Εφαρμογή του GDPR σε Ξενοδοχειακές Επιχειρήσεις

Η Ξενοδοχειακή βιομηχανία αντιμετωπίζει πολλές ακόμη προκλήσεις για την Ασφάλεια των δεδομένων από ό, τι άλλες βιομηχανίες1, με πολλαπλά σημεία πληρωμής, ηλεκτρονικά Συστήματα ηλεκτρονικών κρατήσεων, e-mails και φαξ που περιέχουν δεδομένα καρτών και πάρα πολλά προσωπικά δεδομένα και πληροφορίες Πελατών. Όλα αυτά καθιστούν τα Ξενοδοχεία εύκολο στόχο για εγκληματίες στον κυβερνοχώρο: στην πραγματικότητα, σύμφωνα με πρόσφατες εκθέσεις και μελέτες, η βιομηχανία φιλοξενίας αντιπροσώπευε το δεύτερο μεγαλύτερο μερίδιο των περιστατικών παραβίασης ασφάλειας και προσωπικών δεδομένων στον κυβερνοχώρο πέρυσι (20172).

Στις 14 Απριλίου 2016, το κοινοβούλιο της ΕΕ ενέκρινε τον κανονισμό για την προστασία των δεδομένων (GDPR: General Data Protection Regulation) και οι Εταιρείες και Οργανισμοί πρέπει πλέον να συμμορφωθούν μέχρι τις 25 Μαΐου 2018.

Ο GDPR καλύπτει κάθε Εργασία επεξεργασίας που μπορεί να γίνει με προσωπικά δεδομένα, ανεξάρτητα από το αν γίνεται αυτή με αυτοματοποιημένα Συστήματα (π.χ., Εφαρμογές Πληροφορικής) ή μη αυτοματοποιημένα Μέσα (π.χ., χειρωνακτικά συστήματα) ή εάν γίνεται ενεργά ή παθητικά (π.χ. συλλογή, καταγραφή, αποθήκευση, χρήση, προσαρμογή, τροποποίηση, αρχειοθέτηση και διαγραφή των δεδομένων, κλπ.).

Οι παραβιάσεις δεδομένων μπορεί να συμβαίνουν σε όλους τους τομείς της οικονομίας. Οι Εταιρείες, οι Πελάτες και οι ενδιαφερόμενοι Φορείς χρειάζονται τη διασφάλιση ότι τα προσωπικά δεδομένα προστατεύονται με Ασφάλεια, αλλά και ότι υπάρχουν ισχυρές Διαδικασίες για την εξασφάλιση της δίκαιης και νόμιμης επεξεργασίας των δεδομένων αυτών.

Ο Γενικός Κανονισμός για την Προστασία των Δεδομένων (GDPR) είναι η σύγχρονη απάντηση για την εξασφάλιση της ευθύνης όλων των Φορέων που επεξεργάζονται προσωπικά δεδομένα για την εξασφάλιση του θεμελιώδους δικαιώματος στην προστασία των προσωπικών δεδομένων. Οι σοβαρές παραβιάσεις του νόμου θα τιμωρούνται με πρόστιμα ύψους έως 20 εκατομμυρίων ευρώ ή 4% του συνολικού ετήσιου κύκλου Εργασιών παγκοσμίως.  

Ιδιαίτερες προκλήσεις των ξενοδοχείων σχετικό με τον GDPR;

Ο Ξενοδοχειακός κλάδος θεωρείται ένας από τους πιο ευάλωτους σε Απειλές δεδομένων, διότι τα Ξενοδοχεία επεξεργάζονται καθημερινά πολύ μεγάλο όγκο συναλλαγών με κάρτες πληρωμών. Λαμβάνουν επίσης, αυτές τις πληροφορίες από πολλές πηγές: Συστήματα κρατήσεων τρίτων, Συστήματα σημείων πώλησης, δική τους ιστοσελίδα, ηλεκτρονικά μηνύματα και φαξ, τηλεφωνικές συνομιλίες και επιτόπιες επισκέψεις (τα λεγόμενα walk ins).

