GSYİH'ya Nasıl Uyulur: Seyahat Sektörü İçin Öneriler

Genel Veri Koruma Yönetmeliğinin (GDPR) kabul edilmesi, geniş bir sektör yelpazesinde en sıcak konulardan biri haline gelmiştir. Seyahat endüstrisi istisna değildir. GSYİH, kişisel verilerin Avrupa Birliği’nin tüm üye devletlerinde işlenmesi için geçerlidir. Asıl soru, yeni veri koruma düzenlemesinin işletmeleri nasıl etkileyeceğidir. Seyahat şirketleri, topladıkları ve işledikleri kişisel ve hassas veriler sayesinde doğrudan etkileneceklerdir. Her seyahat işletmesi, kullanıcıların kişisel verileri ve tedarikçi bilgileriyle çalışır. Bu yazıda, seyahat endüstrisindeki genel konumları ve GSYİH benimsenmesinin bazı özelliklerini tartışacağız.

Genel Veri Koruma Yönetmeliği veya GSYİH nedir?

GSYİH, kişilerin kişisel verilerin işlenmesiyle ilgili temel hak ve özgürlüklerinin korunmasına ilişkin kuralları belirler.

İcra tarihi. AB Parlamentosu 14 Nisan 2016’da GSYİH’yı onayladı ve kabul etti. Düzenleme uygulamalarının 25 Mayıs 2018’de iki yıllık bir geçiş döneminden sonra yapılması gerekiyor.

Asıl amaç GSYİH’nın temel amacı, 95/46 / EC 1998 Veri Koruma Direktifi’nin yerine geçmek ve kişisel verileri yöneten şirketler için daha güçlü güvenlik kuralları uygulayarak bireyler için mahremiyeti artıran tek bir veri koruma yasası getirmektir.

GSYİH yapısı. Yönetmeliğin tam metni, bireylerin haklarını ve kuruluşlara verilen yükümlülükleri içeren 99 maddeyi içerir. GSYİH’nın temel ilkelerinin birçoğu, mevcut Veri Koruma Direktifi ile aynıdır. İşletmeniz zaten Veri Koruma Yönergesi ilkelerini benimsemişse, kanunun uygulanması için iyi bir başlangıç ​​noktası olacaktır. Ancak, yeni unsurlar ve önemli gelişmeler var. İşletmelerin çoğunun süreçlerini bu değişikliklere göre ayarlaması gerekir.

Bölgesel kapsam. Bu düzenleme doğrudan tüm AB üye ülkeleri için geçerlidir ve herhangi bir mevzuatın kendi hükümetleri tarafından kabul edilmesini gerektirmez.

Amaç. Değişimin amacı, şirketlere, şirketlerinin depoladığı kişisel verilerine, yeni bir para ceza sistemine ve kolay toplanan kuruluşların, bilgileri topladıkları insanlardan izin almalarına kolay erişim sağlamaktır.

Veri koruma görevlisi. Bazı durumlarda, şirketlerin kullanıcılardan bilgi talepleri için hazırlanacak bir veri koruma görevlisi ataması gerekir. Veri koruma görevlileri, kişisel veri elde etme amacı ile ilgili taleplere cevap vermeli ve gerekirse tüm kullanıcı verilerinin bir kopyasını sağlamalıdır. Ayrıca, bu rol veri silme işleminin kurulmasını gerektirir.

GSYİH'nın hangi verileri kişisel olarak kabul ettiği

GSYİH tanımına göre, “kişisel veriler”, doğrudan veya dolaylı olarak tanımlanmalarını sağlayan bir kişi ile ilgili herhangi bir bilgi anlamına gelir. Yönetmelik, isim, kimlik numarası, konum verileri veya o kişinin fiziksel, kültürel veya sosyal kimliğine özgü bazı faktörler gibi bazı temel tanımlayıcıları listeler.

Seyahat endüstrisi açısından, kişisel veriler aşağıdaki bilgi türlerini ve kaynaklarını içerebilir:

  • Kimlik / Pasaport detayları: isimler, posta adresleri, ırk, köken, biyometrik veri;
  • İletişim bilgileri: e-posta adresleri, telefon numaraları;
  • Dijital veri: fotoğraflar ve videolar;
  • Hassas veriler: finansal bilgiler ve ödeme bilgileri;
  • İK kayıtları: mevcut ve eski çalışan detayları.

Kişisel verileri işlenen kişiye veri konusu denir.

