一个酒店的GDPR指南:我们花了几个月的学习GDPR,所以你不必

43307
GDP.酒店指南

爱丽丝 一直努力完全理解 一般数据保护规范 (GDPR)(规定(欧盟)2016/679)及其对美国和客户的义务。我们想分享我们所吸取的内容,以帮助酒店和其他任何人都弄清楚正在发生的事情。

1.什么是GDPR,我为什么要关心?

从本质上讲,GDPR致力于加强和统一欧盟(欧盟)内所有个人的数据保护。建立1995年的数据保护指令(指令95/46 / EC),GDPR于2016年4月14日经欧洲联盟委员会和欧盟委员会批准的欧洲议会批准。经过两年的过渡期,2018年5月25日的28个会员国将在28个会员国中强制执行。

GDP.通过强制公司向消费者提供权力,以便在他们正在收集,存储和分享客户的个人数据信息时变得透明。虽然GDPR适用于欧盟公民的任何组织或商业收集数据,但酒店的性质和Ota预订和PMS系统等各种数据控股来源升级了旅行和招待行业的规定。

随着爱丽丝生长和扩展到新市场,我们遵守GDPR,以确保我们的隐私设置充分集成,允许我们的合作伙伴在客户个人信息数据的生命周期的每个阶段进行适应。

2.哪家酒店工作人员需要了解GDPR?

决策者和欧盟和eea的主要人员应该意识到法律正在改变到GDPR。如果存在,这至少包括以下角色: 总经理, 营销主管,而且 收入经理。这些角色中的每一个都涉及大量客户和员工数据。这些领导人应该阅读这个常见问题解答,并进一步介绍如何在他们所在的领域内遵守。

3.酒店应该谨慎哪种信息?

关于欧盟人员的所有数据都在GDPR下涵盖。这包括客人和员工。酒店应记录他们所持有的个人数据,它来自哪里以及与之共享的人。酒店需要组织信息审核。

“个人数据”是有关可识别人员的任何数据。可以通过他们的姓名,电话号码,电子邮件地址,预留号码,IP地址或允许唯一标识的任何信息来识别一个人。

GDP.授予“敏感数据”的额外保护。这包括揭示以下任何一种的个人数据:

  • 工会会员资格,可能会被事件出席透露
  • 生物识别学,目的是独特地识别某人,例如储存用于打开门的指纹
  • 健康状况,可在访客请求中披露
  • 性生活或性取向,也可能在某些客人请求中披露

以下内容不太可能出现在酒店系统中,但仍然应该被理解为敏感,以防他们出现:

  • 遗传数据
  • 种族或族裔
  • 政治意见
  • 宗教或哲学信仰

所有上述类型的敏感数据只能通过明确的同意进行处理。如果偶然收集了这种数据,应立即删除,以避免进行保护该数据的新义务。

4. GDPR如何影响软件酒店可以使用?

所有酒店都必须遵循的规则也适用于他们使用的软件。如果酒店使用产品来处理其数据, 该产品必须遵守所有与酒店所拥有的义务。从酒店收到个人数据的每个供应商都必须与酒店共享数据处理协议(DPA),以确认供应商符合GDPR的规则。 DPA必须决定处理器正在处理数据的目的。

如果酒店使用其品牌或标志给出的软件,则可能无法完全控制如何使用收集的信息。在这种情况下,作为数据的联合控制器,酒店及其品牌需要制定一项合同,明确地说明他们对管理数据的关系。双方都需要与嘉宾和员工沟通关系。

5.欧盟酒店在欧盟外面的服务器上使用软件供应商或软件吗?

是的,但是如何在EU / EEA之外传输数据的限制。大多数主要的云服务提供商和许多其他公司(如Alice)都有系统来解决这些规则。要确认云服务与GDPR符合GDPR,酒店iers需要确保:

  • 它们有数据处理协议。所有数据处理器都需要这些协议,而不仅仅是国际数据处理器(GDPR ART.28 [3])。
  • 转让数据有合法的基础(GDPR REC.39,40,41; GDPR ART.6 [1]),这可以通过服务提供商的成员资格 隐私盾牌, 签署的标准合同条款或GDPR下允许的其他机制。大多数公司将依靠GDPR的标准合同条款。
  • 转让在酒店的隐私政策中提到,并解释了转移的目的。

6.酒店对他们的供应商做些什么?

对于处理客人个人信息的每个供应商,酒店需要执行以下操作:

  1. 确定供应商进程的数据类型。
  2. 确定正在发生处理的目的。
  3. 获取数据处理协议。
  4. 如果供应商在EU之外,请签署标准的合同条款(通常在上面提到的数据处理协议的一部分),或确认供应商是隐私盾牌的成员。
  5. 提及供应商在酒店的隐私政策中,以及供应商的目的以及如何使用数据。
  6. 确认供应商可以在一个月内使用SLA处理数据权请求(例如25天)。

7.酒店应该如何向客人通信隐私声明?