Επιπλέον, αποθηκεύουν γενικά τα προσωπικά δεδομένα από τις κάρτες πληρωμών σε διάφορα σημεία. Αυτά τα δεδομένα, από πολλές πηγές, αποθηκευμένα σε τόσες πολλές τοποθεσίες, Συστήματα, Αρχεία και Μέσα, πρέπει να προστατεύονται. Πριν όμως τα Ξενοδοχεία αρχίσουν να προστατεύουν τα δεδομένα, πρέπει πρώτα να μάθουν πού είναι όλα αυτά τα προσωπικά δεδομένα (δηλαδή απαιτείται δηλαδή καταγραφή προσωπικών δεδομένων σε ένα Αρχείο από κάθε Ξενοδοχείο, κλπ.).

Ο Γενικός Κανονισμός Προστασίας Προσωπικών Δεδομένων (GDPR) ο οποίος θα ισχύσει στις 25.05.2018 απαιτεί από τις εταιρίες και συνεπώς και από τα ξενοδοχεία, να:

• Έχουν εκπαιδεύσει κατάλληλα το ανθρώπινο δυναμικό τους
• Έχουν τα κατάλληλα μέτρα Ασφαλείας και τις αναγκαίες Πολιτικές για την προστασία των πληροφοριών
• Κάνουν αναλύσεις των επιπτώσεων που μπορούν να προκύψουν λόγω παραβίασης ιδιωτικότητας
• Σχεδιάζουν Προϊόντα και Υπηρεσίες λαμβάνοντας υπόψη την προστασία της ιδιωτικότητας
• Ενημερώνουν τις αρμόδιες Αρχές εντός 72 ωρών από τον εντοπισμό συμβάντος παραβίασης Συστημάτων και Απώλειας δεδομένων και τους Πελάτες των οποίων τα δεδομένα χάθηκαν
• Έχουν ορίσει Υπεύθυνο για την προστασία των δεδομένων (Data Protection Officer)
• Έχουν πλάνο αντιμετώπισης περιστατικών παραβίασης Συστημάτων και Απώλειας δεδομένων (Incident Response Plan)
• Αποζημιώνουν τους Πελάτες των οποίων χάθηκαν τα δεδομένα τους
• Επίσης, προβλέπει πρόστιμα σε περιπτώσεις περιστατικών Απώλειας προσωπικών δεδομένων τα οποία μπορούν να φθάσουν έως 4% του τζίρου ή 20εκ? όποιο από τα δύο είναι μεγαλύτερο ανάλογα με την σπουδαιότητα της παραβίασης.

Για να μπορέσουν τα Ξενοδοχεία να διατηρήσουν και να αυξήσουν το Πελατολόγιό τους και να αποφύγουν πρόστιμα και πτώση Εργασιών από τη μη συμμόρφωση στον νέο κανονισμό προστασίας προσωπικών δεδομένων (EU GDPR), θα πρέπει να επενδύσουν σε Τεχνολογικές Λύσεις και Υπηρεσίες με τη βοήθεια των οποίων θα παρέχουν εξατομικευμένες Υπηρεσίες, φροντίζοντας παράλληλα την Ασφάλεια των προσωπικών δεδομένων των Πελατών τους.    

Σημειώσεις

1. Σύμφωνα με στοιχεία της έρευνας “Ξενοδοχεία 2020” της εταιρίας GrantThornton,

2. Για περισσότερες λεπτομέρειες, βλέπετε:

2.1. 2017 U.S. State of Cybercrime

2.2. ‘Cybersecurity Tactics for a Hotel Industry that's Under Siege’, 03/16/2017, 

2.3.  5 key issues in hotel cybersecurity

Για περισσότερες πληροφορίες σχετικά με το σεμινάριο της AQS 'GDPR- Εφαρμογή σε Ξενοδοχειακές Επιχειρήσεις' και δήλωση συμμετοχής παρακαλούμε πατήστε εδώ.

Η AQS είναι πρωτοπόρος στην εκπαίδευση στελεχών για τον Κανονισμό 2016/679 για τα προσωπικά δεδομένα (GDPR), καθώς και στην υλοποίηση σχετικών Έργων Συμμόρφωσης. Δείτε περισσότερα εδώ.