ΠΡΟΣΟΧΗ!!! Από σήμερα. Μην επαναπαύεστε για να μην εκπλαγείτε δυσάρεστα. Δεν αστειεύεται ο GDPR

25 Μαΐου, 2018
ΠΡΟΣΟΧΗ!!! Από σήμερα. Μην επαναπαύεστε για να μην εκπλαγείτε δυσάρεστα. Δεν αστειεύεται ο GDPR
Όσον αφορά την ασφάλεια των δεδομένων, υπάρχουν λίγοι τομείς που είναι τόσο ευάλωτοι σε απειλές, όσο ο κλάδος της Εστίασης και των Ξενοδοχείων

Επιχειρήσεις Εστίασης και Ξενοδοχεία απέναντι στον Κανονισμό για την Προστασία των Προσωπικών Δεδομένων GDPR

Του Γιώργου Ασημάκη,

με τη συνεργασία του Γιώργου Ζούμπο

Εισαγωγή

Ο Γενικός Κανονισμός για την Προστασία των Προσωπικών Δεδομένων (Κανονισμός ΕΕ 2016/679) είναι μια δεσμευτική νομοθετική πράξη μέσω της οποίας το Ευρωπαϊκό Κοινοβούλιο, το Συμβούλιο της Ευρωπαϊκής Ένωσης και η Ευρωπαϊκή Επιτροπή προτίθενται να ενισχύσουν και να ενοποιήσουν την προστασία των δεδομένων για όλα τα άτομα εντός της Ευρωπαϊκής Ένωσης (ΕΕ). Αφορά επίσης την εξαγωγή δεδομένων προσωπικού χαρακτήρα, εκτός της ΕΕ.

Ο Κανονισμός εγκρίθηκε στις 27 Απριλίου 2016 κι εφαρμόζεται από τις 25 Μαΐου 2018 μετά από μεταβατική περίοδο περίπου δύο ετών σε όλα τα κράτη μέλη κι αντίθετα από μια οδηγία, δεν απαιτεί από τις εθνικές κυβερνήσεις να εγκρίνουν οποιαδήποτε νομοθετική πράξη με συνέπεια να είναι άμεσα δεσμευτικός και εφαρμόσιμος.

Ο Κανονισμός εισάγει ένα νέο σύνολο “δικαιωμάτων” για τους πολίτες της ΕΕ και υποχρεώσεων για τις επιχειρήσεις, σε μια εποχή που η οικονομική αξία των προσωπικών δεδομένων αυξάνεται και ιδιαίτερα στην ψηφιακή οικονομία.

Ο Επισιτιστικός Κλάδος & ο Κανονισμός

Όσον αφορά την ασφάλεια των δεδομένων, υπάρχουν λίγοι τομείς που είναι τόσο ευάλωτοι σε απειλές, όσο ο κλάδος της Εστίασης και των Ξενοδοχείων. Το ξενοδοχείο και η επιχείρηση εστίασης, επεξεργάζονται και σε πολλές περιπτώσεις αποθηκεύουν μακροπρόθεσμα έναν πολύ μεγάλο όγκο προσωπικών πληροφοριών και οικονομικών συναλλαγών. Λαμβάνουν, επίσης, σχετικές πληροφορίες από πολλές πηγές, όπως συστήματα κρατήσεων τρίτων, συστήματα σημείων πώλησης, παραχωρήσεις, ηλεκτρονικά μηνύματα, φαξ, τηλέφωνα και walk-ins. Επιπλέον, τείνουν να αποθηκεύουν δεδομένα σε διάφορα σημεία.

Με τον όγκο των επεξεργασμένων δεδομένων προσωπικού χαρακτήρα και πιστωτικών καρτών, σε καθημερινή βάση, οι συγκεκριμένοι κλάδοι είναι σήμερα ένας από τους πιο ευάλωτους σε παραβιάσεις (έρευνα για την παραβίαση δεδομένων, Verizon 2016).

