GDPR'ye Nasıl Uyulur: Seyahat Endüstrisi için Öneriler

Genel Veri Koruma Yönetmeliği'nin (GDPR) kabul edilmesi, geniş bir endüstri yelpazesinde en sıcak konulardan biri haline gelmiştir. Seyahat endüstrisi bir istisna değildir. GSYİH, Avrupa Birliği'ne üye tüm ülkelerde kişisel verilerin işlenmesi için geçerlidir. Ana soru, yeni veri koruma düzenlemesinin işletmeleri nasıl etkileyeceğidir. Seyahat şirketleri, topladıkları ve işledikleri kişisel ve hassas veriler sayesinde doğrudan etkilenecektir. Her seyahat işi kullanıcıların kişisel verileri ve tedarikçi bilgileri ile çalışır. Bu yazıda, GDPR'nin seyahat endüstrisinde benimsenmesinin genel konumlarını ve bazı özelliklerini tartışacağız.

Genel Veri Koruma Yönetmeliği veya GDPR nedir?

GDPR, kişisel verilerin işlenmesinde insanların temel hak ve özgürlüklerinin korunmasına ilişkin kurallar koymaktadır.

Uygulama tarihi. AB Parlamentosu 14 Nisan 2016'da GSYİH'yi onayladı ve kabul etti. Yönetmeliğin uygulanması, 25 Mayıs 2018'de iki yıllık bir geçiş döneminden sonra yürürlüğe girmeli.

Ana hedef. GDPR'nin temel amacı Veri Koruma Direktifi 95/46 / EC 1998'in yerini almak ve kişisel verileri kullanan şirketler için daha güçlü güvenlik kuralları uygulayarak bireylerin gizliliğini artıran tek bir veri koruma yasası getirmektir.

GDPR yapısı. Yönetmeliğin tam metni bireylerin haklarını ve kuruluşlara yüklenen yükümlülükleri içeren 99 madde içermektedir. GDPR'nin ana ilkelerinin çoğu mevcut Veri Koruma Direktifi'ndeki kurallara benzer. İşletmeniz zaten Veri Koruma Direktifi ilkelerini benimsemişse, kanunun uygulanması için iyi bir başlangıç ​​noktası olacaktır. Ancak, yeni unsurlar ve önemli geliştirmeler var. Çoğu işletmenin süreçlerini bu değişikliklere göre ayarlaması gerekir.

Bölgesel kapsam. Yönetmelik doğrudan tüm AB üye ülkeleri için geçerlidir ve hükümetleri tarafından herhangi bir izin veren mevzuatın geçirilmesini gerektirmez.

Amaç. Değişimin amacı, şirketlerin sakladığı kişisel verilere, yeni bir cezalandırma sistemine ve kuruluşların bilgilerini topladıkları kişilerden onay almaları için açık bir sorumluluk almasını sağlamaktır.

Veri koruma görevlisi. Bazı durumlarda, şirketlerin kullanıcılardan gelen bilgi taleplerine hazırlanacak bir veri koruma görevlisi ataması gerekir. Veri koruma görevlileri, kişisel verilerin elde edilmesi amacıyla yapılan taleplere cevap vermeli ve gerekirse tüm kullanıcı verilerinin bir kopyasını sağlamalıdır. Ayrıca, bu rol veri silme işleminin ayarlanmasını gerektirir.

GDPR'nin hangi verileri kişisel olarak gördüğü

GDPR tanımına göre, 'kişisel veriler', bir kişiyle ilgili, doğrudan veya dolaylı olarak tanımlanmasını sağlayan herhangi bir bilgi anlamına gelir. Yönetmelik, ad, kimlik numarası, konum verileri veya o kişinin fiziksel, kültürel veya sosyal kimliğine özgü bazı faktörleri listeler.

Seyahat endüstrisi açısından, kişisel veriler aşağıdaki bilgi türlerini ve kaynaklarını içerebilir:

  • Kimlik / Pasaport bilgileri: isimler, posta adresleri, ırk, köken, biyometrik veriler;
  • İletişim bilgileri: e-posta adresleri, telefon numaraları;
  • Dijital veri: fotoğraflar ve videolar;
  • Hassas veriler: finansal ve ödeme bilgileri;
  • İK kayıtları: mevcut ve eski çalışan detayları.

Kişisel verileri işlenen kişiye veri konusu denir.

Veri işleme açısından, düzenleme hem 'kontrolör' hem de 'işlemci' şirketler için geçerlidir.

