Τι γίνεται με τους προμηθευτές;
Ένα από τα καινούργια δεδομένα που εισάγονται, έχουν να κάνουν με την πλήρη επανεξέταση του συνόλου των συμβάσεων οι οποίες και αφορούν το πλέγμα των συνεργασιών των ξενοδοχείων με τους προμηθευτές τους. Πρέπει να δοθεί ιδιαίτερη προσοχή σε όσους προμηθευτές χρησιμοποιούν τα προσωπικά δεδομένα των επισκεπτών, συμπεριλαμβανομένων των εταιρειών παροχής υπηρεσιών εστίασης, των συνεργείων καθαριότητας, των παρόχων υπηρεσιών φυσικής και ηλεκτρονικής ασφάλειας, των online ταξιδιωτικών πρακτορείων, των μεταφορικών εταιρειών κ.ο.κ.
Μόλις το 35% των επιχειρήσεων γνωρίζει ποιες είναι οι οικονομικές συνέπειες της μη συμμόρφωσης, ενώ το 30% θεωρεί ότι τα πρόστιμα δεν θα έχουν κάποια επίπτωση για τις επιχειρήσεις τους.
Οι ξενοδοχειακές επιχειρήσεις, λοιπόν, σε ό,τι αφορά τους συνεργάτες-προμηθευτές τους πρέπει να ανασχεδιάσουν και να επαναδιατυπώσουν τις σχετικές συμβάσεις συνεργασίας με βάση τα όσα περιγράφει ο καινούριος Κανονισμός. Μια εξίσου σημαντική διαδικασία εκ μέρους των ξενοδοχειακών επιχειρήσεων είναι επίσης και ο χρονικός καθορισμός της διαδικασίας της περιοδικής αναθεώρησης και της διαγραφής των δεδομένων.
Βήματα προς τη συμμόρφωση με τον GDPR
Καθώς ο χρόνος «τρέχει» με αμείλικτους ρυθμούς, κάθε επιχείρηση που δραστηριοποιείται στον τουρισμό, οφείλει να προβεί στον σχεδιασμό μιας σειράς αναλυτικών ενεργειών, διαδικασιών και λειτουργιών που θα διασφαλίζουν τα δεδομένα προσωπικού χαρακτήρα των πελατών της, με την ταυτόχρονη αποφυγή επιπτώσεων από την έλλειψη συμμόρφωσης στον Κανονισμό GDPR.
Υπό αυτό το πλαίσιο, κάθε επιχείρηση φιλοξενίας της τουριστικής βιομηχανίας οφείλει:
- Να καθορίσει τις βασικές αρχές σχετικά με τα δεδομένα των πελατών, αλλά και των ίδιων των εργαζομένων, ενώ ταυτόχρονα να αναγνωρίσει το γεγονός ότι τα δεδομένα ανήκουν στον επισκέπτη και όχι στο ξενοδοχείο.
- Να περιγράψει τον τρόπο συλλογής και διαχείρισης δεδομένων.
- Να θεσπίσει έναν κώδικα δεοντολογίας ή πολιτικής απορρήτου για το ξενοδοχείο και το προσωπικό του.
- Να καθορίσει μια μέθοδο «αυτοελέγχου» σε ό,τι σχετίζεται με τη διαδικασία της συμμόρφωσης με τον Κανονισμό του GDPR (reporting / monitoring).
- Να τεκμηριώσει με σαφή όσο και ξεκάθαρο τρόπο το γιατί η επιχείρηση οφείλει να προβεί στην επεξεργασία των προσωπικών δεδομένων, καθώς επίσης και για πόσο χρονικό διάστημα σχεδιάζει να τα διατηρήσει.
- Να διατηρεί δομημένα αρχεία προκειμένου να αποδείξει εμπράκτως πως πραγματικά προστατεύει τα δεδομένα που διαθέτει στα συστήματά της.
- Να επιτρέπει στους πελάτες την πρόσβαση, τροποποίηση ή ακόμη και τη διαγραφή πληροφοριών που τους αφορούν.
- Να γνωρίζει ανά πάσα στιγμή το πού βρίσκονται αποθηκευμένα τα δεδομένα που κατέχει. Αυτό είναι απαραίτητο σε μια ξενοδοχειακή επιχείρηση που έχει στις εγκαταστάσεις της αρκετές «μίνι-επιχειρήσεις» (ρεσεψιόν, spa, εστιατόρια, μπαρ, εμπορικά καταστήματα κ.ά.) και πολλά μέσα αποθήκευσης (ηλεκτρονικοί υπολογιστές, κινητά τηλέφωνα για προσωπική-επαγγελματική χρήση, φάκελοι e-mail αρχεία κ.ο.κ). Εξυπακούεται πως στον όλο σχεδιασμό θα πρέπει να υπάρχει πρόβλεψη σχετικά με τη διαδικασία της επεξεργασίας, της διαγραφής, της κρυπτογράφησης, της αποθήκευσης, της καταστροφής των εν λόγω δεδομένων, ενώ αξίζει να αναφέρουμε ότι αυτή ακριβώς η πληθώρα μέσων καταγραφής δεδομένων καθορίζει, ουσιαστικά, το περιεχόμενο και την εν γένει μορφή του τρόπου διαχείρισής τους.
- Να αναρτήσει σε ευκρινές σημείο ή στο διαδίκτυο την πολιτική της για την ασφάλεια των προσωπικών δεδομένων, ενώ αρκούντως χρήσιμο θα ήταν να καθορίσει και ένα καταρτισμένο όσο και έμπειρο στέλεχος που θα αναλάβει τα καθήκοντα του Υπεύθυνου για την Προστασία των Δεδομένων.
- Να επενδύσει σε συστήματα φυσικής και ηλεκτρονικής ασφάλειας (τοποθέτηση και συντήρηση) για την αποφυγή παραβιάσεων.
- Να ενημερώσει και να εκπαιδεύσει το προσωπικό της αναφορικά με τον τρόπο της συλλογής, της απόκτησης πρόσβασης, της χρήσης και αξιοποίησης προσωπικών πληροφοριών και δεδομένων. Το ίδιο πρέπει να συμβεί και σε ό,τι αφορά στον τρόπο περιορισμού της πρόσβασης στα δεδομένα κατόχων πιστωτικών και χρεωστικών καρτών.