APICURA I GDPR U HOTELIJERSTVU

Natalija Parlov Una upozorava koja sve prava imaju gosti hotela po GDPR-u

P. N.

Photo: Shutterstock

Photo: Shutterstock

Unatoč činjenici da je u Hrvatskoj registrirano preko 700 hotela, velik broj njih još uvijek nije usklađen s GDPR-om, niti jesvjestan da nepostojanjem obveznih procesa zaštite podataka i uskraćivanjem ostvarivanja Uredbom propisanih prava gostiju riskiraju prijave za kršenje tih prava ne samo našem, već i stranim nadzornim tijelima gostijuiz tih država.To postaje sve aktualniji problem koji zasad prolazi ispod radara javnosti



sret novoj ljetnoj sezoni fokus većine hotela je na privlačenju što većeg broja gostiju i produžavanju same sezone. Gorući problem i dalje je manjak kvalitetne radne snage i ovisnost o sezonskim radnicima pa je menadžment samih hotela više usmjeren njegovom rješavanju dok se usklađivanjem s novom europskom regulativom kojoj će krajem svibnja biti prva godišnjica početka primjene malo tko stigne ozbiljnije baviti u tom sektoru.


Usklađivanje s GDPR-om u hotelijerstvu nije jednokratan niti jednostavan proces zbog velikog broja kontinuiranih obrada osobnih podataka i opsežnih internih procesa uključenih u njih. Svako opterećenje tekućeg procesa dodatnim zahtjevima otežava proces registracije gosta, počevši svakako od recepcije koja je pri samoj prijavi gosta prva dodirna točka koja značajno utječe na njegov doživljaj smještaja i percepciju o hotelu kao takvom.


Ipak, neusklađivanje s GDPR-om može dovesti do značajnih kazni pa uzmite u obzir da implementacija odredbi same Uredbe u procese hotela mora biti izvedena na visokoj razini i prema svim pravilima struke informacijske sigurnosti s obzirom da je Uredba usko vezana uz pravo i procese unutar sektora informacijske sigurnosti.




Kako biste u najvećoj mjeri izbjegli kršenja propisanih prava svojih gostiju, u nastavku je nekoliko praktičnih savjeta vezanih uz situacije na koje smo najčešće nailazili kod implementacija GDPR-a u hotele. Savjete slijedi i popis svih prava gostiju i zaposlenika na koje je nužno obratiti pažnju te ih u sklopu same implementacije odredbi Uredbe procesno osigurati svim osobama vezanima uz proces obrade njihovih podataka unutar hotela ili dijeljenja podataka s trećim stranama.


Konzultanti koje angažirate moraju biti stručni u aspektima informacijske sigurnosti te uslugom povezani i s pravnicima kako biste mogli pravilno definirati zahtijevane procese u odnosu na već postojeće unutar organizacije, ustanoviti zakonske osnove prikupljanja podataka i neophodne stavke vezane uz privole gostiju te što bezbolnije proći kroz sami proces usklađivanja s GDPR-om.


Ipak, pazite se gotovih rješenja i „brzinske“ implementacije koja ne prati analizu Vaših stvarnih procesa jer je većina revizija i forenzika koje smo radili pokazala značajnu neusklađenost s Uredbom upravo takvih rješenja te su ti subjekti ipak morali iznova uvoditi GDPR u svoje organizacije.


Po samom završetku implementacije odredbi Uredbe u poslovanje obavezno ga testirajte na ranjivosti. Testiranje ponovite više puta godišnje kako biste bili sigurni da su razina svjesnosti zaposlenika o samoj Uredbi s obzirom na njihove česte promjene te tehnički aspekti zaštite podataka i dalje na visokoj razini.


Osjetljivi podaci koje hoteli prikupljaju i prijave gostiju


Unatoč uvriježenom mišljenju, hoteli ne prikupljaju samo osobne podatke u svrhu prijava gostiju i eventualnih kontakata vezanih uz promotivne aktivnosti. Često su prisiljeni prikupljati i podatke gostiju Uredbom klasificirane kao posebno osjetljive, koji uključuju i same medicinske dijagnoze zbog eventualnih alergija na hranu ili medicinskih stanja koja uključuju pojačan nadzor osoblja i spremnost na rješavanje procesa vezanih uz moguća hitna medicinska stanja.


Kod usklađivanja hotela s GDPR-om od izuzetne je važnosti prepoznati i mapirati apsolutno sve procese prikupljanja i obrade podataka gostiju, zaposlenika i svih trećih strana uključenih u sam proces obrade tih podataka. Svaka manjkavost u GDPR dokumentaciji odnosno identificiranim procesima i krivo interpretiranom zakonskom okviru prikupljanja podataka te čestim neosnovanim proglašenjem legitimnog interesa organizaciji može uzrokovati velike pravne troškove u dokazivanju suprotnog, i naposljetku, posljedične kazne.


Gosti sve više postaju svjesni svojih prava po GDPR-u pa se tako događa da osoblje u hotelima nije spremno odgovarati niti na informativna pitanja gostiju vezana uz sadržaj privole koji im nude na potpis, već ih usmjeravaju na opsežne administrativne korake u rješavanju tih pitanja. Određen broj gostiju svojim nagovještajima prijava zapravo samo traži dodatni popust na uslugu, no veći broj koji se ne odnosi na taj razlog potrebno je brzo prepoznati i vrlo ozbiljno mu se posvetiti.


Malo je poznato da inozemni gosti mogu, i bez najave samom hotelu, prijave za kršenje svojih prava po GDPR-u podnijeti nadzornim tijelima u svojim državama te ih potom ona obrađuju i prosljeđuju našem nacionalnom nadzornom tijelu koje je dužno reagirati na iste.


Praktični savjeti i prava ispitanika koja moraju biti osigurana


• Kopiranje osobnih dokumenata i njihovo arhiviranje nije dozvoljeno te vam savjetujemo da ga ne proglašavate legitimnim interesom. Koristite provjerene aplikacije koje najčešće OCR metodom skeniranja osobnih dokumenata automatski procesuiraju samo podatke vezane uz registracijsku listu gosta. Pojedini proizvođači tih aplikacija imaju uvid u te podatke te je s njima potrebno potpisati ugovor koji sadrži i klauzule vezane uz zaštitu podataka i odgovornost. Generička, često i neprovjerljiva, izjava dobavljača da je usklađen s GDPR nije dovoljna jer svaki pravni subjekt na području EU svakako mora biti usklađen s tom regulativom. S dobavljačima koji imaju uvid u bilo kakve osobne podatke unutar Vaše organizacije, uključivši i Vaš hotelski informacijski sustav, dijelite i odgovornost u slučaju incidenata curenja tih podataka te svakako osigurajte poduzimanje svih nužnih predradnji kojima tu mogućnost možete pravno regulirati jer, zapamtite, teret dokazivanja u slučaju incidenta je na voditelju obrade, što ste u najvećem broju slučajeva samo Vi. U rijetkim slučajevima u vašem sektoru može se dogoditi da su ugovorom definirana dva Voditelja obrade, druga strana je uglavnom Izvršitelj obrade koji ima uvid ili mogućnost administracije podataka koji se prikupljaju, obrađuju ili arhiviraju unutar sustava.


• Čuvanje brojeva kreditnih kartica gostiju nije dozvoljeno osim ukoliko možete dokazati da imate sustav sigurne pohrane te vrste podataka – najčešće PCI DSS. U najvećem broju slučajeva hoteli ga zbog skupe implementacije i održavanja nemaju, pa ukinite čuvanje brojeva kreditnih kartica, osobito unutar HIS-a u polju napomena. Svrha većeg komoditeta u ponovnom check-inu gosta bez mogućnosti dokazivanja sigurnosti pohrane brojeva kreditne kartice nije dovoljno dobro obrazloženje klasifikacije istog kao legitimnog interesa što je čest slučaj. Čak i uz PCI DSS zatražite privolu gosta za daljnje čuvanje njegovog broja kartice jer taj podatak nije nužno čuvati.


• Privole gostiju važna su stavka, osobito obratite pažnju da su pravilno konstruirane te da sadrže konkretno navedene svrhe koje nisu općenitog karaktera. Stavke svrhi u privoli moraju biti razdvojene i ne unaprijed potvrđene već ih gost svojevoljno mora moći odabrati. Isto tako, gost dio privole ili cijelu privolu u svakom trenutku mora moći povući što mu i operativno mora biti omogućeno. Velik je izazov povlačenje samo jednog od npr. tri dijela (svrhe) privole pa osigurajte proces koji operativno to može podnijeti ukoliko koristite privolu s više definiranih svrha.


• Osoblje i uprava moraju biti upućeni u ovu pravnu regulativu te im mora biti pojašnjeno da svi procesi prikupljanja i obrade podataka sa sobom nose odgovornost. Izbjegavajte korištenje istog korisničkog imena i lozinke na računalu u pojedinoj smjeni jer je kod prijave incidenta curenja podataka važno identificirati točnu osobu koja je u to vrijeme bila odgovorna. Najveće mogućnosti  incidenata curenja podataka na koje smo nailazili događaju se upravo na recepciji od strane zaposlenika, osobito kad su predmet interesa javno eksponirane osobe.


• S obzirom da kontinuirano prikupljate, obrađujete i arhivirate podatke velikog broja osoba te da je u taj proces uključen velik osoba unutar organizacije i trećih strana (npr. Booking.com, Airbnb, rezervacijske forme na vašem webu, hotelski informacijski sustav itd.), obveznici ste imenovanja Službenika za zaštitu podataka. Možete to učiniti unutar svoje organizacije ili angažirati vanjskog konzultanta za tu uslugu. Sami procijenite kompetentnost svojeg osoblja nakon implementacije odredbi Uredbe i dubljeg upoznavanja s njenim zahtjevima jer će ta osoba imati veliku odgovornost na svojim leđima s obzirom na propisane smjernice o Službenicima za zaštitu podataka te čl. 38. Opće uredbe o zaštiti podataka pod nazivom Radno mjesto službenika za zaštitu podataka. 