Kontrolör, veri işlemenin amaçlarını ve araçlarını belirleyen bir kişi veya şirkettir.

İşlemci, verileri denetleyici adına işleyen bir kişidir (veri denetleyicisinin bir çalışanı dışında) veya bir şirkettir.

Bölgesel kapsamın artırılması

GDPR, işlemenin Birlik'te olup olmadığına bakılmaksızın, Avrupa Birliği'ndeki denetleyici veya işlemci kuruluşu tarafından yapılan kişisel veri işleme için geçerlidir. Sonuçta bu değişiklik, Avrupa'da ürün ve hizmetler sunan ve AB vatandaşlarının yanı sıra sınırları içinde bulunan diğer kullanıcıların kişisel verilerini işleyen neredeyse tüm seyahat şirketleri için geçerlidir.

Seyahat Endüstrisi Perspektifi. Bu, küresel çevrimiçi seyahat acentelerinin veya örneğin ABD havayollarının doğrudan GDPR tarafından düzenleneceği anlamına gelecektir. Örneğin, Emirates merkezli bir otel, AB seyahat acentelerine veya Avrupa'daki üçüncü taraf toptancılara satış yaptığında, Yönetmeliğe girer. AB dahilinde bulunan ve uçuş hedefleri ve Fransa'daki otel rezervasyonu gibi kullanıcıların davranışlarını izlerseniz, gereksinimlere uymanız gerekir. Bu yaklaşım, web analizi araçlarının kullanımını, kişiselleştirme ve yeniden hedefleme amacıyla veri toplama ve izlemeyi etkiler. Ayrıca, AB vatandaşı olup olmadıklarına bakılmaksızın, AB'de bulunan kullanıcıların web sitesi ziyaretleri için de geçerlidir.

Ceza sistemi

GSYİH, iki geniş kategoriye ayrılan son derece yüksek cezalar uygular:

  • Üst seviye - büyük ihlaller için son mali yıl için dünya çapında yıllık toplam küresel gelirin yüzde 20'sine veya yüzde 4'üne kadar. Bu ceza tutarını, 2012 yılında 1.163.996 banka olarak kabul edilebilecek ilgili veri ihlali ile karşılaştırın ve kredi kartı kayıtları bir seyahat acentesinden çalındı. O zamanlar para cezası yaklaşık 255.000 dolardı.
  • Daha düşük seviye - daha küçük ihlaller için son mali yıl için dünya çapında yıllık toplam küresel gelirin 10 milyon € veya yüzde 2'sine kadar.

Ceza tutarı, hangi maddenin kurallarının ihlal edildiğine bağlıdır. Genel olarak, bireysel gizlilik haklarının ve özgürlüklerinin ihlali üst düzey cezalara konu olacaktır. Veri güvenliği ihlalleri dahil olmak üzere denetleyici veya işlemci kuruluşunun yükümlülüklerinin ihlali, daha düşük seviyede para cezasına neden olacaktır.

Regülatörün ayrıca düzeltici fonksiyonları vardır:

  • Düzenleyici, GDPR hükümlerinin ihlal edildiği yerlerde kınama yapabilir.
  • Regülatör, belirli davranışların belirli bir süre içinde düzeltilmesi emrini verebilir.
  • Cezalar, düzenleyici düzeltici yetkilere ek olarak veya bunların yerine kullanılacaktır.

Bunlar, ihlaller için cezalar sıralandığı için GDPR para cezası sisteminin sadece ana noktalarıdır. Her durumda çeşitli kriterler dikkate alınır. Bunlar, ihlalin niteliği, süresi ve karakteri veya etkilenen kişisel verilerin türü, önceki ihlaller ve işbirliği düzeyi olabilir.

Seyahat şirketlerinin GSYİH'ye hazırlanmaları için pratik öneriler

Kullanıcı onayı almak için yeni formatı oluşturun

Veri işleme rızaya dayanır. Yönetmeliğe göre, rıza, bireyler tarafından verilen kişisel verilerin işlenmesi için izin anlamına gelir. GDPR, rızanın oluşturulması için şartlar ve kurallar belirler ve işletmelerin bu yasaya uygun olmaları için bunları izlemeleri gerekir.