Μετά τις 25 Μαΐου 2018, κάθε ξενοδοχείο και επιχείρηση εστίασης, ανεξάρτητα από το μέγεθος, εφόσον επεξεργάζεται προσωπικά δεδομένα κατοίκων της ΕΕ, πρέπει να συμμορφώνεται με τις απαιτήσεις του Κανονισμού.

Καταγραφή & Χρήση δεδομένων προσωπικού χαρακτήρα

Με τον όρο “Δεδομένα Προσωπικού Χαρακτήρα” νοείται οποιαδήποτε πληροφορία που αφορά ένα φυσικό πρόσωπο, είτε σχετίζεται με την ιδιωτική, επαγγελματική ή δημόσια ζωή του, σε ψηφιακή ή σε φυσική μορφή.

Μπορεί να είναι οτιδήποτε από όνομα, διεύθυνση κατοικίας, φωτογραφία, διεύθυνση ηλεκτρονικού ταχυδρομείου, τραπεζικά στοιχεία, αναρτήσεις σε ιστότοπους κοινωνικής δικτύωσης, ιατρικές πληροφορίες, διατροφικές προτιμήσεις ή διεύθυνση IP ενός υπολογιστή.

Σε ένα ξενοδοχείο ή επιχείρηση εστίασης, τέτοιες προσωπικές πληροφορίες μπορεί να διατίθενται σε όλα σχεδόν τα τμήματα, όπως για παράδειγμα, πωλήσεις και μάρκετινγκ, κρατήσεις, φαγητό / ποτό, κέντρο αναψυχής.

Σύμφωνα με τον Κανονισμό, τα προσωπικά δεδομένα, πρέπει να συλλέγονται για σαφείς και νόμιμους σκοπούς και δεν μπορούν να επεξεργαστούν περαιτέρω κατά τρόπο αντίθετο με τους σκοπούς που περιγράφηκαν αρχικά. Για παράδειγμα, λαμβάνοντας μια διεύθυνση ηλεκτρονικού ταχυδρομείου κατά την κράτηση ή την παραγγελία delivery και στη συνέχεια χρησιμοποιώντας τη, χωρίς περαιτέρω συγκατάθεση, για το μάρκετινγκ ηλεκτρονικού ταχυδρομείου σε μεταγενέστερο στάδιο.

Το ξενοδοχείο και η επιχείρηση εστίασης πρέπει να εξασφαλίσουν ότι οι πελάτες γνωρίζουν τις συγκεκριμένες χρήσεις των δεδομένων τους.

Συνεπώς, πρέπει να αναπτύξουν μια στρατηγική για τη λήψη συναίνεσης του πελάτη, με την κατάλληλη μορφή, πριν από την έναρξη ισχύος του Κανονισμού.

Προμηθευτές του ξενοδοχείου και της επιχείρησης εστίασης

Στο πλαίσιο της συμμόρφωσης με τον Κανονισμό, πρέπει να επανεξεταστούν οι συμβάσεις συνεργασίας με τους προμηθευτές, που χρησιμοποιούν τα προσωπικά δεδομένα των επισκεπτών και πελατών, συμπεριλαμβανομένων των εταιρειών παροχής υπηρεσιών εστίασης, των συνεργείων καθαριότητας, των παρόχων υπηρεσιών φυσικής και ηλεκτρονικής ασφάλειας, των online ταξιδιωτικών πρακτορείων, των μεταφορικών εταιρειών, κα.

Το ξενοδοχείο και η επιχείρηση εστίασης, ως Υπεύθυνοι Επεξεργασίας Δεδομένων, πρέπει να δώσουν έμφαση στο σχεδιασμό συμβάσεων συνεργασίας με τους παραπάνω, σύμφωνα με τις απαιτήσεις του Κανονισμού. Επίσης, για να διασφαλιστεί ότι τα δεδομένα αυτά δεν θα παραμείνουν περισσότερο από ό,τι είναι απαραίτητο, πρέπει να οριστούν χρονικά όρια από το ξενοδοχείο και την επιχείρηση εστίασης, για διαγραφή ή για περιοδική αναθεώρηση. Επιπρόσθετα, τα ξενοδοχεία και οι επιχειρήσεις εστίασης, να λαμβάνουν κάθε εύλογο μέτρο για να πιστοποιείται ότι τα στοιχεία προσωπικών δεδομένων που είναι ανακριβή, διορθώνονται ή και διαγράφονται.

