e-newsletter 11os/2019

10 ερωτήσεις στις οποίες πρέπει να απαντήσει ένα Ξενοδοχείο

H Grand Value γνωρίζει σε βάθος τις ιδιαίτερότητες του GDPR και της εφαρμογής του στο κλάδο τόσο των ξενοδοχείων όσο και του τουρισμού. Θέλουμε να μοιραστούμε μαζί σας  σε αυτό το άρθρο (σε μορφή ερωτήσεων & απαντήσεων) τα σημεία που χρήζουν της προσοχής σας, μέσα από την εμπειρία μας από συνεργασίες με ξενοδοχεία και ταξιδιωτικούς οργανισμούς.

1. Τι είναι ο GDPR και γιατί αφορά το Ξενοδοχείο;

Ο  GDPR τέθηκε σε ισχύ (σε όλα τα κράτη μέλη της ΕΕ στις 25 Μαΐου 2018) για να ενισχύσει και να ενοποιήσει την προστασία των δεδομένων για όλα τα φυσικά πρόσωπα εντός της Ευρωπαϊκής Ένωσης (ΕΕ).

Αυτό σημαίνει ότι και οι ‘’μη-Ευρωπαίοι πολίτες’’, που χρησιμοποιούν υπηρεσίες ξενοδοχείων που βρίσκονται στην ΕΕ, μπορούν να ασκήσουν τα δικαιώματα που τους παρέχει ο  GDPR.

Ο  GDPR απαιτεί από το την επιχείρηση (ξενοδοχείο, ταξιδιωτικός οργανισμός) να είναι διαφανής, όσον αφορά στον τρόπο συλλογής, αποθήκευσης και κοινοποίησης των προσωπικών δεδομένων των πελατών της.

Παρόλο που ο GDPR ισχύει για οποιονδήποτε οργανισμό ή επιχείρηση που συλλέγει δεδομένα για τους κατοίκους της ΕΕ, η φύση του Ξενοδοχείου και των διαφόρων μέσων/πλατφορμών διατήρησης δεδομένων (όπως για παράδειγμα οι  κρατήσεις μέσω Online Travel Agency και τα συστήματα PMS – Property Management System) καθιστούν σύνθετη τη συμμόρφωση του τουριστικού χώρου με τον Κανονισμό.

2. Ποια στελέχη του Ξενοδοχείου πρέπει να γνωρίζουν τον GDPR;

Οι υπεύθυνοι λήψης αποφάσεων και τα βασικά στελέχη (όπως reception, concierge, housekeeping, restaurant, spa, marketing) του Ξενοδοχείου πρέπει να γνωρίζουν τι επιβάλει η νομοθεσία (δηλαδή ο Κανονισμός GDPR, ο σχετικός νόμος 4624/2019, κατευθυντήριες οδηγίες από την ΑΠΔΠΧ & τον EBDP) σχετικά με την επεξεργασία (συλλογή, χρήση, διαβίβαση, αποθήκευση, διαγραφή) των προσωπικών δεδομένων φυσικών προσώπων.

Επιπλέον, όλο το προσωπικό που εμπλέκεται με προσωπικά δεδομένα θα πρέπει να ενημερωθεί σχετικά με την ασφαλή χρήση τους.

3. Για ποια δεδομένα, που έχει το Ξενοδοχείο, απαιτείται προσοχή;

Όλα τα δεδομένα σχετικά με φυσικά πρόσωπα καλύπτονται από τον GDPR. Αυτό περιλαμβάνει τόσο τους επισκέπτες όσο και τους εργαζομένους και συνεργάτες του Ξενοδοχείου. Το Ξενοδοχείο πρέπει να τεκμηριώσει ποια ‘’προσωπικά δεδομένα’’ επεξεργάζεται και με ποιο τρόπο, από πού προέρχονται, με ποιους τα μοιράζεται, πόσο καιρό τα διατηρεί, κλπ.

“Προσωπικά Δεδομένα” είναι οποιαδήποτε πληροφορία οδηγεί στην ταυτοποίηση ενός φυσικού προσώπου, (πχ το όνομα, ο αριθμός τηλεφώνου, η διεύθυνση ηλεκτρονικού ταχυδρομείου, ο αριθμός κράτησης, η διεύθυνση IP, κλπ). Επιπλέον των παραπάνω, ο Κανονισμός απαιτεί ιδιαίτερα μέτρα για τα προσωπικά δεδομένα ανηλίκων καθώς και τα “ευαίσθητα δεδομένα” (δηλαδή πληροφορίες όπως η κατάσταση υγείας, πιθανές αλλεργίες, δυνατότητα πρόσβασης) που μπορεί να αποκαλυφθούν από τα πιθανά αιτήματα των επισκεπτών.

