Nova Uredba o zaštiti osobnih podataka ili popularno znana kao GDPR donosi nove izazove u turizmu. Iako bi do sada već trebalo svima biti poznato sve što Uredba donosi, a plan usklađenja bi trebao biti napravljen, nije na odmet podsjetiti na što valja obratiti pozornost.
Zbog prirode turističko-hotelijerskog posla, tvrtke u tom sektoru prikupljaju velike količine osobnih podataka kako bi svojim gostima pružile što bolje i osobnije iskustvo i uslugu. No, velika količina osobnih podataka sada nosi i veliku obavezu. Ključno je staviti fokus na postizanje, a kasnije možda još i težu zadaću održavanje sukladnosti.
Sigurnost podataka u tom sektoru treba biti jedan od prioriteta jer se radi obrada najosjetljivijih vrsta podataka kao što su brojevi kreditnih kartica, brojevi putovnica, adrese ili zdravstveni podaci gostiju, primjerice podaci o alergijama.
Do sada je vladalo uvjerenje da se podaci mogu prikupljati i obrađivati na beskonačno mnogo načina i bez da se vlasnike tih podataka išta pita, a u slučaju nekog sigurnosnog problema nikom se nije desilo ništa. Osim, naravno, možda vlasnicima tih podataka, građanima, koji bi nakon nekog vremena saznali da se njihovi podaci koriste primjerice u Vijetnamu za kupnju robe ili nekih drugih ilegalnih usluga na crnom tržištu kakva se mogu pronaći na dark webu.
Hoteli su odavno poželjna meta za bilo kakve krađe osobnih podataka. Gotovo svaki gost sa sobom ima barem jednu karticu, predaje svoje osobne podatke, podatke o svom zdravlju ili nekim preferencijama, pristupa bežičnoj mreži u sobi ili apartmanu putem koje pristupa svojem računu elektroničke pošte, društvene mreže ili obavlja posao. To su podaci koji imaju vrijednost. Svojim vlasnicima (osobama čiji jesu), hotelima i kriminalcima. Svi od njih mogu profitirati i zaraditi. Neke od tih informacija prikupljaju se kroz hotelski centralni sustav i dijele se s drugim agencijama ili hotelima, a sve u svrhu poboljšanja boravka gosta. Zatim, u ovom sektoru postoji vrlo velika fluktuacija zaposlenika, sezonski radnici se mijenjaju pa se i svijest o potrebi informacijske sigurnosti jednostavno nije razvijala, a zaposlenika koji aktivno brinu o sigurnosti podataka gotovo da i nema te dolazimo do toga da problem u upravljanju podacima svakako postoji. U prilog tome idu i statistike i brojni izvještaji koji govore da je uslužni sektor jedan od najugroženijih u pitanju informacijske sigurnosti odnosno nedostatku iste.
Mjesta za paniku svakako nema, ali treba se početi baviti problemom. Početi si postavljati pitanja, što sve donosi Uredba, koliko smo daleko od usklađenosti, imamo li barem gap analizu, koje to sve podatke prikupljamo, u koje svrhe ih obrađujemo te imamo li uopće osnovne za takve obrade. Koje smo mjere do sada poduzeli da bismo podatke naših gostiju primjereno zaštitili i je li to dovoljno s obzirom na moguće rizike? Jesmo li uopće procijenili rizike po naše podatke? Ako da, je li uprava upoznata s time?
Ljudi imaju pravo biti obaviješteni o tome koji se njihovi podaci obrađuju i kako se ih dalje koristi. Primjerice, hotel mora biti u mogućnosti odgovoriti na jedno takvo pitanje, a isto tako mora biti u mogućnosti takve podatke u cijelosti i obrisati ako gost tako zatraži i ako ne postoji neka druga osnova da bi ih se dalje čuvalo u pohrani.
Vrlo je važno znati da GDPR pred hotele i restorane stavlja brojne obaveze dokazivanja sukladnosti. Dakle, bit će potrebno stvoriti sustavno upravljanje sukladnošću i svim mogućim zapisima o tome da poslovni subjekt sukladan s pojedinim zahtjevima Uredbe.
Hrvatska kao zemlja koja je svoju reputaciju dijelom svakako razvila i na sigurnosti koju turisti osjećaju i imaju kad dođu u posjet, ovom Uredbom, ima svoju novu veliku priliku.
Postati isto takav pozitivan primjer i u digitalnoj zaštiti podataka svojih gostiju. Kao zemlja u kojoj se ljudska prava poštuju, u kojoj su manipulacije osobnim podacima, krađe identiteta i financijske štete gostiju svedene na najmanju moguću mjeru. Zemlja koja pruža cjelovitu razinu sigurnosti svojim gostima, i fizičku i digitalnu.
Koraci za usklađivanje s GDPR-om za hotelijere i ugostitelje
1. Dodijeliti odgovornosti za GDPR prilagodbu
2. Planirati vrijeme i potrebni proračun (usklađivanje s GDPR-om gotovo sigurno će koštati)
3. Odrediti koje ćete osobne podatke obrađivati? Gdje ćete ih obrađivati i pohranjivati, kamo ćete ih slati? U koje svrhe obrađujemo podatke? Koje su pravne osnovne temeljem kojih radite obrade?
4. Provjeriti imate li pohranjene osjetljive kategorije osobnih podataka?
5. Što je s ugovorima između vas i vaših partnera kojima smo možebitno povjerili poslovne obrade?
6. Koje smo mjere zaštite poduzeli i koje još trebamo poduzeti?
7. Provjeriti imate li dostupnu dokumentaciju o svemu navedenom?
8. Riješiti pitanje službenika za zaštitu podataka? Opredijeliti se za vanjskog ili vlastitog zaposlenika.
9. Provjeriti trebate li se konzultirati s regulatornim agencijom?
10. Ako šaljete osobne podatke u inozemstvo, tvrtkama maticama vidjeti koje su procedure u tom slučaju?
Rasprave & rješenja javna je tribina Hanza Media Grupe za promociju suvremene ekonomske misli te sučeljavanje stavova, kao i predlaganje solucija