του Γιώργου Δαλιάνη με τη συνεργασία του Γιώργου Ζούμπου, capital.gr*

Ο Κανονισμός για την Προστασία των Προσωπικών Δεδομένων (GDPR) μπήκε και επίσημα στη ζωή μας από τον Μάιο. Ο ταραχώδης αρχικός ρυθμός, με την πλημμύρα ηλεκτρονικών μηνυμάτων συγκατάθεσης, τη διακοπή συστημάτων και την απώλεια διαφημιστικών επαφών, μας οδήγησε στο καλοκαίρι χωρίς κάποια μεγάλη έκρηξη ή σημαντικά νομικά ζητήματα. Πρόκειται για την ηρεμία πριν από την καταιγίδα;

Ο χρόνος θα δείξει αλλά καλό είναι να μην εφησυχάζουμε, ιδιαίτερα αν μιλάμε για τον κλάδο της φιλοξενίας, των ταξιδιών και της διασκέδασης.

Αν μόνο εξετάσετε το φάσμα και το πλήθος των προσωπικών δεδομένων –και συχνά των ευαίσθητων δεδομένων– που συλλέγουν και αποθηκεύουν τα συστήματα ενός ξενοδοχείου, είναι δύσκολο κάποιος να… εφησυχάσει. Ενδεικτικά παραδείγματα τέτοιων συστημάτων είναι:

* Σύστημα Κρατήσεων: Όταν ένας πελάτης κάνει μια κράτηση δωματίου, πρέπει να παρέχει στοιχεία επικοινωνίας όπως αριθμό τηλεφώνου, ταχυδρομική και ηλεκτρονική διεύθυνση.
* Σύστημα Διαχείρισης: Στη διαδικασία του check-in, o πελάτης παρέχει στοιχεία ταυτότητας (άρα και φωτογραφία του) και στοιχεία πιστωτικής κάρτας.
* Προφίλ πελάτη: Το ξενοδοχείο πιθανόν καταγράφει επιπλέον προσωπικά δεδομένα όπως ηλικία, φύλο, αναπηρίες ή προτιμήσεις διατροφής / διαμονής, κα.

Επιπλέον, συχνά, το ξενοδοχείο χρησιμοποιεί μια ποικιλία από ‘’πλατφόρμες’’ αποθήκευσης πληροφοριών (σύστημα CRM, μηχανές κρατήσεων, ιστοσελίδες, σύστημα πληρωμών, ηλεκτρονικές προωθητικές δράσεις, μάρκετινγκ και κοινωνικό μάρκετινγκ, ιδιότητα μέλους, βάσεις δεδομένων πελατών, cookies ιστοτόπων, σύστημα διαχείρισης υπαλλήλων, κα).

Τα συστήματα ενός ξενοδοχείου επεξεργάζονται συνεχώς σημαντικό όγκο προσωπικών δεδομένων. Προσβλέποντας στην πρόβλεψη των επιθυμιών κάθε πελάτη, συγκεντρώνουν πληθώρα προσωπικών δεδομένων, συμπεριλαμβανομένων των ονομάτων, των γενεθλίων, των επαγγελματικών διαπιστευτηρίων, των προτιμήσεων για διασκέδαση, φαγητό και κατάλυμα, ταξιδιωτικά σχέδια και σε μερικές περιπτώσεις κατάσταση υγείας ή σεξουαλική ζωή ή σεξουαλικό προσανατολισμό μπορεί εμμέσως να αποκαλυφθούν μέσω ορισμένων αιτημάτων του πελάτη, μεταξύ άλλων. Παίρνουν επίσης προσωπικά δεδομένα από τρίτους, όπως τα ταξιδιωτικά πρακτορεία. Επιπλέον, με την επεξεργασία πληρωμών, συλλέγονται πρόσθετα ευαίσθητα προσωπικά δεδομένα, συμπεριλαμβανομένων των πληροφοριών πιστωτικών καρτών, τραπεζικών πληροφοριών και προτιμήσεων δαπανών.

Άρα, πως είναι δυνατόν ένας πελάτης να ασκήσει τα δικαιώματά του στα προσωπικά δεδομένα του όταν αυτά είναι διασκορπισμένα σε λειτουργικά συστήματα του ξενοδοχείου όπως τα: PMS, POS, WLAN, αποστολή newsletter,  Outlook, μηχανή κρατήσεων, έρευνες με ερωτηματολόγια, ιστοσελίδα; Και ακόμα, αν χρειάζεται τα δεδομένα να έχουν μεταβιβαστεί σε εστιατόρια, μεταφορικές εταιρείες, γυμναστήρια κλπ, στο πλαίσιο της ικανοποίησης του πελάτη;

Τι γίνεται όμως αν πρόκειται για ένα μικρό ξενοδοχείο; Εξακολουθούν να ισχύουν τα παραπάνω; Η απάντηση είναι “ναι, αλλά σε μικρότερη κλίμακα, με λιγότερα συστήματα και συνεπώς πιο εύκολα”.

