματα της διαδικασίας κράτησης η λειτουργίας του καταλύματος, ώστε να τηρείτε αρχείο των μέτρων που έχετε λάβει για να εξασφαλίσετε ότι όλοι οι εταίροι ενεργούν σύμφωνα με τους κανονισμούς GDPR. Όλοι οι συνεργάτες σας θα πρέπει να μπορούν να εξηγήσουν με σαφήνεια τα μέτρα που έλαβαν για τη διατήρηση της μέγιστης ασφάλειας των δεδομένων που παρέχετε.

4. Ακρίβεια δεδομένων

Όλα τα προσωπικά δεδομένα πρέπει να είναι ακριβή και ενημερωμένα. Πρέπει να λαμβάνεται κάθε εύλογο μέτρο ώστε να διασφαλίζεται ότι τα δεδομένα προσωπικού χαρακτήρα είναι ορθά σε σχέση με τους σκοπούς για τους οποίους επεξεργάζονται τα δεδομένα και ότι τα προσωπικά δεδομένα διαγράφονται ή διορθώνονται χωρίς καθυστέρηση αν είναι ανακριβή.

5. Ελαχιστοποίηση δεδομένων

Οι χρήστες πρέπει να συλλέγουν μόνο το ελάχιστο ποσό των δεδομένων πελατών για να κάνουν τη δουλειά τους, καθώς και να τηρούν την “αρχή περιορισμού αποθήκευσης”.

6. Φορητότητα δεδομένων και δικαίωμα να λησμονηθούν

Όλοι οι χρήστες του δικτυακού τόπου έχουν το δικαίωμα να λαμβάνουν τα προσωπικά τους δεδομένα που συλλέχθηκαν προηγουμένως σε μορφή ευανάγνωστη, καθώς και να κατέχουν το “Δικαίωμα να ξεχαστεί” το οποίο παρέχει στους καταναλωτές τη δυνατότητα εύκολης διαφραφής όλων των δεδομένων τους από τη βάση δεδομένων του ξενοδοχείου.

 

ΠΩΣ ΜΠΟΡΕΙ ΝΑ ΠΡΟΕΤΟΙΜΑΣΤΕΙ ΕΝΑ ΞΕΝΟΔΟΧΕΙΟ ΓΙΑ ΤΟ GDPR;

Το GDPR επηρεάζει την ιστοσελίδα του ξενοδοχείου σας, τη στρατηγική δεδομένων, το ψηφιακό μάρκετινγκ και τις online κρατήσεις. Παρακάτω είναι οι κορυφαίοι τρόποι με τους οποίους μπορείτε να προετοιμαστείτε για το GDPR:

ΠΡΟΕΤΟΙΜΑΣΙΑ ΙΣΤΟΣΕΛΙΔΑΣ ΞΕΝΟΔΟΧΕΙΟΥ

Ενημερώστε την πολιτική απορρήτου και τους Όρους και Προϋποθέσεις.

Πρώτα απ ‘όλα, η Πολιτική Προστασίας Προσωπικών Δεδομένων και οι Όροι και Προϋποθέσεις της ιστοσελίδας του ξενοδοχείου θα πρέπει να ενημερωθούν για να αναφερθούν οι κανόνες και οι κανονισμοί του GDPR.  Συγκεκριμένα, θα πρέπει να είστε διαφανείς σχετικά με το τι θα κάνετε με τις προσωπικές πληροφορίες μόλις το συλλέξετε και πόσο καιρό θα διατηρήσετε αυτές τις πληροφορίες στον ιστότοπό σας και σε οποιεσδήποτε άλλες βάσεις δεδομένων.

Βεβαιωθείτε ότι ο ιστότοπός σας είναι ασφαλής. Ο ιστότοπος του ξενοδοχείου σας θα πρέπει να διαθέτει πιστοποιητικό SSL (Secure Sockets Layer), ώστε να εξασφαλίζεται ότι όλη η επεξεργασία δεδομένων μέσω του ιστότοπου είναι ασφαλής. Αν ο ιστότοπός σας διαθέτει πιστοποιητικό SSL, ο τομέας θα ξεκινά με τα “https” και όχι με τα “http”. Τα πιστοποιητικά SSL διασφαλίζουν όλα τα δεδομένα σας καθώς μεταφέρονται από το πρόγραμμα περιήγησής σας στους κανονισμούς του διακομιστή του ιστότοπου.

