GDP.–经常问的问题&酒店经历的答案[更新]

9946
GDP.FAQ Hotels

GDP.(一般数据保护规则)取代了1995年欧盟数据保护指令,是过去20年来推出的最重要的欧洲数据保护立法。简而言之,规定以保护个人为中心’对欧洲的个人数据收集和处理的权利。他们在2018年5月25日完全效益,可以找到条例的完整副本 这里.

为什么酒店都在乎?这里’s 3 key reasons;

  1. 机会 – The GDPR shouldn’t be seen as all ‘厄运和忧郁‘。这些法规为那些已经负责任地行事的人提供了竞争领域。他们还为您提供机会,以改进数据捕获方法,整理您的营销数据库并向您展示您尊重其权利的客户。
  2. 负品牌感知 –被观察到的酒店是与客户数据不负责任的,或者炫耀新法规,可以获得负面宣传。
  3. 重大财务处罚 –不遵守和维持投诉可能导致全球年度营业额的罚款高达4%,无论哪个数字更大。

为帮助酒店业适应新的法规,并努力全面努力,酒店讲话已经编制了来自Hotelsiers关于GDPR的常见问题清单,以及来自领先的酒店业专家的策划答案。

It’值得注意的是,这些问题和答案基于出版时基于目前的GDPR的解释。目前,法规是纸上的单词,而不是可执行的法律,没有先例。

这篇文章将被加入到未来几个月内出现的新问题,或者在规则可执行后,清晰度会出现。

告诉我关于:

GDP.in General | 谷歌分析 | 谷歌广告关键词 | 数据抓取 | 电子邮件营销

有一个问题?

将其添加到下面的评论中,酒店讲话将向我们的社区带来答案。


无聊(但必要)的法律免责声明

酒店讲话,也不是这篇文章的任何贡献者,因为在本篇文章中的任何建议之后,就遵守不合规的任何责任。这篇文章旨在帮助转向您的方法,但是,它有任何监管变化’建议寻求充分和适当的法律指导,以确保合规性。 


一般的问题

问:GDPR何时生效?
A. 2018年5月25日。

问:什么’s数据主体,数据控制器和数据处理器之间的区别?
A. “Data Subjects”是个人,居住在欧盟内。一种“Data Controller”是任何有关欧盟公民的个人数据的组织(例如,您的客户姓名等)。一种“Data Processor”是一个参与处理的组织&存储该信息代表控制器。请注意,如果有数据泄露,则在GDPR下,数据控制器和数据处理器都可以承担责任,并且需要遵守规则。

问:GDPR? isn.’这就像cookie法规一样(欧洲的 联盟2011年的Eprivacy指令)?那没有’吨数量。我们甚至需要打扰什么吗?
A.是的!这是一个比2011年更广泛的达到监管变化。GDPR的不合规可以导致严重的罚款–年营业额的4%或20亿欧元。它’S也值得注意的是,与以前的法规相反,GDPR是一个‘regulation’ rather than a ‘directive’ –一个有绑定的立法行为,必须全部适用于欧盟。

问:GDPR强制执行是否因国家而异?
A.是的,它’预计一些监管机构将比其他监管机构更严格地执行法规。它’建议审查自己的国家’■有关更多信息的执行指导和文件。

问:什么 constitutes personal data?
A.个人数据是与人有关的任何信息(或‘Data Subject’),可用于直接或间接识别该人。例如,名称,照片,电子邮件地址,银行详细信息,社交网络上的帖子等。

问:我们的总部位于欧洲之外,但我们有欧洲内的酒店–我们还需要遵守吗?
答:是的,根据法规的第3条;

“该监管适用于由联盟未建立的控制器或处理器在联盟中的数据主体的个人数据处理”

问:我们捕获来自欧盟客户的数据,但在欧盟之外处理它。 GDPR仍然适用于我们吗?
答:是的,根据法规的第3条;

“该监管适用于在联盟中建立控制器或处理器的活动的上下文中处理个人数据,无论处理是否在联盟中发生。”

问:我们’re UK based. Surely Brexit. 意味着英国公司不’T需要遵守GDPR?
A.首先,法规将于2018年5月25日生效。Brexit的2年留下期限为2019年4月,因此将会重叠。其次,即使在Brexit之后,任何为欧盟居民提供商品或服务的英国公司仍需要遵守欧洲客人的酒店– it’很可能仍然适用于你。

问:我们免费提供一些服务–我们还需要遵守吗?
是的。即使没有资金交换,GDPR也适用于与欧盟居民交换商品和服务。

问:什么 does ‘consent’ actually mean? (在获得个人同意处理个人数据的背景下)
A.根据GDPR第4条,‘consent’数据主题是指的 “任何自由赋予,具体,知情和明确的数据主体愿望指示,他或她通过声明或明确的肯定行动,表示协议处理与他或她有关的个人数据”.

问:I.’听到个人有权要求我们在任何时候删除所有数据– is this true?
答:是的,您可能已听到它被称为‘right to remove’。通过GDPR的单词, “数据科目应当有权随时撤销他或她的同意。撤回同意不得影响在退出之前根据同意的加工合法性。在同意之前,应通知数据主体。” 重要的是,法规规定了这一点 “…它应该很容易撤回以提出同意。”

问: GDP.如何影响软件酒店可以使用? [回答 爱丽丝]

答:所有酒店都必须遵循的规则也适用于他们使用的软件。如果酒店使用产品来处理其数据, 该产品必须遵守所有与酒店所拥有的义务。从酒店收到个人数据的每个供应商都必须与酒店共享数据处理协议(DPA),以确认供应商符合GDPR的规则。 DPA必须决定处理器正在处理数据的目的。

如果酒店使用其品牌或标志给出的软件,则可能无法完全控制如何使用收集的信息。在这种情况下,作为数据的联合控制器,酒店及其品牌需要制定一项合同,明确地说明他们对管理数据的关系。双方都需要与嘉宾和员工沟通关系。

问:欧盟酒店在欧盟外面的服务器上使用软件供应商或软件吗? [回答 爱丽丝]

答:是的,但是如何在EU / EEA之外转移数据的限制。大多数主要的云服务提供商和许多其他公司(如Alice)都有系统来解决这些规则。要确认云服务与GDPR符合GDPR,酒店iers需要确保:

  • 它们有数据处理协议。所有数据处理器都需要这些协议,而不仅仅是国际数据处理器(GDPR ART.28 [3])。
  • 转让数据有合法的基础(GDPR REC.39,40,41; GDPR ART.6 [1]),这可以通过服务提供商的成员资格  隐私盾牌, 签署的标准合同条款或GDPR下允许的其他机制。大多数公司将依靠GDPR的标准合同条款。
  • 转让在酒店的隐私政策中提到,并解释了转移的目的。

问:酒店经营者或供应商是否需要加密他们的数据库? [回答 爱丽丝]

答:这取决于。 GDPR建议公司采取措施保护所有个人数据,但它没有指定这些步骤必须是什么。相反,公司被要求确定个人数据的风险,并做适合这些风险的风险。加密是可用于保护数据的许多选项之一,但GDPR没有特别要求。

GDP.第32条提供以下选项,其中没有任何严格的要求,但应考虑其福利对您的客人的数据隐私:

  1. pseudonamation [掩盖身份]和个人数据的加密;
  2. 能够确保正在进行的保密性,完整性,可用性和恢复性的加工系统和服务;
  3. 在物理或技术事件发生时及时恢复可用性和访问个人数据的能力;
  4. 定期检测,评估和评估技术和组织措施的有效性的过程,以确保加工安全。

谷歌分析

问:我的网站使用Google Analytics。我需要做任何事情,如更新我的隐私政策,或告诉我的用户我’m使用Google Analytics跟踪它们? [回答 80天]

A. Google Analytics使用cookie跟踪您的网站访问者。与A.‘standard’实施Google Analytics(即,您没有’T上传您自己的任何数据等)这些cookie不应包含任何个人可识别的数据。

作为一个建议,这里’是作为Google Analytics的标准实现的一部分跟踪的cookie(如果您希望在更新的隐私政策中引用这些)。

曲奇饼 名称 目的 到期
_GA.
_GAT.
_GID.
谷歌分析 这些cookie对于我们的网站至匿名跟踪用户行为至关重要,以便我们可以更好地理解和改进当前的用户体验。 2年

您可能已经注意到,谷歌已经向Google Analytics的顶部添加了通知,以提醒用户可以在5月25日开始控制数据保留的能力。

作为有助于进一步的阅读,您可以了解更多关于Google的更多信息’s ‘commitment to GDPR’ 这里.

问:谷歌分析何时不符合GDPR?
答:如果你’在包含个人身份数据的Google Analytics中,将您自己的数据上传到包含可能不符合的Google Analytics。偶尔,某些网站是设置为在URL内的个人识别数据中包含。例如,如果您的预订引擎将个人重定向到URL www.examplehotel.com/borm?hotel=newyork.&arrivaldate=”24-09-18&name=johnsmith&age=34 –这可以被归类为Google Analytics内的个人身份数据,因此可能需要特殊考虑。 Convert.com的团队汇总了一个非常有用的文章,这对此进行了更多深度, 这里.