Veri işleme açısından, düzenleme hem "kontrolör" hem de "işlemci" şirketlerine uygulanır.

Kontrolör, veri işleme amaçlarını ve araçlarını belirleyen bir kişi veya şirkettir.

İşlemci, kişi (veri denetleyicisinin bir çalışanı dışında) veya verileri denetleyici adına işleyen bir şirkettir.

Bölgesel kapsamın arttırılması

GDPR, işlemin Birlik'te gerçekleşip gerçekleşmediğine bakılmaksızın, Avrupa Birliği'ndeki denetleyici veya işlemci kuruluşu tarafından yapılan kişisel veri işleme için geçerlidir. Sonuçta, değişiklik Avrupa'da ürün ve hizmet sunan neredeyse tüm seyahat şirketlerine ve AB vatandaşlarının yanı sıra kendi sınırları içinde bulunan diğer kullanıcıların kişisel verilerini de işliyor.

Seyahat Sektörü Perspektifi. Bu, küresel çevrimiçi seyahat acentelerinin veya örneğin ABD'deki havayolu şirketlerinin doğrudan GDPR tarafından düzenleneceği anlamına gelecektir. Örneğin, Emirates merkezli bir otel AB seyahat acentelerine veya Avrupa merkezli üçüncü taraf toptancılara satış yaptığında, Yönetmelik kapsamına girer. Uçuş noktaları ve Fransa'daki otel rezervasyonu gibi AB’de bulunan kullanıcıların davranışlarını izlerseniz, şartlara uymalısınız. Bu yaklaşım, web analitik araçlarının kullanımını, veri toplanmasını ve kişiselleştirme ve yeniden hedefleme amacıyla izlemeyi etkiler. Ayrıca, AB vatandaşı olup olmadıklarına bakılmaksızın, AB’de bulunan kullanıcıların web sitesi ziyaretleri için de geçerlidir.

Cezalar sistemi

GSYİH, iki geniş kategoriye ayrılmış son derece yüksek cezalar uygulamaktadır:

  • Üst seviye - büyük ihlaller için son mali yılın 20 milyon Avro veya dünya genelindeki toplam küresel gelirin yüzde 4'üne kadar. Bu ceza tutarını, 2012 yılında 1.163.996 borç ve kredi kartı kayıtlarının bir seyahat acentesinden çalındığı kadar büyük sayılabilecek bir veri ihlaliyle karşılaştırın. O zaman para cezası yaklaşık 255.000 dolardı.
  • Daha düşük seviye - daha küçük ihlaller için en son mali yıl için dünya çapındaki yıllık toplam küresel gelirin yüzde 10'u veya yüzde 2'sine kadar.

Para cezasının miktarı, hangi makalenin kurallarının ihlal edildiğine bağlıdır. Genel olarak, bireysel mahremiyet hak ve özgürlüklerinin ihlali, üst düzey para cezalarına konu olacaktır. Denetleyicinin veya işlemci kuruluşunun veri güvenliği ihlalleri dahil yükümlülüklerinin ihlali, daha düşük düzeyde para cezasına neden olacaktır.

Regülatör ayrıca düzeltici fonksiyonlara sahiptir:

  • Düzenleyici, GSYİH hükümlerinin ihlal edildiği yerde bir tazminat verebilir.
  • Regülatör, belirli davranışların belirli bir süre içinde düzeltilmesi gerektiği emrini verebilir.
  • Düzenleyici düzeltici yetkilere ek olarak veya bunun yerine cezalar kullanılacaktır.

Bunlar, GSYİH para cezası sisteminin ana noktalarıdır; zira ihlaller için cezalar uygulanır. Her durumda çeşitli kriterler göz önünde bulundurulur. İhlalin niteliği, süresi ve karakteri veya etkilenen kişisel verilerin türleri, önceki ihlaller ve işbirliği seviyesi olabilir.

Seyahat şirketlerinin GSYİH'ya hazırlanmaları için pratik öneriler

Kullanıcı onayı almak için yeni formatı oluşturun

Veri işleme rızaya dayanır. Yönetmeliğe göre, rıza bireyler tarafından verilen kişisel bilgileri işleme izni anlamına gelir. GSYİH, rıza yaratma şartlarını ve kurallarını belirlemektedir ve işletmeler bu yasaya uygun olmaları için onları takip etmelidir.