Εξασφαλίστε τη δυνατότητα των χρηστών να επιλέξουν ή να διαγράψουν τα προσωπικά τους δεδομένα. Το GDPR δηλώνει σαφώς ότι το υποκείμενο των δεδομένων πρέπει να είναι σε θέση να αποσύρει τη συγκατάθεση τόσο εύκολα όπως την έδωσαν βάσει της ρήτρας “Δικαίωμα να ξεχαστεί”. Οι υπεύθυνοι επεξεργασίας πρέπει να ενημερώνουν τα υποκείμενα των δεδομένων σχετικά με το δικαίωμα υπαναχώρησης πριν από τη χορήγηση της συγκατάθεσης.

Ενημερώστε τις φόρμες εγγραφής σε λίστες αποδεκτών μηνυμάτων ηλεκτρονικού ταχυδρομείου να έχουν ως προεπιλογή το “όχι” και συμπεριλάβετε συγκεκριμένα πλαίσια ελέγχου για κάθε επιλογή. Τα φόρουμ που προσκαλούν τους χρήστες να εγγραφούν σε ενημερωτικά δελτία ή να υποδείξουν τις προτιμήσεις επικοινωνίας πρέπει να έχουν προεπιλογή το “όχι” ή να είναι ένα μη-επιλεγμένο πλαίσιο επιλογής. Θα πρέπει επίσης να διασφαλίσετε ότι οι χρήστες θα δώσουν τη συγκατάθεσή σας για όλους τους τρόπους με τους οποίους το ξενοδοχείο σας θα χρησιμοποιεί τα δεδομένα του. Για παράδειγμα, αν ένας χρήστης επιλέγει ενημερωτικά δελτία μέσω ηλεκτρονικού ταχυδρομείου, αυτό δεν σημαίνει ότι επιλέγει να λάβει μηνύματα στο κινητό του ή συμβατική αλληλογραφία. Τελικά, τα ξενοδοχεία πρέπει να δημιουργήσουν ένα συγκεκριμένο πλαίσιο ελέγχου ή μια μορφή συναίνεσης για κάθε ξεχωριστή χρήση των δεδομένων των επισκεπτών. Τέλος, για να εξασφαλιστεί ότι είστε σε πλήρη συμμόρφωση με το GDPR, είναι σημαντικό να εφαρμόσετε μια διαδικασία διπλής συμμετοχής (double opt-in).

Όλες οι φόρμες ιστού πρέπει να προσδιορίζουν σαφώς τα συμβαλλόμενα μέρη
Τα έντυπα του ιστότοπού σας πρέπει να προσδιορίζουν με σαφήνεια κάθε μέρος για το οποίο χορηγείται η συναίνεση. Είναι σημαντικό να σημειωθεί ότι δεν αρκεί να συμπεριληφθούν συγκεκριμένες κατηγορίες οργανισμών τρίτων – πρέπει να ονομάζονται πλήρως. Για παράδειγμα, η φόρμα συναίνεσής σας δεν μπορεί απλώς να λέει δίκτυα διαφημίσεων τρίτων, πρέπει να ονομάσει συγκεκριμένα τα δίκτυα διαφημίσεων όπου θα εμφανίζονται οι διαφημίσεις (π.χ. Google Adwords, Facebook, κλπ).

ΠΡΟΕΤΟΙΜΑΣΙΑ ΤΗΣ ΣΤΡΑΤΗΓΙΚΗΣ ΤΩΝ ΔΕΔΟΜΕΝΩΝ
Αφού συλλέξετε δεδομένα χρηστών από κατοίκους της ΕΕ ή από οποιονδήποτε ζει στην ΕΕ, είναι σημαντικό να ακολουθήσετε βασικά πρωτόκολλα σχετικά με τη χρήση και την κατάργηση αυτών των δεδομένων. Είναι επίσης εξαιρετικά σημαντικό όλοι όσοι καλύπτονται από το GDPR να έχουν έναν εύκολο τρόπο πρόσβασης και λήψης των προσωπικών τους δεδομένων που έχουν συλλεχθεί. Ακολουθούν μερικές βασικές εκτιμήσεις σχετικά με τη στρατηγική δεδομένων σας:

1. Παρέχετε στους επισκέπτες της ΕΕ εύκολη πρόσβαση για λήψη προσωπικών δεδομένων.
Ο δικτυακός τόπος του ξενοδοχείου σας πρέπει να παρέχει ένα έντυπο αίτησης όπου οι επισκέπτες της ιστοσελίδας της ΕΕ μπορούν να ζητήσουν τα προσωπικά τους δεδομένα.

