gdpr  ξενοδοχεία.

Πώς το GDPR ανέβασε τον πήχη στη διαχείριση δεδομένων για τα ξενοδοχεία

 

GDPR και ξενοδοχεία. Η ξενοδοχειακή βιομηχανία θεωρείται μια από τις πιο στοχευμένες βιομηχανίες για απειλές στα δεδομένα, καθώς τα ξενοδοχεία επεξεργάζονται, σχεδόν σε όλες τις περιπτώσεις μακροπρόθεσμα, έναν πολύ μεγάλο όγκο προσωπικών δεδομένων επισκεπτών και συναλλαγών τραπεζικών καρτών.

Υπάρχουν πολλά παραδείγματα για να στηρίξουμε το παραπάνω! Οι ξενοδοχειακοί όμιλοι και οι μεμονωμένες ξενοδοχειακές μονάδες έχουν αναφέρει παραπάνω από δώδεκα (12) παραβιάσεις δεδομένων και επιθέσεις ασφαλείας δεδομένων από το 2010, συμπεριλαμβανομένων κορυφαίων brands όπως Hyatt, Hilton, Kimpton, Omni κτλ.

Τόσο υψηλοί όγκοι προσωπικών δεδομένων προσελκύουν την προσοχή εξαιρετικά ικανών hackers και εγκληματικών οργανώσεων, καθώς τα δεδομένα είναι ο νέος χρυσός για αυτούς.

GDPR τι είναι; Το GDPR δημιουργήθηκε για να φέρει όσο το δυνατόν περισσότερη ομοιομορφία στην προστασία δεδομένων, δίνοντας τον έλεγχο πίσω στους πολίτες και τους ενοίκους, όσον αφορά τα προσωπικά τους δεδομένα, καθώς για να απλοποιήσει το ελεγκτικό περιβάλλον για διεθνείς επιχειρήσεις, με μια ρύθμιση που είναι μακράν καλύτερη για την αντιμετώπιση των καθημερινών προκλήσεων που θέτει ο σημερινός ψηφιακός κόσμος.  

GDPR και Eλλάδα Πολλοί πίστευαν ότι όπως και πολλοί άλλοι νόμοι και κανονισμοί στην χώρα μας ότι δεν πρόκειται να εφαρμοστούν ποτέ. Είναι αλήθεια ότι είχαμε μια σημαντική χρονική καθυστέρηση στις προσπάθειες εφαρμογής του στην χώρα μας. Δεδομένου όμως της πίεσης που ασκήθηκε από τα αρμόδια ευρωπαικά όργανα για την τήρηση και εφαρμογή του gdpr στην Ελλάδα η εφαρμογή του γίνεται με ταχείς και εντατικούς ρυθμούς αυτή την στιγμή που γράφονται αυτές οι γραμμές. Ειλικρινά λυπάμαι που η πρόβλεψη μου σε αρθρογραφία μου στο zougla.gr με τίτλο GDPR: Τα πρόστιμα αναμένεται να πέσουν βροχή ( Πρώτη καταχώρηση: Τρίτη, 15 Μαΐου 2018) δυστυχώς πήρε σάρκα και οστά με κάποιους μήνες καθυστέρηση απλώς.

Το GDPR θα εφαρμόζεται και σε μη Ευρωπαϊκές χώρες. Παρά το γεγονός ότι είναι μια ρύθμιση της Ευρωπαϊκής Ένωσης, το GDPR θα εφαρμόζεται σε οποιονδήποτε οργανισμό που επεξεργάζεται ή κρατά προσωπικά δεδομένα Ευρωπαϊκής Ένωσης, ανεξαρτήτου περιοχής που βρίσκεται.

Πώς επηρεάζονται τα ξενοδοχεία λόγω του GDPR;

Υπάρχουν νια σειρά από προαπαιτούμενα που χρειάζονται τα παρέχουν τα ξενοδοχεία και να μπορούν να αποδείξουν όσον αφορά στην χρήση προσωπικών δεδομένων, όπως για παράδειγμα:

  • Ένα ξενοδοχείο πρέπει να παρέχει πολύ λεπτομερείς πληροφορίες όσον αφορά το γιατί χρειάζεται να επεξεργάζεται προσωπικά δεδομένα, και πόσο καιρό σκοπεύει να τα κρατήσει. Αυτή η διαδικασία περιλαμβάνει οργανωμένες πολιτικές διατήρησης ώστε το ξενοδοχείο να γνωρίζει ανά πάσα στιγμή την κατάσταση τέτοιων πληροφοριών.
  • Ένα ξενοδοχείο πρέπει να κρατά τεχνικά και οργανωτικά αρχεία που να αποδεικνύουν ότι προστατεύει τα δεδομένα.
  • Ένα ξενοδοχείο πρέπει να περιγράφει τις κατευθυντήριες γραμμές για συλλογή και διαχείριση προσωπικών δεδομένων.
  • Όσον αφορά στο ψηφιακό marketing και τη συλλογή προσωπικών δεδομένων, τα ξενοδοχεία πρέπει να τηρούν έναν τομέα στην ιστοσελίδα τους που να επιτρέπει την συγκατάθεση του χρήστη, για να μπορούν τα ξενοδοχεία να αποθηκεύουν προσωπικά δεδομένα. Τα ξενοδοχεία πρέπει επίσης να μπορούν να αποδείξουν ότι το κοινό τους έδωσε συγκατάθεση για τα προσωπικά του δεδομένα να χρησιμοποιηθούν για λόγους marketing, πρέπει να συγκεκριμενοποιούν ποια από τα δεδομένα επιθυμούν να χρησιμοποιηθούν και εξηγούν τη διαδικασία, επιτρέποντας στους επισκέπτες να έχουν πρόσβαση, να τροποποιούν και να διαγράφουν πληροφορίες. Εάν έχει γίνει αγορά λίστας πιθανών πελατών, ο ξενοδόχος πρέπει επίσης να παραλάβει τα απαραίτητα έγγραφα που να αποδεικνύουν την συγκατάθεση που έχει δοθεί για τα δεδομένα αυτά να μπορούν να χρησιμοποιηθούν.

Ποια είναι τα κύρια προαπαιτούμενα για συμμόρφωση με το GDPR για τα ξενοδοχεία;

Για να συμμορφώνονται αποτελεσματικά τα ξενοδοχεία με το GDPR, θα πρέπει να επανεξετάσουν ενδελεχώς τις διασυνδέσεις τους με τους επεξεργαστές δεδομένων, τις δικές τους πολιτικές ασφάλειας και εάν έχουν διαθέσιμο το απαραίτητα καταρτισμένο προσωπικό που θα υλοποιήσει τη νέα νομοθεσία. Αυτό περιλαμβάνει όλα τα τμήματα, συμπεριλαμβανομένου του CCTV.

  1. Data mapping: Τα ξενοδοχεία λαμβάνουν προσωπικά δεδομένα από πολλά κανάλια , μεταξύ άλλων email, fax, τηλέφωνο, ιστοσελίδα, φόρμες κτλ. Αυτά τα δεδομένα συχνά αποθηκεύονται σε πολλαπλές πλατφόρμες, σε διάφορα τμήματα. Για αυτό τον λόγο ένα από τα πρώτα ζητήματα που θα πρέπει ένα ξενοδοχείο να αντιμετωπίσει, είναι να ολοκληρώσει μια πλήρη χαρτογράφηση δεδομένων (data mapping) για να γνωρίζει ποια δεδομένα συλλέγονται, που αποθηκεύονται αυτές οι πληροφορίες, ποιος διαχειρίζεται τα δεδομένα, πώς χρησιμοποιούνται, συμπεριλαμβανομένου και το που καταλήγουν, πριν να ξεκινήσει τις διεργασίες για προστασία και παρακολούθηση αυτών.
  1. Data security assessment: Άπαξ και η χαρτογράφηση δεδομένων ολοκληρωθεί, τα ξενοδοχεία θα πρέπει να αποφασίσουν για το ποια δεδομένα θα αποθηκεύονται και θα διαχειρίζονται. Ύστερα, θα πρέπει να εξετάσουν και να καταγράψουν πόσο ασφαλή είναι, καθώς και να εντοπίσουν τυχόν αδυναμίες. Οι εφαρμογές σε υλικό και λογισμικό θα πρέπει επίσης να επανεξετασθούν, μαζί με τυχόν χειρόγραφα αρχεία. Εάν οι πληροφορίες αποθηκεύονται ηλεκτρονικά, μπορεί να χρειαστεί να εφαρμοστεί μια σειρά από κωδικούς κρυπτογράφησης, κωδικούς πρόσβασης και περιορισμούς σε πρόσβαση ώστε να προστατευθεί η πρόσβαση και η ακεραιότητα των δεδομένων.
  1. Ενημέρωση πολιτικής δεδομένων: Τα ξενοδοχεία έχουν πλέον την υποχρέωση, σαν μέρος της διαδικασίας συλλογής δεδομένων, να γνωστοποιούν στους ιδιώτες τα δικαιώματά τους με τον κανονισμό GDPR. Για αυτό τον λόγο, τα ξενοδοχεία θα πρέπει να επανεξετάσουν όλες τις υπάρχουσες πολιτικές προστασίας δεδομένων, συμπεριλαμβανομένης της πολιτικής απορρήτου, διατήρησης κλπ., καθώς επίσης και πολιτικές που σχετίζονται με αντισυμβαλλόμενα τρίτα μέρη και να ενημερωθούν αντίστοιχα.
  1. Εφαρμογή νέων πολιτικών GDPR: Μια από τις βασικές αρχές του GDPR είναι η μη τήρηση δεδομένων για διάστημα μεγαλύτερο από εκείνο που χρειάζεται. Αν και συνήθως πρόκειται για μια δαπανηρή διαδικασία, θα χρειαστεί να κάνετε εκκαθάριση των τρεχουσών εγγραφών δεδομένων, διαγράφοντας αυτά που δεν χρειάζεστε και επικυρώνοντας τα δεδομένα που χρειάζεστε.
  1. Συνεχής συμμόρφωση και παρακολούθηση: Η διατήρηση του GDPR είναι μια αέναη διαδικασία. Για να διασφαλίσουν ότι συνεχίζουν να συμμορφώνονται και να μειώσουν τον κίνδυνο παραβίασης δεδομένων, τα ξενοδοχεία θα πρέπει:

α) Να επενδύσουν στην εκπαίδευση όλου του σχετικού προσωπικού για να διασφαλιστεί ότι έχουν εις βάθος κατανόηση των νέων διαδικασιών και τις επιπτώσεις του κανονισμού. Σαν dreamweaver.gr συμβάλλαμε στην εκπαίδευση και πιστοποίηση  του προσωπικού του Δήμου Αθηναίων , του Πανελλήνιου Συλλόγου Δικαστικών Επιμελητών Ελλάδος – δείτε εδώ – , εταιρειών όπως της Mark Aalen και δεκάδων άλλων εταιρειών στην χώρα μας σας διαβεβαιώνουμε ότι η διαδικασία αυτής της εκπαίδευσης και πιστοποίησης για το gdpr ίσως είναι το πιο σημαντικό κομμάτι στην προσπάθεια σας να θωρακίσετε το ξενοδοχείο σας σε επίπεδο gdpr

β) Να παρέχουν τακτικά επανεκπαίδευση σε όλο το προσωπικό για να διασφαλιστεί η καλλιέργεια της νοοτροπίας για προστασία από τυχόν παραβιάσεις.

γ) Να διασφαλίσουν ότι οι υπάλληλοι γνωρίζουν τις διαδικασίες για την περίπτωση παραβίασης και να αναφέρουν τυχόν λάθη άμεσα στον DPO ή στο άτομο ή ομάδα υπεύθυνη για την συμμόρφωση στην προστασία δεδομένων.

Τα ξενοδοχεία, τόσο οι μικρές όσο και οι μεγάλες μονάδες, συχνά κάνουν λάθη σε θέματα προσωπικών δεδομένων, αλλά με τον νέο GDPR, οι κυρώσεις θα είναι πολύ μεγαλύτερες. Η λάθος χρήση ή παραβίαση προσωπικών δεδομένων θα επιφέρει το ρίσκο διοικητικών προστίμων έως του 4% του παγκόσμιου τζίρου. Εκτός των άλλων, υπάρχει και το ρίσκο του να αμαυρωθεί η φήμη σας, καταλήγοντας να πληρώσετε αποζημιώσεις.

Ανεξαρτήτως του τι αποφασίσετε να κάνετε για να επιτύχετε την συμμόρφωση με το GDPR, εάν δεν έχετε ήδη ξεκινήσει, είναι σημαντικό να ξεκινήσετε με την προετοιμασία τώρα. Η συμμόρφωση με το GDPR, όχι μόνο θα κρατήσει περισσότερο από αυτό που περιμένετε, αλλά η αποτυχία στη συμμόρφωση και ανανέωση των διαδικασιών για την προστασία των δεδομένων των επισκεπτών σας σημαίνει ότι παίρνετε το ρίσκο για σημαντικές οικονομικές κυρώσεις.

Μέσα από την ενασχόληση σου με το gdpr μέσω του Επαγγελματικού Επιμελητηρίου Αθηνών στην προσπάθεια μας να προετοιμάσουμε τότε τις επιχειρήσεις για την έλευση του gdpr ( μπορείτε να διαβάσετε σχετικά εδώ ) συμβάλλαμε και εξασφαλίσαμε πολλές επιχειρήσεις. Θα χαρούμε ιδιαίτερα αν μας καλέσετε στο 210 74 84 84 5 ή μας στείλετε email στο s at dreamweaver.gr για να δούμε τις ιδιαίτερες δικές σας ανάγκες και να εξασφαλίσουμε το ξενοδοχείο σας από τυχόν απειλές.

Μην ξεχάσετε να ρίξετε μια ματιά και στο blog μας όπου έχουμε δημοσιεύσει σειρά άρθρων για το gdpr 

Για την dreamweaver.gr
Θανάσης Δαβαλάς