Τι νέο εισάγει ο Κανονισμός

Πριν, οι κανόνες σχετικά με τη συλλογή στοιχείων επισκεπτών-πελατών (ή δυνητικών επισκεπτών-πελατών) είναι κάπως ευέλικτοι. Οι ξενοδόχοι και οι επιχειρηματίες εστίασης μπορούν να αξιοποιούν τη δυνατότητα opt-out και τη σιωπηρή συγκατάθεση για την εγγραφή πελατών σε διάφορα ενημερωτικά δελτία και καμπάνιες ηλεκτρονικού ταχυδρομείου. Τα γενικευμένα αιτήματα συγκατάθεσης και ένας μεγάλος αριθμός λιστών με ονόματα μπορούν να χρησιμοποιηθούν ώστε το ξενοδοχείο και η επιχείρηση εστίασης να προσεγγίσει πιθανούς επισκέπτες-πελάτες.

Όλα αυτά αλλάζουν στο πλαίσιο του Κανονισμού. Η απαίτηση για σαφή και διαφανή συγκατάθεση του πελάτη σημαίνει ότι το ξενοδοχείο και η επιχείρηση εστίασης, πρέπει να του εξηγήσει:

• τι δεδομένα συλλέγει,

• γιατί συλλέγει αυτά τα δεδομένα

• ποιος τα ζητάει (ποιος είναι ο Υπεύθυνος Επεξεργασίας) και

• ποιος άλλος θα έχει πρόσβαση σε αυτά τα δεδομένα.

Το τελικό αποτέλεσμα είναι τα φυσικά πρόσωπα να γνωρίζουν με σαφήνεια τι πληροφορίες θέλει το ξενοδοχείο και η επιχείρηση εστίασης και τι σχεδιάζει να κάνει με αυτές.

Ωστόσο, το δύσκολο μέρος για το ξενοδοχείο και την επιχείρηση εστίασης, είναι ότι η συναίνεση που κάποιος τους παρέχει, ισχύει μόνο για το σκοπό που έχει δηλωθεί ρητά.

Πριν, το ξενοδοχείο και η επιχείρηση εστίασης μπορούσε να αντλήσει τη διεύθυνση ηλεκτρονικού ταχυδρομείου μια φορά και στη συνέχεια να την επαναχρησιμοποιεί σε καμπάνιες και ενημερωτικά δελτία. Ωστόσο, με τη θέσπιση του Κανονισμού, αυτή η “αοριστία” πρέπει να περιοριστεί. Εάν έχετε καταγράψει την ηλεκτρονική διεύθυνση για την αποστολή ενημερωτικού δελτίου, τότε θα πρέπει να ζητήσετε ξανά ρητή συγκατάθεση για μια άλλη προωθητική καμπάνια, ιδιαίτερα μάλιστα όταν πρόκειται για μη συναφή σκοπό.

Τι αλλάζει στο μάρκετινγκ

Συχνά το ξενοδοχείο και η επιχείρηση εστίασης, βασίζεται σε online προωθητικές ενέργειες, ως μια μορφή μάρκετινγκ, οπότε ο Κανονισμός μπορεί να έχει σημαντικό αντίκτυπο στη στρατηγική μάρκετινγκ. Ο Κανονισμός αναφέρει ότι οι πελάτες θα πρέπει να έχουν δυνατότητα Opt-in, σε αντίθεση με το σημερινό ευρέως χρησιμοποιούμενο σύστημα opt-out.

