GDPR Ξενοδοχείων: Σημεία Προσοχής και Οδηγός σε 5 βήματα για συμμόρφωση με τον GDPR σε ξενοδοχειακές / τουριστικές επιχειρήσεις

GDPR Ξενοδοχείων

Σημεία Προσοχής και Οδηγός σε 5 βήματα για συμμόρφωση με τον GDPR σε ξενοδοχειακές / τουριστικές επιχειρήσεις

Το GDPR και ο ξενοδοχειακός τομέας

Όσον αφορά την ασφάλεια δεδομένων, υπάρχουν λίγοι τομείς τόσο ευάλωτοι σε απειλές όσο ο ξενοδοχειακός τομέας.

Με τον όγκο πληροφοριών προσωπικού χαρακτήρα και πιστωτικών καρτών που παραδίδονται και ελέγχονται στα ξενοδοχεία και στις λοιπές τουριστικές επιχειρήσεις σε καθημερινή βάση δεν αποτελεί έκπληξη το γεγονός ότι ο τομέας αντιπροσώπευε τη δεύτερη μεγαλύτερη ομάδα σε μερίδιο συμβάντων ασφάλειας το 2016.

(http://www.verizonenterprise.com/resources/reports/rp_DBIR_2016_Report_en_xg.pdf)

Ο GDPR είναι πλέον σε ισχύ και είναι επιτακτική ανάγκη τα ξενοδοχεία να αναβαθμίσουν τις μεθόδους προστασίας των δεδομένων τους, ειδάλλως αντιμετωπίζουν τον κίνδυνο μεγάλων οικονομικών κυρώσεων.

Οι κυρώσεις για μη συμμόρφωση με τον GDPR είναι μεγάλες, με οικονομικό κόστος έως 20 εκατ. ευρώ ή 4% του κύκλου εργασιών σε παγκόσμιο επίπεδο (όποιο είναι μεγαλύτερο), χωρίς να αναφέρουμε το πιθανό κόστος απώλειας φήμης και πελατείας σε μια σχετική επιχείρηση.

GDPR Ξενοδοχείων: Λήψη και Χρήση Προσωπικών Δεδομένων στα ξενοδοχεία

Τα προσωπικά δεδομένα πρέπει να συλλέγονται και να χρησιμοποιούνται για συγκεκριμένους και νόμιμους λόγους.

Τα δεδομένα δεν μπορούν να χρησιμοποιούνται περαιτέρω για διαφορετικούς σκοπούς και λόγους από την αρχική συλλογή τους.  

Αυτό σημαίνει για παράδειγμα ότι ένα e-mail το οποίο χρησιμοποιήθηκε για να γίνει μία κράτηση, χωρίς να υπάρχει περαιτέρω σύμφωνη γνώμη του πελάτη, δεν μπορεί να χρησιμοποιηθεί για υπηρεσίες όπως είναι το email marketing.

Η τουριστική επιχείρηση πρέπει να διασφαλίζει ότι οι πελάτες της είναι ενημερωμένοι για το πώς χρησιμοποιούνται τα δεδομένα τους.

Οι τουριστικές επιχειρήσεις και κυρίως τα ξενοδοχεία πρέπει να διαμορφώσουν μία στρατηγική με την οποία να διασφαλίζουν την συγκατάθεση του πελάτη.

Σε ότι αφορά την αποδοχή πληρωμών μέσω πιστωτικής και χρεωστικής κάρτας τα ξενοδοχεία πρέπει ήδη να έχουν συμμορφωθεί με το Payment Card Industry Data Security Standard  (PCI DSS).

Σε γενικές γραμμές αυτό σημαίνει ότι όταν μία εταιρεία αποφασίσει να αποδέχεται και να διαχειρίζεται πληρωμές μέσω πιστωτικής / χρεωστικής κάρτας και να αποθηκεύει ή να διαχειρίζεται με οποιονδήποτε τρόπο δεδομένα πιστωτικών καρτών πρέπει τουλάχιστον να αποθηκεύει τα δεδομένα αυτά σε έναν πάροχο ο οποίος θα είναι πιστοποιημένος με PCI.

