GDPR
GHID PENTRU HOTELURI ȘI PENSIUNI
Radu Crahmaliuc Iunie 2020
Prin procesele curente de prelucrare a datelor pe care le efectuează, Hotelurile și Pensiunile au un rol de operator de date personale, ceea ce atrage din start o serie întreagă de obligații.
2
Ce este GDPR? ”Regulamentului Uniunii Europene 679 din 27 aprilie 2016 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulație a acestor date” este cunoscut ca GDPR și este activ din 2018. Regulamentul se adresează tuturor companiilor care prelucrează date personale și care pot avea rol de operatori sau procesatori de date. GDPR are ca obiectiv eliminarea utilizării abuzive de date personale și instituirea unor reguli clare de asigurare a securității și confidențialității acestora. Noua lege crește obligațiile pe care companiile le au cu privire la datele cu caracter personal și se concentrează asupra drepturilor persoanelor fizice. Ca manager de HOTEL sau PENSIUNE trebuie să știți că se pune accentul pe respectarea unor principii, drepturi și obligații ce presupun asumarea responsabilității și demonstrarea modului în care se aplică. Nerespectarea acestora conduce la breșe de date care pot atrage penalități ce afectează întregul proces de business al organizațiilor care nu se conformează.
3
Care sunt provocările la prelucrarea datelor personale în Hoteluri și Pensiuni ? Natura și volumul mare de date prelucrate în activitățile curente, face ca unitățile de cazare pentru turiști să fie considerate ca un operator de date personale sensibile, cea ce presupune obligații mai mari și mai stricte, precum și reguli foarte clare de gestionare a acestora. Principalele date prelucrate sunt cele asociate turiștilor, dar nu trebuie omise procedeele de prelucrare a datelor angajaților și colaboratorilor sezonieri. GDPR încadrează prelucrarea datelor personale legate de identitatea clientului și numerele unice de identificare națională (CNP, Card Identitate, Pașaport, Carnet Conducere) la un regim special, prin obligația asigurării unor măsuri eficiente de protejare a acestora. Mai mult de atât, Legea 190 din 2018 emisă de Parlamentul României prevede câteva măsuri speciale pentru operatorii de date personale care prelucrează aceste numere unice de identificare națională și care au ca unic temei legal legitimul interes, printre care și obligativitatea numirii unui Responsabil cu protecția datelor (DPO – Data Protection Officer).
4
Foarte important este procesul care include colectarea, prelucrarea, partajarea și arhivarea datelor personale ale clienților, atât pentru cei care beneficiază de servicii de cazare, cât și pentru participanții la evenimente.
Datoria dvs. ca manager de Hotel sau Pensiune este să aplicați măsurile tehnice și organizatorice cele mai adecvate pentru asigurarea securității și confidențialității datelor prelucrate și să puteți dovedi aplicarea acestora.
5
Ce se înțelege prin date cu caracter personal?
6
În viziunea GDPR, prin date personale se înțeleg orice date care pot fi asociate cu o singură persoană sau cere pot duce la identificarea unei persoane.
Este important să clarificați încă de la început ce fel de date cu caracter personal se colectează, cum se prelucrează și unde sunt ele păstrate.
Numele, adresele poștale, adresele email personale sau de business, numerele de telefon, conturile bancare, fotografiile, semnăturile sau imaginile surprinse de camerele de supraveghere video sau adresele de IP ale computerului sau telefonului mobil sunt considerate date cu caracter personal, pentru că pot conduce direct sau indirect la identificarea posesorului lor.
Toate activitățile de prelucrare trebuie să aibă un fundament legal clar, să fie colectate doar datele de care este nevoie, iar perioada de reținere să fie cât mai scurtă. E important ca toți membrii organizației să participe la acest efort, să înțeleagă rolul pe care îl joacă și responsabilitatea pentru respectarea regulilor.
Când trebuie să obțineți conformitatea GDPR? Regulamentul UE 679/ 2016 a devenit obligatoriu din 25 mai 2018 pentru toate organizațiile care prelucrează date personale.
Proiectul GDPR necesită alocarea unui buget proporțional cu importanța proiectului și a resurselor umane de susținere.
Ca Hotel sau Pensiune Turistică sunteți operator de date personale și aveți obligația de a dovedi că ați depus toate eforturile pentru a vă alinia la prevederile acestui Regulament.
