Η Grand Value (μέλος του Ομίλου Εταιρειών ARTION), δραστηριοποιείται στην παροχή εξειδικευμένων συμβουλευτικών υπηρεσιών που απευθύνονται σε μικρομεσαίες και μεγάλες εταιρείες ολόκληρου του φάσματος της επιχειρηματικής δραστηριότητας.

Η Grand Value διαθέτοντας αφενός πιστοποιημένη (DPO) ομάδα στελεχών & αφετέρου την εμπειρία από την υλοποίηση 40 έργων συμμόρφωσης με τις απαιτήσεις του Κανονισμού, είναι στη διάθεσή σας για ενημέρωση και υποστήριξη.

Ξενοδοχεία και Κανονισμός για την Προστασία των Προσωπικών Δεδομένων (GDPR)

Αυτό το μήνα το ενημερωτικό δελτίο εστιάζει σε θέματα σχετικά με το ξενοδοχειακό κλάδο, αν και ορισμένα έχουν ευρύτερη εφαρμογή:

  • 1.Τα Κεφάλαιο IV του Κανονισμού αναφέρει την υποχρέωση να υπάρχει νομικό έγγραφο που καθορίζει τη σχέση Υπεύθυνου Επεξεργασίας (ΥΕ) και Εκτελούντος την Επεξεργασία (ΕτΕ). Τέτοια νομικά έγγραφα μπορεί να είναι η DPA (Data Protection Agreement) και η NDA (Non Disclosure Agreement). Το πρώτο είναι απαραίτητο στην περίπτωση που ο εξωτερικός συνεργάτης (ΕτΕ) εκτελεί κάποιου είδους επεξεργασία δεδομένων (συλλογή, εγγραφή, διόρθωση, αποθήκευση, κλπ). Στην περίπτωση όμως του ΕτΕ που έχει μόνο πρόσβαση (ο Κανονισμός δεν την θεωρεί ως επεξεργασία) μια NDA κρίνεται ως ικανοποιητική. Αυτές είναι οι περιπτώσεις του συνεργάτη που παρέχει υποστήριξη ΙΤ (χωρίς να αποθηκεύει ή με άλλο τρόπο επεξεργάζεται δεδομένα), του φωτογράφου που καλύπτει μια εκδήλωση, του animateur, κλπ.

  • 2. Κατ’ αναλογία με τα παραπάνω, στην περίπτωση που το ξενοδοχείο χρησιμοποιεί βάσεις βιογραφικών τύπου LinkedIn δεν απαιτείται DPA. Αντιθέτως, απαιτείται DPA αν το ξενοδοχείο προδιαγράψει τις απαιτήσεις θέσεων εργασίας και αναθέσει διενέργεια έρευνας ή αξιολόγησης. Όταν το ξενοδοχείο παρέχει τη δυνατότητα ηλεκτρονικής αποστολής βιογραφικού σημειώματος ενδιαφερομένου, η αποστολή να επιτρέπεται μόνο εφόσον ο ενδιαφερόμενος έχει κάνει tick ότι διάβασε την Πολιτική Απορρήτου (η Πολιτική να αναφέρει data retention period).

  • 3. Επίσης, απαιτείται DPA στις περιπτώσεις παροχής υπηρεσιών κατασκευής / hosting ιστοσελίδας ή σελίδων fb.

  • 4. Στην περίπτωση που το ξενοδοχείο συνεργάζεται με agent (εκτός Ελλάδος) στο πλαίσιο κρατήσεων δωματίων για πελάτες του που έρχονται στην Ελλάδα, είναι πιθανόν το ξενοδοχείο να χρειαστεί να διαβιβάσει δεδομένα αυτών των πελατών προς τον agent. Σε αυτήν την περίπτωση η διαβίβαση δεδομένων εκτός Ελλάδος καλύπτεται από τη νομική βάση ‘’υλοποίηση σύμβασης’’ (άρθρο 6 του Κανονισμού).

  • 5. Όταν ως νομική βάση για την επεξεργασία επιλέγεται ‘’ η επεξεργασία είναι απαραίτητη για τους σκοπούς των έννομων συμφερόντων που επιδιώκει ο ΥΕ ή τρίτος’’ καλό είναι να τεκμηριώνεται ότι δεν υπερτερεί ‘’το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων’’.

  • 6. Κατά κανόνα Εκτίμηση Αντικτύπου (DPIA) απαιτείται στις περιπτώσεις που: λειτουργεί σύστημα παρακολούθησης με κάμερες (CCTV), υπάρχει πρόγραμμα loyalty, το ξενοδοχείο παρέχει υπηρεσίες σχετικές με τον ιατρικό ή το θρησκευτικό τουρισμό. Επιπλέον, είναι καλή πρακτική η DPIA να περιλαμβάνει διαβούλευση με τα ενδιαφερόμενα μέρη (πελάτες, εργαζόμενοι, άλλοι). Για το σύστημα wifi δεν απαιτείται DPIA διότι ο πελάτης ενημερώνεται κατά το check-in με σχετικό έντυπο και συνεπώς έχει την επιλογή αποσύνδεσης.