Η πρόκληση, από την προοπτική του ψηφιακού μάρκετινγκ, είναι ότι τα ξενοδοχεία και οι επιχειρήσεις εστίασης, πρέπει να στηρίζονται στην διαφάνεια με τον πελάτη, αλλά αυτό μπορεί να οδηγήσει σε μια ‘’βαριά’’ και λιγότερο φιλική ιστοσελίδα, όπου τα πολλά Opt-in πιθανώς θα κουράσουν τον πελάτη.

Το ξενοδοχείο και η επιχείρηση εστίασης πρέπει να είναι σε θέση να αποδείξουν ότι έχουν τη συγκατάθεση των πελατών τους για την περαιτέρω χρήση των δεδομένων τους για σκοπούς μάρκετινγκ και πρέπει επίσης να έχουν καθορίσει ποια δεδομένα επιθυμούν να χρησιμοποιηθούν. Αν αγοραστεί κατάλογος πιθανών πελατών, τότε το ξενοδοχείο και η επιχείρηση εστίασης πρέπει να έχουν λάβει τεκμηρίωση που αποδεικνύει ότι υπήρξε συγκατάθεση χρήσης των δεδομένων από αυτούς τους πελάτες.

Τι πρέπει να γίνει;

Για να διασφαλιστεί η συμμόρφωση με τον Κανονισμό, το ξενοδοχείο και η επιχείρηση εστίασης, θα πρέπει να σχεδιάσουν ορισμένες φαινομενικά προφανείς αλλά μάλλον προσεκτικά σχεδιασμένες ενέργειες για τη διασφάλιση των δεδομένων προσωπικού χαρακτήρα των πελατών τους και την αποφυγή επιπτώσεων που θα μπορούσαν να προκύψουν από την έλλειψη συμμόρφωσης, οπότε το ξενοδοχείο και η επιχείρηση εστίασης πρέπει:

Να καθορίσουν τις βασικές τους αρχές όσον αφορά τα δεδομένα πελατών (και των εργαζομένων), και να αναγνωρίσουν ότι τα δεδομένα ανήκουν σε αυτούς και όχι στο ξενοδοχείο ή στην επιχείρηση εστίασης .

• Να περιγράψουν τον τρόπο συλλογής και διαχείρισης δεδομένων (information flow / datamapping).

• Να θεσπίσουν κώδικα δεοντολογίας ή πολιτικής απορρήτου για το ξενοδοχείο, τις επιχειρήσεις εστίασης και το προσωπικό τους.

• Να ορίσουν τρόπο ‘’αυτο-ελέγχου’’ τους ως προς τη συμμόρφωση με τον Κανονισμό (reporting / monitoring).

• Να τεκμηριώσουν γιατί χρειάζεται να επεξεργαστούν τα προσωπικά δεδομένα και πόσο καιρό σκοπεύουν να τα διατηρήσουν.

• Να διατηρούν δομημένα αρχεία για να αποδείξουν ότι προστατεύουν τα δεδομένα.

• Να επιτρέπουν στους πελάτες την πρόσβαση, τροποποίηση ή τη διαγραφή πληροφοριών.

• Να γνωρίζουν τη θέση των δεδομένων που κατέχουν. Αυτά τα δεδομένα μπορούν να βρεθούν σε πολλά σημεία (από την ρεσεψιόν και το εστιατόριο μέχρι το σπα και το θυρωρείο) σε υπολογιστές, σε προσωπικά τηλέφωνα, σε φακέλους, σε παλιά αρχεία αρχειοθέτησης ηλεκτρονικού ταχυδρομείου ακόμη και σε post-it που απομένουν στη ρεσεψιόν ή στο backoffice. Μόλις ληφθούν υπόψη τα παραπάνω, θα πρέπει να ληφθούν αποφάσεις σχετικά με τον τρόπο διαχείρισης. Οι ενέργειες μπορούν να περιλαμβάνουν τη διαγραφή, την επεξεργασία, την κρυπτογράφηση, την καταστροφή ή την αποθήκευση (σε μια ασφαλή τοποθεσία, όπου είναι εύκολη η πρόσβαση από το προσωπικό, αλλά με ελεγχόμενη πρόσβαση).

