Choose language:
Pratite nas:

GDPR za hotele

GDPR (General Data Protection Regulation – EU Regulation 2016/679) je uredba Europske unije koja za primarni cilj ima ujednačavanje i jačanje prava građana Europske Unije u smislu zaštite njihove privatnosti i njihovih osobnih podataka. Uredba je usvojena 27. svibnja 2016., a na snagu stupa 25. svibnja 2018. godine.


 

Iako su osnovni motivi i ciljevi GDPR uredbe vrlo slični prethodnoj EU 95/46/EC Direktivi, zahtjevi GDPR-a dodatno su prošireni, postroženi te prilagođeni trendovima digitalizacije i online poslovanja. Ozbiljnost u namjeri Europske Komisije da GDPR ostvari zacrtane ciljeve, pokazuju i kazne koje su predviđene za sve one koji neće poštivati odredbe Uredbe. Za razliku od EU 95/46/EC Direktive, GDPR je izravno primjenjiv na sve zemlje članice Europske Unije.

Dodatno, potrebno je napomenuti da se GDPR uredba primjenjuje na sve kompanije koje obrađuju osobne podatke građana Europske Unije, bez obzira na veličinu ili industriju. 

 
IZLOŽENOST HOTELIJERSKOG SEKTORA
 

Uslužni sektor zasigurno je jedan od onih koji su najviše pogođeni novom Općom uredbom o zaštiti osobnih podataka.

Više je razloga tomu, a neki od najznačajnijih su:

  • Zbog prirode poslovanja hoteli, kampovi i drugi smještajni objekti obrađuju velike količine osobnih podataka svojih gostiju, ali i stalnih te privremenih zaposlenika,
  • Hotelijerski sektor povijesno gledajući nema velikog iskustva u segmentu revizije i usklađivanja informacijskih sustava sa standardima na području informacijske sigurnosti i zaštite podataka,
  • Kroz usluge koje hoteli i kampovi pružaju svojim gostima, prikupljaju se brojne informacije koje mogu imati značajan utjecaj na privatnost gostiju. Neke od takvih informacija mogu biti:
    • Podaci o osobama s kojima je dijeljen smještaj,
    • Podaci o cijenama smještaja,
    • Podaci o konzumaciji različitih usluga kao što su restorani, wellness i sportski sadržaji  i sl.
  • Nužnost korištenja direktnog marketinga za potrebe oglašavanja,
  • Potreba dijeljenja osobnih podataka s trećim stranama kao što su turističke agencije, partneri i sl.
  • Poslovni segment s visokim očekivanja gostiju u svim segmentima, pa tako i u segmentu privatnosti i zaštite osobnih podataka,
  • Itd.

SIGURNOST OSOBNIH PODATAKA

Uslužni sektor zasigurno je jedan od onih koji su najviše pogođeni novom Općom uredbom o zaštiti osobnih podataka. 

Osim pitanja privatnosti i zaštite osobnih podataka gostiju, hoteli su dodatno izloženi rizicima vezanim uz  krađu i zloupotrebu podataka. Naime, osim osobnih podataka gostiju, hoteli često za potrebe rezervacija i naplate pohranjuju podatke o platnim karticama koji su iznimno atraktivne za cyber kriminalce.
 
Budući da hoteli nemaju naviku izdvajati velika financijska sredstva za zaštitu svojih informacijskih sustava, kao što to na primjer mogu banke ili telekomi, izloženost informacijskog sustava neovlaštenim aktivnostima predstavlja dodatni problem. Pohrana kartičnih podataka dodatno zahtijeva i usklađivanje s PCI DSS standardom vodećih kartičnih kuća, što predstavlja dodatni izazov.
 
S druge strane, bilo kakvo narušavanje reputacije hotela uslijed kompromitacije informacijskog sustava ili krađe osobnih podataka može ostaviti značajne posljedice na financijske rezultate. Gosti su postali vrlo osjetljivi na načine kako se rukuje s njihovim osobnim podacima i s kime se isti dijele. Upravo iz ovog razloga hoteli će morati osjetno podignuti standarde vezano uz sigurnost i zaštitu osobnih podataka, ali i općenito mjere vezanje uz upravljanje životnim ciklusom podataka.

 

GDPR IZAZOVI ZA HOTELE

Iz perspektive uslužnog sektora, ovo su neki od temeljnih izazova u području usklađivanja s GDPR uredbom.

1. Transparentnost i informiranje gostiju

Da se mora odabrati jedna riječ koja najbolje opisuje GDPR, to bi bila transparentnost. GDPR uredba zahtijeva da se gosta jasno i nedvosmisleno informira o svim aspektima obrade osobnih podataka te pravima koje gost ima u pogledu privatnosti i zaštite osobnih podataka. Transparentnost je potrebno ugraditi u sve kanale interakcije i prikupljanja informacija o gostima od online kanala za potrebe rezervacije do same registracije gosta na recepciji i sl.

