Ο ξενοδοχειακός κλάδος είναι ένας από τους πολλούς που επηρεάζονται από τον Κανονισμό της ΕΕ για την Γενική Προστασία των Δεδομένων(GDPR), τον επερχόμενο νόμο που ενισχύει τα δικαιώματα των προσωπικών δεδομένων των κατοίκων της ΕΕ.
Οι εργαζόμενοι και οι φιλοξενούμενοι καλύπτονται από το GDPR. Ορισμένες από τις απαιτήσεις του κανονισμού ισχύουν εξίσου και για τα δύο σύνολα ατόμων, αλλά υπάρχουν επίσης κάποιες διαφορές. Σε αυτό το Άρθρο θα σας εξηγήσουμε μερικές από αυτές τις διαφορές, αλλά πρώτα είναι απαραίτητο να εξηγήσουμε ακριβώς ποια είναι τα «προσωπικά δεδομένα».
Cybersecurity is not something you buy, it’s something you do!
Τι είναι τα προσωπικά δεδομένα;
Το GDPR ορίζει τα προσωπικά δεδομένα ως "οποιεσδήποτε πληροφορίες αφορούν ένα φυσικό πρόσωπο που έχει ταυτοποιηθεί ή μπορεί να προσδιοριστεί (« πρόσωπο στο οποίο αναφέρονται τα δεδομένα »). Με άλλα λόγια, κάθε πληροφορία που αφορά σαφώς ένα συγκεκριμένο άτομο . Σε ορισμένες περιπτώσεις, αυτό θα μπορούσε να περιλαμβάνει οτιδήποτε από το όνομα κάποιου έως τη φυσική του εμφάνιση.
Ορισμένες προσωπικές πληροφορίες - όπως οι πολιτικές πεποιθήσεις ενός ατόμου ή οι γενετικές πληροφορίες του - θεωρούνται ευαίσθητες και πρέπει να διατηρούνται σε υψηλότερο επίπεδο ασφάλειας. Αυτό επηρεάζει τα ξενοδοχεία όταν, για παράδειγμα, φιλοξενούν μια εκδήλωση όπου αποκαλύπτεται η συνδικαλιστική συμμετοχή των επισκεπτών ή όταν οι υπάλληλοι πρέπει να δώσουν μια σάρωση δακτυλικών αποτυπωμάτων για να αποκτήσουν πρόσβαση σε ορισμένα τμήματα του κτιρίου.
δείτε ακόμη GDPR - 6 Thinks you should DO
Απόκτηση προσωπικών δεδομένων
Υπάρχουν έξι νόμιμοι λόγοι για την επεξεργασία προσωπικών δεδομένων . Η συγκατάθεση είναι επί του παρόντος η πιο δημοφιλής, αλλά η GDPR αποθαρρύνει τη χρήση της ενισχύοντας τους κανόνες για την απόκτηση της. Αυτό συμβαίνει επειδή η συναίνεση είναι αναξιόπιστη και χρονοβόρα.
Για παράδειγμα, αν χρησιμοποιείτε τη συναίνεση για την επεξεργασία προσωπικών δεδομένων και στη συνέχεια θέλετε να χρησιμοποιήσετε αυτά τα δεδομένα για άλλο σκοπό, θα πρέπει να ζητήσετε ξανά τη συναίνεση όλων. Όποιος αρνείται να συγκατατεθεί ή δεν απαντήσει πρέπει να αφαιρεθεί από τα αρχεία σας.
Τα άτομα είναι επίσης ελεύθερα να αποσύρουν τη συγκατάθεσή τους οποιαδήποτε στιγμή, γεγονός που σημαίνει και πάλι ότι πρέπει να τα καταργήσετε από τα αρχεία σας. Εάν δεν το κάνετε, ο οργανισμός σας κινδυνεύει πειθαρχικά μέτρα από την αρμόδια εποπτική αρχή.
Στις περισσότερες περιπτώσεις, τα ξενοδοχεία πρέπει να χρησιμοποιούν συμβατικές υποχρεώσεις για τους υπαλλήλους τους και νόμιμα συμφέροντα για τους επισκέπτες. Οποιοδήποτε νόμιμο έδαφος χρησιμοποιείται, τα ξενοδοχεία πρέπει να ενημερώνουν τα άτομα για ποιες πληροφορίες συλλέγονται, για ποιους προορίζονται και για πόσο χρονικό διάστημα θα διατηρηθούν. Οι αρχές προστασίας δεδομένων του GDPR υπογραμμίζουν ότι οι οργανισμοί θα πρέπει να συλλέγουν δεδομένα μόνο εάν είναι απαραίτητες για συγκεκριμένο σκοπό και διατηρούν μόνο για όσο χρονικό διάστημα ικανοποιεί αυτό το σκοπό.