• Το προσωπικό του ξενοδοχείου ή της επιχείρησης εστίασης, πρέπει να γνωρίζει πώς να συλλέγει, να αποκτά πρόσβαση, να χρησιμοποιεί και να αποκαλύπτει προσωπικές πληροφορίες καθώς και τον τρόπο περιορισμού της πρόσβασης στα δεδομένα κατόχων καρτών. Οι εργαζόμενοι πρέπει επίσης να ενημερώνονται σχετικά με τον τρόπο δημιουργίας ισχυρών κωδικών πρόσβασης και να γνωρίζουν πώς να διαθέτουν σωστά τα έγγραφα που περιέχουν προσωπικά δεδομένα. Τα παραπάνω διασφαλίζονται με εκπαίδευση (από ευαισθητοποίηση μέχρι επιμόρφωση).

• Να αναρτήσουν την πολιτική τους για την ασφάλεια των προσωπικών δεδομένων και, πιθανώς να καθορίσουν τον Υπεύθυνο για την Προστασία των Δεδομένων.

• Να μεριμνήσουν για την τοποθέτηση και συντήρηση ασφαλών συστημάτων για την αποφυγή παραβιάσεων δεδομένων και επένδυση σε τεχνολογίες φυσικής και ηλεκτρονικής ασφάλειας.

Κάθε ξενοδοχείο και επιχείρηση εστίασης, σε μικρότερο ή μεγαλύτερο βαθμό, επηρεάζεται από τον Κανονισμό, ανεξάρτητα από το μέγεθος ή την τοποθεσία.

Το ξενοδοχείο ή η επιχείρηση εστίασης, που θα κινηθεί, σήμερα, για τη συμμόρφωσή του θα επιβιώνει και αύριο στο νέο ψηφιακό κόσμο.

Τα ανωτέρω θα μπορούσαν να περιγραφούν σε 5 βήματα ως μια συνοπτική προσέγγιση στο πλαίσιο συμμόρφωσης με τον Κανονισμό:

Χαρτογράφηση δεδομένων – Datamapping

Το ξενοδοχείο και η επιχείρηση εστίασης, θα χρειαστεί να σχεδιάσουν μια διαδικασία χαρτογράφησης των δεδομένων προσωπικού χαρακτήρα, για να καταλάβουν τι δεδομένα συλλέγονται, πού φυλάσσονται, και πώς χρησιμοποιούνται, πριν ξεκινήσουν τη διαδικασία για την προστασία των δεδομένων.

Αξιολόγηση της ασφάλειας – ΙΤ

Μετά τη χαρτογράφηση των δεδομένων προσωπικού χαρακτήρα, το ξενοδοχείο ή η επιχείρηση εστίασης, πρέπει να ελέγξουν και να τεκμηριώσουν πόσο ασφαλή είναι τα δεδομένα (σε ψηφιακή και έντυπη μορφή) και να εντοπίσουν τυχόν αδυναμίες.

Σχεδιασμός Πολιτικών

Θα πρέπει να αναθεωρήσουν τις τρέχουσες πολιτικές (όπως η πολιτική απορρήτου / privacypolicy τους, η πολιτική πρόσβασης στα δεδομένα / subjectaccessrequest, η πολιτική διατήρησης / retentionpolicy, κλπ) στο πλαίσιο της συμμόρφωσής τους με τον Κανονισμό.

Εφαρμογή νέων πολιτικών – διαδικασιών

Εκκίνηση της επίπονης εργασίας ‘’ξεκαθάρισμα σημερινών αρχείων δεδομένων’’ με τη διαγραφή των δεδομένων και αρχείων που δεν χρειάζονται και την επικύρωση των δεδομένων & αρχείων που απαιτούνται.

