В мае 2018 года вступил в силу регламент по защите персональных данных (GDPR). Новые правила вызвали небывалый ажиотаж во многих сферах бизнеса, в том числе среди отельеров и рестораторов. Чтобы помочь разобраться, какие обязательства возлагаются на всех, кто тем или иным образом попадает под действие GDPR, мы решили ответить на самые резонансные вопросы.
1. Что такое GDPR и кто попадает под его действие?
GDPR (General Data Protection Regulation) – это общий регламент по защите персональных данных всех граждан ЕС, основанный на старой Директиве о защите персональных данных 95/46/ЕС от 24 октября 1995 года. GDPR был одобрен Европейским парламентом, Советом EC и Еврокомиссией 14 апреля 2016 года. С 25 мая 2018 года, после двухлетнего переходного периода, GDPR вступил в силу в 28 странах ЕС. В это время компании могли подготовиться и адаптировать свою политику сбора данных к нормам ЕС.
GDPR предоставляет резидентам ЕС инструменты для полного контроля над своими персональными данными. Теперь каждая организация должна обеспечить максимальную прозрачность механизмов сбора, хранения и передачи личной информации своих клиентов.
Сфера гостеприимства считается одной из наиболее уязвимых с точки зрения защиты персональных данных, так как каждый отель ежедневно обрабатывает большой объем личной информации своих гостей, а также имеет дело с целым рядом источников получения персональной информации, начиная с систем бронирования, взаимодействия с OTA и заканчивая системой управления отелем.
2. Кто из сотрудников отеля должен знать о GDPR?
Все лица, принимающие решения в отеле, как и весь ключевой персонал, имеющий дело с обработкой личной информации гостей и сотрудников, должны быть проинформированы о новых правилах GDPR и обязаны ознакомиться с ними в кратчайшие сроки. В первую очередь это касается генерального менеджера, руководителя отдела маркетинга и менеджера по управлению доходами.
3. С какой информацией отелям нужно быть предельно осторожными?
Все данные о гражданах ЕС находятся под защитой GDPR. Это касается как гостей, так и сотрудников. Следовательно, отели обязаны вести полный учет, какие персональные данные они хранят, откуда эти данные появились и с кем они ими делятся. Следует помнить, что защите подлежат как персональные, так и конфиденциальные данные.
GDPR предоставляет дополнительную защиту для «конфиденциальных данных». Сюда входят персональные данные, которые указывают на такие сведения:
- членство в профессиональных союзах, которое может быть определено по участию в мероприятиях;
- биометрические данные, например, отпечатки пальцев, используемые для разблокировки дверных замков;
- сведения о состоянии здоровья, которое может быть определено на основании анкет или предпочтений гостей (аллергии, пищевые непереносимости, особые потребности);
- информация о личной жизни или сексуальной ориентации, которые также могут быть определены на основании просьб и запросов постояльцев.
Следующие данные реже встречаются в отельных системах, но они тоже должны считаться «конфиденциальными» и к такой информации нужно относиться с осторожностью:
- генетические данные;
- расовое или этническое происхождение;
- политические взгляды;
- религиозные и философские убеждения.
Все упомянутые данные могут быть использованы сторонними лицами только при условии персонального согласия их обладателя. Если такого рода информация попадает в базу отеля или к его сотрудникам случайным образом, она подлежит немедленному удалению. В противном случае на отель возлагаются новые обязательства по защите информации.
4. Как GDPR повлияет на программное обеспечение отеля?
Все правила, которым должны следовать сотрудники отелей, также относятся и к используемому ими программному обеспечению. Если отель использует решение/сервис для обработки персональных данных, поставщик данного сервиса должен соблюдать все те же обязательства, которые имеются у отеля. Каждый поставщик, работающий с отелем и получающий от него персональные данные постояльцев, должен подписать Cоглашение об обработке данных (Data Processing Agreement, DPA). В Соглашении должны быть отражены цели, для которых партнер использует предоставляемые данные. Данное действие будет подтверждать, что поставщик ПО соблюдает правила GDPR.
Если отель использует стороннее программное обеспечение, естественно, он не может контролировать хранение и передачу данных его разработчиками. В этом случае в Договоре, на основании которого отель пользуется ПО, должны быть четко изложены обязательства сторон по использованию и хранению персональных данных. При этом условия должны быть прописаны и в контексте гостей отеля, и в контексте сотрудников, пользующихся теми или иными сервисами.
5. Могут ли отели использовать ПО поставщиков, расположенных за пределами ЕС?