Η νομοθεσία δεν απαγορεύει στο Ξενοδοχείο να επεξεργάζεται τέτοια δεδομένα αλλά απαιτεί συγκεκριμένα μέτρα όπως η ρητή συγκατάθεση ή η ψευδωνυμοποίηση. Εάν αυτό το είδος δεδομένων συλλεχθεί χωρίς να χρειάζεται, τότε πρέπει να αφαιρεθεί αμέσως, προκειμένου να αποφευχθεί η ανάληψη πρόσθετων υποχρεώσεων για την προστασία αυτών των δεδομένων.

4. Ο GDPR επηρεάζει τις εφαρμογές που χρησιμοποιεί το Ξενοδοχείο;

Όλοι οι κανόνες που πρέπει να ακολουθεί το Ξενοδοχείο – για τη συμμόρφωση του ως προς τον GDPR – ισχύουν και για τις εφαρμογές (λογισμικό, πλατφόρμες, κοινωνικά δίκτυα) που χρησιμοποιούνται.

Εάν ένα Ξενοδοχείο χρησιμοποιεί ένα προϊόν (H/W ή S/W)για να επεξεργαστεί τα δεδομένα του, το προϊόν αυτό πρέπει να τηρεί όλες τις υποχρεώσεις που έχει και το ίδιο το Ξενοδοχείο ως προς τον GDPR .

Το ίδιο ισχύει για κάθε τρίτο (πχ συνεργάτη που παρέχει υπηρεσίες υποστήριξης ή συντήρησης) και έχει ή μπορεί να έχει πρόσβαση στα δεδομένα προσωπικού χαρακτήρα που επεξεργάζεται το Ξενοδοχείο. Σε τέτοια περίπτωση πρέπει να υπάρχει σύμβαση επεξεργασίας δεδομένων (όπως DPA ή SLA) που να διασφαλίζεται ότι ο τρίτος συμμορφώνεται με τους κανόνες του GDPR.

Ανάλογες συμβάσεις πρέπει να υπάρχουν όταν το Ξενοδοχείο, ως μέλος μιας αλυσίδας, χρησιμοποιεί ένα λογισμικό που του δίνεται από τον Όμιλο και ενδέχεται να μην έχει τον πλήρη έλεγχο των προσωπικών δεδομένων ή όταν το Ξενοδοχείο διαβιβάζει σε συνεργαζόμενες επιχειρήσεις μεταφοράς, εστίασης ή διασκέδασης τα προσωπικά δεδομένα των πελατών του.

Αν το ξενοδοχείο έχει σύστημα CCTV (για την ασφάλεια των χώρων) ή wifi (για την εξυπηρέτηση των επισκεπτών) ενδέχεται να απαιτείται η διενέργεια εκτίμησης κινδύνου για την ασφάλεια των δεδομένων.

5. Μπορεί το Ξενοδοχείο να χρησιμοποιεί πάροχους λογισμικού ή servers που βρίσκονται εκτός EΕ;

Ναι, αλλά υπάρχουν ‘’όρια’’ ως προς τον τρόπο διαβίβασης των δεδομένων εκτός της ΕΕ / ΕΟΧ. Οι περισσότεροι μεγάλοι πάροχοι (πχ υπηρεσιών cloud) και πολλές εταιρείες παροχής υπηρεσιών λογισμικού διαθέτουν ανάλογη συμμόρφωση / συμβατότητα με τον GDPR, αλλά το Ξενοδοχείο πρέπει να διασφαλίσει ότι:

  • Υπάρχει σύμβαση επεξεργασίας δεδομένων, όπως ορίζει το άρθρο 28 του GDPR.
  • Υπάρχει νομική βάση για τη διαβίβαση των δεδομένων (GDPR Rec.39, 40, 41, GDPR Art.6.1).
  • Η διαβίβαση/μεταφορά δεδομένων αναφέρεται στην Πολιτική Απορρήτου του Ξενοδοχείου και εξηγείται ο σκοπός της διαβίβασης. .
6. Υπάρχει Πολιτική Απορρήτου; Έχει κοινοποιηθεί;

Η Πολιτική Απορρήτου του Ξενοδοχείου, δηλαδή η Πολιτική Συμμόρφωσης με τον GDPR, πρέπει να είναι αναρτημένη στην εταιρική ιστοσελίδα. Έτσι, οι επισκέπτες του Ξενοδοχείου, οι εργαζόμενοι και όλοι οι συνεργάτες έχουν ενημέρωση, μπορούν να ασκήσουντα δικαιώματά τους, γνωρίζουν τις υποχρεώσεις του Ξενοδοχείου και τους τρόπους προστασίας των προσωπικών δεδομένων.

