GDPR - General Data Protection Regulation
Εναρμόνιση με το νέο κανονισμό προστασίας προσωπικών δεδομένων
DPO - Data Protection Officer
Παροχή υπηρεσιών Υπεύθυνου Προστασίας Δεδομένων
WebCare | Web Services & Development
Τηλ.: 2810.261170
Email: info [@] webcare.gr
Διεύθυνση:
Σμυριλίου 11, 71303, Ηράκλειο
Εναρμόνιση με το νέο κανονισμό προστασίας προσωπικών δεδομένων
Παροχή υπηρεσιών Υπεύθυνου Προστασίας Δεδομένων
Ο ξενοδοχειακός κλάδος θεωρείται ως ένας από τους πιο ευάλωτους σε απειλές ασφάλειας δεδομένων. Σύμφωνα με την έκθεση Verizon για το 2016, οι ξενοδοχειακές επιχειρήσεις αντιπροσωπεύουν το μεγαλύτερο ποσοστό παραβιάσεων δεδομένων, ενώ έχoυν τον υψηλότερο όγκο δεδομένων, σχετικά με τα απολεσθέντα δεδομένα σε έντυπη μορφή μετά από μια παραβίαση ασφαλείας.
Με την καθημερινή συλλογή και σε πολλές περιπτώσεις αποθήκευση μεγάλου όγκων προσωπικών δεδομένων τα ξενοδοχεία θεωρούνται ως επιχειρήσεις υψηλού ρίσκου στην ασφάλεια αυτών των πληροφοριών.
Λήψη πληροφοριών από πολλές και διαφορετικές πηγές:
• Συστήματα κρατήσεων τρίτων
• Συστήματα σημείων πώλησης
• Ηλεκτρονικά μηνύματα
• Τηλέφωνα και φαξ
• Κάρτες πληρωμών κ.α.
Για να διασφαλιστεί η συμμόρφωση με το νέο κανονισμό, τα ξενοδοχεία θα πρέπει να αναλάβουν ορισμένες φαινομενικά προφανείς αλλά μάλλον εντατικές ενέργειες για τη διασφάλιση των δεδομένων επισκεπτών και την αποφυγή των οικονομικών επιπτώσεων που θα μπορούσαν να προκύψουν από την έλλειψη συμμόρφωσης:
• Ένα ξενοδοχείο πρέπει να καθορίσει τις βασικές του αρχές όσον αφορά τα δεδομένα επισκεπτών, καθώς σχετίζεται με το GDPR, και να αναγνωρίσει ότι τα δεδομένα ανήκουν στον επισκέπτη και όχι στο ξενοδοχείο.
• Ένα ξενοδοχείο πρέπει να περιγράψει τις κατευθυντήριες γραμμές του για τη συλλογή και τη διαχείριση προσωπικών δεδομένων.
• Πρέπει να θεσπίσει κώδικα δεοντολογίας για το ξενοδοχείο και το προσωπικό του.
• Το ξενοδοχείο πρέπει να ορίσει ερωτήματα ελέγχου της αυτορρύθμισης.
• Εσωτερική επεξεργασία. Ένα ξενοδοχείο πρέπει να παρέχει πολύ λεπτομερείς πληροφορίες σχετικά με το γιατί χρειάζεται να επεξεργαστεί τα προσωπικά δεδομένα και πόσο καιρό σκοπεύει να τα διατηρήσει. Αυτή η διαδικασία περιλαμβάνει οργανωμένες πολιτικές διατήρησης, έτσι ώστε ένα ξενοδοχείο να γνωρίζει πάντα την κατάσταση αυτών των πληροφοριών.
• Ένα ξενοδοχείο πρέπει να τηρεί τεχνικά και οργανωτικά αρχεία για να αποδείξει ότι προστατεύει τα δεδομένα.
• Θα πρέπει επίσης να δείξει στην εποπτική αρχή ότι έχει τηρήσει τους μηχανισμούς
Στις ιστοσελίδες των ξενοδοχείων, εκτός των άλλων, χρειάζεται μια ενότητα στην οποία ο πελάτης θα δίνει τη συγκατάθεση του για την αποθήκευση δεδομένων PII. Επιπλέον, πρέπει να εξηγήσουν τη διαδικασία, και να παρέχουν την πρόσβαση στους επισκέπτες, προκειμένου αυτοί να τροποποιούν ή να διαγράφουν πληροφορίες δικές τους ή των οικογενειών τους. Αυτό από μόνο του αποτελεί ένα πολύπλοκο ζήτημα όταν τα δεδομένα βρίσκονται σε διαφορετικές τοποθεσίες.
Για να διασφαλιστεί η συμμόρφωση με τον Κανονισμό, το ξενοδοχείο θα πρέπει να σχεδιάσει ορισμένες φαινομενικά προφανείς αλλά μάλλον προσεκτικά σχεδιασμένες ενέργειες για τη διασφάλιση των δεδομένων προσωπικού χαρακτήρα των πελατών του και την αποφυγή επιπτώσεων που θα μπορούσαν να προκύψουν από την έλλειψη συμμόρφωσης, οπότε το ξενοδοχείο πρέπει:
• Να καθορίσει τις βασικές του αρχές όσον αφορά τα δεδομένα πελατών (και των εργαζομένων), και να αναγνωρίσει ότι τα δεδομένα ανήκουν στον επισκέπτη και όχι στο ξενοδοχείο.
• Να περιγράψει τον τρόπο και το σκοπό συλλογής και διαχείρισης δεδομένων
• Να θεσπίσει κώδικα δεοντολογίας ή πολιτικής απορρήτου για το ξενοδοχείο και το προσωπικό του.
