Prelucrarea datelor cu caracter personal in mediul online pentru HoReCa

GDPR este cea mai recenta si robusta forma de reglementare a datelor cu caracter personal prelucrate online. Incalcarile masive ale datelor cu caracter personal de catre unele dintre cele mai mari organizatii online au determinat acest raspuns drastic pentru a proteja datele persoanelor vizate in scopul constientizarii utilizatorului cum sunt colectate datele sale personale, pentru ce anume sunt colectate si care sunt drepturile sale.

Nu exista o solutie/reteta anume pentru a face un website sa fie compliant cu GDPR. Acest lucru inseamna ca trebuie sa va asumati responsabilitate, sa invatati despre cum functioneaza website-ul dumneavoastra si sa il faceti sa fie conform cu cerintele si principiile GDPR.

Pentru hoteluri, restaurante si alte intreprinderi de ospitalitate, situatia este mai mult sau mai putin asemanatoare ca orice website. Dar nivelul analitic pe care, spre exemplu, website-urile unui hotel il ating in scopul de a ramane competitiv inseamna mai multe cookie-uri si, la randul sau, atrage necesitatea unui acord precis al utilizatorilor.

In plus, software-urile de rezervari ale camerelor, meselor si eventuale tururi trebuie sa fie analizate si sa furnizeze un acord al utilizatorului corespunzator. Chiar daca utilizati un serviciu al unei terte parti pentru sistemul de rezervare, in continuare sunteti obligat sa obtineti acordul utilizatorului. Nu sunteti protejati daca colectati in mod distinct date cu caracter personal pe website si le partajati cu o terta parte.

Idei preconcepute:

Exemplu: Compania are sediul in SUA, si acesta este un Regulament UE, asa ca aceasta reglementare nu s-ar aplica companiei.

Acest lucru este partial corect, dar, din pacate, lucrurile nu stau asa. Regulamentul este o legislatie a UE, dar orice website poate viza cetatenii europeni. Deci cu exceptia cazului in care website-ul dumneavoastra nu este disponibil in UE, vi se cere sa respectati Regulamentul.

Deci, ce se intampla in cazul in care nu faceti ceva pentru conformitatea cu GDPR?

Acest lucru preocupa majoritatea companiilor. In cazul in care nu aveti implementate masuri de conformitate cu cerintele Regulamentului este posibil sa va confruntati cu sanctiuni de 4% din veniturile globale sau 20 de milioane de euro, luandu-se in calcul valoarea cea mai mare. Aceste cifre astronomice dovedesc maniera atenta a reglementarii UE de a protejeza datele cu caracter personal apartinand cetatenilor sai. Ramane de vazut daca compania dumneavoastra va fi intr-adevar sanctionata cu amenda, insa riscul cu siguranta nu merita a fi asumat.

Exemplu: Sunt o companie mica, chiar trebuie sa ma conformez?

Raspunsul este da. Orice website care targheteaza cetateni ai UE trebuie sa fie conform cu GDPR. Si chiar daca detineti o afacere mica care vizeaza, in general, o piata interna in afara UE, website-ul la nivel mondial este disponibil pentru oricine. Deci modul de utilizare si de stocare a datelor cu caracter personal, politica de confidentialitate si consimtamantul trebuie sa fie reglementate.

Pe scurt, website-ul are oricare dintre urmatoarele functionalitati?

• Posibilitatea de a lasa comentarii
• Transmitere de newsletter
• Optiuni de share
• Butoane de alimentare cu like pe Facebook, Instagram sau Twitter
• Google Analytics
• E-commerce (sistem de rezervare sau cos de cumparaturi).

In caz afirmativ, trebuie sa va asigurati ca website-ul permite utilizatorului sa isi exprime acordul explicit, activ in privinta utilizarii cookie-urilor sau sa accepte stocarea si prelucrarea datelor sale personale.
Exista patru puncte principale care afecteaza website-ul unei companii: politica de confidentialitate, consimtamantul, dreptul la acces si incalcari ale datelor cu caracter personal.

