με τη συνεργασία του Γιώργου Ζούμπου
Ο Κανονισμός για την Προστασία των Προσωπικών Δεδομένων (GDPR) μπήκε και επίσημα στη ζωή μας από τον Μάιο. Ο ταραχώδης αρχικός ρυθμός, με την πλημμύρα ηλεκτρονικών μηνυμάτων συγκατάθεσης, τη διακοπή συστημάτων και την απώλεια διαφημιστικών επαφών, μας οδήγησε στο καλοκαίρι χωρίς κάποια μεγάλη έκρηξη ή σημαντικά νομικά ζητήματα. Πρόκειται για την ηρεμία πριν από την καταιγίδα;
Ο χρόνος θα δείξει αλλά καλό είναι να μην εφησυχάζουμε, ιδιαίτερα αν μιλάμε για τον κλάδο της φιλοξενίας, των ταξιδιών και της διασκέδασης.
Αν μόνο εξετάσετε το φάσμα και το πλήθος των προσωπικών δεδομένων –και συχνά των ευαίσθητων δεδομένων– που συλλέγουν και αποθηκεύουν τα συστήματα ενός ξενοδοχείου, είναι δύσκολο κάποιος να... εφησυχάσει. Ενδεικτικά παραδείγματα τέτοιων συστημάτων είναι:
* Σύστημα Κρατήσεων: Όταν ένας πελάτης κάνει μια κράτηση δωματίου, πρέπει να παρέχει στοιχεία επικοινωνίας όπως αριθμό τηλεφώνου, ταχυδρομική και ηλεκτρονική διεύθυνση.
* Σύστημα Διαχείρισης: Στη διαδικασία του check-in, o πελάτης παρέχει στοιχεία ταυτότητας (άρα και φωτογραφία του) και στοιχεία πιστωτικής κάρτας.
* Προφίλ πελάτη: Το ξενοδοχείο πιθανόν καταγράφει επιπλέον προσωπικά δεδομένα όπως ηλικία, φύλο, αναπηρίες ή προτιμήσεις διατροφής / διαμονής, κα.
Επιπλέον, συχνά, το ξενοδοχείο χρησιμοποιεί μια ποικιλία από ‘’πλατφόρμες’’ αποθήκευσης πληροφοριών (σύστημα CRM, μηχανές κρατήσεων, ιστοσελίδες, σύστημα πληρωμών, ηλεκτρονικές προωθητικές δράσεις, μάρκετινγκ και κοινωνικό μάρκετινγκ, ιδιότητα μέλους, βάσεις δεδομένων πελατών, cookies ιστοτόπων, σύστημα διαχείρισης υπαλλήλων, κα).
Τα συστήματα ενός ξενοδοχείου επεξεργάζονται συνεχώς σημαντικό όγκο προσωπικών δεδομένων. Προσβλέποντας στην πρόβλεψη των επιθυμιών κάθε πελάτη, συγκεντρώνουν πληθώρα προσωπικών δεδομένων, συμπεριλαμβανομένων των ονομάτων, των γενεθλίων, των επαγγελματικών διαπιστευτηρίων, των προτιμήσεων για διασκέδαση, φαγητό και κατάλυμα, ταξιδιωτικά σχέδια και σε μερικές περιπτώσεις κατάσταση υγείας ή σεξουαλική ζωή ή σεξουαλικό προσανατολισμό μπορεί εμμέσως να αποκαλυφθούν μέσω ορισμένων αιτημάτων του πελάτη, μεταξύ άλλων. Παίρνουν επίσης προσωπικά δεδομένα από τρίτους, όπως τα ταξιδιωτικά πρακτορεία. Επιπλέον, με την επεξεργασία πληρωμών, συλλέγονται πρόσθετα ευαίσθητα προσωπικά δεδομένα, συμπεριλαμβανομένων των πληροφοριών πιστωτικών καρτών, τραπεζικών πληροφοριών και προτιμήσεων δαπανών.
Άρα, πως είναι δυνατόν ένας πελάτης να ασκήσει τα δικαιώματά του στα προσωπικά δεδομένα του όταν αυτά είναι διασκορπισμένα σε λειτουργικά συστήματα του ξενοδοχείου όπως τα: PMS, POS, WLAN, αποστολή newsletter, Outlook, μηχανή κρατήσεων, έρευνες με ερωτηματολόγια, ιστοσελίδα; Και ακόμα, αν χρειάζεται τα δεδομένα να έχουν μεταβιβαστεί σε εστιατόρια, μεταφορικές εταιρείες, γυμναστήρια κλπ, στο πλαίσιο της ικανοποίησης του πελάτη;
Τι γίνεται όμως αν πρόκειται για ένα μικρό ξενοδοχείο; Εξακολουθούν να ισχύουν τα παραπάνω; Η απάντηση είναι "ναι, αλλά σε μικρότερη κλίμακα, με λιγότερα συστήματα και συνεπώς πιο εύκολα".