Отели могут пользоваться таким ПО, но существует ряд ограничений на передачу данных за пределы ЕС и Европейской экономической зоны. Большинство поставщиков облачных услуг и многие другие компании, имеют варианты решений этих вопросов. Чтобы подтвердить, что облачный сервис соответствует требованиям GDPR, сотрудники отелей должны убедиться в том, что:
- Имеют Соглашение об обработке данных. Это Соглашение понадобится для всех операторов, которые обрабатывают данные, а не только для международных.
- Существует законное основание для передачи данных. Может осуществляться посредством поставщика услуг с соблюдением всех принципов рамочного соглашения (Privacy Shield). Большинство компаний будут полагаться на стандартные условия GDPR.
- Передача данных указана в Политике конфиденциальности отеля, где также объясняется цель передачи.
6. Как регулировать отношения с поставщиками программного обеспечения?
В отношении поставщиков, которые обрабатывает личную информацию гостей отеля, необходимо выполнить ряд действий:
- Определить тип данных, которые получает и обрабатывает поставщик.
- Определить цель обработки данных.
- Получить Соглашение об обработке персональных данных.
- Если поставщик находится за пределами ЕС, необходимо подписать стандартные договорные положения (как правило, это часть Соглашения об обработке данных, упомянутого выше) или же убедиться, что поставщик является участником Privacy Shield.
- Упомянуть поставщика в Политике конфиденциальности отеля, а также рассказать о назначении использования данных поставщиком. Политика конфиденциальности должна быть оформлена в соответствии с новым законодательством. Важно, чтобы она была простой для восприятия. GDPR рекомендует делать отступления от принятого официального стиля в пользу понятности. Допускается публикация Политики конфиденциальности с изображениями или в форме видео.
- Убедиться, что поставщик соблюдает Соглашение об уровне предоставления услуг (Service Level Agreement, SLA) и способен справиться с запросами на удаление или корректировку данных в течение 25 рабочих дней.
7. Что делать с данными гостей и Политикой конфиденциальности?
Проанализируйте используемые конфиденциальные данные. Затем разработайте план по внесению необходимых изменений для своевременной реализации GDRP. Проверьте, выполняете ли вы все условия Регламента.
Обновите свою политику конфиденциальности, если она не соответствует стандартам GDPR. Текст должен быть понятен гостям ЕС, поэтому документ нужно перевести на все языки которые поддерживает сайт, включая английский.
Согласие на обработку персональных данных при подписке на рассылку
Согласно GDPR, если пользователи гостиничного сайта не дали согласия на рассылку, отправлять им письма противозаконно. На странице подписки на рассылку разместите форму с чекбоксом. В ней должно быть четко прописано, на что и кому пользователи дают согласие. Нельзя ставить галочку в форме по умолчанию, пользователь должен кликнуть на неё сам.
Пользователь может отказаться от дачи своих персональных данных. При можно написать, что произойдет, например, «не предоставив email, вы не сможете создать аккаунт».
У существующих подписчиков рассылки нужно заново получить согласие на получение писем. Для этого отправьте email с просьбой согласиться на получение новостей и в будущем делайте рассылки только по тем, кто дал явное согласие. Это хороший повод почистить базу контактов и увеличить эффективность рассылок: ваши письма будут получать только заинтересованная аудитория.
GDPR предполагает наличие контролирующих лиц и операторов:
Контролер (controller) определяет цели и средства обработки персональных данных. На контролерах лежит больше юридической ответственности
Оператор (processor) осуществляет обработку персональных данных от имени контролёра (сбор, хранение, структурирование, изменение, удаление и т.п.).
В политике конфиденциальности должно быть обязательно прописано:
- Кто Контроллер, а кто Процессор.
- Контактные данные контролера.
- Лицо, ответственное за обработку персональных данных (необязательно).
- Права пользователя в соответствии с GDPR. Право на доступ к данным, их изменение, удаление и т.п.
- Указание того, является ли сбор данных обязательным.
- Указание того, передаются ли данные за рубеж. Если данные гостей передаются в другую страну, необходимо указать, как они защищены и как гости могут их запросить.
- Обоснование сбора данных. Укажите, для чего вам нужна та или иная информация.
- Как можно отозвать согласие. Расскажите, куда отправить запрос, чтобы удалить информацию о себе из базы данных.
9. Нужно ли отелям и поставщикам шифровать базы данных?