• Να ορίσει τρόπο ‘’αυτό-ελέγχου’’ του ως προς τη συμμόρφωση με τον Κανονισμό
• Να τεκμηριώσει γιατί χρειάζεται να επεξεργαστεί τα προσωπικά δεδομένα και πόσο καιρό σκοπεύει να τα διατηρήσει.
• Να διατηρεί δομημένα αρχεία για να αποδείξει ότι προστατεύει τα δεδομένα.
• Να επιτρέπει στους πελάτες την πρόσβαση, τροποποίηση, φορητότητα ή τη διαγραφή πληροφοριών.
• Να γνωρίζει τη θέση των δεδομένων που κατέχει. Αυτά τα δεδομένα μπορούν να βρεθούν σε πολλά σημεία (από την ρεσεψιόν και το εστιατόριο μέχρι το σπα και το θυρωρείο) σε υπολογιστές, σε προσωπικά τηλέφωνα, σε φακέλους, σε παλιά αρχεία αρχειοθέτησης ηλεκτρονικού ταχυδρομείου ακόμη και σε post-it που απομένουν στη ρεσεψιόν ή στο back office. Μόλις ληφθούν υπόψη τα παραπάνω, θα πρέπει να ληφθούν αποφάσεις σχετικά με τον τρόπο διαχείρισης.
• Το προσωπικό του ξενοδοχείου πρέπει να γνωρίζει πώς να συλλέγει, να αποκτά πρόσβαση, να χρησιμοποιεί και να αποκαλύπτει προσωπικές πληροφορίες καθώς και τον τρόπο περιορισμού της πρόσβασης στα δεδομένα κατόχων καρτών. Οι εργαζόμενοι πρέπει επίσης να ενημερώνονται σχετικά με τον τρόπο δημιουργίας ισχυρών κωδικών πρόσβασης και να γνωρίζουν πώς να διαθέτουν σωστά τα έγγραφα που περιέχουν προσωπικά δεδομένα. Τα παραπάνω διασφαλίζονται με εκπαίδευση (από ευαισθητοποίηση μέχρι επιμόρφωση).
• Να αναρτήσει την πολιτική του για την ασφάλεια των προσωπικών δεδομένων και, πιθανώς να καθορίσει τον Υπεύθυνο για την Προστασία των Δεδομένων.
• Να μεριμνήσει για την τοποθέτηση και συντήρηση ασφαλών συστημάτων για την αποφυγή παραβιάσεων δεδομένων και επένδυση σε τεχνολογίες φυσικής και ηλεκτρονικής ασφάλειας.
Είναι σημαντικό τα ξενοδοχεία να γνωρίζουν τη θέση και τη μορφή όλων των δεδομένων PII που κατέχουν.
Αυτά τα δεδομένα μπορούν να βρεθούν σε πολλά σημεία. για παράδειγμα, σε φακέλους, σε παλιά αρχεία αρχειοθέτησης ηλεκτρονικού ταχυδρομείου - ακόμη και σε χαρτονόμισμα σημειώσεων που απομένουν στη ρεσεψιόν ή αριστερά σε φακέλους στο back office.
Μόλις ληφθούν υπόψη όλα τα δεδομένα, πρέπει να ληφθούν αποφάσεις σχετικά με τον τρόπο με τον οποίο πρέπει να αντιμετωπιστούν, λαμβανομένων υπόψη των αρχών και του κώδικα πρακτικής του ξενοδοχείου.
Οι ενέργειες μπορούν να περιλαμβάνουν τη διαγραφή, την επεξεργασία, την κρυπτογράφηση, την φύλαξη ή την αποθήκευση, όπου είναι εύκολη η πρόσβαση από το προσωπικό, χρησιμοποιώντας πολύ ισχυρούς ελέγχους πρόσβασης.
Είναι, επίσης, σημαντικό να διασφαλιστεί ότι τα συστήματα πληροφορικής δημιουργούνται και ενημερώνονται για μέγιστη προστασία δεδομένων.
Οι ξενοδόχοι θα πρέπει να εξασφαλίσουν ότι η εκπαίδευση του προσωπικού τους θα είναι τόσο γρήγορη, ειδικά όταν πρόκειται για συμμόρφωση με το GDPR. Το προσωπικό του ξενοδοχείου πρέπει να γνωρίζει πώς να συλλέγει, να αποκτά πρόσβαση, να χρησιμοποιεί και να διαχειρίζεται προσωπικές πληροφορίες καθώς και τον τρόπο περιορισμού της πρόσβασης στα δεδομένα.
Οι εργαζόμενοι πρέπει επίσης να ενημερώνονται σχετικά με τον τρόπο δημιουργίας ισχυρών "κωδικών" και μηχανισμών πρόσβασης και να γνωρίζουν πώς να διαθέτουν σωστά τα έγγραφα που περιέχουν δεδομένα καρτών πληρωμής.
Ενημέρωση - Ευαισθητοποίηση για τον κανονισμό - Εκπαίδευση
Χαρτογράφηση Δεδομένων & Ροών Δεδομένων - Υφιστάμενη Κατάσταση
Έλεγχος Πληροφοριακών & Νομικών θεμάτων - Ανάλυση/Μελέτη Αποκλίσεων
Εκτίμηση φυσικών εγκαταστάσεων
Εκπόνηση μελέτης Εκτίμησης Αντικτύπου
Σχεδιασμός Στρατηγικής - Πλάνο Ενεργειών & Υλοποίηση απαραίτητων μέτρων και διαδικασιών
Εκπαίδευση Προσωπικού - Οργανωτικά & τεχνικά μέτρα
Παρακολούθηση και επικαιροποίηση των διαδικασιών και των συστημάτων - Υποστήριξη