Prevederile introduse de Regulamentul General privind Protecția Datelor cu caracter personal se vor resfrânge în mod direct asupra industriei hoteliere și cea a turismului, datorită volumului mare de date personale care este pus în circulație de către acestea.
În prezent, regulile privind colectarea datelor personale de către administratorii de hoteluri sau firmele de turism sunt destul de flexibile, practica majoritară fiind aceea de a utiliza un consimțământ general sau implicit pentru folosirea acestor date în scop publicitar prin aproape orice mijloc de prelucrare ar fi considerat oportun afacerii de către managementul hotelier sau turistic. Datele personale sunt colectate de la persoana vizată sau preluate de la diverși colaboratori și prelucrate ulterior aproape fără restrictii, bazele de date circulând într-un ritm accelerat, care face dificil controlul asupra acestora pentru autorități. Intreaga practică este în schimbare sub efectul noului regulament care urmărește implementarea pe întregul teritoriu al Uniunii Europene a unor sisteme de prelucrare a datelor cu caracter personal caracterizate de responsabilitate, prudență, legalitate și răspundere.
Din acest motiv, toate agențiile de turism, platformele online, hotelurile, pensiunile, companiile de transport etc., vor fi nevoite să își revizuiască activitatea de marketing, management, PR etc. asigurând concordanța întregii activități cu dispozițiile GDPR.
Ce înseamnă prelucrarea datelor?
"Prelucrare" înseamnă orice operaţiune sau set de operaţiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziţie în orice alt mod, alinierea sau combinarea, restricţionarea, ştergerea sau distrugerea.
Salariile angajaților sunt calculate pe baza procesării datelor lor personale, la fel și contractele lor de muncă.
Concret, în cazul hotelierilor, fiecărui client i se colectează datele de contact: nume, adresă, buletin sau pașaport. În cazul agențiilor de turism lucrurile se complică pentru că, pe lângă colectarea datelor clienților, acestea sunt transmise de obicei și în afara României sau în afara spațiului UE unităților de cazare sau transportatorului.
Ce trebuie să facă agențiile de turism sau hotelierii?
În primul rând, trebuie să desemneze un responsabil cu protecția datelor personale care să asigure comunicarea cu Autoritatea națională de supraveghere a Prelucrării datelor cu caracter personal. Această persoană (DPO-ul) are și rolul de a oferi consultanță și instruire personalului care se ocupă cu prelucrarea datelor. DPO-ul are atribuția de a responsabiliza hotelierul sau agenția de turism și de a pune în practică dispozițiile regulamentului GDPR.
Primii pași sunt cei de evaluare a datelor procesate și de eliminare a celor în plus, de inventariere a punctelor de colectare și a persoanelor care execută prelucrări. În urma acestor evaluări va rezulta o analiza a riscurilor și o serie de măsuri de protecție care trebuiesc implementate.
Prin regulamentul GDPR, clienții agențiilor de turism sau ai hotelurilor beneficiază de mai multe drepturi declarate explicit în regulament. Aceste drepturi trebuiesc publicate în politica companiilor și aduse la cunoștiința tuturor clienților. Orice prelucrare de date se va putea face doar cu consimțământul explicit dat de către persoana vizată. Toate prelucrările de date trebuiesc făcute pe baza unui temei bine determinat, iar stocarea datelor trebuie făcută pe o perioadă limitată în timp. Clienții pot să își retragă consimțământul oricând sau pot să solicite informații despre procesarea datelor lor personale.
Neimplementarea dispozițiilor regulamentului GDPR duce la aplicarea unor amenzi de până la 4% din cifra de afaceri anuală globală!
Cine poate ocupa poziția de DPO?
DPO-ul trebuie să aibe o certificare pentru a ocupa acest post, dar și abilități de comunicare și experiență în domeniului protecției datelor (informatică, IT, drept). Responsabilul cu protecția datelor nu trebuie să aibe atribuții de prelucrare de date și nici să se afle în conflict de interes (să ajungă să se controleze pe el însuși).
Un contract externalizat elimină toate aceste neajunsuri. S.C. Green IT System S.R.L. oferă servicii de DPO bazate pe un contract de prestări servicii dimensionat în funcție de necesitățile clienților.
În cazul pensiunilor, hotelurilor mici sau a agențiilor de turism cu un număr redus de angajați, contractarea externă a serviciilor de DPO este singura variantă.
Ce impact vor avea aplicarea reglemetărilor GDPR?
Cea mai vizibilă modificare va fi faptul că pentru orice prelucrare de date, practic pentru orice interacțiune cu clienții, va trebui obținut consimțământul lor. Clienții trebuie să poată să consulte politica firmei și să fie informați despre drepturile lor și despre procedurile prin care pot să verifice prelucrarea datelor lor personale, să le modifice sau să ceară ștergerea lor.
Dacă un client a restricționat prelucrarea datelor sale de la o anumită dată, trebuie să existe posibilitatea ca să se poată demonstra ca datele sale nu au mai fost accesate de atunci, adică trebuie implementată o jurnalizare a tututor activităților de procesare de date din cadrul companiilor.
Politicile de marketing vor avea cel mai mult de suferit. Nu se vor mai putea trimite mesaje promoționale targetate decât cu acceptul persoanelor vizate.
Trebuie facute analize de risc legate de prelucrarea datelor și luate măsurile de siguranță care se impun.
Studii de caz
Să luăm exemplul unei agenții de turism. Orice angajat procesează date, care sunt sub forma unui formular cu datele personale ale clientului care caută o vacanță și sub forma unui contract cu datele lui prin care se face o rezervare. Formularele sunt stocate pe hârtie, iar dosarele sunt ținute într-o încăpere. Poate să apară situația în care femeia de servici face curat în interiorul firmei și are acces la aceste formulare. Ea poate să furnizeze informații despre clienții mai înstăriți care pleacă într-o anumită perioadă mai lungă din oraș unui grup infracțional. Agenția nu a luat nici o măsură de protecție a datelor și este vinovată pentru consecințele care apar.
O altă situație, tot pentru o agenție de turism care are o bază de date digitală, dar la care nu există acces pe bază de parolă. Un hacker fură toate adresele de email pe care le vinde ulterior unei alte companii care face spam cu reclame pe adresele respective. Agenția este din nou vinovată pentru că nu a s-a preocupat să protejeze aceste date.
Un alt caz este cel al unui hotel care folosește adresele de email colectate de la clienții săi pentru a le trimite mesaje promoționale cu o ofertă mai deosebită. Totuși un client a cerut restricționarea procesării datelor sale personale începând cu ianuarie 2018. Hotelul nu are o bază de dată jurnalizată și trimite la toate adresele de email oferta fără să țină cont de cerința explicită a acelui client. Hotelul este vinovat pentru nerespectarea drepturilor fundamentale ale clienților săi stabilite prin regulament.