İzin almak için geçerli olan yeni kurallar:

  • Rıza serbestçe verilmiş, özel, bilgilendirilmiş ve açık olmalıdır.
  • Şirketler, açık bir dille yazılmış, kolayca erişilebilir bir biçimde onay vermelidir.
  • Rıza sessizlikten, ziyaretten ve bir web sitesine göz atmaya devam etmekten çıkarılamaz. Aynı zamanda diğer şartlardan ve koşullardan ayrılması gerekir. Kullanıcı olumlu bir işlem yapmalıdır. En iyi yaklaşım, seçmeli kutusuyla bir tıklama oluşturmaktır.
  • Kullanıcılar hakkında çerezler aracılığıyla bilgi toplarsanız, onları kabul etmeleri veya reddetmeleri için onlara fırsat vermelisiniz.
  • Bir kullanıcı fikrini değiştirirse, tercihlerini güncellemek için ayar menülerine de erişebilmelidir.

Kullanıcılar hakkında bir amaç için toplanan kişisel bilgiler başka bir amaç için kullanılamaz.

Seyahat endüstrisi perspektifi. Tüm havayolu web siteleri, kullanıcı e-posta adresleri toplar, böylece bir e-bilet gönderebilirler. Genellikle, bu e-postaları edinmenin amacı açıkça ifade edilir. Ancak havayolları, bu verileri e-posta kampanyaları için kullanıp kullanamayacaklarını açık bir şekilde onay istemelidir.

Otellerle aynı, eğer bir kullanıcı otel rezervasyonu yapmak için veri toplama izni verirse, bu tür bir kullanım için izin verilmediğinden veriler pazarlama amacıyla kullanılamaz. Rıza almak için müşterilerinizle iletişim kurmanın en iyi yolu, ihtiyacınız olan her rıza için birden fazla onay kutusu eklemektir.

Havaalanı otoparklarından otel oda rezervasyonlarına kadar olan seyahat hizmetleri, müşterilere kişisel verilerini neden aldıklarını, bu verileri talep edenleri ve bunlara kimlerin erişebileceğini açıklamalıdır.

Sakladığınız verileri denetleyin

Kullanım durumları sayıca büyüdükçe ve çeşitli departmanlar arasında kişisel bilgiler uygulandığından, toplanan her türlü bilgiyi izlemek zorlaşır. Bir bilgi denetimi düzenleyin. Bu, hangi verilere sahip olduğunuzu, neden sakladığınızı, ne yapmak istediğinizi ve ne kadar süreyle saklamanız gerektiğini analiz etmenize yardımcı olacaktır. Bu bilgi için hangi izni aldığınızı belirlemek önemlidir. Açık mıydı, değil mi? Verileri ihlallerden korumak için güvenlik önlemleri veriyor musunuz? Bilgi Komisyoncusu Ofisi (ICO) - İngiltere’nin bilgi haklarını korumak için oluşturduğu bağımsız kuruluş - şirketlerin GSYİH kurallarına ne kadar iyi hazırlandıklarını değerlendirmek için web sitesinde yararlı bir kontrol listesine sahiptir.

Seyahat endüstrisi perspektifi. Booking.com, en büyük uçuş ve konaklama yeri OTA, isimler, seyahat amaçları (eğlence veya iş), çocuklarla seyahat, e-postalar, ödeme verileri vb. Dahil olmak üzere geniş bir kişisel ayrıntı yelpazesi toplar.

Booking.com, kullanıcılar hakkında birçok tanımlayıcı ve tanımlayıcı olmayan bilgi depolar.

Düzenleme bilgi kullanımının açık amaçlarını iletmeyi gerektirir. Bunu başarmak için seyahat şirketleri - özellikle karmaşık kişiselleştirme için veri toplayanlar - bir bilgi denetimi düzenlemelidir.

Mevcut sözleşmeleri gözden geçirin

API'ler üzerinden toplu veri alışverişi seyahat endüstrisinde yaygın bir uygulamadır. Günümüzde toptancılar için en önemli adımlardan biri, bireysel hakların korunmasına ilişkin hükümleri içeren sözleşmelerin yükseltilmesidir. Şirketler, ortaklarının yaptıkları transferler hakkında veri konularını nasıl bilgilendirdiklerini anlamalıdır.

Seyahat endüstrisi perspektifi. Örneğin, OTA'lar otellere, diğer konaklama sağlayıcılarına, araç kiralama hizmetlerine ve AB içinde veya dışında olabilecek havayollarına kişisel veri gönderiyor ancak yine de AB vatandaşlarına hizmet veriyor.