7. Απαιτείται κρυπτογράφηση των βάσεων δεδομένων;

Ο GDPR συνιστά στο Ξενοδοχείο να λάβει τα ‘’κατάλληλα τεχνικά και οργανωτικά μέτρα’’ για την προστασία των προσωπικών δεδομένων. Δεν διευκρινίζει ούτε επιβάλει ποια μέτρα είναι κατάλληλα. Το Ξενοδοχείο πρέπει να εντοπίσει τους πιθανούς κινδύνους για τα προσωπικά δεδομένα και να λάβει τα ανάλογα μέτρα προστασίας.

Τα ‘’κατάλληλα τεχνικά και οργανωτικά μέτρα’’ προλαμβάνουν κινδύνους που απειλούν την εμπιστευτικότητα, την ακεραιότητα και τη διαθεσιμότητα των προσωπικών δεδομένων.

Η κρυπτογράφηση, όπως και η ψευδωνυμοποίηση (απόκρυψη ταυτότητας), είναι μία επιλογή για την προστασία των δεδομένων, αλλά δεν υπάρχει ειδική απαίτηση.

8. Πώς το Ξενοδοχείο ανταποκρίνεται στην άσκηση των δικαιωμάτων του πελάτη;

Τα φυσικά πρόσωπα (πχ επισκέπτης, εργαζόμενος ή συνεργάτης) έχουν, στο πλαίσιο του GDPR, συγκεκριμένα δικαιώματα, όπως δικαίωμα για μεταφορά ή διόρθωση ή διαγραφή προσωπικών δεδομένων.

Η Πολιτική Απορρήτου του Ξενοδοχείου παρουσιάζει, σε κάθε ενδιαφερόμενο, με ποιο τρόπο μπορεί να ασκήσει αυτά τα δικαιώματα και ποιες είναι οι υποχρεώσεις του Ξενοδοχείου.

Το Ξενοδοχείο οφείλει να ανταποκριθεί, με δομημένο τρόπο, στην άσκηση του δικαιώματος ενός φυσικού προσώπου, εκτός αν συμβατική ή νομοθετική υποχρέωσή του ορίζει διαφορετικά. Σε κάθε περίπτωση το Ξενοδοχείο οφείλει να ενημερώσει σχετικά το φυσικό πρόσωπο, σύμφωνα με τον τρόπο που ορίζει ο GDPR.

Ανάλογη πρόβλεψη πρέπει να κάνει το Ξενοδοχείο και σε κάθε σύμβαση παροχής υπηρεσιών (όπως DPA ή SLA) με όλους τους εξωτερικούς συνεργάτες του (όπως πάροχο υπηρεσιών ΙΤ, πάροχο λογιστικών υπηρεσιών, tour operator, travel agency ή μεταφορική εταιρεία).

9. Επεξεργασία προσωπικών δεδομένων ανηλίκων;

Σύμφωνα με τον GDPR, εντός των EΕ & EΟΧ, ως ανήλικο ορίζεται ένα φυσικό πρόσωπο νεώτερο από 13 έως 16 έτη, ανάλογα με τι ορίζει η εθνική νομοθεσία. Για την Ελλάδα, ο ν.4624/2019 προβλέπει ότι το όριο είναι <15 έτη. Αν και η καλύτερη προσέγγιση είναι να αποφύγει το Ξενοδοχείο την επεξεργασία δεδομένων ανηλίκων, εκτιμάται ότι υπάρχουν περιπτώσεις που απαιτείται η ρητή συγκατάθεση του γονέα (explicit parental or guardian consent). Στην τελευταία περίπτωση απαιτείται και ανάλογη τήρηση σχετικού αρχείου με τις συγκαταθέσεις.

10. Χρειάζεται το Ξενοδοχείο Υπεύθυνο για την Προστασία των Δεδομένων (DPO);

Λαμβάνοντας υπόψη ότι, κατά κανόνα, το Ξενοδοχείο κάνειμεγάλης κλίμακας επεξεργασία δεδομένων, με συστηματικό και τακτικό τρόπο, καθώς και ότι αυτά τα δεδομένα μπορεί να είναι ευαίσθητα ή να αφορούν σε ανήλικους, εκτιμάται ότι είναι απαραίτητος ο ορισμός ΥΠΔ (DPO) και η κοινοποίησή του στην ΑΠΔΠΧ (Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα).

Διαβάστε προηγούμενα άρθρα  της Grand Value για τον ξενοδοχειακό κλάδο:

GDPR στο χώρο των ταξιδιών και της φιλοξενίας

Ξενοδοχεία και Κανονισμός για την Προστασία των Προσωπικών Δεδομένων (GDPR)

Κατευθύνουμε τις επιχειρήσεις σε βιώσιμες λύσεις

Φόρμα Εκδήλωσης Ενδιαφέροντος

Για τη λήψη emails και την πραγματοποίηση κλήσεων με σκοπό την ενημέρωση σας σχετικά με τις υπηρεσίες μας.
Έχω λάβει γνώση των όρων χρήσης της ιστοσελίδας και της Πολιτικής Απορρήτου