Ξενοδοχεία και Κανονισμός για την Προστασία των Προσωπικών Δεδομένων
Ο Γενικός Κανονισμός για την Προστασία των Προσωπικών Δεδομένων (Κανονισμός ΕΕ 2016/679) είναι μια δεσμευτική νομοθετική πράξη μέσω της οποίας το Ευρωπαϊκό Κοινοβούλιο, το Συμβούλιο της Ευρωπαϊκής Ένωσης και η Ευρωπαϊκή Επιτροπή προτίθενται να ενισχύσουν και να ενοποιήσουν την προστασία των δεδομένων για όλα τα άτομα εντός της Ευρωπαϊκής Ένωσης (ΕΕ).
Ο Κανονισμός εγκρίθηκε στις 27 Απριλίου 2016 κι εφαρμόζεται από τις 25 Μαΐου 2018 μετά από μεταβατική περίοδο περίπου δύο ετών σε όλα τα κράτη μέλη κι αντίθετα από μια οδηγία, δεν απαιτεί από τις εθνικές κυβερνήσεις να εγκρίνουν οποιαδήποτε νομοθετική πράξη με συνέπεια να είναι άμεσα δεσμευτικός και εφαρμόσιμος.
Ο Ξενοδοχειακός Κλάδος και ο Κανονισμός
Όσον αφορά την ασφάλεια των δεδομένων, υπάρχουν λίγοι τομείς που είναι τόσο ευάλωτοι σε απειλές, όσο ο κλάδος των ξενοδοχείων. Το ξενοδοχείο επεξεργάζεται και σε πολλές περιπτώσεις αποθηκεύει μακροπρόθεσμα έναν πολύ μεγάλο όγκο προσωπικών πληροφοριών και οικονομικών συναλλαγών. Λαμβάνει, επίσης, σχετικές πληροφορίες από πολλές πηγές, όπως συστήματα κρατήσεων τρίτων, συστήματα σημείων πώλησης, παραχωρήσεις, ηλεκτρονικά μηνύματα, φαξ, τηλέφωνα και walk-ins. Επιπλέον, τα ξενοδοχεία τείνουν να αποθηκεύουν δεδομένα σε διάφορα σημεία.
Με τον όγκο των επεξεργασμένων δεδομένων προσωπικού χαρακτήρα και πιστωτικών καρτών, σε καθημερινή βάση, ο ξενοδοχειακός κλάδος είναι σήμερα ένας από τους πιο ευάλωτους σε παραβιάσεις.
Μετά τις 25 Μαΐου 2018, κάθε ξενοδοχείο, ανεξάρτητα από το μέγεθος του, εφόσον επεξεργάζεται προσωπικά δεδομένα κατοίκων της ΕΕ, πρέπει να συμμορφώνεται με τις απαιτήσεις του Κανονισμού.
Καταγραφή και Χρήση δεδομένων προσωπικού χαρακτήρα
Με τον όρο «Δεδομένα Προσωπικού Χαρακτήρα» νοείται οποιαδήποτε πληροφορία που αφορά ένα φυσικό πρόσωπο, είτε σχετίζεται με την ιδιωτική, επαγγελματική ή δημόσια ζωή του, σε ψηφιακή ή σε φυσική μορφή. Σε ένα ξενοδοχείο, τέτοιες προσωπικές πληροφορίες μπορεί να διατίθενται σε όλα σχεδόν τα ξενοδοχειακά τμήματα, όπως για παράδειγμα, πωλήσεις και μάρκετινγκ, κρατήσεις, φαγητό / ποτό, κέντρο αναψυχής ή spa.
Σύμφωνα με τον Κανονισμό, τα προσωπικά δεδομένα, πρέπει να συλλέγονται για σαφείς και νόμιμους σκοπούς και δεν μπορούν να επεξεργαστούν περαιτέρω κατά τρόπο αντίθετο με τους σκοπούς που περιγράφηκαν αρχικά. Για παράδειγμα, λαμβάνοντας μια διεύθυνση ηλεκτρονικού ταχυδρομείου κατά την κράτηση και στη συνέχεια χρησιμοποιώντας τη, χωρίς περαιτέρω συγκατάθεση, για το μάρκετινγκ ηλεκτρονικού ταχυδρομείου σε μεταγενέστερο στάδιο. Το ξενοδοχείο πρέπει να εξασφαλίσει ότι οι πελάτες γνωρίζουν τις συγκεκριμένες χρήσεις των δεδομένων τους. Συνεπώς, το ξενοδοχείο πρέπει να αναπτύξει μια στρατηγική για τη λήψη συναίνεσης του πελάτη, με την κατάλληλη μορφή, πριν από την έναρξη ισχύος του Κανονισμού.