Öte yandan, eğer ortaklarınız sizden veri satın alırsa, nasıl emniyete almayı ve güncel tutmayı planladıklarını açıklamalı, aynı zamanda verileri nerede ve nasıl elde ettiklerini bireylere açıklamalıdırlar.

Kullanıcı isteklerine cevap vermeye hazır olun

Düzenleme kurallarına göre, tüm kullanıcıların şirketlere soru sorma hakkı vardır:

  • Onlarla saklanan verileri listeler;
  • Veri toplama amaçlarını tanımlar ve vakaları kullanır;
  • Kişisel verilerin depolanacağı sürenin ana hatları;
  • Tutulan tüm verilerinin bir kopyasını gönder;
  • Onlarla ilgili verileri silin.

Her şirket bu bilgileri vermek ve bu talepleri yerine getirmekle yükümlüdür.

Seyahat endüstrisi perspektifi. Bu taleplerin bazıları özerk olarak ele alınabilir. Örneğin, Virgin America, kişisel bilgilerin bir kısmının kişisel bir kullanıcı profili üzerinden silinmesine izin verir.

Kaynak: Virgin America Gizlilik Politikası

Seyahat şirketleri ayrıca, mevcut bilgilere erişimi olan üçüncü taraflarca veri silme işlemini kontrol edebilmelerini sağlamalıdır. Örneğin, kullanıcılar bir gezi rezervasyonu yaptığında, bir seyahat portalı bilgileri bir otel veya araç kiralama sağlayıcısına aktarır.

Kişiselleştirme süreçlerinizi uyarlayın

Çevrimiçi seyahat acentelerinde pazarlama süreçlerinin çoğu, kullanıcı deneyimi kişiselleştirmesine dayanır. GDPR, şirketlere, kullanıcılarına spam göndermeyi bırakma ve bunun yerine daha açık ve değerli kişiselleştirme yapma imkanı sunar. Düzenleme gerekliliklerine seyahat açısından bakarsak, kişiselleştirmek için yeni bir fırsat olarak değerlendirilebilir. Tatil teklifleri, düşük maliyetli havayolu biletleri veya konforlu otel servis önerileri insanları motive ediyor. Çoğu müşteri, sonuç olarak daha iyi ve daha kişiselleştirilmiş bir hizmet için kişisel verilerini paylaşmakla ilgilenmektedir.

Seyahat şirketleri net iletişim kurmayı başarırsa ve gezginlerin teşvik edilen seyahat tekliflerini şekillendirmesine izin verirse, anlamlı ve güncel kişiselleştirmede gerçek bir değer olacaktır.

Veri Koruma Görevlisi Atama

GSYİH'ya göre, kuruluşların bazı durumlarda bir veri koruma görevlisi (DPO) ataması gerekiyor. Özellikle, bir DPO atanması aşağıdaki durumlarda zorunludur:

  1. Organizasyon bir kamu otoritesi veya organıdır.
  2. Örgüt, örneğin çevrimiçi davranış izlemesi gibi bireylerin büyük ölçekte düzenli ve sistematik bir şekilde izlenmesini sağlar.
  3. Özel veri kategorileri (hassas kişisel veriler) veya cezai hüküm ve suçlarla ilgili verilerin büyük çapta işlenmesiyle uğraşan kuruluşlar.

Küçük ve orta ölçekli şirketler için istisna yoktur. Bununla birlikte, her AB ülkesi bir DPO ataması gereken diğer durumları ayrı ayrı belirleyebilir.

DPO, veri korumaya uygunluk sorumluluğunu alan mevcut bir personel olabilir veya şirketler bu rol için harici bir uzman işe alabilir.

Seyahat endüstrisi perspektifi. E-postaların yanı sıra herhangi bir kişisel veri toplamayan yerel bir turlar ve etkinlikler hizmeti düzenlerseniz ve sistematik olarak Avrupalı ​​turistlerle karşılaşmazsanız, henüz bir DPO'ya ihtiyacınız olmayabilir. Bununla birlikte, küresel olarak ve sistematik olarak hizmet veren bir OTA işletiyorsanız, rezervasyon, pazarlama ve kişiselleştirme amacıyla kullanıcı verilerini işler bir veri koruma görevlisi bir zorunluluk haline gelir.