您应该审查您当前的隐私声明,并提出计划,以便在制定GDPR实施的时间内进行任何必要的变化。您应该审核您如何寻求,记录和管理同意以及是否需要进行任何更改。刷新现有的同意如果他们不符合GDPR标准。

如果要求它的任何形式的数据收集需要明确同意,则在办理入住手续时需要与客户交谈,如果需要它的任何形式的数据收集,例如同意营销通信。如果数据以需要同意的方式使用数据,则需要检查所有忠诚度计划是否有类似的要求。

8.酒店经营者或供应商是否需要加密他们的数据库?

这取决于。 GDPR建议公司采取措施保护所有个人数据,但它没有指定这些步骤必须是什么。相反,公司被要求确定个人数据的风险,并做适合这些风险的风险。加密是可用于保护数据的许多选项之一,但GDPR没有特别要求。

GDP.第32条提供以下选项,其中没有任何严格的要求,但应考虑其福利对您的客人的数据隐私:

  1. pseudonamation [掩盖身份]和个人数据的加密;
  2. 能够确保正在进行的保密性,完整性,可用性和恢复性的加工系统和服务;
  3. 在物理或技术事件发生时及时恢复可用性和访问个人数据的能力;
  4. 定期检测,评估和评估技术和组织措施的有效性的过程,以确保加工安全。

9. Hoteliers如何确保他们能够履行数据搬运能力,更正或擦除的请求,A.K.a.“被遗忘的权利”?

客户,员工或个人数据存储在酒店的任何人都可能要求删除其数据。它们还可以要求副本(数据搬迁权)或要纠正的数据。有些案例不需要尊重,例如,如果有持续的合同或法律要求保留数据。但在大多数情况下,请求需要予以尊重。 GDPR的首页59要求在一个月内回答这些请求。通过请求另一个月,可以在特殊情况下延长这一时期。

为了能够及时处理这些请求,酒店需要提前计划如何尊重请求。存储数据的每个位置都应使用关于如何解决该位置中数据的权限请求的计划映射。每个供应商还需要审核,以确认他们有类似的计划。供应商应该有一个不到一个月(例如25天)的SLA,以便在请求发生的情况下给出您和供应商之间的通信时间。

对于数据可移植性请求,法律要求以标准化格式向客户提供数据以转移到其他公司。从此目前没有从酒店转移这种数据的行业标准,您必须使用通用但易于转换的格式,例如带有标题的文本文件和逗号分隔值。

10.酒店应该如何处理儿童数据?

在欧盟/ EEC中,一个“儿童”被定义为13至16之间的国家定人的年龄。对于大多数情况而言,酒店不需要依靠儿童的'或父母同意处理旅客信息,因为主要是主要的数据处理的基础是处理保留。但是,如果同意是数据处理的基础,例如,为了营销目的,需要使用额外的护理来处理儿童的数据。

您应该开始思考您是否需要将系统放在适当的地方以验证个人年龄并获得任何数据处理活动的父母或监护人同意。在需要同意时,儿童的数据只能在明确同意下处理。

最佳实践是避免收集和存储关于儿童的数据,除非它对处理预订时是合法的或绝对必要的。

11.酒店是否需要聘请数据保护人员(DPO)?

您应该指定某人对数据保护合规性负责,并评估此作用将在组织的结构和治理安排中介绍,即使您没有正式要求进行DPO。您应该考虑是否需要正式指定数据保护官员,此名称取决于信息的音量和敏感性。在链条和大型集团级别,一个DPO几乎肯定需要,但对于个别酒店而言,法律尚不清楚,您应该从您的当地咨询公司寻求指导,以及是否需要。

12.欧盟/ EEA之外的酒店是否必须做任何事情来遵守GDPR?

根据GDPR第3条,法规涵盖欧盟内部发生的活动或基于欧盟的组织的数据处理。当欧盟公民在欧盟范围内传播时,除非组织处理数据基于欧盟,否则欧盟外部的活动不再受到GDPR的保护。

然而,在欧盟和欧盟以外的酒店之间发生的预订过程被认为是GDPR所覆盖的。在该过程中在欧盟收集的数据是欧盟内部发生的活动。因此,欧盟之外的酒店可以收集GDPR覆盖的数据作为在线预订过程的一部分。此数据需要使用上面规定的适当保障措施进行保护。

13.不遵守GDPR的后果是什么?

企业可罚款高达4%的全球营业额的罚款或2460万美元(€2000万欧元),以较高,不符合GDPR规则。

80天基准
80天基准