δείτε ακόμη GDPR - 6 Thinks you should not do
Προστασία προσωπικών δεδομένων
Υπάρχουν πολλά βήματα που πρέπει να λάβουν τα ξενοδοχεία για να προστατεύσουν τα προσωπικά τους δεδομένα - από την αναθεώρηση των πολιτικών ασφάλειας στην κρυπτογράφηση ή / και την ψευδομοποίηση δεδομένων - αλλά πρέπει να αρχίσουν με την υιοθέτηση της ιδιωτικής ζωής από το σχεδιασμό τους. Αυτό ουσιαστικά σημαίνει ότι πρέπει να δοθεί προτεραιότητα στην προστασία δεδομένων κατά το σχεδιασμό κάθε νέας υπηρεσίας ή διαδικασίας.
Για παράδειγμα, αν ένα ξενοδοχείο ανέπτυξε ένα νέο μηχανισμό για κρατήσεις δωματίων, θα έπρεπε να εξετάσει τους τρόπους με τους οποίους τα δεδομένα θα μπορούσαν να εκτεθούν και να εφαρμόσει τους απαραίτητους ελέγχους για να μετριάσει κάθε απειλή. Θα πρέπει να διεξάγει αξιολόγηση των επιπτώσεων στην προστασία των δεδομένων (DPIA), η οποία θα φέρει στο προσκήνιο τα ζητήματα όπως «υπάρχουν τρωτά σημεία του συστήματος που θα μπορούσε να εκμεταλλευτεί ένας εγκληματίας χάκερ;» ή «είναι πολύ εύκολο για έναν υπάλληλο να παραπλανήσει πληροφορίες;».
Τα ξενοδοχεία πρέπει επίσης να διορίσουν έναν υπεύθυνο προστασίας δεδομένων (DPO), ο οποίος να διασφαλίζει ότι οι διαδικασίες που περιγράφονται στο σχεδιασμό εφαρμόζονται σωστά.
δείτε ακόμη τι πρέπει να προσέχετε όταν στάλνετε e-mail μέσω scattergun marketing
Πρόσβαση και διαγραφή προσωπικών δεδομένων
Τα υποκείμενα των δεδομένων έχουν ορισμένα δικαιώματα όσον αφορά τα προσωπικά τους δεδομένα, αλλά το σημαντικότερο που πρέπει να προετοιμαστεί είναι το δικαίωμα πρόσβασης σε προσωπικά δεδομένα. Τα άτομα μπορούν να υποβάλουν αιτήσεις πρόσβασης σε θέματα , τα οποία δίνουν στο ξενοδοχείο 30 ημέρες για να παράσχουν αντίγραφο των πληροφοριών που αποθηκεύουν σε αυτά.
Από εκεί, το άτομο μπορεί να ασκήσει και άλλα δικαιώματα. Εάν πιστεύουν ότι δεν υπάρχει νόμιμη βάση για κάποιο ή όλα τα δεδομένα που συλλέχθηκαν και το ξενοδοχείο δεν μπορεί να αποδείξει το αντίθετο, οι πληροφορίες πρέπει να διαγραφούν . Ομοίως, εάν το άτομο ισχυρίζεται ότι οι πληροφορίες είναι λανθασμένες, μπορούν να ζητήσουν από τον οργανισμό να το διορθώσει.
Τα άτομα έχουν επίσης το δικαίωμα να περιορίζουν την επεξεργασία, τη φορητότητα των δεδομένων, το αντικείμενο και, όπως αναφέρθηκε στο προηγούμενο σημείο, να ενημερώνονται.
Τι άλλο πρέπει να κάνετε;
Τα βήματα που αναφέρονται εδώ είναι ένα μεγάλο μέρος της συμμόρφωσης με το GDPR, αλλά σίγουρα δεν είναι οι μόνες απαιτήσεις. Τα ξενοδοχεία πρέπει επίσης να αντιμετωπίζουν τις πολιτικές, τις διαδικασίες και την τεχνολογία που χρησιμοποιούν για τη διαχείριση των προσωπικών δεδομένων και να διασφαλίζουν ότι το προσωπικό γνωρίζει πλήρως τις υποχρεώσεις τους.
δείτε ακόμη πράγματα που κάνουν οι υπάλληλοί σας που θα σας οδηγήσουν σε hacking
Γνωρίστε το Cyber Plan
Ο σωστός προγραμματισμός η λήψη κατάλληλων μέτρων προστασίας, η ύπαρξη διαδικασιών και ενός πλάνου αντιμετώπισης περιστατικών είναι απαραίτητος, όμως ακόμα και μια πολύ καλά οργανωμένη επιχείρηση δεν μπορεί να αντιμετωπίσει εσωτερικά το σύνολο των επιπτώσεων αποτελεσματικά λόγω της έλλειψης εμπειρίας σε ανάλογες καταστάσεις.