Αν οι πελάτες δεν είναι Ευρωπαίοι πολίτες; Και πάλι ο Κανονισμός ισχύει γιατί το ξενοδοχείο βρίσκεται σε ευρωπαϊκή χώρα και όλοι οι πελάτες του αντιμετωπίζονται ως Ευρωπαίοι πολίτες ή κάτοικοι.

Δεδομένου του εγγενώς παγκόσμιου χαρακτήρα και του πλήθους των δεδομένων, οι ιδιοκτήτες ξενοδοχείων, οι φορείς εκμετάλλευσης, τα εμπορικά σήματα και οι εταιρείες διαχείρισης επηρεάζονται σημαντικά από τον GDPR.

Το συμπέρασμα από τα παραπάνω είναι ότι η άμεση εφαρμογή του Κανονισμού είναι μονόδρομος για το ξενοδοχείο. Ένας επιπλέον λόγος είναι ότι ο αλλοδαπός πελάτης έχει τη δυνατότητα να υποβάλει σχετικά παράπονα όχι μόνο στην Ελληνική Αρχή για την Προστασία των Προσωπικών Δεδομένων αλλά και στην αντίστοιχη εποπτική αρχή της πατρίδας του, εμπλέκοντας έτσι σε όλη τη διαδικασία και το Ευρωπαϊκό Συμβούλιο για την Προστασία των Δεδομένων, ως αρμόδιο ευρωπαϊκό εποπτικό όργανο.

Ο σεβασμός της ιδιωτικότητας και η προστασία των προσωπικών δεδομένων των πελατών διαδραματίζει καίριο ρόλο στη βιομηχανία φιλοξενίας. Το ξενοδοχείο δεν πρέπει να υποτιμά πόσο σημαντική είναι η προσαρμογή του στον  Κανονισμό. Αν το ξενοδοχείο δεν έχει ήδη αρχίσει το… ταξίδι για “την προστασία της ιδιωτικότητας και την ασφάλεια των προσωπικών δεδομένων” θα πρέπει άμεσα να προγραμματίσει σχετικές δράσεις, καθώς αυτό θα μπορούσε να είναι μια χρονοβόρα διαδικασία.

Πώς μπορεί, λοιπόν, η επεξεργασία των προσωπικών δεδομένων να είναι συμβατή με τις απαιτήσεις του GDPR;

1. Ενημέρωση του πελάτη: Τα ξενοδοχεία έχουν την υποχρέωση να ενημερώνουν τα φυσικά πρόσωπα (τους πελάτες τους και τους πιθανούς πελάτες τους) για τα δικαιώματά τους βάσει του GDPR, ως μέρος της επεξεργασίας δεδομένων (από τη συλλογή και αποθήκευση μέχρι την τελική διαγραφή τους). Η δημοσιοποιημένη Πολιτική Απορρήτου είναι το πλέον κατάλληλο μέσον για αυτήν την ενημέρωση.

2. Χαρτογράφηση των δεδομένων: Το ξενοδοχείο θα πρέπει να μπορεί, τεκμηριωμένα, να απαντήσει σε ερωτήματα όπως: τι δεδομένα συλλέγονται, αν είναι απαραίτητα, αν χρησιμοποιούνται για διαφορετικό λόγο από αυτόν για τον όποιο συλλέχτηκαν, πού φυλάσσονται, για πόσο χρονικό διάστημα, πώς χρησιμοποιούνται, αν μεταβιβάζονται σε τρίτους, πως προστατεύονται, ποια είναι η νομική βάση για την επεξεργασία τους, κλπ.

3. Λήψη συγκατάθεσης: Το ξενοδοχείο πρέπει να είναι σε θέση να αποδείξει ότι οι πελάτες του έχουν δώσει συγκατάθεση για τη χρήση των δεδομένων τους για συγκεκριμένο σκοπό, όπως πχ το μάρκετινγκ. Συνεπώς, το ξενοδοχείο, πρέπει να διασφαλίζει ότι τηρεί σαφή αρχεία για το τι ακριβώς έχει συναινέσει κάποιος. Συγκεκριμένα, θα πρέπει να καταγράφεται η ημερομηνία της συγκατάθεσης, η μέθοδος συγκατάθεσης, ποιος την έλαβε και τι ενημέρωση παρείχε κατά τη λήψη της.Δεν πρέπει να βασιζόμαστε σε μια ‘’λίστα πελατών’’ που έχει αγοραστεί, εκτός εάν ο πωλητής της μπορεί να παράσχει αυτές τις πληροφορίες.

Διαβάστε το υπόλοιπο άρθρο εδώ: capital.gr