Onay almak için geçerli yeni kurallar:

  • Onay serbestçe verilmeli, spesifik, bilgili ve açık olmalıdır.
  • Şirketler rızayı açık bir dille yazılmış, kolay erişilebilir bir biçimde sunmalıdır.
  • Rıza sessizlik, ziyaret ve bir web sitesine göz atmaya devam edemez. Ayrıca diğer şartlar ve koşullardan ayrılması gerekir. Kullanıcının olumlu bir işlem yapması gerekir. En iyi yaklaşım, kayıt kutusu ile bir tıklama oluşturmaktır.
  • Kullanıcılar hakkında çerezlerle bilgi toplarsanız, onlara onları kabul etme veya reddetme fırsatı vermelisiniz.
  • Bir kullanıcı fikrini değiştirirse, tercihlerini güncellemek için ayar menülerine de erişebilmelidir.

Kullanıcılar hakkında bir amaçla toplanan kişisel bilgiler farklı bir amaç için kullanılamaz.

Seyahat endüstrisi bakış açısı. Tüm havayolu web siteleri, e-bilet gönderebilmeleri için kullanıcı e-posta adreslerini toplar. Genellikle, bu e-postaları edinme amacı açıkça ifade edilir. Ancak havayolları, bu verileri e-posta kampanyaları için kullanıp kullanmadıklarını tekrar açık onay istemelidir.

Otellerde olduğu gibi, bir kullanıcı bir otel rezervasyonu yapmak için veri toplama izni verirse, veriler pazarlama amacıyla kullanılamaz çünkü bu tür bir kullanım için onay verilmemiştir. Onay için müşterilerinizle iletişim kurmanın en iyi yolu, ihtiyacınız olan her onay türü için birden fazla onay kutusu eklemektir.

Havaalanı otoparklarından otel odası rezervasyonlarına kadar seyahat hizmetleri, müşterilere kişisel verilerini neden aldıklarını, bu verileri kimin istediğini ve başka kimin erişebileceğini açıklamalıdır.

Kaydettiğiniz verileri denetleyin

Kullanım vakalarının sayısı arttıkça ve kişisel bilgiler çeşitli departmanlara uygulandıkça, toplanan tüm bilgi türlerini izlemek zorlaşmaktadır. Bir bilgi denetimi düzenleyin. Bu, hangi verileriniz olduğunu, neden sakladığınızı, onunla ne yapmak istediğinizi ve ne kadar süre saklamanız gerektiğini analiz etmenize yardımcı olacaktır. Bu bilgi için hangi izni aldığınızı belirlemek önemlidir. Açık mıydı, değil miydi? Verileri bir ihlale karşı korumak için güvenlik önlemleri alıyor musunuz? İngiltere'nin bilgi haklarını korumak için oluşturulan bağımsız organı olan Bilgi Komiseri Ofisi'nin (ICO), web sitesinde şirketlerin GSYİH kurallarına ne kadar iyi hazırlandıklarını değerlendirmeleri için yararlı bir kontrol listesi bulunmaktadır.

Seyahat endüstrisi bakış açısı. Booking.com, en büyük uçuş ve konaklama OTA, isimler, seyahat amaçları (boş zaman veya iş), çocuklarla seyahat, e-postalar, ödeme verileri vb. Dahil olmak üzere geniş bir kişisel bilgi yelpazesi toplar.

Booking.com, kullanıcılar hakkında birçok tanımlayıcı ve tanımlayıcı olmayan bilgi depolar

Yönetmelik, bilgi kullanımının net amaçlarının iletilmesini gerektirir. Bunu başarmak için, seyahat şirketleri - özellikle sofistike kişiselleştirme için veri toplayanlar - bir bilgi denetimi düzenlemelidir.

Mevcut sözleşmeleri inceleyin

API'lar aracılığıyla büyük veri alışverişi seyahat endüstrisinde yaygın bir uygulamadır. Bugün toptancılar için en önemli adımlardan biri, bireysel hakların korunması ile ilgili hükümleri içeren sözleşmeleri güncellemektir. Şirketler, ortaklarının yaptıkları aktarımlar hakkında veri konularını nasıl bilgilendirdiklerini anlamalıdır.

Seyahat endüstrisi bakış açısı. Örneğin, OTA'lar otellere, diğer konaklama sağlayıcılarına, araba kiralama hizmetlerine ve AB içinde veya ötesinde olabilecek, ancak yine de AB vatandaşlarına hizmet sunan kişisel verileri gönderir.

Öte yandan, iş ortaklarınız sizden veri satın alırsa, verileri nasıl güvende tutmayı ve güncel tutmayı planladıklarını ve bireylere verileri nereden ve nasıl elde ettiklerini açıklamalıdır.