Trebuie să vă gândiți la acest proiect ca la o investiție într-o etichetă de încredere față de turiști.
Faceți o evaluare a stadiului în care vă găsiți în prezent și apelați la un consultant de specialitate care vă poate ajuta să atingeți cât mai rapid condițiile optime pentru conformitate. Orice implementare a unor reglementări necesită elaborarea unui proiect. Acesta trebuie să se bazeze pe o decizie managerială, pe existența unui coordonator și a unei echipe.
Faptul că aveți o politică actualizată de prelucrare a datelor personale afișată pe site reprezintă o carte de vizită pentru unitatea dvs. și o dovadă a angajamentului pentru respectarea confidențialității. Costul unui astfel de proiect se deduce practic pe perioada în care are loc implementarea. Gândiți-vă ce e mai eficient pentru afacerea dvs.: investiția în conformitate sau plata unor penalități?
7
Probleme specifice Hotelurilor și Pensiunilor la prelucrarea datelor personale Colectarea datelor despre turiști prin platforme de rezervare și agenții de turism Colectarea datelor personale de pe site – rezervări, contact, newsletter, cookies Completarea Formularelor de cazare Informarea turiștilor în legătură cu drepturile lor (site, postere receptie, notificări Formular cazare Obținerea consimțământului pentru comunicări de promovare (site-newsletter, Formulare cazare) Informarea despre Codul de Conduită al unității turistice (website, Recepție, Formular cazare) Gestionarea acordului și a solicitărilor de acces Prelucrarea datelor personale despre copii Partajarea informațiilor despre clienți cu serviciile pentru turiști: cameriste, restaurant, spa, etc. Folosirea de imagini cu turiștii în social media Instruirea adecvată a personalului Prelucrarea datelor personale critice ale clienților: stil de viață, diete, regimuri speciale, dizabilități, graviditate, etnie, orientări religioase, stare maritală, preferințe și activități sexuale, date despre starea de sănătate, dizabilități, boli cronice, date biometrice, etc).
8
Semnalizarea monitorizării video Justificarea amplasării camerelor video Politicile publice postate pe website Politici interne clare pentru angajați Regulile de comunicare prin direct email/ sms Securizarea aplicațiilor HORECA Securizarea rețelelor WiFI publice și private Securizarea computerelor și sistemelor IT Actualizarea contractelor cu agențiile și furnizorii de servicii prin includerea clauzelor de confidențialitate GDPR Menținerea registrelor de evidență obligatorii Securizarea informațiilor financiare, carduri de credit/ debit, sisteme de plată Managementul datelor personale ale participanților la evenimente Analiza de risc și managementul incidentelor de securitate Partajarea datelor despre clienți cu alți parteneri Siguranța arhivelor fizice Arhivarea electronică a documentelor pe termen lung.
Ce obligații aveți ca operator de date personale? Trebuie să țineți seama de natura, domeniul de aplicare, contextul şi scopurile prelucrării, precum şi de riscurile pentru drepturile şi libertăţile persoanelor fizice. Pentru aceasta, trebuie să aplicați o serie de măsuri tehnice şi organizatorice adecvate pentru a garanta şi a demonstra că prelucrarea se efectuează în conformitate cu GDPR. Care sunt aceste măsuri obligatorii pentru Hoteluri și Pensiuni? Respectați principiile de prelucrare legală, transparentă, echitabilă pentru scopuri determinate, explicite și legitime; Colectați doar datele adecvate, relevante și limitate la strictul necesar, minimizați datele când nu aveți nevoie de ele și reduceți timpul de păstrare, ștergând datele când nu mai aveți nevoie de ele; Depuneți toate eforturile pentru a asigura o securitate adecvată a datelor, protejându-le împotriva prelucrării neautorizate sau ilegale, a pierderii, a distrugerii sau a deteriorării accidentale; Luați toate măsurile tehnice și organizatorice adecvate pentru a asigura integritatea și confidențialitatea datelor; Țineți evidența tuturor activităților de prelucrare a datelor;
Concepeți politici interne și coduri de conduită pentru angajați, pentru limitarea erorilor interne de operare; Instruiți angajații pentru cunoașterea obligațiilor ce le revin și a responsabilității individuale și colective; Afișați politica de confidențialitate pe site, ca referință publică pentru orice fel de prelucrari de date personale; Asigurați informarea corectă a persoanelor vizate și respectarea drepturilor de acces la date; Păstrați regulile ce guvernează gestionarea consimțământului; Faceți o analiză a riscurilor și țineți o evidență a incidentelor interne; Respectați regulile de anunțare a breșelor de securitate; Instruiți periodic personalul pentru înțelegerea și asumarea răspunderii.