Οι κυβερνοεπιθεσεις είναι πλέον μια απειλή για τα ξενοδοχεία και την βιομηχανία της φιλοξενίας και μέχρι σήμερα έχουν πέσει θύματα μικρές και πολύ μεγάλες μονάδες.Αυτό απαιτεί την κάλυψη της επιχείρησης σας από τον υπολοιπόμενο κίνδυνο
Για την αντιμετώπιση και διαχείριση περιστατικών παραβίασης συστημάτων, απώλειας δεδομένων και άρνησης παροχής υπηρεσίας απαιτούνται να καλυφθούν άμεσα και έμμεσα κόστη όπως:
- Άμεσα κόστη τα οποία περιλαμβάνουν, επαγγελματικές αμοιβές εξειδικευμένων συμβούλων διαχείρισης περιστατικών παραβάσης συστημάτων, πρόστιμα και έξοδα όπως:
- αμοιβές εξειδικευμένου δικηγόρου
- υπηρεσίες ειδικών ψηφιακης εγκληματολογίας
- υπηρεσίες δημοσίων σχέσεων και επικοινωνίας
- υπηρεσίες τηλεφωνικού κέντρου
- credit monitoring παρακολούθηση συναλλαγών πιστωτικών καρτών
- έξοδα αντικατάστασης στοιχείων ενεργητικού όπως αντικατάσταση της πιστωτικής κάρτας του πελάτη και αντικατάσταση υλικού hardware ή software κ.λπ.
- πρόστιμα για μη τήρηση της νομοθεσίας περί προσωπικών δεδομένων
- έξοδα για την επίτευξη επιχειρησιακής συνέχειας
Έμμεσα κόστη μπορεί να είναι ακόμα πιο σημαντικά, συμπεριλαμβανομένων:
- μείωση της φήμης της εταιρίας
- την πτώση των εσόδων
- χαμένων επιχειρηματικών ευκαιριών
- απώλειας πελατών
- απώλειας συνεργατών
- αύξηση των αμοιβών των υπηρεσιών τρίτων παρόχων
- κόστη εκπαίδευσης και ευαισθητοποίησης σε θέματα ασφάλειας πληροφοριών του ανθρώπινου δυναμικού της εταιρίας,
- καθώς και πρόσθετα επαναλαμβανόμενα έξοδα για ελέγχους ασφάλειας.
δείτε ακόμη Πως επηρεάζει ο κανονισμός GDPR την επιχείρηση σας
Δυστυχώς, πολλά από αυτά τα κόστη είναι απρογραμμάτιστα και μπορούν να έχουν αρνητική επίπτωση στην ρευστότητα και τις ταμειακές ροές μιας επιχείρησης.
Τα κόστη πάντως δεν είναι μόνο οικονομικά. Το 57% των συμβάντων απώλειας δεδομένων είχε αρνητικό αντίκτυπο στη συνολική λειτουργία της επιχείρησης. Επίσης, πάνω από τα μισά περιστατικά απώλειας δεδομένων (56%) έχουν αρνητικό αντίκτυπο στη φήμη και την αξιοπιστία μιας εταιρείας. Όπως προκύπτει από έρευνα, το 61% των ερωτηθέντων αντιμετώπισε προβλήματα με ιούς, worms, Trojans και άλλα είδη κακόβουλου λογισμικού.
Ένα Cyber Plan αποτελεί ένα εργαλείο διαχείρισης κινδύνου και αποτελεσματικής διαχείρισης περιστατικών παραβίασης συστημάτων και απώλειας δεδομένων πελατών.
Μπορείτε να μάθετε περισσότερα για το GDPR και τις απαιτήσεις του ζητώντας να σας στείλουμε υλικό που σχετίζετε με:
- Τί σημαίνει το GDPR για την επιχείρηση ή τον οργανισμό σας
- Βασικοί ορισμοί GDPR
- Τα 12 βασικά βήματα που πρέπει να λάβετε για να διασφαλίσετε τη συμμόρφωση με το GDPR
- Κατεύθυνση Ασφαλείας
- Know your data (Γνώρισε τα δεδομένα σου)
- Determine the Appropriate Level of ICT Security (Προσδιορίστε το κατάλληλο επίπεδο ασφάλειας ΤΠΕ)
- Technical security
- Physical security (Σωματική ασφάλεια)
- Organisational security (Οργανωτική ασφάλεια)
- Data Collection and Retention Policies (Πολιτικές συλλογής και διατήρησης δεδομένων)
- Utilising Data Processors (Χρησιμοποιώντας επεξεργαστές δεδομένων)
- Τι μπορούμε να κάνουμε για εσάς.
Τέλος μπορούμε να σας παρέχουμε ένα εργαλείο λίστας ελέγχου ετοιμότητας GDPR και να σας βοηθήσουμε να αποκτήσετε συμμόρφωση με τον κανoνισμό
εγγράφοντας το e-mail σας εδώ ή.....
επικοινωνήστε με έναν αρμόδιο συνεργάτη μας στο 210 8547 220
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου