Acasă » SPECIALIȘTI » Totul despre aplicarea GDPR în domeniul HORECA cu avocata Diana Feldrihan de la PCA Law Office

Totul despre aplicarea GDPR în domeniul HORECA cu avocata Diana Feldrihan de la PCA Law Office

Clujust.ro a stat de vorba despre aplicarea GDPR (Regulamentul General de Protecție a Datelor) într-un domeniu important precum HORECA (Hoteluri – Restaurante – Cafenele) cu avocata Diana Feldrihan de la cabinetul de avocatură Păun Ciprian (PCA Law Office). Așa că, înainte să faceți bagajele pentru vacanța de vară sau să îi întâmpinați pe turiști, dacă oferiți servicii turistice, este util să citiți acest articol, pentru că din 25 mai se aplică GDPR!

Clujust: Cât de mare va fi impactul intrării în vigoare a noului Regulament privind prelucrarea datelor cu caracter personal în domeniul HORECA?

Diana Feldrihan: Industria hotelieră este una dintre cele mai afectate de Regulamentul UE privind protecția generală a datelor (GDPR), viitoarea lege care consolidează drepturile persoanelor cu drepturi de proprietate ale cetățenilor UE. Regulamentul intră în vigoare la 25 mai 2018. Această reglementare amplă și detaliată impune întreprinderilor să protejeze informațiile de identificare personală ale cetățenilor Uniunii Europene. Lipsa conformării acestor prevederi ar putea afecta companiile în mod drastic. Pentru cele mai grave încălcări, vor fi impuse amenzi de până la 4% din cifra de afaceri globală anuală sau 20 milioane EUR. Companiile precum Google și Microsoft au echipe întregi dedicate respectării GDPR. Hotelurile și tot ceea ce include domeniul HORECA trebuie de asemenea să se pregătească pentru a-și adapta procedurile, dar această implementare nu presupune automat investiții foarte mari dacă procedurile se pliază pe cele deja existente.

Angajații și oaspeții sunt ambii acoperiți de GDPR și, deși unele dintre cerințele Regulamentului se aplică în mod egal celor două categorii de persoane, există și unele diferențe. Vom încerca să etalăm aceste diferențe, dar inițial este necesar să explicăm ce înseamnă „date personale”.

GDPR definește datele personale drept „orice informație referitoare la o persoană fizică identificată sau identificabilă (” persoana vizată”). Cu alte cuvinte, orice informație care face trimitere spre o anumită persoană și care o face identificabilă, reprezintă date cu caracter personal. În anumite circumstanțe, acest lucru ar putea include orice, de la numele cuiva, până la aspectul său fizic, hobby-uri și interese.

Unele informații personale – cum ar fi convingerile politice ale unei persoane sau informațiile genetice ale acestora – sunt considerate sensibile și trebuie să fie menținute la un standard mai ridicat de securitate. Acest lucru afectează hotelurile când, de exemplu, acestea organizează un eveniment în care se dezvăluie apartenența sindicală/religioasă a oaspeților sau când angajații trebuie să își scaneze amprentele pentru a accesa anumite părți ale clădirii.

Este de asemenea important să înțelegem că GDPR se aplică gestionării informațiilor cetățenilor UE, nu doar hotelurilor care operează în Europa. Dacă aveți datele oricărui cetățean al UE sau rezident, indiferent de momentul în care acel rezident a rămas cu dvs., atunci da, GDPR se aplică în cazul dumneavoastră.

 

Clujust: Ce ramură este mai afectată, industria hotelieră sau cea privind restaurante/baruri/cafenele?

Diana Feldrihan: Cea mai afectată ramură este cea hotelieră, deoarece prelucrează mult mai multe date cu caracter personal, dar și restaurantele trebuie să acorde o atenție sporită prelucrării acestor date. Hotelurile sunt afectate deoarece discutăm despre o scară largă de prelucrare a datelor cu caracter personal raportat la clienții care optează pentru servicii de cazare. În ceea ce privește serviciile privind organizare de evenimente cu persoane fizice, securitatea asigurată prin intermediul camerelor video, diverse carduri cadou și alte procese care prelucrează date cu caracter personal se extind și asupra celorlalte categorii din domeniul HORECA.

Există șase motive legale pentru prelucrarea datelor cu caracter personal. Consimțământul este în prezent cel mai popular, dar GDPR descurajează utilizarea acestuia prin întărirea regulilor de obținere a acestuia. Acest lucru se datorează faptului că acordul este nesigur și consumă mult timp.

De exemplu, dacă utilizați consimțământul pentru a procesa date personale și apoi doriți să utilizați aceste date pentru un alt scop, va trebui să solicitați din nou consimțământul fiecăruia. Oricine refuză să consimtă sau nu răspunde trebuie să fie eliminat din evidența dvs.

Persoanele fizice sunt, de asemenea, libere să-și retragă consimțământul în orice moment, ceea ce înseamnă că trebuie să le eliminați din evidența dvs. Dacă nu, organizația dvs. riscă să acționeze disciplinar din partea autorității de supraveghere competente.

În concret, ce au de făcut hotelierii pentru a se conforma GDPR?

În majoritatea cazurilor, hotelurile ar trebui să utilizeze obligații contractuale pentru angajații lor și interese legitime pentru oaspeți. Indiferent de motivul legal utilizat, hotelurile trebuie să le spună clienților ce informații sunt colectate, la ce sunt folosite și cât timp vor fi păstrate. Principiile de protecție a datelor GDPR subliniază faptul că organizațiile ar trebui să colecteze date numai dacă sunt necesare pentru un anumit scop și să le păstreze numai atâta timp cât îndeplinesc acest scop.

Prima etapă o reprezintă auditul, atât pentru proprietarii hotelieri cât și cei ai restaurantelor și cafenelelor. În urma acestui audit se pot stabili problemele existente în procedurile aplicabile, urmând să se facă o strategie cu acești operatori pentru a se implementa noile proceduri sau pentru a se adapta cele vechi potrivit noului Regulament.

GDPR se aplică fiecărui departament hotelier, de la proprietarul acestuia, până la front desk, la recepție. Personalul hotelului trebuie să înțeleagă cum să colecteze, să acceseze, să utilizeze și să transmită informații personale, precum și cum să restricționeze accesul la datele deținătorului cardului. Măsurile ar trebui să includă cel puțin următoarele puncte:

  • Limitați accesul la datele cu caracter personal numai celor care trebuie obligatoriu să aibă acces la ele.
  • Angajații trebuie să urmeze un training cu privire la modul de a dispune în mod corespunzător de documente care conțin date cu caracter personal
  • Trimiteți prin e-mail comunicările de marketing/newsletter numai celor care au optat în mod explicit să primească comunicări cu privire la programul de marketing al oaspeților hotelului dvs.

Clujust: Practic ce se va întâmpla la hotel când ți se cere buletinul pentru cazare?

Diana Feldrihan: În ceea ce privește acordarea acestui buletin, menționez că există numeroși pasi pe care hotelurile ar trebui să le ia pentru a proteja datele personale – de la revizuirea politicilor de securitate la criptarea și / sau pseudonimizarea datelor – însă ar trebui să înceapă prin adoptarea confidențialității prin design. Acest lucru înseamnă, în esență, că protecția datelor trebuie să fie prioritizată atunci când se proiectează orice serviciu sau proces nou.

De exemplu, dacă un hotel dezvolta un nou mecanism pentru rezervările de camere, ar trebui să ia în considerare modalitățile de expunere a datelor și să aplice măsurile necesare pentru a atenua fiecare amenințare. Aceasta ar trebui să efectueze o evaluare a impactului privind protecția datelor (DPIA), care ar pune la îndoială întrebări precum „există vulnerabilități de sistem pe care un criminal hacker ar putea să le exploateze” sau „este prea ușor ca un angajat să dea în eroare informațiile?”.

De asemenea, hotelurile ar trebui să numească un responsabil de protecția datelor (DPO) pentru a se asigura că procesele prezentate în proiect sunt implementate corespunzător.

Persoanele vizate au mai multe drepturi prevăzute în Regulament în ceea ce privește  datele lor personale, însă cel mai important este dreptul de acces la datele cu caracter personal. Persoanele fizice pot trimite cereri de acces la subiect, care dau hotelului 30 de zile pentru a furniza o copie a informațiilor pe care le stochează.

De acolo, individul poate exercita o serie de alte drepturi. În cazul în care consideră că nu există niciun motiv legal pentru toate datele colectate, iar hotelul nu poate dovedi altfel, informațiile trebuie șterse. În mod similar, dacă individul susține că informațiile sunt incorecte, acesta poate în orice moment solicita organizației să o rectifice.

Persoanele fizice au, de asemenea, dreptul de a limita procesarea, portabilitatea datelor, obiectul și, așa cum am menționat anterior, să fie informați.

Cum ne mai influențează GDPR vacanța?

Fișa turistului, cea pe care o completăm în momentul în care ne cazăm la orice hotel, este utilizată și pentru statistică. Datele sunt prelucrate pentru a se evidenția numărul de turiști și naționalitatea acestora atât la nivelul hotelului cât și la nivelul localității. Pentru o astfel de prelucrare a datelor, care excede în mod categoric scopului inițial, trebuie să existe în mod obligatoriu un consimțământ expres care poate fi cuprins atât în consimțământul inițial cât și într-un consimțământ separat.

Clujust: La ce trebuie să fie atenți clienții?

Diana Feldrihan: Hotelurile, prin natura lor, gestionează o cantitate vastă de date cu caracter personal. Înainte de a începe chiar să protejați datele, trebuie mai întâi să știți ce informații oferiți și unde sunt stocate. Informațiile generale de identificare personală  includ: Nume, Prenume, Data nasterii, E-mail, Adresa, Numar de telefon

În plus față de datele generale, hotelul trebuie să ia în considerare și alte informații sensibile pe care le colectează oaspeților. De exemplu, chiar preferința dietetică a unui oaspete poate fi considerată o informație sensibilă pentru sănătate și, prin urmare, poate fi compromisă dacă nu aveți consimțământul explicit pentru a procesa astfel de date.

Hotelurile primesc toate aceste informații din mai multe surse, inclusiv sisteme de rezervare externe, sisteme de rezervare ale punctelor de vânzare, motoare automate de rezervare, mesaje de marketing prin e-mail, telefon, etc. Mai întâi trebuie să existe proceduri pentru preluarea acestor date, urmând apoi să se decidă cum ar trebui să fie utilizate. Acțiunile pot include ștergerea, redactarea, criptarea, pseudonimizarea sau stocarea într-o soluție de stocare acreditată, care poate fi accesată de personal. Un alt aspect esenţial este sistemul IT. Asigurați-vă că sistemele dvs. oferă o protecție maximă a datelor!

În domeniul HORECA mulți parteneri și părți terțe au, de asemenea, acces la datele persoanelor fizice. Este important ca fiecare persoană fizică să cunoască posibilitatea ca alţi operatori să îi proceseze datele şi să existe un acord cu privire la această externalizare.

Fiecare hotel, cafenea sau restaurant trebuie să se asigure că acești parteneri și procesatori de date sunt capabili să respecte prevederile GDPR.

Având în vedere aceste aspecte, trebuie să avem în vedere că orice persoană care locuiește în UE, nu doar cetățeni ai UE, poate cere ca informațiile lor personale să fie eliminate din bazele de date în timp util. Aceasta echivalează cu faptul că nu este suficient să ștergeți datele din propriile sisteme, dar și partenerii cărora li se transferă datele va trebui să adopte aceeaşi politică.

Firmele din HORECA au nevoie și practică automat marketing. Dacă o fac intern, nu prin agenție, ce măsuri trebuie să ia?

GDPR a fost conceput pentru a asigura o mai mare transparență între organizațiile care colectează și controlează datele și persoanele fizice ale căror date cu caracter personal sunt colectate. Aceasta înseamnă că orice organizație care oferă posibilitatea persoanelor înscrierii pe site-ul său și care dorește să colecteze date prin intermediul unui formular trebuie să comunice în mod clar acelei persoane care este scopul utilizării datelor. Persoana fizică va trebui să-și dea consimțământul pentru această utilizare, iar consimțământul trebuie să fie „specific, lipsit de ambiguitate și revocabil”. Persoanelor vizate trebuie, de asemenea, să li se comunice despre dreptul lor de a retrage consimțământul.

Atunci când o organizație colectează date de la o persoană pentru un serviciu pe care îl prestează, în speţă servivii hoteliere sau alte servicii conexe în domeniul HORECA, iar ulterior utilizează aceste date pentru marketing, trebuie să se rețină faptul că, în cadrul GDPR, li se permite să colecteze date care sunt adecvate, relevante și limitate la ceea ce este necesar pentru scopul de colectare. Datele colectate de organizație care sunt considerate inutile sau excesive vor constitui o încălcare a GDPR.

Din punctul meu de vedere, această practică a marketingului trebuie să se desfăşoare sub principiul transparenţei şi al informării adecvate a persoanelor vizate.

Clujust: Cum se obține legal consimțământul pentru newsletter? Ce trebuie să conțină?

Diana Feldrihan: Pentru a trimite Newsletter după data de 25 Mai 2018, operatorii vor avea nevoie din partea fiecărei persoane de un consimţământ expres primit în urma unei notificări clare, în care să se precizeze motivul prelucrării acestor date şi să se prezinte politica de confidenţialitate a operatorului, dar mai ales posibilitatea de a-şi retrage in orice moment consimţământul.

Acest consimţământ poate fi dat de exemplu printr-un mail de raspuns, printr-un buton care trebuie selectat de către persoana vizată sau altă modalitate prin care persoană să aibă efectiv posibilitatea să aleagă această opţiune de a-i fi comunicate newsletter-uri.

Un sfat final pentru cei din industrie?

Este esenţial pentru cei din industria HORECA să realizeze aceste implementări de urgenţă şi să participe la cursuri prin care să înţeleagă atât proprietarii, cât şi angajaţii cum trebuie să prelucreze aceste date în conformitate cu noul Regulament. Alături de toate procedurile, cred ca în primul rând trebuie să conştientizăm impactul pe care îl are Regulamentul şi să ştim să îl aplicăm corespunzător pentru business-ul nostru.

Comments

comentarii

Lasă un răspuns

error: Conținut protejat. Contactați-ne la office@clujust.ro dacă vreți să preluați! Apăsați CTRL+P dacă vreți să printați pagina