9
Ce trebuie să știe personalul despre GDPR?
Este util ca toți angajații și colaboratorii să cunoască ce reprezintă GDPR, care este rolul lor în prelucrarea datelor personale și care sunt obligațiile. Tot personalul Hotelului/ Pensiunii trebuie instruit și trebuie să înțeleagă și să-și asume responsabilitatea pentru respectarea regulilor și procedurilor de asigurare a siguranței și confidențialității datelor. GDPR recomandă numirea unei persoane cu rol de coordonator, care trebuie să dețină toate cunoștințele specifice Responsabilului cu protecția datelor (DPO – Data Protection Officer). De asemenea, este important ca tot personalul să poată răspundă la orice întrebări sau solicitări ale clienților despre modul în care datele lor sunt utilizate și stocate. Asigurați-vă că toți angajații care intră în relație directă cu clienții vor putea să facă trimitere către sursele unde pot fi consultate Politicile publice.
10
Cum gestionăm listele cu contacte ale turiștilor care fac rezervare dar nu se cazează la noi?
Sarcinile care vă revin pentru operator de date personale implică și datele personale ale celor care fac o rezervare de cazare, direct pe site-ul nostru, printr-o platformă de rezervări online sau printr-o agenție de turism. Aceste date sunt păstrate de regulă pe email, într-o aplicație software de tip Horeca sau în liste separate de cele ale turiștilor care sau cazat deja. Este datoria dvs. ca operator de date personale să asigurați securitatea și confidențialitatea acestor date, în special dacă ele conțin informații despre ID-uri sau date despre cardurile de credit/ debit cu care s-a făcut rezervarea. Este datoria dvs. să îi informați pe toți cei care fac rezervări despre modul în care aceste date vor fi păstrate și folosite, în contextul preocupărilor generale de prelucrare corectă a tuturor datelor pe care le dețineți și de asigurare a siguranței acestora.
11
Ce presupune gestionarea consimțământului în unitățile turistice? Cum consimțământul este o parte esențială a prevederilor GDPR. Ca Hotel sau Pensiune aveți obligații legale care reglementează obținerea, prelucrarea și păstrarea consimțământului clienților. Consimțământul trebuie să fie specific, informat și acordat în mod liber. Clienții trebuie să aibă posibilitatea de alegere liberă, de a refuza sau retrage acordul. În activitățile de marketing și promovare consimțământul clienților este foarte important. Nu avem nevoie de consimțământ pentru comunicarea cu turiștii care sunt deja clienți și care și-au dat acordul pentru comunicări comerciale pe site sau pe Formularul de cazare. Pentru clienții noi, avem nevoie de obținerea consimțământului ca bază legală pentru activitățile ce preced înregistrarea lor în sistemele de evidență pentru cazare sau pentru alte activități sau evenimente care se desfășoară în unitatea noastră.
12
Pe ce trebuie să ne bazăm când solicităm consimțământul clienților: • acordarea consimțământului este o opțiune pozitivă, separată de termenii și condițiile unei oferte; • nu trebuie să fie formulat vag și să fie condiționat de obținerea unor alte beneficii; • consimțământul este specific pentru fiecare tip de activitate de prelucrare; • dacă vrem să folosim datele pentru mai multe feluri de prelucrare, avem nevoie de acord pentru fiecare; • dacă partajăm datele clienților, aceștia trebuie informați despre existența terților; • avem datoria să informăm clientul că are dreptul de a-și retragere consimțământului oricând; • trebuie să îi arătăm cum poate face asta; • trebuie să păstrăm dovada obținerii acordului, pentru a demonstra conformitatea; • trebuie să asigurăm operarea efectivă a renunțării la consimțământ prin actualizarea bazelor de date în timp real.
Care sunt drepturile persoanelor vizate?