GDPR Ξενοδοχείων: CRM / Email Marκeting και επαναλαμβανόμενες πωλήσεις στα ξενοδοχεία

Η πλειοψηφία των τουριστικών επιχειρήσεων χρησιμοποιεί συστήματα email marketing / crm για να κρατήσει επαφή με τους πελάτες και να κάνει επαναλαμβανόμενες πωλήσεις.

Mε την εφαρμογή του GDPR είναι πολύ πιθανό ότι θα πρέπει να υπάρξει διαφοροποίηση στην στρατηγική marketing.

Ένα από τα βασικά σημεία του κανονισμού είναι ότι πλέον οι πελάτες θα πρέπει να αποδέχονται αποδεδειγμένα την οποιαδήποτε επικοινωνία προωθητικού τύπου σε αντίθεση με παλαιότερες πρακτικές όπου ο πελάτης μπορούσε απλά να απεγγραφεί.

Επίσης, ένα άλλο σημείο προσοχής είναι οτι οι τουριστικές επιχειρήσεις πρέπει να ενημερώνουν τον λόγο και τους τρόπους χρήσης για τα δεδομένα των πελατών τους.

Σε περιπτώσεις αγοράς “λίστας” υποψηφίων πελατών, είναι απαραίτητη και η διασφάλιση οτι οι εν λόγω εγγεγραμμένοι στη λίστα συμφωνούν με το να λαμβάνουν προωθητικό υλικό.

Σε κάθε περίπτωση, οι επαναλαμβανόμενες πωλήσεις μέσω καναλιών όπως είναι το email και το CRM αντιστοιχούν συνήθως σε περίπου 30% του κύκλου εργασιών από ηλεκτρονικά μέσα οπότε είναι βέβαιο πως ο νέος κανονισμός θα αποτελέσει πρόκληση.

GDPR Ξενοδοχείων: Πρόσβαση στα δεδομένα από πελάτες των ξενοδοχείων

Με την εφαρμογή του GDPR, οι πελάτες του ξενοδοχείου έχουν δικαίωμα πλήρους ελέγχου στα δεδομένα που κρατάει το ξενοδοχείο ή η τουριστική επιχείρηση για αυτούς.

Επειδή αυτό είναι υποχρεωτικό και δωρεάν, είναι βέβαιο οτι θα δούμε αύξηση σε αυτά τα αιτήματα. Επίσης, ο χρόνος απόκρισης σε αύτα τα αιτήματα είναι μόλις 30 ημέρες αλλιώς το ξενοδοχείο κινδυνεύει να θεωρηθεί οτι δεν συμμορφώνεται

GDPR Ξενοδοχείων: Υπηρεσίες / τρίτοι πάροχοι

Οι ξενοδόχοι βασίζουν πολλές από τις υπηρεσίες τους σε τρίτους παρόχους. Αυτοί μπορεί να είναι ταξιδιωτικά γραφεία, εταιρείες μάρκετινγκ, εταιρείες ενοικίασης οχημάτων / σκαφών αλλά και διαδικτυακές υπηρεσίες κάθε είδους.

Λόγω των αλλαγών που προκύπτουν από την εφαρμογή του κανονισμού σε οτι αφορά τους “controllers” και τους “processors” (δηλαδή τους απλούς “κατόχους πληροφοριών” και σε αυτούς που διακρατούν και επεξεργάζονται πληροφορίες) είναι πιθανή η συνευθύνη αν ο τρίτος πάροχος βρεθεί έκθετος.

Προετοιμασία

Είναι απολύτως απαραίτητο τα ξενοδοχεία να διαμορφώσουν την στρατηγική τους ώστε να συμμορφωθούν όσο το δυνατόν ταχύτερα με τον νέο κανονισμό.

Πιθανότατα, διαδικασίες και τρόποι λειτουργίας να χρειαστούν αλλαγές και προσαρμογές όπως επίσης είναι απαραίτητη και η διαρκής εκπαίδευση του προσωπικού.

Αυτό σημαίνει και αντίστοιχο κέντρο κόστους με συγκεκριμένο προϋπολογισμό καθώς και ενεργή συμμετοχή της διοίκησης.