  • 7. Απαγορεύεται λειτουργία CCTV σε χώρο που παίζουν ανήλικοι. Ως ηπιότερο μέτρο προτείνεται επιβλέπων ενήλικας.

  • 8. Το ξενοδοχείο μπορεί να συνάψει ασφάλιση (cyber insurance) για την κάλυψη κινδύνων παραβίασης, απαιτήσεων τρίτων ή ακόμα και από τα πρόστιμα. Η ασφάλιση όμως δεν καλύπτει στην περίπτωση που το ξενοδοχείο δεν εφαρμόζει σχετική νομοθεσία, δηλαδή τον Κανονισμό.

  • 9. O πελάτης του ξενοδοχείου θα πρέπει να ενημερώνεται για την περίπτωση που το σύστημα wifi ‘’παρακολουθεί’’ τις κινήσεις του στους χώρους του ξενοδοχείου (όπως εστιατόριο, πισίνα, bar, spa), ή καταγράφει προτιμήσεις (profiling). Στο ίδιο ενημερωτικό έντυπο θα μπορούσαν να συμπεριληφθούν ότι: το σύστημα CRM του ξενοδοχείου ‘’κρατά’’ δεδομένα σχετικά με τις προτιμήσεις του πελάτη, για ποιο λόγο υπάρχει σύστημα CCTV, ενδεχόμενο φωτογράφισης κατά τη συμμετοχή σε εκδήλωση, κλπ.

  • 10. To παραπάνω ενημερωτικό έντυπο (στο πλαίσιο της διαφάνειας) θα μπορούσε να αναφέρει ταξινομημένα τα δεδομένα που το ξενοδοχείο επεξεργάζεται στο πλαίσιο συμμόρφωσης με τη νομοθεσία, στο πλαίσιο υλοποίησης της σύμβασης με τον πελάτη (πχ διαβίβαση δεδομένων σε γραφείο εκδρομικό ή εστιατόριο), δεδομένα που επεξεργάζεται για μελλοντική εξυπηρέτηση, ασφάλεια, ικανοποίησης, κλπ.

  • 11. Επειδή ο Κανονισμός έχει συγκεκριμένο χρόνο ανταπόκρισης του ξενοδοχείου σε παραβιάσεις, συμβάντα ή αιτήματα των φυσικών προσώπων, καλό είναι να υπάρχει συγκεκριμένο σημείο που όλα αυτά θα καταγγέλλονται ή αναφέρονται (πχ συγκεκριμένο πρόσωπο ή τηλέφωνο ή email).

  • 12. Το ξενοδοχείο θα πρέπει να έχει DPO (Data Protection Officer). Στην επιλογή του ξενοδοχείου, και σε συνάρτηση με το μέγεθος και τις παρεχόμενες υπηρεσίες, ο DPΟ μπορεί να είναι: outsourced, in-house, full timer, part-timer.

  • 13. Ο εργαζόμενος υπογράφει σύμφωνο εμπιστευτικότητας (NDA) ως παράρτημα στη σύμβαση εργασίας ή ανεξάρτητα. Στις περιπτώσεις όπου υπάρχει ομαδικό ασφαλιστήριο (παροχή του ξενοδοχείου) ή απαιτείται ανάρτηση της φωτογραφίας του εργαζόμενου ή του βιογραφικού του, χρειάζεται συγκατάθεση του εργαζομένου γιατί τα παραπάνω δεν εμπίπτουν στις συνήθεις εργασιακές σχέσεις ή υποχρεώσεις.

  • 14. Κατά κανόνα, το ξενοδοχείο δεν χρειάζεται να ζητά συγκατάθεση του κηδεμόνα για την επεξεργασία δεδομένων συνοδευόμενων ανηλίκων, όταν η επεξεργασία αφορά μόνο στη διαχείριση κράτησης / διαμονής.

  • 15. Να αντικατασταθεί η πιθανή απαίτηση για απόσπασμα ποινικού μητρώου για κάποιες θέσεις εργασίες με μια κατάλληλη υπεύθυνη δήλωση του εργαζομένου.

  • 16. Ο λογαριασμός του εταιρικού κινητού τηλεφώνου, του οποίου κάνει χρήση ο εργαζόμενος, πρέπει να έχει ‘’χρηματικό όριο’’ (πλαφόν) χρήσης και να μην είναι αναλυτικός.