GDPR рекомендует всем компаниям предпринять меры по защите всех персональных данных, но в Регламенте не указывается, какими именно должны быть эти меры. Вместо этого предлагается определить риск утечки персональных данных и предотвратить нежелательную потерю личной информации пользователей. Шифрование является одним из многих способов защиты данных, однако GDPR не требует использовать конкретно его.
GDPR приводит следующие варианты, которые помогут в защите данных:
- псевдонификация (обезличивание, сокрытие идентификаторов) и шифрование персональных данных;
- обеспечение постоянной конфиденциальности, целостности, доступности и устойчивости систем обработки и услуг;
- обеспечение своевременного восстановления доступа к персональным данным в случае физического или технического инцидента;
- регулярное тестирование, оценка эффективности технических и организационных мер для обеспечения безопасной обработки.
9. Как отелям выполнять запросы на перенос, исправление или уничтожение данных?
Гости, сотрудники или кто-либо, чьи личные данные хранятся в отеле, могут потребовать удаления этой информации. Они также могут запросить копию всех своих персональных данных или же попросить внести изменения в какую-то их часть. Правда, по правилам GDPR, на рассмотрение такой просьбы может уйти месяц. Кроме того, бывают случаи, когда выполнять подобный запрос нет необходимости (например, если существует юридическое требование сохранить данные). Чтобы иметь возможность своевременно обрабатывать обращения, гостиницам нужно заранее планировать, какие запросы могут быть выполнены.
Для предоставления копии всех персональных данных важно, чтобы информация была подана гостю в стандартизованном формате для передачи другим компаниям. Но поскольку на данный момент такого стандарта не имеется, вы должны использовать общий, но легко переносимый формат, т.е. текстовые файлы с заголовками и отформатированным текстом.
10. Как следует обращаться с персональными данными детей?
Согласно закону, ребенок – это человек моложе определенного возраста. В разных странах этот возраст отличается, в среднем в ЕС – от 13 до 16 лет. В большинстве случаев отелям не нужно согласие детей или родителей на обработку информации, поскольку первичной основой для обработки данных является получение услуги в отеле. Однако в тех случаях, когда сбор подобных данных и получение согласия на их обработку неизбежно, например, для того же маркетингового исследования, с детскими данным нужно обращаться крайне осторожно.
Лучшим решением будет не собирать и не хранить данные о детях, если это не является юридически необходимым или абсолютно необходимым для оказания услуг. Исключения возможны только в двух случаях:
- если вы обязаны собрать какие-то данные по закону;
- если это абсолютно необходимо для бронирования.
11. Должны ли отели назначить ответственное лицо по защите данных?
Назначать лицо, ответственное по защите данных (Data Protection Officer, DPO) следует в том случае, если обработка информации осуществляется в больших объемах и касается специальных категорий персональных данных. В этих обстоятельствах GDPR требует, чтобы контролирующие лица и операторы персональных данных, находящиеся вне территории ЕС, назначали в Европе ответственно лицо. Для отдельных отелей закон еще до конца не ясен, поэтому следует обратиться за советом к юристу и выяснить наверняка, нужен ли вам DPO или нет.
12. Должны ли отели за пределами ЕС и ЕЭЗ соблюдать GDPR?
Регламент охватывает деятельность, происходящую в ЕС или обработку данных организациями, базирующимися в ЕС. Теперь рассмотрим следующую ситуацию:
Отель находится в России или Украине. Он продает услуги туристам, в том числе из ЕС. Услуги предоставляются пользователям на локальных языках в местных валютах. При этом отель не производит никаких операций непосредственно на территории ЕС.
Должен ли такой объект соблюдать GDPR?
Да. Ведь услуги и товары очевидно предлагаются жителям ЕС, так как услуги адаптированы на местные языки жителей ЕС и оплачиваются в местных валютах ЕС. Это означает, что организации, обрабатывающие персональные данные европейцев в России/ Украине при реализации онлайн-продаж (например, РЖД, авиакомпании, отели и иные), подпадают под действие GDPR и обязаны соблюдать новые европейские правила обработки персональных данных.
13. Каковы последствия невыполнения GDPR?
GDPR предусматривает огромные штрафы – вплоть до 20 млн евро (или до 4% от глобального оборота) в зависимости от вида нарушения. Размер штрафа будет определяться индивидуально (дела будут рассматривать Европейский суд и Европейский суд по правам человека). В то же время, отели, которые соответствует GDPR будут надежными партнерами для своих гостей и получат определенное преимущество перед конкурентами.