Αν οι πελάτες δεν είναι Ευρωπαίοι πολίτες; Και πάλι ο Κανονισμός ισχύει γιατί το ξενοδοχείο βρίσκεται σε ευρωπαϊκή χώρα και όλοι οι πελάτες του αντιμετωπίζονται ως Ευρωπαίοι πολίτες ή κάτοικοι.
Δεδομένου του εγγενώς παγκόσμιου χαρακτήρα και του πλήθους των δεδομένων, οι ιδιοκτήτες ξενοδοχείων, οι φορείς εκμετάλλευσης, τα εμπορικά σήματα και οι εταιρείες διαχείρισης επηρεάζονται σημαντικά από τον GDPR.
Το συμπέρασμα από τα παραπάνω είναι ότι η άμεση εφαρμογή του Κανονισμού είναι μονόδρομος για το ξενοδοχείο. Ένας επιπλέον λόγος είναι ότι ο αλλοδαπός πελάτης έχει τη δυνατότητα να υποβάλει σχετικά παράπονα όχι μόνο στην Ελληνική Αρχή για την Προστασία των Προσωπικών Δεδομένων αλλά και στην αντίστοιχη εποπτική αρχή της πατρίδας του, εμπλέκοντας έτσι σε όλη τη διαδικασία και το Ευρωπαϊκό Συμβούλιο για την Προστασία των Δεδομένων, ως αρμόδιο ευρωπαϊκό εποπτικό όργανο.
Ο σεβασμός της ιδιωτικότητας και η προστασία των προσωπικών δεδομένων των πελατών διαδραματίζει καίριο ρόλο στη βιομηχανία φιλοξενίας. Το ξενοδοχείο δεν πρέπει να υποτιμά πόσο σημαντική είναι η προσαρμογή του στον Κανονισμό. Αν το ξενοδοχείο δεν έχει ήδη αρχίσει το... ταξίδι για "την προστασία της ιδιωτικότητας και την ασφάλεια των προσωπικών δεδομένων" θα πρέπει άμεσα να προγραμματίσει σχετικές δράσεις, καθώς αυτό θα μπορούσε να είναι μια χρονοβόρα διαδικασία.
Πώς μπορεί, λοιπόν, η επεξεργασία των προσωπικών δεδομένων να είναι συμβατή με τις απαιτήσεις του GDPR;
1. Ενημέρωση του πελάτη: Τα ξενοδοχεία έχουν την υποχρέωση να ενημερώνουν τα φυσικά πρόσωπα (τους πελάτες τους και τους πιθανούς πελάτες τους) για τα δικαιώματά τους βάσει του GDPR, ως μέρος της επεξεργασίας δεδομένων (από τη συλλογή και αποθήκευση μέχρι την τελική διαγραφή τους). Η δημοσιοποιημένη Πολιτική Απορρήτου είναι το πλέον κατάλληλο μέσον για αυτήν την ενημέρωση.
2. Χαρτογράφηση των δεδομένων: Το ξενοδοχείο θα πρέπει να μπορεί, τεκμηριωμένα, να απαντήσει σε ερωτήματα όπως: τι δεδομένα συλλέγονται, αν είναι απαραίτητα, αν χρησιμοποιούνται για διαφορετικό λόγο από αυτόν για τον όποιο συλλέχτηκαν, πού φυλάσσονται, για πόσο χρονικό διάστημα, πώς χρησιμοποιούνται, αν μεταβιβάζονται σε τρίτους, πως προστατεύονται, ποια είναι η νομική βάση για την επεξεργασία τους, κλπ.
3. Λήψη συγκατάθεσης: Το ξενοδοχείο πρέπει να είναι σε θέση να αποδείξει ότι οι πελάτες του έχουν δώσει συγκατάθεση για τη χρήση των δεδομένων τους για συγκεκριμένο σκοπό, όπως πχ το μάρκετινγκ. Συνεπώς, το ξενοδοχείο, πρέπει να διασφαλίζει ότι τηρεί σαφή αρχεία για το τι ακριβώς έχει συναινέσει κάποιος. Συγκεκριμένα, θα πρέπει να καταγράφεται η ημερομηνία της συγκατάθεσης, η μέθοδος συγκατάθεσης, ποιος την έλαβε και τι ενημέρωση παρείχε κατά τη λήψη της.Δεν πρέπει να βασιζόμαστε σε μια ‘’λίστα πελατών’’ που έχει αγοραστεί, εκτός εάν ο πωλητής της μπορεί να παράσχει αυτές τις πληροφορίες.
