Προσωπικά δεδομένα στα ξενοδοχεία και στους ξενώνες

Ο GDPR εφαρμόζεται σε όλες τις ιδιωτικές και δημόσιες οργανώσεις που επεξεργάζονται προσωπικά δεδομένα και πρακτικά σε όλες τις ενέργειες που αφορούν την επεξεργασία δεδομένων. Θεωρητικά, αυτός ο νέος ευρωπαϊκός κανονισμός περιλαμβάνει όρους που αφορούν την αποθήκευση και τη διαχείριση των προσωπικών δεδομένων. Οι νέοι κανόνες διασφαλίζουν την ασφάλεια των καταναλωτών…

Ο GDPR εφαρμόζεται σε όλες τις ιδιωτικές και δημόσιες οργανώσεις που επεξεργάζονται προσωπικά δεδομένα και πρακτικά σε όλες τις ενέργειες που αφορούν την επεξεργασία δεδομένων. Θεωρητικά, αυτός ο νέος ευρωπαϊκός κανονισμός περιλαμβάνει όρους που αφορούν την αποθήκευση και τη διαχείριση των προσωπικών δεδομένων. Οι νέοι κανόνες διασφαλίζουν την ασφάλεια των καταναλωτών, που συνήθως ασυνείδητα, μοιράζονται τα προσωπικά τους δεδομένα σε πολλές υπηρεσίες. Με όπλο την περίπλοκη νομοθετική γλωσσά (ψιλά γράμματα στους όρους), οι οργανώσεις αποκτούν από τους καταναλωτές συναίνεση για την επεξεργασία δεδομένων, κάτι που με τον νέο κανονισμό θα σταματήσει να γίνεται. Από την άλλη πλευρά, υπάρχουν καταναλωτές που ήδη γνωρίζουν πως η διανομή δεδομένων αποτελεί πηγή εσόδων για εταιρείες και είναι ιδιαιτέρως καχύποπτοι καθώς θέλουν  να προφυλάσσουν την ιδιωτικότητά τους και έτσι αναμένουν ικανοποιητική ασφάλεια. Ο νέος κανονισμός, λοιπόν, καλύπτει πλήρως τις προσδοκίες τους.

Τι είναι, λοιπόν, η επεξεργασία των προσωπικών δεδομένων; Ως επεξεργασία προσωπικών δεδομένων θεωρείται οποιαδήποτε ενέργεια παρουσίασης των προσωπικών δεδομένων με αυτοματοποιημένο ή μη τρόπο. Η συλλογή, καταγραφή, ταξινόμηση, αποθήκευση, προσαρμογή ή τροποποίηση, θεωρείται επεξεργασία δεδομένων. Η επεξεργασία, επίσης, σχετίζεται με τη λήψη, την περιήγηση, τη χρήση και την αποκάλυψη  δεδομένων μέσω αποστολής, διανομής ή οποιουδήποτε άλλου τρόπου. Επιπρόσθετα, επεξεργασία θεωρείται και η αντιστοίχηση, η μείωση ή η διαγραφή των προσωπικών δεδομένων. Με άλλα λόγια, οποιαδήποτε ενέργεια αφορά προσωπικά δεδομένα θεωρείται επεξεργασία αυτών. Για παράδειγμα, μία απλή καταγραφή των στοιχείων ενός πελάτη στη βάση δεδομένων ενός ξενοδοχείου νοείται ως επεξεργασία. Το ίδιο ισχύει και για τη συλλογή δεδομένων που γίνεται από έναν ιστότοπο για την κράτηση δωματίων ή για την διανομή δεδομένων που γίνεται σε εξωτερικές εταιρείες, π.χ. εταιρεία ενοικίασης αυτοκινήτων, οι οποίες συνεργάζονται με ένα ξενοδοχείο. Οπότε, το να λαμβάνεις προσωπικά δεδομένα από άλλες πηγές, επίσης θεωρείται επεξεργασία.

Για τους διευθυντές ξενοδοχείων, ο GDPR σημαίνει πως πρέπει να αλλάξουν άρδην τον τρόπο με τον οποίο επεξεργάζονται τα προσωπικά δεδομένα. Αξίζει να σημειωθεί πως ο GDPR εισάγει πρόστιμα για ανάρμοστη επεξεργασία προσωπικών δεδομένων, τα οποία φτάνουν έως και τα 20 εκατ.