Politica de confidentialitate ar trebui sa includa in special urmatoarele informatii: Cine sunteti, ce faceti si ce date cu caracter personal colectati?

Website-ul companiei ar trebui sa aiba o politica de confidentialitate dedicata protectiei datelor cu caracter personal in care sa se explice in limbaj simplu, cine sunteti, ce faceti si ce date colectati, cum le colectati si pentru ce sunt utilizate. Cheia este transparenta. Daca website-ul urmareste din punct de vedere comportamental utilizatorii cu Google Analytics, comunicati acest lucru. Vor fi numele si e-mail-ul utilizatorului stocate pe server daca vor transmite un mesaj prin formularul de contact sau daca vor lasa un comentariu pe blog? Utilizatorii ar trebui sa cunoasca aceste lucruri. Website-ul foloseste mecanisme de targetare a persoanelor vizate prin Google sau Facebook? Aceste lucruri trebuie de asemenea evidentiate in politica de confidentialitate si trebuie sa obtineti acordul utilizatorului pentru acestea de vreme ce veti partaja aceste informatii cu terte parti.

Consimtamantul

Odata cu transparenta vine si consimtamantul explicit, activ si nu implicit sau pasiv. Acest acord este obligatoriu in orice situatie ce implica un identificator de date cu caracter personal, care le salveaza sau urmareste. Aceste elemente/identificatori pot include: cookie-uri, comentarii blog, inregistrare pentru newsletter, E-Commerce (sistemul de rezervare sau cosul de cumparaturi).

Cookie-uri

Acest punct probabil este cel mai dificil pentru ca acestea au cel mai mare efect in privinta functionalitatii website-ului (in special cu privire la diverse analize). In timp ce unele cookie-uri sunt esentiale (cele pentru sistemul de rezervare, cumparaturi sau unele cookie-uri de securitate), cookie-urile optionale si cele de la terte parti trebuie sa fie dezactivate odata ce utilizatorul a optat in acest sens.

Alte cookie-uri comune afectate de necesitatea acordului sunt cele care includ butoanele de share pe retele sociale (de exemplu, pixeli Facebook) si cookie-urile utilizate pentru Remarketing. Aceste cookie-uri neesentiale urmaresc o navigare a utilizatorului pe website pentru a colecta informatii despre preferintele sale, pentru a selecta apoi anunturi relevante pentru acesta (ceea ce poate cauza un sentiment infiorator). Daca utilizatorii nu isi dau acordul pentru aceste cookie-uri, anunturile tot vor aparea, dar acestea nu vor fi relevante.

Comentariile pe blog

Daca permiteti comentariile pe blog, implicit informatiile solicitate includ numele, e-mail-ul, website-ul utilizatorului, in timp ce adresa IP este urmarita si stocata. Trebuie sa includeti o optiune activa de exprimare a acordului (caseta de selectare), astfel incat utilizatorul sa inteleaga cum anume informatiile personale vor fi stocate si utilizate de catre website-ul dumneavoastra. Exista multe moduri de a face acest lucru, prin intermediul plugin-urilor si codurilor de injectare, dar este important ca acest camp sa fie obligatoriu, spre exemplu, consimtamantul sa nu poata fi postat pana la exprimarea acordului.

Inregistrarea pentru Newsletter

Cel mai probabil newsletter-ul dumneavoastra este gestionat de catre o terta parte (de ex. platforme de e-mail marketing sau un serviciu similar), insa trebuie sa respectati in continuare standardele instituite de GDPR in privinta necesitatii consimtamantului. In general ar fi necesari trei pasi de urmat pentru conformitatea cu GDPR:

• activati optiunea abonarii si dezabonarii solicitati unui abonat sa confirme in mod activ prin e-mail inscrierea pe lista celor care doresc sa primeasca newsletter;
• adaugati o nota in formularul de inregistrare cu un link ce trimite la Politica de confidentialitate a partii terte (chiar daca nu stocati datele cu caracter personal pe serverele dumneavoastra, le colectati prin intermediul interfetei dumneavoastra si le partajati cu terte parti);
• organizati o companie de obtinere a consimtamantului de la abonatii existenti.