Prin ”Persoană vizată” se înțelege acea persoană ale căror date personale le prelucrăm. În cazul Hotelurilor și Pensiunilor, persoanele vizate sunt turiștii, angajații, candidații, colaboratorii și partenerii care oferă diferite servicii.
● Dreptul la restricționarea prelucrării pentru motive care țin de exactitatea datelor și legalitatea prelucrării; ● Dreptul la portabilitatea datelor - adică transmiterea lor către persoana vizată sau un alt operator într-un format ușor de citit;
Conform GDPR, persoanele vizate beneficiază de următoarele drepturi, pe care trebuie să le respectați și să le garantați:
● Dreptul la opoziție – pentru diferite motive justificate și probate;
●Dreptul la informare, dreptul de a primi detalii privind activitățile de prelucrare efectuate de către Hotel/ Pensiune;
● Dreptul de a nu fi supus unei decizii individuale automate – adică de a nu fi subiectul unei decizii luate numai pe baza unor activități de prelucrare automate;
● Dreptul de acces la date, dreptul de a obține informații cu privire datele personale și felul în care sunt ele prelucrate de Hotel/ Pensiune; ● Dreptul la rectificare, dreptul de a obține corectarea datelor inexacte și actualizarea datelor incomplete; ● Dreptul la ștergerea datelor, („dreptul de a fi uitat”), fără întârzieri nejustificate;
● Dreptul de renunțare la consimțământ retragerea permisiunii de utilizare a datelor pentru orice activitate de prelucrare pentru care a fost acordat consimțământul; ● Dreptul de adresare la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) din România: anspdcp@dataprotection.ro, www.dataprotection.ro
13
Cât timp trebuie să păstrez documentele pe hârtie ale turiștilor?
Formalitățile de înregistrare a turiștilor prin completarea Formularelor de cazare reprezintă una dintre cele mai importante operațiuni specifice Hotelurilor și Pensiunilor Turistice. Această completare trebuie făcută în mod obligatoriu de către turiști, fără reținerea sau copierea actelor de identitate. Până la completarea Formularului turiștii trebuie să fie informați despre ce se întâmplă cu datele lor personale obținute prin acel document, prin citirea unei Informări afișate în zona Recepției sau direct prin notificările tipărite pe Formularul de cazare. Ce facem cu aceste formulare de hârtie după ce am introdus datele turiștilor în aplicația software, în baza de date sau în registrul de cazare? Nu există reglementări directe referitoare la modul și durata de păstrare a documentelor de hârtie. Asta depinde de politica fiecărei unități turistice. Datele legate de facturarea cazării și serviciilor sunt păstrate de către serviciile de contabilitate pe o perioadă minimă de zece ani. Continuare >>
14
>> Urmare Recomandarea este ca formularele de cazare pe suport hârtie să fie păstrate în dosare de arhivare in cele mai depline condiții de siguranță pe perioade de maxim un an, perioadă în care să fie scanate și arhivate electronic. Durata de menținere a unei arhive electronice poate fi de circa 10 ani. În cazul în care Formularele de cazare conțin câmpuri speciale prin care clienții au bifat o opțiune de acord, aceste documente trebuie gestionate cu un regim special, deoarece constituie dovada obținerii unui consimțământ, care trebuie oricând demonstrată și operată în cazul primirii unei solicitări de retragere a acordului dat. Durata de păstrare a evidențelor consimțământului este, de regulă, până la retragerea acestuia, dar bunele practici recomandă actualizarea periodică a acestor date la intervale de timp de 5 sau 10 ani. Evident că gestionarea acestor evidențe este mult mai avantajoasă în format electronic.
Stabiliți o procedură efectivă de gestionare a acestor evidențe pe suport fizic și electronic și distrugeți în mod organizat Formularele pe suport de hârtie după o perioadă de un an, dar numai după ce ați asigurat arhivarea electronică a acestora.
15
Cum gestionăm datele despre cardurile bancare ale turiștilor? Prelucrarea datelor bancare este una dintre cele mai critice activități din domeniul turistic. Datele despre cardurile bancare ne parvin prin sistemele de rezervare directe sau indirecte sau direct de la clienți în momentul formalităților de cazare. În funcție de politica Hotelului/ Pensiunii datele despre card pot fi folosite pentru plata anticipată a serviciilor (integrală sau parțială) sau pentru achitarea unui anumit cuantum din tarifele de cazare (de obicei tariful pentru prima noapte de cazare) în cazul în care turistul nu a anunțat anularea rezervării în timp util.