Προμηθευτές του ξενοδοχείου
Στο πλαίσιο της συμμόρφωσης με τον Κανονισμό, πρέπει να επανεξεταστούν οι συμβάσεις συνεργασίας του ξενοδοχείου με τους προμηθευτές του που χρησιμοποιούν τα προσωπικά δεδομένα των επισκεπτών, συμπεριλαμβανομένων των εταιρειών παροχής υπηρεσιών εστίασης, των συνεργείων καθαριότητας, των παροχών υπηρεσιών φυσικής και ηλεκτρονικής ασφάλειας, των online ταξιδιωτικών πρακτορείων, των μεταφορικών εταιρειών, κα.
Τι νέο εισάγει ο Κανονισμός
Σήμερα, οι κανόνες σχετικά με τη συλλογή στοιχείων επισκεπτών (ή δυνητικών επισκεπτών) είναι κάπως ευέλικτοι. Οι ξενοδόχοι μπορούν να αξιοποιούν τη δυνατότητα opt-out και τη σιωπηρή συγκατάθεση για την εγγραφή πελατών σε διάφορα ενημερωτικά δελτία και καμπάνιες ηλεκτρονικού ταχυδρομείου. Τα γενικευμένα αιτήματα συγκατάθεσης και ένας μεγάλος αριθμός λιστών με ονόματα μπορούν να χρησιμοποιηθούν ώστε το ξενοδοχείο να προσεγγίσει πιθανούς επισκέπτες.
Όλα αυτά αλλάζουν στο πλαίσιο του Κανονισμού. Η απαίτηση για σαφή και διαφανή συγκατάθεση του πελάτη σημαίνει ότι το ξενοδοχείο πρέπει να του εξηγήσει:
• τι δεδομένα συλλέγει,
• γιατί συλλέγει αυτά τα δεδομένα
• ποιος τα ζητάει (ποιος είναι ο Υπεύθυνος Επεξεργασίας) και
• ποιος άλλος θα έχει πρόσβαση σε αυτά τα δεδομένα.
Το τελικό αποτέλεσμα είναι τα φυσικά πρόσωπα να γνωρίζουν με σαφήνεια τι πληροφορίες θέλει το ξενοδοχείο και τι σχεδιάζει να κάνει με αυτές.
Ωστόσο, το δύσκολο μέρος για το ξενοδοχείο είναι ότι η συναίνεση που κάποιος τους παρέχει, ισχύει μόνο για το σκοπό που έχει δηλωθεί ρητά.
Σήμερα, το ξενοδοχείο μπορούσε να αντλήσει τη διεύθυνση ηλεκτρονικού ταχυδρομείου μια φορά και στη συνέχεια να την επαναχρησιμοποιεί σε καμπάνιες και ενημερωτικά δελτία. Ωστόσο, με τη θέσπιση του Κανονισμού, αυτή η «αοριστία» πρέπει να περιοριστεί. Εάν έχετε καταγράψει την ηλεκτρονική διεύθυνση για την αποστολή ενημερωτικού δελτίου, τότε θα πρέπει να ζητήσετε ξανά ρητή συγκατάθεση για μια άλλη προωθητική καμπάνια, ιδιαίτερα μάλιστα όταν πρόκειται για μη συναφή σκοπό.
Τι αλλάζει στο μάρκετινγκ
Συχνά το ξενοδοχείο βασίζεται σε online προωθητικές ενέργειες, ως μια μορφή μάρκετινγκ, όποτε ο Κανονισμός μπορεί να έχει σημαντικό αντίκτυπο στη στρατηγική μάρκετινγκ. Το ξενοδοχείο πρέπει να είναι σε θέση να αποδείξει ότι έχει τη συγκατάθεση των πελατών του για την περαιτέρω χρήση των δεδομένων τους για σκοπούς μάρκετινγκ και πρέπει επίσης να έχει καθορίσει ποια δεδομένα επιθυμούν να χρησιμοποιηθούν.