谷歌广告关键词

问:我们使用Google AdWords PPC广告宣传我们的酒店–我们需要寻求同意吗? [回答 80天]
答:与Google Analytics一样,大多数数据都是匿名的,因此不需要更改符合GDPR。对此的轻微异常是客户匹配广告(即广告针对已定义的电子邮件或邮寄地址列表);如果您要运行这种形式的广告,那么客户必须为他们的个人数据而明确同意以这种方式使用。


数据抓取

问:我们可以使用复选框/勾选框和类似方法获取同意吗? [回答 80天]
答:是的,GDPR明确指出,同意可能包括 “…访问互联网网站时勾选一个盒子”。但是,它’很重要的是要注意,您的网站应设置为‘privacy by default’, i.e. you can’T有一个勾选的框“注册以收到我们的时事通讯”预先检查。用户必须通过清晰,肯定的行动主动选择。

见下文,以实现良好/糟糕的练习;

GDP.Hotel Opt In

问:如果捕获我网站上的电子邮件地址以遵守GDPR,我需要使用Double Opt吗?

A.从我们理解它的诠释,你没有 需要 为电子邮件数据捕获具有双重选择启用。也就是说,随着GDPR下的任何数据捕获,您必须能够显示可证明的同意使用该数据。从理论上,任何人都可以将某人的电子邮件地址添加到电子邮件注册中,因此Double Opt-In确实明确表明特定用户选择(而不是其他人选择)。因此,虽然可能不一定是合法要求的,但它确实提供了额外的合格度和安心。

问:无论我在哪里,我是否需要联系到我的隐私政策’m capturing data?

答:这是一个难以回答的问题。目前,没有先例说,这是一个法律要求,因为法规仍然是纸张而不是可执行的法律。所知是,当捕获数据时,用户必须完全清楚他们的数据如何使用它们。在这里,它可以根据您的最佳计划归结为您现在想要使用该数据,并在将来使用该数据?现在可以获得选择,可能比以后寻求其他权限更容易。


电子邮件营销& CRM

问:我的数据库已经让我明确同意发送通讯。我可以与姐妹酒店分享他们的电子邮件地址,向他们发送报价吗? [回答 Cendyn.] 答:如果您计划与姐妹酒店共享数据,则必须在您的隐私政策中可见并可访问此信息。有人同意处理他们的数据的人应该在选择时访问本隐私政策。如果您正在更新隐私策略,则应通知您的数据库更改,以便他们知道他们选择了什么至。除此之外,如果您正在考虑在国际上分享数据,请始终注意遵守国际数据分享的各自法律,例如欧盟– US and Swiss –美国隐私盾牌框架等

问:我应该联系我现有数据库是否同意发送电子邮件前进的电子邮件? [回答 Cendyn.] 答:如果您一直在遵循选择的同意模型,您应该已经有一个可审计轨迹,该踪迹将从这些人那里收到同意。如果是这种情况,您无需再次联系数据库以获得同意。但是,如果您没有这个,2018年5月25日之前有一个小窗口,并鼓励他们同意接收来自您的通信。有几种方法可以做到这一点,我们在我们的指导下勾勒出来 ‘酒店获得GDPR的同意指南.

问:是否需要为您想要订阅时事通讯注册表单中的内容用户选择的选择? (仅限餐厅,仅提供,仅限酒店更新等) [回答 Cendyn.] A.绝对,你可以变得更好的粒度。我们建议设置电子邮件首选项页面或订阅中心,允许个人确定他们希望从您收到的信息 - 这可能是他们可能拥有的兴趣形式(Watersports,滑雪,高尔夫,SPA等)和/或它可能对他们希望收到的电子邮件类型(新闻稿,活动,新闻等)

问:如果我的数据库只注册了从酒店收到通讯更新,我也可以发送其他类型的电子邮件吗? [回答 Cendyn.] A.不,这是重要的,是我们建议创建电子邮件首选项页面的原因。这确保了数据库中的个人只接收有关他们感兴趣的主题的信息。重要的是要记住,GDPR的一个关键方面是透明度,你与数据库越透明,关系越好。


有一个问题?

将其添加到下面的评论中,酒店讲话将向我们的社区带来答案。


80天基准
80天基准