2. Μην κρατάτε τα δεδομένα για περισσότερο από όσο απαιτείται.
Ενώ το GDPR δεν δηλώνει ένα συγκεκριμένο χρονικό πλαίσιο που περιορίζει την αποθήκευση δεδομένων, είναι καλή ιδέα να καθαρίσετε τα δεδομένα πελατών μία ή δύο φορές το χρόνο για να διασφαλίσετε ότι όλα τα δεδομένα είναι ακριβή και ενημερωμένα. Οποιεσδήποτε ανακριβείς ή ελλιπείς πληροφορίες θα πρέπει να διαγραφούν και το ξενοδοχείο είναι υπεύθυνο για να δηλώσει με σαφήνεια πόσο καιρό οι πληροφορίες θα αποθηκευτούν στο πλαίσιο της πολιτικής απορρήτου.

3. Επιτρέψτε τη εύκολη συγκατάθεση και την αντιμετώπιση του δικαιώματος κάποιου να ξεχαστεί. Ουσιαστικά προσφέρετε μια δυνατότητα που θα επιτρέψει στους επισκέπτες της ιστοσελίδας της ΕΕ τη δυνατότητα να διαγράψουν τα προσωπικά τους δεδομένα. Η στρατηγική δεδομένων σας πρέπει να επιτρέπει στους επισκέπτες του ιστότοπου που έχουν προηγουμένως συναινέσει σε οποιαδήποτε χρήση των προσωπικών τους δεδομένων να επιλέγουν εύκολα ή να “διαγράψουν” τα δεδομένα τους, καθώς και να ενημερώσουν τις προτιμήσεις συμμετοχής τους. Αυτή η εμπειρία χρήστη θα πρέπει να είναι εξίσου απλή με την επιλογή και εύκολη πλοήγηση στην ιστοσελίδα του ξενοδοχείου.

Γενικά, είναι σημαντικό όχι μόνο να εξοικειωθείτε με τον GDPR με τον εαυτό σας και το προσωπικό του ξενοδοχείου σας, είναι σημαντικό να διασφαλίσετε ότι καλύπτονται όλες οι βάσεις σας. Με την επίσημη έναρξη του GDPR στις 25 Μαΐου 2018, μπορείτε να προετοιμαστείτε για τα επόμενα βήματα, ελέγχοντας επιπλέον πόρους και εξετάζοντας τις πολιτικές σας με έναν σύμβουλο προστασίας προσωπικών δεδομένων και τη νομική σας ομάδα.

Τέλος παραθέτουμε το ακόλουθο άρθρο του Κωνσταντίνου Μενουδάκου που είναι ο Πρόεδρος της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα: Η 25η Μαΐου δεν αποτελεί την ημερομηνία ολοκλήρωσης αλλά έναρξης της εφαρμογής του Γενικού Κανονισμού

Οπότε ψυχραιμία και όλα θα γίνουν…

Σχετικά με τον αρθρογράφο και τη Marinet

Ο Αλέξανδρος Δαμίγος είναι ο ιδρυτής και ιδιοκτήτης της Marinet. Πρόκειται για τη πρώτη εταιρεία στην Ελλάδα που από το 2002 παρέχει υπηρεσίες στον τουρισμό και διαθέτει μια ολοκληρωμένη λύση προώθησης και διαχείρισης κρατήσεων προσφέροντας τον σχεδιασμό της ιστοσελίδας, το booking engine, τον channel manager και την ηλεκτρονική προώθηση ενός ξενοδοχείου.

Η Marinet πρωτοστατεί στο χώρο της φιλοξενίας και προσφέρει υπηρεσίες ηλεκτρονικής προώθησης και μάρκετινγκ, διαχείριση social media και διασπορά τουριστικού προϊόντος σε περισσότερα από 600 ξενοδοχεία στην Ελλάδα. Μπορείτε να επικοινωνήσετε με την Marinet στο τηλέφωνο (+30) 210 4101130 ή από την φόρμα επικοινωνίας: Φόρμα επικοινωνίας με την Marinet ΕΠΕ.