Ο νέος ευρωπαϊκός κανονισμός για την προστασία προσωπικών δεδομένων είναι ήδη σε ισχύ! Ας ξεκινήσουμε από το ποια θεωρούνται προσωπικά δεδομένα.
Προσωπικά Δεδομένα: όνομα, τηλέφωνο, διεύθυνση, email, αριθμός κράτησης, διεύθυνση IP, καθώς και «ευαίσθητα» δεδομένα όπως πολιτικές πεποιθήσεις, δακτυλικό αποτύπωμα, σεξουαλικός προσανατολισμός, κλπ.
Ο κανονισμός στην περίπτωση των ξενοδοχείων ισχύει τόσο για πελάτες όσο και για υπαλλήλους.Για να κατανοήσουμε τις υποχρεώσεις του ξενοδοχείου μας σύμφωνα με το νέο κανονισμό, θα πρέπει να έχουμε στο μυαλό μας τα παρακάτω:Τι δεδομένα συλλέγουμε ;
Πως τα χρησιμοποιούμε και με ποιο τρόπο;
Ποιος έχει πρόσβαση σε αυτά τα δεδομένα;
Πόσο διάστημα τα έχουμε στην κατοχή μας από τη στιγμή που τα αποκτήσαμε;Το άρθρο 5 ορίζει:
Προσωπικά Δεδομένα: όνομα, τηλέφωνο, διεύθυνση, email, αριθμός κράτησης, διεύθυνση IP, καθώς και «ευαίσθητα» δεδομένα όπως πολιτικές πεποιθήσεις, δακτυλικό αποτύπωμα, σεξουαλικός προσανατολισμός, κλπ.
Ο κανονισμός στην περίπτωση των ξενοδοχείων ισχύει τόσο για πελάτες όσο και για υπαλλήλους.Για να κατανοήσουμε τις υποχρεώσεις του ξενοδοχείου μας σύμφωνα με το νέο κανονισμό, θα πρέπει να έχουμε στο μυαλό μας τα παρακάτω:Τι δεδομένα συλλέγουμε ;
Πως τα χρησιμοποιούμε και με ποιο τρόπο;
Ποιος έχει πρόσβαση σε αυτά τα δεδομένα;
Πόσο διάστημα τα έχουμε στην κατοχή μας από τη στιγμή που τα αποκτήσαμε;Το άρθρο 5 ορίζει:
- Διαφάνεια στην επεξεργασία και διαφάνεια των προσωπικών δεδομένων
- Διαχείριση προσωπικών δεδομένων για συγκεκριμένους και νόμιμους σκοπούς
- Ελαχιστοποίηση συγκέντρωσης προσωπικών πληροφοριών και μόνο για συγκεκριμένους σκοπούς
- Δυνατότητα στους κατόχους των δεδομένων να διορθώσουν, τροποποιήσουν ή να διαγράψουν αυτά
- Αποθήκευσης δεδομένων τόσο όσο είναι απαραίτητο για τον σκοπό που συλλέχθηκαν
- Απαραίτητα μέτρα έτσι ώστε τα δεδομένα να είναι προστατευμένα και ασφαλή
Για να είμαστε “compliant” όπως συνηθίζεται να λέγεται, με το GDPR, να ανταποκρινόμαστε δηλαδή στην προβλεπόμενη διάταξη, θα πρέπει:
- Να προσθέσουμε ή, αν έχουμε, κάνουμε update τις privacy και cookie policies στο website του ξενοδοχείου μας. Επίσης, στο πεδίο επικοινωνίας, να ζητείται η έγκριση του χρήστη για τη χρήση των προσωπικών δεδομένων του
Πως γίνεται: Απευθυνόμαστε στην εταιρία που έχει σχεδιάσει το website μας
- Αν έχουμε loyalty program ή email data base για σκοπούς marketing, στέλνουμε email για να επιβεβαιώσει ο χρήστης πως επιθυμεί να λαμβάνει email και να δώσει τη συγκατάθεσή του για τη συνέχιση της χρήσης της διεύθυνσης email του
- Να κρατάμε συγκεντρωμένα σε μία βάση όλα τα δεδομένα πελατών, ασφαλή, όπου θα έχουν πρόσβαση συγκεκριμένοι χρήστες. Θα πρέπει να μπορούμε ανά πάσα στιγμή να δώσουμε αντίγραφο στον πελάτη των δεδομένων του, ή να τα διαγράψουμε εφόσον το επιθυμεί
Πως γίνεται: Απευθυνόμαστε σε μια εταιρία IT, για να μας προτείνει λύσεις με προγράμματα compliant στο GDPR
- Δημιουργούμε διαδικασίες ώστε η χρήση των προσωπικών δεδομένων κατά τη λειτουργία της επιχείρησης γίνεται σύμφωνα με το κανονισμό, από όλους τους χρήστες
Πως γίνεται: Απευθυνόμαστε σε μια εταιρία IT για τη συμβολή κάποιου επαγγελματία DPO “Data Protection Officer “ ο οποίος θα υιοθετήσει πολιτικές προστασίας , θα εκπαιδεύσει το προσωπικό της επιχείρησης και θα προετοιμάσει την επιχείρηση να δεχθεί ελέγχους από τις αρμόδιες υπηρεσίες προστασίας προσωπικών δεδομένων ανά πάσα στιγμή
- Διατηρούμε τα απαραίτητα έγγραφα συμμόρφωσης
Πως γίνεται: Απαιτούμε τα απαραίτητα έγγραφα από την εταιρία η οποία έχει αναλάβει την υλοποίηση του έργου, ώστε να τα έχουμε on site σε περίπτωση ελέγχου
- Ελέγχουμε πως όλες οι συνεργαζόμενες εταιρίες και μεσάζοντες, οι οποίες έχουν άμεση σχέση με τα δεδομένα πελάτων μας, έχουν συμμορφωθεί με τον κανονισμό
Πως γίνεται: Ζητάμε την ανανεωμένη privacy policy και ρωτάμε τι ενέργειες έχουν κάνει
- Αν διαπιστώσουμε οποιαδήποτε ύποπτη κίνηση και περίπτωση διαρροής δεδομένων, είμαστε υποχρεωμένοι να δηλώσουμε το περιστατικό εντός 72 ωρών στις αρμόδιες αρχές
- Συμμόρφωση με την διαδικασία και λήψη απαραίτητων μέτρων για διασπορά των δεδομένων σε τρίτες χώρες
Πως γίνεται: Ενημερώνουμε την εταιρία που έχει αναλάβει την υλοποίηση του έργου για τυχόν συναλλαγές ή αποστολή δεδομένων σε χώρες εκτός της ΕΕ