Ακολουθεί μια σύντομη περιγραφή σε 5 βήματα των ενεργειών που πρέπει να κάνει ένα ξενοδοχείο για να συμμορφωθεί με τον GDPR:

GDPR Ξενοδοχείων σε 5 βήματα:

  1. Χαρτογράφηση δεδομένων:

    1. Τα ξενοδοχεία πρέπει να διακρίνουν τα δεδομένα που κατέχουν ή διαχειρίζονται καθώς και τα σημεία επαφής / συλλογής αυτών.
      Αυτό περιλαμβάνει δεδομένα από fax, email, website, τηλέφωνα, χαρτιά, φόρμες καθώς και άλλα στοιχεία όπως προτιμήσεις δωματίων, διατροφικές συνήθειες και οικογενειακή κατάσταση.
      Για να υπάρχει σωστός έλεγχος, θα πρέπει να γίνει μια χαρτογράφηση δεδομένων όπου θα αναφέρεται ο τρόπος συλλογής, ο τρόπος και το σημείο αποθήκευσης, ο τρόπος χρήσης τους και ο υπεύθυνος επεξεργασίας
  2. Εκτίμηση Ασφάλειας Συστημάτων Πληροφορικής

    1. Μόλις ολοκληρωθεί η χαρτογράφηση δεδομένων, θα πρέπει να γίνει μια έκθεση εκτίμησης κινδύνου στις εγκαταστάσεις και στα συστήματα πληροφορικής. Τα συστήματα ασφαλείας καθώς και τα λογισμικά εν λειτουργία θα πρέπει να ελεγχθούν μαζί με τυχόν έγγραφα σε έντυπη μορφή.
    2. Εν συνεχεία, θα δημιουργηθούν δικλείδες ασφαλείας με passwords, κρυπτογραφήσεις  και περιορισμένη πρόσβαση ώστε να βεβαιώνεται η ακεραιότητα των δεδομένων.
  3. Αλλαγές στις πολιτικές για να συμφωνούν με τον GDPR και διορισμός ενός Data Protection Officer

    1. Οι πολιτικές του ξενοδοχείου πρέπει να ενημερωθούν ώστε να συμμορφώνονται με τον Κανονισμό. Αυτό μπορεί να είναι κάτι απλό όπως είναι το Privacy Policy στην ιστοσελίδα ή κάτι ιδιαίτερα σύνθετο.
    2. Οι τρίτοι πάροχοι πρέπει να ελεγχθούν ώστε να συμμορφώνονται με τον GDPR και οι λειτουργίες τους να ελέγχονται από τον διορισμένο DPO ή τον σχετικό σύμβουλο προσαρμογής.
  4. Εφαρμογή νέων πολιτικών

    1. Μόλις ολοκληρωθούν οι αλλαγές στις σχετικές πολιτικές και αναγνωριστούν τα ευάλωτα σημεία, προτείνουμε να έρθετε σε επαφή με τους πελάτες σας ώστε να βεβαιώσετε οτι τα στοιχεία τους ισχύουν καθώς και να τους ενημερώσετε για τις αλλαγές και τους τρόπους χρήσης.
    2. Ξεκινήστε να καταγράφετε τις διαδικασίες σας και εκπαιδεύστε το προσωπικό σας σχετικά με το τι σημαίνει GDPR.
  5. Συνεχής βελτίωση

    1. Σε τακτά χρονικά διαστήματα προγραμματίστε ενημερωτικά σεμινάρια ή συνεντεύξεις ώστε να είστε βέβαιοι οτι το προσωπικό και η διοίκηση κατανοούν και συμμορφώνονται με τον νέο κανονισμό.

Η τουριστική μονάδα σας χρειάζεται να προσαρμοστεί στον Κανονισμό; Ας μιλήσουμε!


 

 

Summary
GDPR Ξενοδοχείων: Σημεία Προσοχής και Οδηγός σε 5 βήματα για συμμόρφωση με τον GDPR σε ξενοδοχειακές / τουριστικές επιχειρήσεις
Article Name
GDPR Ξενοδοχείων: Σημεία Προσοχής και Οδηγός σε 5 βήματα για συμμόρφωση με τον GDPR σε ξενοδοχειακές / τουριστικές επιχειρήσεις
Description
GDPR Ξενοδοχείων: Σημεία Προσοχής και Οδηγός σε 5 βήματα για συμμόρφωση με τον GDPR σε ξενοδοχειακές / τουριστικές επιχειρήσεις
Author
Publisher Name
Niriis S.A.
Publisher Logo

Comments are closed.