Ο GDPR αποτελεί επανάσταση για τις ανάγκες των διαχειριστών των προσωπικών δεδομένων. Μία από τις σημαντικότερες αλλαγές που φέρνει ο GDPR είναι η αξιολόγηση που πρέπει να γίνεται από τους διαχειριστές για την πιθανή καταπάτηση των δικαιωμάτων και της ελευθερίας των ανθρώπων, των οποίων επεξεργάζονται τα δεδομένα τους. Από αυτή την άποψη, τα ξενοδοχεία πρέπει να λογαριάζουν τη φύση, το αντικείμενο, το περιεχόμενο και τους σκοπούς της επεξεργασίας προσωπικών δεδομένων. Γίνεται, λοιπόν, κατανοητό πως μια αξιολόγηση του κινδύνου από τα ξενοδοχεία είναι απαραίτητη, προκειμένου να εφαρμοστούν οι κατάλληλες τεχνικές τακτικές που θα διασφαλίζουν την ασφάλεια  της επεξεργασίας των προσωπικών δεδομένων. Δυστυχώς, οι τωρινές πολιτικές ασφάλειας δεν θα χρησιμοποιούνται πια, καθώς είχαν αναπτυχθεί και εφαρμοστεί βάσει άλλων απαιτήσεων.

Μέχρι σήμερα, τα ξενοδοχεία συλλέγουν και επεξεργάζονται πολλά προσωπικά δεδομένα πελατών, αποκτώντας τα εύκολα από τη διαδικασία της κράτησης των δωματίων ή του check-in. Ο GDPR  εισάγει νέους κανόνες. Ένας από αυτούς είναι η ελαχιστοποίηση της συλλογής δεδομένων. Αυτό σημαίνει πως η επεξεργασία προσωπικών δεδομένων πρέπει να είναι επαρκής, συναφής με το σκοπό και περιορισμένη. Στην ουσία, τα ξενοδοχεία πρέπει να επεξεργάζονται δεδομένα πελατών που είναι απαραίτητα για να τους παρέχουν τις υπηρεσίες τους. Για παράδειγμα, προκειμένου να τους παρέχουν σωστές υπηρεσίες δεν χρειάζεται να έχουν αντίγραφο της ταυτότητας των πελατών ή οποιοδήποτε άλλο αντίγραφο που να πιστοποιεί το ποιοι είναι.

Συνεπώς, η απάντηση στην ερώτηση ”Ποια στοιχεία πρέπει ένα ξενοδοχείο να έχει;” είναι ξεκάθαρη: Μόνο τα απαραίτητα, όπως όνομα, τόπος διαμονής και αριθμός ταυτότητας, προκειμένου να μπορούν να τους παράσχουν τις υπηρεσίες τους. Σε περίπτωση που τα ξενοδοχεία παρέχουν έξτρα υπηρεσίες, όπως θεραπείες αναζωογόνησης ή ιατρικές υπηρεσίες, πιθανότατα να χρειαστεί να επεξεργάζονται δεδομένα που αφορούν την υγεία του πελάτη. Αλλά και πάλι αυτά θα πρέπει να είναι τα άκρως απαραίτητα για τις εν λόγω υπηρεσίες. Αξίζει να υπενθυμίσουμε πως η επεξεργασία δεδομένων υγείας ή άλλων ευαίσθητων δεδομένων θα απαιτεί τη διατήρηση μία καταγραφής των δραστηριοτήτων επεξεργασίας, κάτι το οποίο είναι αρκετά περίπλοκο, καθώς θα πρέπει να καλύπτει τομείς, όπως ο σκοπός επεξεργασίας, η κοινή χρήση δεδομένων και η διατήρηση αυτών.