4. Διαδικασίες λειτουργίας – Πολιτικές: Το ξενοδοχείο πρέπει να αναθεωρήσει τις πολιτικές και τις διαδικασίες του, λαμβάνοντας υπόψη τις απαιτήσεις του Κανονισμού. Για παράδειγμα, θα πρέπει να θεσπιστούν ή αναθεωρηθούν τα μέτρα ασφάλειας δεδομένων ή ο τρόπος με τον οποίο ένα φυσικό πρόσωπο ασκεί τα δικαιώματά του ή η διαδικασία με την οποία διασφαλίζεται ότι οι προμηθευτές και συνεργάτες του ξενοδοχείου συμμορφώνονται με τον Κανονισμό.
5. Εκπαίδευση εργαζομένων: Οι εργαζόμενοι στο ξενοδοχείο πρέπει να εκπαιδεύονται και να αντιλαμβάνονται τι σημαίνει παραβίαση προσωπικών δεδομένων. Ο Κανονισμός επιβάλει την αλλαγή κουλτούρας στο ξενοδοχείο.
Η συμμόρφωση με τον GDPR φαίνεται τεράστιο έργο. Στην πραγματικότητα, είναι μια ευκαιρία που μπορεί να χρησιμοποιηθεί προς όφελος του ξενοδοχείου, προσθέτοντας αξία και οικοδομώντας σημαντικές σχέσεις με τους πελάτες.
Το ξενοδοχείο θα πρέπει επίσης να εξετάσει τη δημιουργία θέσης για έναν Υπεύθυνο Προστασίας Δεδομένων. Το άτομο αυτό θα επιβλέπει τις διαδικασίες συλλογής δεδομένων, αποθήκευσης και προστασίας και τη συμμόρφωση με το GDPR. Η θέσπιση των παραπάνω διασφαλίσεων συνιστάται ιδιαίτερα, δεδομένου ότι η ευθύνη για μη-συμμόρφωση - μεταξύ ιδιοκτητών ξενοδοχείων και επιχειρηματιών (καθώς και εμπορικών σημάτων και εταιρειών διαχείρισης) – δεν είναι σαφής.
Η συλλογή προσωπικών δεδομένων συμβαίνει σε όλο το φάσμα από το επίπεδο του ξενοδοχείου μέχρι το επίπεδο της εταιρίας / σήματος.
Γενικά, οι φορείς εκμετάλλευσης ξενοδοχείων, και όχι οι ιδιοκτήτες ξενοδοχείων, είναι οι φορείς που συλλέγουν και αποθηκεύουν τα προσωπικά δεδομένα των πελατών. Όταν γίνεται ηλεκτρονική κράτηση σε ένα ξενοδοχείο, οι πελάτες συχνά κάνουν κράτηση μέσω ιστοτόπωνσήματος (brand website) και προγραμμάτων loyalty, μερικά από τα οποία κατευθύνουν τον πελάτη σε συγκεκριμένους δικτυακούς τόπους ξενοδοχείων (οι οποίοι συχνά φιλοξενούνται από κάποιο ξενοδοχειακό σήμα). Αλλά αυτό δεν εγγυάται με βεβαιότητα ότι οι κυρώσεις για παραβιάσεις GDPR θα αφορούν την εκμετάλλευση και όχι την ιδιοκτησία του ξενοδοχείου.
Άρα, οι συμφωνίες διαχείρισης ξενοδοχείου θα πρέπει να εξετάζουν συγκεκριμένα και να αντιμετωπίζουν την ευθύνη για παραβιάσεις GDPR.
Το GDPR έχει άμεσες επιπτώσεις στον κλάδο της φιλοξενίας. Δεδομένου ότι η συμμόρφωση είναι υποχρεωτική και οι κυρώσεις είναι σοβαρές, οι ιδιοκτήτες και οι φορείς εκμετάλλευσης ξενοδοχείων, όπως και τρίτοι εμπλεκόμενοι (όπως τα ταξιδιωτικά πρακτορεία και οι μεταφορικές εταιρείες) δεν θα πρέπει να αρκούνται στη συμμόρφωση με τις απαιτήσεις του GDPR αλλά και να εξασφαλίζουν ότι οι συμφωνίες τους οριοθετούν επαρκώς την ευθύνη για τυχόν παραβιάσεις του GDPR.
O κ. Γιώργος Δαλιάνης είναι Διευθύνων Σύμβουλος της Artion Α.Ε. & ιδρυτής του Ομίλου Artion, Οικονομολόγος – Φοροτεχνικός.και ο κ. Γιώργος Ζούμπος είναι Σύμβουλος Διοίκησης της εταιρείας Grand Value A.E., εταιρείας του Ομίλου Artion.