Datele despre carduri mai sunt folosite în momentul achitării serviciilor turistice la Recepție sau pentru plata directă a unor servicii suplimentare: mese la restaurant în afara celor incluse, consumul la bar, minibar, servicii de sauna, masaj, piscină, plaje, excursii, echipamente speciale, biciclete, etc. sau ca garanție pentru acoperirea unor eventuale daune. În calitate de operatori de date fiscale,
16
avem obligația ca toate datele aferente acestor plăți să fie administrate în cele mai depline condiții de siguranță. Instruirea corectă a personalului și asigurarea garanțiilor de asumare a răspunderii acestuia în cazul unor erori de operare (intenționate sau nu) este o obligație a noastră de business, care nu ține neapărat de GDPR ci de calitatea tuturor serviciilor asigurate și renumele unității turistice. Reglementarea obligațiilor angajaților implicați în operarea cu datele fiscale ale clienților se poate face prin clauzele din contractul de muncă, fișa postului sau semnarea unor acte adiționale de asumare a răspunderii. În calitate de operator de date personale avem datoria de a asigura o politică de prevenire a apariției unor incidente și obligația de a semnala orice breșe de date într-un interval de 72 de ore către Autoritatea de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) pe site-ul www.dataprotection.ro
De ce trebuie să avem o politică de supraveghere video? În mod curent Hotelurile și Pensiunile au sisteme de monitorizare video care acoperă arii exterioare și spații interioare. Conform Legii 190 din 2018, folosirea camerelor de supraveghere video este justificată doar pentru acele locații sau obiective care necesită o astfel de supraveghere permanentă și pentru care nu există alte metode de monitorizare mai puțin invazive. Locurile în care sunt amplasate camerele de supraveghere, în special pentru cele de interior, nu trebuie să pericliteze intimitatea și confidențialitatea persoanelor care pot apărea în imaginile respective. Este de la sine înțeles că în spații precum camere, băi, dușuri, jacuzzi, piscine, vestiare, saune nu se recomandă instalarea de camere video, iar montarea acestora în spațiile comune nu trebuie să favorizeze surprinderea de imagini intime.
E important ca atât clienții, cât și angajații să fie informați de existența camerelot și care este rolul lor. Informarea se poate face prin panouri speciale instalate la exterior sau în spațiul de la recepție sau prin stickere de avertizare ”Zonă supravegheată video ” lipite cât mai la vedere în zonele unde există camere: parcări, terase, uși și scări de acces, ascensoare, recepție, terase, spații tehnice, locuri de joacă, etc. Accesul la sistemele de supraveghere video și monitorizarea imaginilor trebuie să fie asigurat doar personalului autorizat și instruit pentru a face acest lucru. Accesul la imaginile monitorizate prin aplicații online de pe telefonul mobil trebuie restricționat doar la cei care au acest drept. Perioada maximă de păstrare a înregistrărilor video nu trebuie să depășească 30 de zile, cu excepția situațiilor în care aveți datori de a pune imaginile la dispoziția autorităților competente.
17
Ce trebuie să facă angajații pentru a nu încălca GDPR
18
Verificarea adreselor sau listelor de adrese email înainte de expedierea mesajelor; Folosirea resurselor informatice fără autorizare; Instalarea de aplicații neautorizate pe computerele unității; Folosirea altor conturi de acces la sisteme, aplicații sau platforme în afara celor alocate; Conectarea la rețeaua Hotelului sau Pensiunii cu propriile calculatoare; Folosirea aplicațiilor de email, mesagerie sau a paginilor din rețelele sociale în scop personal; Divulgarea parolei personale altui coleg; Permiterea sau facilitarea accesului neautorizat la datele și echipamentele unității turistice; Transferul de date personale pe email prin folosirea de atașamente neparolate sau necriptate; Folosirea unor sisteme externe pentru transfer sau stocare, fără criparea datelor și protejarea dispozitivelor; Respectarea tuturor măsurilor de Securitate din regulamentele interne.