2. Direktni marketing

Većina hotela i drugih smještajnih objekata značajno ovise o direktnom marketingu. Tema direktnog marketinga posebno je adresirana kroz GDPR uredbu, ali i kroz druge zakonodavne okvire u pripremi kao što je npr. ePrivacy uredba. Prema GDPR uredbi, direktni marketing može se bazirati na legitimnom interesu ili privoli. Iako je privola gosta uvijek najsigurnija opcija kako bi se izbjegli eventualni prigovori i žalbe, ona se često pokušava izbjeći zbog strogih kriterija koje GDPR nameće kako bi se privola smatrala valjanom.

Legitimni interes moguće je koristiti kao alternativu, no pritom je potrebno voditi računa o kakvom je tipu marketinga riječ i koji su potencijalni utjecaji na privatnost gostiju.

3. Prava ispitanika (gostiju)

GDPR gostima omogućuje ostvarivanje niza prava vezano uz privatnost i zaštitu osobnih podataka. Iako je uobičajeno da kompanije obrađuju različite osobne podatke svojih korisnika, do sada nije postojala praksa kojom bi kompanije svojim korisnicima omogućili uvid ili brisanje takvih podataka.

Kada GDPR uredba stupi na snagu, gosti će od hotela (voditelja obrade) moći zatražiti realizaciju svojih određenih prava. Primjeri takvih prava koja se najčešće spominju u javnosti su pravo na pristup/uvid informacijama te pravo na zaborav. Za razliku od prava na prigovor i/ili pravo na ograničenje pojedine obrade, gdje bi se kroz postojeće komunikacijske kanale i procese u određenoj mjeri moglo odgovoriti na zahtjeve gostiju, u ovom dijelu situacija je ipak nešto složenija.

Kako bi se omogućilo ostvarivanje navedenih prava, hoteli će morati detaljno analizirati koje sve informacije o gostu pohranjuju, na kojim lokacijama, u kojim formatima i sl., te će morati uspostaviti procese za pravovremeni odgovor na sve zahtjeve svojih gostiju. U slučaju prava na pristup informacijama potrebno je precizno definirati podatke koji će gostu biti dostavljeni kao i sigurni komunikacijski kanal koji će biti iskorišten u tu svrhu.  Slično vrijedi i za pravo na zaborav gdje je potrebno precizno definirati koji se podaci mogu izbrisati, a da se pritom ne ugrozi usklađenost s drugim zakonima.

U oba slučaja nameće se pitanje pouzdane identifikacije korisnika, jer bi se u suprotnom moglo dogoditi da ispunjavanje zahtjeva gostiju rezultira neadekvatnim rukovanjem ili curenjem informacija. U tom smislu, nužno je uspostaviti procedure i/ili tehničke mjere koje će omogućiti pouzdanu identifikaciju gosta koji zahtjeva realizaciju određenog prava.aka

4. Zaštita osobnih podataka

U segmentu sigurnosti osobnih podataka, GDPR uredba je prilično općenita. Od kompanija se očekuje da implementiraju adekvatnu razinu zaštite osobnih podataka u obliku različitih organizacijskih i tehničkih sigurnosnih mjera, a sve s ciljem kako bi se spriječili eventualni pokušaji kompromitacije i/ili zloupotrebe. 

Nažalost, pitanje adekvatnosti je složenije nego što se to čini na prvi pogled. Odabir odgovarajućih sigurnosnih mjera zahtijeva pažljivo planiranje te uspostavu procesa, uloga i odgovornosti koje dosada vrlo vjerojatno nisu postojale. Procjena adekvatnosti i nužnosti sigurnosnih mjera obično se provodi kroz proces procjene rizika koji je potrebno uspostaviti i kontinuirano održavati.
 
Dodatno, potrebno je unaprijediti procese vezane uz upravljanje i izvješćivanje o sigurnosnim incidentima. Uredba je vrlo precizna u ovome dijelu i od hotela kao i drugih organizacija zahtijevati će znatno formalnije upravljanje sigurnosnim incidentima, posebice u segmentu izvješćivanja.
 
5. GDPR procesi i dokumentacija
 
Osim prethodno navedenih točaka, GDPR zahtijeva uspostavu brojnih drugih procesa i metodologija. Kao primjer mogu se navesti „Privacy by design“ i „Privacy by default“, procjena učinka na zaštitu podataka (DPIA), uspostava i vođenje registra obrada osobnih podataka i sl. Sve su ovo aktivnosti koje zahtijevaju određene resurse i ozbiljnost u provođenju. Potencijalne greške ili previdi mogu skupo koštati.
 

INFIGO IS I GDPR

INFIGO IS posjeduje bogato iskustvo u usklađivanju informacijskih sustava i zaštiti osobnih podataka. Usklađivanje s zahtjevima GDPR uredbe jedno je od područja našeg poslovanja u kojem smo iznimno aktivni i biti će nam drago ukoliko Vam možemo olakšati Vaš put prema usklađenosti.

 
Kontaktirajte nas s povjerenjem na gdpr@infigo.hr.