Εκκίνηση της διαδικασίας για επικοινωνία με τους πελάτες ώστε να ενημερωθούν για τη νέα πολιτική και να επιβεβαιωθούν τα προσωπικά δεδομένα τους και η χρήση τους (σκοπός διεργασίας).

Καταγραφή όλων των τυποποιημένων διαδικασιών λειτουργίας (SOP) και επένδυση στην ευαισθητοποίηση / κατάρτιση όλων των εργαζομένων, για να διασφαλιστεί ότι θα έχουν πλήρη γνώση των νέων διαδικασιών και των επιπτώσεων από την εφαρμογή του Κανονισμού.

Συμμόρφωση reporting & monitoring

Το ξενοδοχείο και η επιχείρηση εστίασης, πρέπει να παρακολουθούν την υλοποίηση, να παρέχουν επανεκπαίδευση όταν απαιτείται, να διασφαλίζουν τη δημιουργία μιας κουλτούρας για την προστασία της ιδιωτικότητας και την ασφάλεια των δεδομένων, από ενδεχόμενες παραβιάσεις.

Η εφαρμογή του Κανονισμού, της σχετικής νομοθεσίας και των οδηγιών που εκδίδονται, είναι βέβαιο πως συνιστούν μια νέα εποχή.

Χρήσιμα tips για τις επιχειρήσεις εστίασης
  • Αν απασχολείτε προσωπικό πάνω από 200 άτομα ή έχετε σύστημα καμερών βιντεοεπιτήρησης θα πρέπει να ορίσετε DPO και να τον δηλώσετε στην Αρχή Προστασίας Προσωπικών δεδομένων άμεσα.
  • Τα συστήματα Καμερών-Βιντεοεπιτήρησης δεν πρέπει να καλύπτουν κοινόχρηστους χώρους, τραπέζια πελατών, χώρους εργασίας και συγκέντρωσης προσωπικού (κουζίνα, αποδυτήρια κλπ.), δεν πρέπει να είναι υψηλής ευκρίνειας, να κάνουν zoom, να περιστρέφονται και να έχουν οπτική γωνία προς δρόμους και πεζοδρόμια.
  • Ουσιαστικά οι κάμερες επιτρέπεται να καλύπτουν εισόδους-εξόδους και ταμεία. Απαγορεύεται να διατηρείται η καταγραφή των καμερών πάνω από 30 ημέρες. Σε αντίθετη περίπτωση υπάρχει σοβαρός κίνδυνος καταγγελίας.
  • Προσοχή με τα στοιχεία που διατηρείτε των υπάλληλων ηλεκτρονικά και μη, για παράδειγμα βιογραφικά, e-mail, καρτέλες σε προγράμματα μισθοδοσίας, αποστολή στοιχείων σε δημόσιους οργανισμούς, σε χαρακτηρισμούς αυτών, διατήρηση στοιχείων ιατρικών από πιθανές ασθένειες του παρελθόντος.
  • Προσοχή σε στοιχεία πελατολογίου, και χαρακτηρισμός αυτών βάση κάποιων συνήθειών, για παράδειγμα τυχόν αλλεργίες ή προτιμήσεις που έχουν παρουσιαστεί κατά το παρελθόν. E-mail που πιθανώς αποθηκεύονται σε βάση δεδομένων για σκοπούς marketing, ή για διαφημίσεις μέσω των social media.
  • Αν διατηρείται official web site, θα πρέπει να ορίσετε πολιτικές ασφαλείας απορρήτου και συγκατάθεσης προς τον επισκέπτη όσον αφορά τα cookies και τυχόν στοιχεία που καταχωρεί.

 


ΠΑΣΚΚΕΔΙ

Πανελλήνιο Σωματείο Καταστημάτων και Καταναλωτών Εστίασης και Διασκέδασης. Εξειδικευμένο portal ενημέρωσης για τον κλάδο της Εστίασης και τους καταναλωτές.


ΚΑΛΕΣΤΕ ΜΑΣ