Ce măsuri de protecție trebuie să luați pentru sistemele IT?
Actualizarea periodică a parolelor de acces la rețea, computere, aplicații software sau platforme online; Stabilirea unor parole puternice de minimum 10 caractere, care să conțină litere, cifre sau caractere special; Actualizarea aplicațiilor software antivirus și antispam; Folosirea de conexiuni sigure la Internet, cu acces Wi-Fi parolat, separate pentru clienți sau utilizarea internă; Efectuarea periodică de copii de siguranță (backup) pe alte computer sau sisteme de stocare; Backup-ul aplicațiilor de email și Horeca pe servere sau unități de stocare dedicate, amplasate de regulă în alte locații; Atenție la atașamentele suspecte venite prin email, chiar de la adrese sau persoane cunoscute. Pot conține Malware care sustrage sau blochează datele; Folosirea de atașamente criptate sau parolate în comunicarea cu alte unități sau cu partenerii; Când folosiți un laptop, restricționați accesul familiei la datele și aplicațiile folosite pentru Hotel/ Pensiune.
19
Întrebări și răspunsuri legate de situații frecvente ce apar în Hoteluri și Pensiuni
Pot afișa fotografii ale angajaților pe panouri publice sau pe pagina de internet?
Da, puteți folosi imaginile angajaților în scopuri de evidențiere sau promovare a activităților din Hotel sau Pensiune, dar numai cu acordul expres, acordat în scris, al acestora.
20
Angajații trebuie informați că își pot retrage oricând acest acord. Partea cea mai neplăcută este că la retragerea consimțământului va trebui să căutați și să ștergeți toate imaginile foto sau video ce includ persoana respectivă.
Pot publica pe Facebook imagini cu turiștii din timpul activităților din cadrul Hotelului/ Pensiunii? Puteți face acest lucru respectând câteva condiții: Să aveți acordul scris al tuturor clienților care apar în aceste imagini; Dacă în imagini apar și copii, e nevoie de acordul explicit al părinților/ însoțitorilor acestora; Dacă imaginile sunt postate doar pe paginile oficiale ale Hotelului/ Pensiunii, adică un site public sau o pagină de Facebook dedicată Recomandarea este să vă creați o bibliotecă de imagini pentru care aveți permisiunea de publicare;
Trebuie să informați clienții prin politicile publice care sunt condițiile de publicare și de păstrare a imaginilor; Nu aveți permisiunea să publicați imagini pe paginile personale de social media (Facebook, Instagram, Linkedin, etc.) pentru că sunteți un operator de date. Clienții pot face asta cu propriile imagini. Vă recomandăm să creați o politică de achiziție, utilizare și păstrare a imaginilor fotografice și video din activitățile turistice curente sau de pe durata desfășurării unor evenimente, pe care să o comunicați clienților.
21
Trebuie să instruiesc tot personalul pentru respectarea GDPR?
Chiar dacă în mod normal, cameristele, personalul de curățenie, liftierii, șoferii sau personalul din restaurante nu prelucrează în mod curent date cu caracter personal despre clienți, e bine ca tot acest personal să participe la cel puțin o ședință de instruire GDPR. Se poate întâmpla frecvent ca în cursul activităților curente, acest personal să aibă acces la date personale sau aspecte intime ale clienților, documente personale, fotografii, etc. Din perspectiva serviciilor oferite Hotelul sau Pensiunea trebuie să își instruiască tot personalul pentru respectarea intimității și confidențialității datelor despre turiști.
22
Pot ruga clienții care vin la saună sau piscină să semneze un document prin care își asumă răspunderea pentru starea lor de sănătate și declară că nu au boli de piele sau alte afecțiuni? Dacă Hotelul/ Pensiunea dvs. oferă servicii de relaxare și tratament precum saune umede sau uscate, camere cu sare, masaj, jacuzzi, aparatură de gimnastică sau piscină, este bine să vă asigurați că cei care le frecventează sunt sănătoși, nu suferă de afecțiuni care nu recomandă folosirea unor astfel de facilități și că nu afectează confortul și sănătatea celorlalți turiști. Pentru aste e bine să aveți un Cod de Conduită sau un regulament de folosire a facilităților respective care să fie afișat la vedere. În cazul unor condiții de tratament mai riguroase, puteți solicita clienților să completeze niște Declarații pe propria răspundere prin care să își asume riscurile existenței unor contraindicații pentru stilul de viață și starea de sănătate. În acest caz trebuie să acordați o atenție sporită acestor documente, deoarece pot conține informații de natură intimă sau date despre starea de sănătate, care sunt considerate date personale cu caracter critic, care trebuie procesate și stocate în cele mai depline condiții de siguranță. Clienții trebuie informați despre existența acestor Declarații și modul în care sunt folosite, stocate și șterse prin postere afișate la Recepția hotelului sau Recepția spațiilor de relaxare și tratament.