Kullanıcı isteklerini yanıtlamaya hazır olun

Yönetmelik kurallarına göre, tüm kullanıcıların şirketlere sorma hakkı vardır:

  • Onlarla birlikte depolanan verileri listeleyin;
  • Veri toplama amaçlarını tanımlar ve vakaları kullanır;
  • Kişisel verilerin saklanacağı zaman aralığını belirtiniz;
  • Tutulan tüm verilerin bir kopyasını gönderin;
  • Onlar hakkındaki verileri silin.

Her şirket bu bilgileri sağlamak ve bu tür talepleri işlemekle yükümlüdür.

Seyahat endüstrisi bakış açısı. Bu taleplerin bazıları özerk olarak ele alınabilir. Örneğin Virgin America, kişisel bir kullanıcı profili aracılığıyla bazı kişisel bilgilerin silinmesine izin verir.

Kaynak: Virgin America Gizlilik Politikası

Seyahat şirketleri ayrıca, mevcut bilgilere erişerek üçüncü tarafların veri silme sürecini kontrol edebilmelerini sağlamalıdır. Örneğin, kullanıcılar bir seyahat rezervasyonu yaptığında, bir seyahat portalı bilgileri bir otel veya araç kiralama sağlayıcısına aktarır.

Kişiselleştirme süreçlerinizi uyarlayın

Çevrimiçi seyahat acentelerindeki pazarlama süreçlerinin çoğu kullanıcı deneyimi kişiselleştirmesine dayanmaktadır. GDPR, şirketlere kullanıcılarını spam etmeyi durdurma ve bunun yerine daha açık ve değerli kişiselleştirme sağlama fırsatı verir. Düzenleme gereksinimlerine seyahat açısından bakarsak, kişiselleştirmek için yeni bir fırsat olarak düşünülebilir. Tatil teklifleri, düşük maliyetli havayolları biletleri veya konforlu otel hizmeti önerileri insanları motive eder. Çoğu müşteri, sonuç olarak daha iyi ve daha kişiselleştirilmiş hizmet için kişisel verilerini paylaşmakla ilgilenir.

Seyahat şirketleri açık iletişim kurmayı başarır ve gezginlerin teşvik edilen seyahat tekliflerini şekillendirmesine izin verirse, anlamlı ve güncel kişiselleştirmede gerçek bir değer olacaktır.

Veri Koruma Görevlisi Atama

GDPR'ye göre, kuruluşlar bazı durumlarda bir veri koruma görevlisi (DPO) atamalıdır. Özellikle, bir DPO'nun atanması aşağıdaki durumlarda zorunludur:

  1. Organizasyon bir kamu otoritesi veya organıdır.
  2. Kuruluş, bireylerin, örneğin çevrimiçi davranış izleme gibi büyük ölçekte düzenli ve sistematik olarak izlenmesini sağlar.
  3. Özel veri kategorilerinin (hassas kişisel veriler) veya cezai hüküm ve suçlarla ilgili verilerin büyük ölçekli işlenmesine katılan kuruluşlar.

Küçük ve orta ölçekli şirketler için bir istisna yoktur. Ancak, her AB ülkesi bir DPO atamaları gereken diğer davaları ayrı ayrı belirleyebilir.

DPO, veri koruma uyumluluğu için sorumluluk alan mevcut bir personel olabilir veya şirketler bu rol için harici bir uzman kiralayabilir.

Seyahat endüstrisi bakış açısı. E-postaların yanı sıra kişisel veri toplamayan yerel bir tur ve etkinlik hizmeti yürütüyorsanız ve sistematik olarak Avrupalı ​​turistlerle karşılaşmıyorsanız, henüz bir DPO'ya ihtiyacınız yoktur. Ancak, hizmetleri küresel olarak sunan ve OTA'yı rezervasyon, pazarlama ve kişiselleştirme amacıyla sistematik olarak işleyen bir OTA işletiyorsanız, veri koruma görevlisi bir zorunluluk haline gelir.

Veri ihlali bildirimlerini etkinleştir

Kişisel veri ihlallerini etkili bir şekilde tespit etmek, raporlamak ve araştırmak için doğru prosedürleri ayarladığınızdan emin olun. GDPR'ye göre, şirketler belirli türdeki veri ihlallerini 72 saat içinde Bilgi Komiseri Ofisine bildirmelidir. İhlal, insanların hak ve özgürlüklerini doğrudan etkileyebiliyorsa, bireylere de bildirilmelidir.