Veri ihlali bildirimlerini etkinleştir

Kişisel bir veri ihlalini etkin bir şekilde tespit etmek, raporlamak ve araştırmak için doğru prosedürleri ayarladığınızdan emin olun. GSYİH'ya göre, şirketler Bilgi Komiseri Ofisine 72 saat içinde belirli veri ihlali türlerini bildirmelidir. İhlal, insanların hak ve özgürlüklerini doğrudan etkileyebiliyorsa, bireylere de bildirilmelidir.

Seyahat endüstrisi perspektifi. OTA'lar, oteller ve havayolları isimden çocuk bilgisine kadar kişisel verilerin tanımlanmasının çoğunu toplar ve saklar, ihlallere doğru cevabı sağlamak kritik hale gelir.

Kullanıcılara, onlar hakkında sakladığınız kişisel verilere erişim izni verin

Veri konusu, kişisel verilerinin işlenip işlenmediğine bakılmaksızın bilgileri denetleyiciden alma hakkına sahip olacaktır. Kullanıcılara kişisel verilerine ve bu kişisel verilerin nasıl işlendiğine ilişkin bilgilere erişebilmelisiniz.

Foursquare veri kullanımının amaçlarını iletmeyi ve kişisel veriler üzerinde kontrol sağlamayı başarıyor

Seyahat endüstrisi perspektifi. Kısmen, bu gereksinim, kullanıcı hesabı ayarlarında özel gizlilik bölümleri getirilerek karşılanabilir. Yukarıdaki Foursquare örneğine benzer şekilde, kullanıcılar veri kategorilerine erişebilir ve bazı veri toplama işlemlerini açıp kapamaları gerekir.

Kullanıcı isterse, işlenen veri kategorilerine ve gerçek verilerin kopyasına genel bir bakış sunmaya hazır olmalısınız. Kişisel verilerin başka şirketlerle paylaşılması veya üçüncü bir tarafa aktarılması, bu işlemler hakkındaki veriler hakkında ayrıntılı bilgi vermeniz gerekir.

Sakladığınız verilerin taşınabilirliğini sağlama

Veri konusu kişisel verilerini bir elektronik işleme sisteminden diğerine aktarmayı isteyebilir. Bu tür istekler için hazır olmalısınız. Veriler, yapılandırılmış ve yaygın olarak kullanılan bir elektronik formatta sunulmalıdır. Bu, diğer şirketlerin verileri kullanmasını sağlar. Veriler ücretsiz olarak sağlanmalıdır. Kullanıcılar ayrıca verilerin doğrudan diğer kuruluşlara iletilmesini talep etme hakkına sahiptir. Ancak, bu, işleme sistemlerinizi diğer kuruluşlarla uyumlu olacak şekilde uyarlamanız gerektiği anlamına gelmez.

Seyahat endüstrisi perspektifi. Bir otel işletmesini işletiyorsanız, kişisel verilerinizi mülk yönetim sistemine kaydetmiş olabilirsiniz. Yazılımınızın verileri csv veya xlsx gibi ortak biçimlerde verebileceğinden emin olun.

Sonuç

Şirketinizin GSYİH'ya uyması çok önemlidir. Mevzuata uyumluluk, tüm şirket çalışanlarının desteklemesi gereken karmaşık bir konudur. Yeni kurallara uyum için süreçlerin değişimini başlatmak için şirketinizin üst düzey yöneticilerinin GSYİH'nın önemini ve proaktif olabilmeleri için işinizi nasıl etkileyeceğini anlaması gerekir.

GSYİH, seyahat endüstrisindeki hemen hemen tüm oyuncuları kesinlikle etkileyecek olsa da, bir tehdit yerine bir fırsat olabilir. Seyahat işletmelerini, müşterilerine değerli teklifler vererek güvenilir ilişkiler kurmaya teşvik eder. Bu tür ilişkiler kurmak için müşterilerinizin verilerin neden toplandığını anlamalarını sağlamalısınız. Ve unutmayın, daha iyi kişiselleştirme elde etmek için daha fazla veri sağlama olasılıkları yüksektir. Toplanan verileri etkili bir şekilde kullanırsanız, müşteriniz daha kişiselleştirilmiş teklifler alır ve sonuç olarak satın alım yapmak için motive olur.

Hikayeyi beğendin mi? Bizi çırp böylece daha fazla insan bulabilir!
Aslen AltexSoft’un blog’unda yayınlandı: “GSYİH’ya Nasıl Uyulur: Seyahat Sektörü İçin Öneriler”

Bu hikaye, Orta’ın en büyük girişimcilik yayını olan Startup’ta ve ardından 308.692+

En iyi hikayelerimizi buradan almak için abone olun.