 


Prava koja organizacijski i tehnički moraju biti osigurana ispitanicima odnosno svim gostima i zaposlenicima te osobama čije osobne podatke prikupljate su slijedeća:


  1. Pravo na informiranje o obradi i pristup osobnim podacima – Transparentnost je jedno od temeljnih načela Uredbe. Uredba također obvezuje voditelje obrade da jasno i jednostavnim rječnikom informiraju ispitanika ili pojedinca na koji način se obavlja obrada njihovih osobnih podataka.


  2. Pravo na ispravak – ispitanik ima pravo bez nepotrebnog odgađanja ishoditi od voditelja obrade ispravak netočnih osobnih podataka koji se na njega odnose. Uzimajući u obzir svrhe obrade, ispitanik ima pravo dopuniti nepotpune osobne podatke, među ostalim i davanjem dodatne izjave.


  3. Pravo na brisanje podataka – ispitanik ima pravo od voditelja obrade ishoditi brisanje osobnih podataka koji se na njega odnose bez nepotrebnog odgađanja te voditelj obrade ima obvezu obrisati osobne podatke bez nepotrebnog odgađanja.


  4. Pravo na ograničenje obrade – ispitanik ima pravo od voditelja obrade ishoditi ograničenje obrade. Ako je obrada ograničena takvi osobni podaci smiju se obrađivati samo uz privolu ispitanika, uz iznimku pohrane, ili za postavljanje, ostvarivanje ili obranu pravnih zahtjeva ili zaštitu prava druge fizičke ili pravne osobe ili zbog važnog javnog interesa Unije ili države članice.


  5. Pravo na prenosivost podataka – ispitanik ima pravo zaprimiti osobne podatke koji se odnose na njega, a koje je pružio voditelju obrade u strukturiranom, uobičajeno upotrebljavanom i strojno čitljivom formatu te ima pravo prenijeti te podatke drugom voditelju obrade bez ometanja od strane voditelja obrade kojem su osobni podaci pruženi.


  6. Pravo na prigovor – prema čl. 21 st. 1. i 2. Uredbe voditelj obrade mora ispitaniku omogućiti mogućnost podnošenja prigovora te mu to jasno i nedvosmisleno predočiti.Voditelji obrade posebno su obavezni omogućiti ovo pravo ako se obrada provodi temeljem odredaba čl. 6. Uredbe. Kad ispitanik konzumira ovo pravo voditelj obrade mora odmah prestati s profiliranjem osim ako ne dokaže legitimni interes.


  7. Pravo na izuzeće pravnih odluka prilikom automatskog donošenja odluka i profiliranja (automateddecisionmakingandprofiling) – ispitanik ima pravo zatražiti da se na njega ne odnosi odluka koja se temelji isključivo na automatiziranoj obradi, uključujući izradu profila, koja proizvodi pravne učinke koji se na njega odnose ili na sličan način značajno na njega utječu.


 


Izvor podataka: www.apicura.hr


Autorica: Natalija Parlov Una, doktorandica Međunarodnih odnosa i direktorica tvrtke APICURA BusinessIntelligence. Stručnjakinja je za GDPR, informacijsku sigurnost i bihevioralni digitalni marketing. Autorica je brojnih znanstvenih i stručnih radova iz područja GDPR-a, bihevioralnog marketinga, plasmana na vanjska tržišta te međunarodnih odnosa i informacijske sigurnosti. Konzultantica je inozemnim i domaćim tvrtkama te institucijama u poljima procesne forenzike, informacijske sigurnosti, bihevioralne marketinške analitike te uvođenja sukladnosti s GDPR-om, a njena tvrtka posjeduje velik broj referenci implementacije GDPR-a vezanih uz visokorizične sektore s opsežnim obradama osobnih podataka – hotelijerstvo, turizam i zdravstveni turizam, zdravstvo i farmacija, javne i privatne obrazovne institucije, ICT/IoT/IoMT te digitalni i bihevioralni marketing.


 


Tvrtka Apicura d.o.o. BusinessIntelligence specijalizirana je za usluge usklađivanja s GDPR-om visokorizičnih sektora


APICURA GRUPA partneri u provedbi kompletnog raspona GDPR programa su certifikacijska kuća, ICT tvrtka, specijalizirana digitalna marketinška agencija te renomirani odvjetnički uredi.


Tvrtka posjeduje aktivne certifikate ISO 9001 i ISO 14001, zaposlenici su doktorandi Međunarodnih odnosa i certificirani Lead auditori ISO 27001 sustava upravljanja informacijskom sigurnosti (ISMS) i ISO 9001 sustava upravljanja kvalitetom (QMS) te anti-korupcijskog ISO 37001 sustava za suzbijanje podmićivanja, kao i educirani projektni konzultanti.


Posjetite nas na www.apicura.hr