Seyahat endüstrisi bakış açısı. OTA'lar, oteller ve havayolları isimlerden çocukların bilgilerine kadar kişisel verileri tanımlamanın çoğunu toplayıp saklarken, ihlallere doğru yanıtın sağlanması kritik hale gelir.

Kullanıcılara, onlar hakkında sakladığınız kişisel verilere erişim izni verin

Veri sahibi, kişisel verilerinin işlenip işlenmediğine bakılmaksızın, denetleyiciden bilgi alma hakkına sahiptir. Kullanıcılara kişisel verilerine erişebilmeniz ve bu kişisel verilerin nasıl işlendiği hakkında bilgi verebilmeniz gerekir.

Foursquare veri kullanım amaçlarını iletmeyi ve kişisel veriler üzerinde kontrol sağlamayı başarıyor

Seyahat endüstrisi bakış açısı. Kısmen, bu gereksinim, kullanıcı hesabı ayarlarında özel gizlilik bölümlerinin tanıtılmasıyla karşılanabilir. Yukarıdaki Foursquare örneğine benzer şekilde, kullanıcılar veri kategorilerine erişebilir ve bazı veri toplama işlemlerini açıp kapatabilmelidir.

Kullanıcı isterse, işlenmekte olan veri kategorilerine ve gerçek verilerin kopyasına genel bir bakış sunmaya da hazır olmalısınız. Kişisel verilerin başka şirketlerle paylaşılması ya da üçüncü bir tarafa aktarılması olsun, veri sürecine bu süreçlerle ilgili ayrıntılı bilgi vermelisiniz.

Sakladığınız verilerin taşınabilirliğini sağlama

Veri sahibi kişisel verilerini bir elektronik işleme sisteminden diğerine aktarmayı isteyebilir. Bu tür isteklere hazır olmalısınız. Veriler yapılandırılmış ve yaygın olarak kullanılan bir elektronik formatta sağlanmalıdır. Bu, diğer şirketlerin verileri kullanmasını sağlar. Veriler ücretsiz sağlanmalıdır. Kullanıcılar ayrıca verilerin doğrudan diğer kuruluşlara iletilmesini talep etme hakkına sahiptir. Ancak bu, işleme sistemlerinizi diğer kuruluşlarla uyumlu olacak şekilde uyarlamanız gerektiği anlamına gelmez.

Seyahat endüstrisi bakış açısı. Bir otel işletmesi yürütüyorsanız, büyük olasılıkla kişisel verilerinizi bir mülk yönetim sisteminde depolamış olursunuz. Yazılımınızın verileri csv veya xlsx gibi yaygın formatlarda dışa aktarabildiğinden emin olun.

Sonuç

Şirketinizin GDPR'ye uyması çok önemlidir. Mevzuata uygunluk, tüm şirket çalışanlarının desteklemesi gereken karmaşık bir konudur. Süreçlerin yeni kurallara uyum için değiştirilmesini başlatmak için şirketinizin üst düzey yöneticileri, GSYİH'nın önemini ve proaktif olabilmeleri için işinizi nasıl etkileyeceklerini anlamalıdır.

GSYİH, neredeyse tüm seyahat endüstrisi oyuncularını kesinlikle etkileyecek olsa da, bir tehdit yerine bir fırsat olabilir. Müşterilerle değerli ilişkiler sunan güvenilir ilişkiler kurmak için seyahat işletmelerini teşvik eder. Bu tür ilişkiler kurmak için müşterilerinizin verilerin neden toplandığını anlamasını sağlamalısınız. Ve unutmayın, daha iyi kişiselleştirme için daha fazla veri sağlayacaklardır. Toplanan verileri etkin bir şekilde kullanırsanız, müşteriniz daha kişisel teklifler alır ve sonuç olarak satın alma işlemini yapmak için motive olur.

Hikayeyi beğendiniz mi? Daha fazla insanın bulabilmesi için bizi alkışlayın! Al Başlangıçta AltexSoft'un blogunda yayınlanan: “GDPR'ye Nasıl Uyulur: Seyahat Endüstrisi için Öneriler”

Bu hikaye, Medium'un en büyük girişimcilik yayını olan The Startup'da 308.692+ kişi tarafından yayınlandı.

En iyi hikayelerimizi almak için abone olun.