Τι πρέπει να γίνει;
Για να διασφαλιστεί η συμμόρφωση με τον Κανονισμό, το ξενοδοχείο θα πρέπει να σχεδιάσει ορισμένες φαινομενικά προφανείς αλλά μάλλον προσεκτικά σχεδιασμένες ενέργειες για τη διασφάλιση των δεδομένων προσωπικού χαρακτήρα των πελατών του και την αποφυγή επιπτώσεων που θα μπορούσαν να προκύψουν από την έλλειψη συμμόρφωσης, οπότε το ξενοδοχείο πρέπει:
• Να καθορίσει τις βασικές του αρχές όσον αφορά τα δεδομένα πελατών (και των εργαζομένων), και να αναγνωρίσει ότι τα δεδομένα ανήκουν στον επισκέπτη και όχι στο ξενοδοχείο.
• Να περιγράψει τον τρόπο συλλογής και διαχείρισης δεδομένων (information flow / data mapping).
• Να θεσπίσει κώδικα δεοντολογίας ή πολιτικής απορρήτου για το ξενοδοχείο και το προσωπικό του.
• Να ορίσει τρόπο ‘’αυτό-ελέγχου’’ του ως προς τη συμμόρφωση με τον Κανονισμό (reporting / monitoring).
• Να τεκμηριώσει γιατί χρειάζεται να επεξεργαστεί τα προσωπικά δεδομένα και πόσο καιρό σκοπεύει να τα διατηρήσει.
• Να διατηρεί δομημένα αρχεία για να αποδείξει ότι προστατεύει τα δεδομένα.
• Να επιτρέπει στους πελάτες την πρόσβαση, τροποποίηση ή τη διαγραφή πληροφοριών.
• Να γνωρίζει τη θέση των δεδομένων που κατέχει. Αυτά τα δεδομένα μπορούν να βρεθούν σε πολλά σημεία (από την ρεσεψιόν και το εστιατόριο μέχρι το σπα και το θυρωρείο) σε υπολογιστές, σε προσωπικά τηλέφωνα, σε φακέλους, σε παλιά αρχεία αρχειοθέτησης ηλεκτρονικού ταχυδρομείου ακόμη και σε post-it που απομένουν στη ρεσεψιόν ή στο back office. Μόλις ληφθούν υπόψη τα παραπάνω, θα πρέπει να ληφθούν αποφάσεις σχετικά με τον τρόπο διαχείρισης. Οι ενέργειες μπορούν να περιλαμβάνουν τη διαγραφή, την επεξεργασία, την κρυπτογράφηση, την καταστροφή ή την αποθήκευση (σε μια ασφαλή τοποθεσία, όπου είναι εύκολη η πρόσβαση από το προσωπικό, αλλά με ελεγχόμενη πρόσβαση).
• Το προσωπικό του ξενοδοχείου πρέπει να γνωρίζει πώς να συλλέγει, να αποκτά πρόσβαση, να χρησιμοποιεί και να αποκαλύπτει προσωπικές πληροφορίες καθώς και τον τρόπο περιορισμού της πρόσβασης στα δεδομένα κατόχων καρτών. • Να αναρτήσει την πολιτική του για την ασφάλεια των προσωπικών δεδομένων και, πιθανώς να καθορίσει τον Υπεύθυνο για την Προστασία των Δεδομένων.
• Να μεριμνήσει για την τοποθέτηση και συντήρηση ασφαλών συστημάτων για την αποφυγή παραβιάσεων δεδομένων και επένδυση σε τεχνολογίες φυσικής και ηλεκτρονικής ασφάλειας.
Κάθε ξενοδοχείο, σε μικρότερο ή μεγαλύτερο βαθμό, επηρεάζεται από τον Κανονισμό, ανεξάρτητα από το μέγεθος ή την τοποθεσία.
Το ξενοδοχείο που θα κινηθεί, σήμερα, για τη συμμόρφωσή του θα επιβιώνει και αύριο στο νέο ψηφιακό κόσμο.
Το ξενοδοχείο θα χρειαστεί να σχεδιάσει μια διαδικασία χαρτογράφησης των δεδομένων προσωπικού χαρακτήρα, για να καταλάβει τι δεδομένα συλλέγονται, πού φυλάσσονται, και πώς χρησιμοποιούνται, πριν ξεκινήσει τη διαδικασία για την προστασία των δεδομένων και θα πρέπει να παρακολουθεί την υλοποίηση, να παρέχει επανεκπαίδευση όταν απαιτείται, να διασφαλίζει τη δημιουργία μιας κουλτούρας για την προστασία της ιδιωτικότητας και την ασφάλεια των δεδομένων, από ενδεχόμενες παραβιάσεις.
Παναγιώτης Παναγόπουλος
Analog Group