Δεν έχουν καταλάβει όλοι οι ξενοδόχοι ποιες είναι οι υποχρεώσεις τους απέναντι στον νόμο  στον  τομέα αυτό. Μέχρι αυτή τη στιγμή, πολλοί από αυτούς έχουν την ψευδαίσθηση πως τα πάντα βρίσκονται υπό τον έλεγχό τους, επειδή έχουν προσωπικό που εμπιστεύονται, έχουν κανόνες και δεν είχαν ποτέ προβλήματα στον τομέα αυτό.  Επιπρόσθετα, ο προμηθευτής λογισμικών για ξενοδοχεία, προκειμένου να έχει την ηρεμία του, πιθανότατα να ισχυριστεί πως το σύστημά του είναι πλήρως συμμορφωμένο με τους νομοθετικούς κανονισμούς. Παρόλα αυτά, είναι απαραίτητο να γνωστοποιήσει στους ξενοδόχους τους νέους κανόνες που θα έχουν να αντιμετωπίσουν. Από τις 25-05-2018, θα πρέπει να έχουν στην κατοχή τους τα κατάλληλα έγγραφα και να έχουν εισάγει τις πρέπουσες διαδικασίες, ώστε να μην καταπατήσουν τον συγκεκριμένο νόμο, καθώς αν γίνει αυτό θα έχουν σοβαρές κυρώσεις. Επιπλέον, ο GDPR ανοίγει διάπλατα τις πόρτες σε ενέργειες που σχετίζονται με την προάσπιση των δικαιωμάτων των καταναλωτών, όπως νομική αγωγή ενάντια στις επονομαζόμενες αθέμιτες ρήτρες. Τέτοιου είδους ιδρύματα και σύλλογοι είναι ήδη αρκετά ενεργοί σε κάποιες χώρες της Ευρωπαϊκής Ένωσης. Η διαφάνεια, η οποία οδηγεί από την σιωπηρή συγκατάθεση στη ρητή συναίνεση, θα προκαλέσει αναταράξεις στην τυπική εμπειρία χρήσης των σχεδίων. Το θέμα αφορά, πρώτιστα, το αρχικό κομμάτι της επαλήθευσης της διαδικασίας, όπως το check – in του πελάτη στο ξενοδοχείο, και έπειτα την πλήρη κατανόηση της διαχείρισης των δεδομένων των πελατών. Έτσι, για τους επισκέπτες ξενοδοχείων, οι αλλαγές που προκύπτουν από τον GDPR θα είναι εμφανείς στις διαδικτυακές φόρμες. Οι κανονισμοί υποχρεώνουν τους επιχειρηματίες να παρέχουν αξιόπιστες πληροφορίες για την επεξεργασία των προσωπικών δεδομένων, καθώς και για το πεδίο εφαρμογής και για το χρονοδιάγραμμα, πράγμα που επίσης είναι καινούριο. Το Δικαίωμα της Διαγραφής αναφέρει πως ο διαχειριστής πρέπει να διαγράψει τα στοιχεία, χωρίς κάποια αδικαιολόγητη καθυστέρηση, όταν ένα πρόσωπο, που προστατεύεται από τον GDPR, ζητά να διαγραφούν τα προσωπικά του δεδομένα ή να αποσυρθεί η συναίνεσή του, εφόσον τα στοιχεία δεν είναι απαραίτητα πλέον για τον αρχικό σκοπό. Υπάρχει μία παραπάνω ευαισθησία στα άτομα που είναι κάτω των 16 ετών. Για να γίνει επεξεργασία δεδομένων ανηλίκου, θα πρέπει να έχει δοθεί άδεια από τους γονείς του ή από τον υπεύθυνο για αυτόν ενήλικα. Ακόμα, οι ξενοδόχοι θα πρέπει να γνωρίζουν πως οι βάσεις δεδομένων που δημιουργούνται από τα ξενοδοχεία δεν αφορούν μόνο τους επισκέπτες, αλλά και τους εργαζόμενούς τους.

Χάρη στους νέους κανονισμούς, ό,τι διασφαλιζόταν μέχρι σήμερα μόνο στο χαρτί, θα δομηθεί έτσι ώστε παρέχει πλήρη ασφάλεια για τις πληροφορίες που συλλέγονται. Μία τέτοια προσέγγιση θα φέρει ασφάλεια σε ολόκληρη την εταιρεία – σίγουρα θα μειώσει τον κίνδυνο διαρροής δεδομένων, όπως οικονομικά δεδομένα, και θα αυξήσει την ευαισθητοποίηση του προσωπικού σχετικά με τη προστασία των δεδομένων.

Είναι φανερό πως η ανάπτυξη της καλύτερης δυνατής εμπειρίας χρήσης χρειάζεται αρκετή δουλειά, προκειμένου να συμβαδίζει με τον GDPR. Από τη αρχή, οι ξενοδόχοι πρέπει να υποστηρίξουν την ευρωπαϊκή οδηγία και να εκμεταλλευτούν τις κατευθυντήριες γραμμές, προκειμένου να ενδυναμώσουν την εικόνα του αξιόπιστου συνεργάτη. Οι νέοι κανονισμοί αλλάζουν την προσέγγιση της προστασίας των προσωπικών δεδομένων, αλλά μακροπρόθεσμα η πετυχημένη εφαρμογή τους μπορεί να μεταφραστεί σε μια μακροχρόνια σχέση εμπιστοσύνης μεταξύ των επισκεπτών και των ξενοδόχων.