23
Pot partaja cu clienții adrese Internet de unde se descarcă fotografii de la evenimente? Pentru publicarea imaginilor foto sau video făcute cu ocazia unor evenimente trebuie să aveți acordul de principiu al tuturor participanților. Acordul poate fi considerat ca implicit, în momentul în care participanții sunt informați că la eveniment se for face fotografii și filme și că este dreptul lor să aprobe includerea propriei imagini.
Informarea poate fi făcută prin intermediul invitațiilor de participare la eveniment sau înainte de începerea acestuia, direct la masa de înregistrare.
24
Cei care se opun prelucrării de imagini pot fi evidențiați prin ecusoane personalizate, care indica operatorilor foto/ video că persoana respectivă nu șia dat acordul. Înregistrările accidentale sunt șterse, fără a fi stocate. De la această regulă pot face excepție imaginile generice, care conțin grupuri mai mari de persoane, participanți din auditoriu sau imagini generice ale sălii, atâta timp cât imaginile nu sunt focalizate pe o anumită persoană sau grup restrâns de 2-3 persoane.
Am trimis un e-mail de promovare la câteva sute de clienți și am copiat din greșeală lista de adrese în câmpul CC (adresele sunt vizibile pentru toți destinatarii). Este acesta un caz de încălcare a datelor? Dacă adresele de e-mail ale destinatarilor sunt legate de afaceri și conțin doar coordonatele unei firme, atunci aceasta nu este o încălcare a datelor. Dacă pe listă există adrese ce conțin numele sau prenumele destinatarului, atunci adresele de e-mail sunt considerate date personale și atunci această eroare de expediere reprezintă o încălcare a datelor și ar trebui
raportată Ia supraveghere.
Autoritatea
de
GDPR prevede niște situații speciale în care o greșeală de acest fel se poate considera că nu expune într-un mod critic securitatea și confidențialitatea adresanților. E bine totuși să fiți atenți și să evitați astfel de situații care pun într-o poziție proastă responsabilitatea pe care o aveți față de protejarea datelor clienților.
25
Recomandări finale
Asigurarea și menținerea conformității în unitățile de turism nu este o sarcină ușoară, dar nici imposibilă. Chiar dacă ați lucrat cu un consilier GDPR care v-a pus la punct câteva documente sau v-a făcut un Dosar de conformitate, este important ca cerințele impuse de GDPR să nu rămână doar pe hârtie. Ele trebuie făcute, implementate și menținute. Ca operator de date personale trebuie să demonstrați oricând că responsabilitatea asumată există și în practică.
Și acesta este cel mai greu lucru...
26
pentru manageri
Puteți să aveți toate politicile, personalul instruit, sistemele informatice actualizate, soluții de protecție a datelor, cea mai mică greșeală internă poate genera incidente, care în funcție de conținutul și volumul datelor se pot transfera în breșe. Pentru a preveni orice vulnerabilitate merită să învestiți într-un program de implementare, un audit sau o simplă consiliere GDPR. E o investiție pe care o puteți deduce ușor din activitățile turistice curente. Asta nu numi că vă pune la adăpost de orice neplăceri, dar vă poate asigura o etichetă de încredere față de clienți.
27
GDPR MASTERCLASS ● Audit ● Consultanță ● Instruire ● Servicii DPO ● eBook - Ghiduri ● Evenimente ● Workshopuri ● Social Media
Autor: Radu CRAHMALIUC eBook: ”Ghid GDPR pentru Hoteluri și Pensiuni” Iunie 2020 © 2020 - Toate drepturile rezervate, mARCom Expert https://marcomexpert.com/ https://gdprreadyinitiative.com/