E-commerce (sistem de rezervare si cumparaturi)

Daca aveti o functionalitate de E-commerce pe website (cum ar fi un sistem de rezervare online) este important sa respectati aceleasi masuri in privinta consimtamantului si transparentei. Daca utilizati un serviciu al unei terte parti pentru efectuarea rezervarilor, atunci va trebui sa aveti in vedere liniile lor directoare in privinta prelucrarii datelor cu caracter personal.

Dar pentru website-urile E-Commerce unde utilizatorii isi pot crea conturi, este important ca utilizatorii sa aiba posibilitatea nu doar de acces la datele lor, dar, in aceeasi masura, sa le poata modifica sau sterge daca opteaza in acest sens.

Dreptul de acces

Dreptul de acces al utilizatorului inseamna ca orice utilizator care a vizitat website-ul are dreptul de a solicita accesul la datele cu caracter personal salvate de website-ul dumneavoastra. Utilizatorul trebuie sa aiba acces pentru a vizualiza, a edita si a anula datele sale cu caracter personal. Acest lucru nu inseamna ca trebuie sa aiba o interfata front-end (parte a site-ului sau a aplicatiei web, pe care o putem vedea si cu care interactioneaza vizitatorii) pentru a face acest lucru. Se poate crea un simplu formular pe website pentru oricine doreste sa isi exercite drepturile sale prevazute de GDPR intr-un fel sau altul.

Incidentele de securitate

In caz de incalcare a datelor cu caracter personal fie prin atacarea serverelor sau prin intermediul unui serviciu al tertei parti (sistemul de rezervare, furnizorul serviciilor de plati etc.), sunteti obligat sa comunicati acest lucru ANSPDCP si partilor interesate. Cum gestionati un incident de securitate, de asemenea, ar trebui mentionat in Politica de confidentialitate, impreuna cu datele de contact in cazul in care cineva vrea sa va contacteze in ceea ce priveste informatiile lor.

Recomandari
Aveti nevoie de un audit?

Un audit al website-ului ar include:

• verificarea cookie-urilor (necesare, analitice, pentru marketing, ale tertelor parti);
• asigurarea tuturor plugin-urilor conform GDPR;
• audit pentru politica de confidentialitate;
• sugerarea unor metode de blocare a cookie-urilor inainte de obtinerea consimtamantului (daca este necesar);
• raport final, inclusiv cu privire la zonele in care este necesar a fi obtinut consimtamantul.

Ce ar trebui sa nu faca companiile?

• Sa apeleze la optiuni implicite.
• Sa obtina o adresa de e-mail in mod implicit pentru un singur scop, iar apoi datele cu caracter personal sunt utilizate pentru alt scop. Daca ati obtinut adresele de e-mail in acest fel ar trebui sa obtineti consimtamantul utilizatorului pentru prelucrarea datelor sale.
• Partajarea datelor cu caracter personal cu oricine care nu a fost nominalizat la momentul colectarii datelor, spre exemplu, un brand care cere adresele de e-mail abonatilor eliminati.
• Stoparea colectarii datelor atunci cand nu este necesar, spre exemplu, forme de contact/comentarii.

Ce ar trebui sa faceti:

• Afisarea notei de informare de fiecare data cand colectati date cu caracter personal
• Redactarea si implementarea unei politici cu privire la protectia datelor cu caracter personal si a unei politici de securitate
• Scoateti in evidenta permisiunile.
• Implementati masuri de securitate solide in special in locatiile in care datele cu caracter personal sunt prelucrate.

Important! Industria hoteliera este considerata una dintre cele mai vulnerabile la amenintarile de scurgere a datelor cu caracter personal. Industria hoteliera evidentiaza cel mai mare numar de atacuri asupra datelor cu caracter personal din toate sectoarele si la volumul cel mai ridicat, mai ales atunci cand se ajunge la pierderea numerelor cardurilor dupa un astfel de atac. Acest lucru nu constituie o surpriza, deoarece hotelurile prelucreaza informatii foarte importante pentru infractorii motivati financiar.