Як дотримуватися GDPR: Рекомендації для туристичної галузі

Прийняття Загального регламенту щодо захисту даних (GDPR) стало однією з найгарячіших тем у широкому спектрі галузей. Індустрія подорожей не є винятком. GDPR застосовується до обробки персональних даних у всіх країнах-членах Європейського Союзу. Основне питання - як нове регулювання захисту даних вплине на бізнес. Туристичні компанії будуть безпосередньо впливати завдяки особистим та конфіденційним даним, які вони збирають та обробляють. Кожен туристичний бізнес працює з особистими даними користувачів та інформацією про постачальника. У цій статті ми поговоримо про загальні позиції та деякі особливості прийняття GDPR в туристичній галузі.

Що таке Загальний регламент щодо захисту даних або GDPR?

GDPR встановлює правила щодо захисту основних прав і свобод людей щодо обробки персональних даних.

Дата примусового виконання. Парламент ЄС затвердив і прийняв GDPR 14 квітня 2016 року. Застосування регуляторних норм повинно відбутися після дворічного перехідного періоду, 25 травня 2018 року.

Основна мета. Основна мета GDPR - замінити Директиву про захист даних 95/46 / ЄС 1998 р. Та запровадити єдиний закон про захист даних, що підвищує конфіденційність приватних осіб, застосовуючи більш жорсткі правила безпеки для компаній, що обробляють персональні дані.

Структура GDPR. Повний текст регламенту включає 99 статей, які містять права осіб та обов'язки, покладені на організації. Багато основних принципів GDPR аналогічні принципам чинної Директиви про захист даних. Якщо ваш бізнес вже прийняв принципи Директиви про захист даних, це буде хорошою відправною точкою для імплементації закону. Однак є нові елементи та важливі вдосконалення. Більшість підприємств мають налагодити свої процеси відповідно до цих змін.

Територіальна сфера. Положення застосовується безпосередньо до всіх країн-членів ЄС і не вимагає прийняття урядом ухвалюючих законодавчих актів.

Ціль. Метою змін є надання людям більш легкого доступу до їх персональних даних, що зберігаються компаніями, нової системи штрафних санкцій та чіткої відповідальності за організацію отримання згоди від людей, інформацію яких вони збирають.

Офіцер із захисту даних. За деяких обставин компаніям потрібно призначити службу захисту даних, яка буде готова до запитів інформації від користувачів. Службовці із захисту даних повинні відповідати на запити про мету отримання персональних даних та надавати копію всіх даних користувачів, якщо це необхідно. Також ця роль вимагає налаштування процесу видалення даних.

Які дані GDPR вважають особистими

Відповідно до визначення GDPR, "персональні дані" означають будь-яку інформацію, яка стосується особи, яка дає змогу їх ідентифікувати прямо чи опосередковано. Положення перераховує деякі основні ідентифікатори, такі як ім'я, ідентифікаційний номер, дані про місцезнаходження або деякі фактори, характерні для фізичної, культурної чи соціальної ідентичності цієї особи.

З точки зору індустрії подорожей, особисті дані можуть включати такі типи та джерела інформації:

  • Ідентифікаційні дані / реквізити паспорта: імена, поштові адреси, раса, походження, біометричні дані;
  • Контактна інформація: адреси електронної пошти, номери телефонів;
  • Цифрові дані: фотографії та відео;
  • Конфіденційні дані: фінансова та платіжна інформація;
  • HR-записи: поточні та колишні дані працівника.

Особа, особисті дані якої обробляються, називається суб'єктом даних.

З точки зору обробки даних, регламент застосовується як до «контролерів», так і до «процесорних» компаній.

Контролер - це особа чи компанія, яка визначає цілі та засоби обробки даних.

Обробник - це особа (крім працівника контролера даних) або компанія, яка обробляє дані від імені контролера.

Збільшення територіального розмаху

GDPR поширюється на обробку персональних даних контролером чи установою обробника в Європейському Союзі, незалежно від того, відбувається обробка в Союзі чи ні. Зрештою, зміна стосується майже всіх туристичних компаній, які пропонують товари та послуги в Європі та обробляють персональні дані громадян ЄС, а також інших користувачів, які знаходяться в його межах.

Перспектива туристичної галузі. Це означатиме, що глобальні туристичні агенти в Інтернеті або, наприклад, американські авіакомпанії, будуть безпосередньо регулюватися GDPR. Наприклад, коли готель на базі Еміратів продає туристичним агентам ЄС або стороннім оптовим торговцям, що базуються в Європі, це підпадає під дію Регламенту. Якщо ви стежите за поведінкою користувачів, які знаходяться в межах ЄС, наприклад, пункти призначення рейсів та бронювання готелів у Франції, ви повинні виконувати вимоги. Цей підхід впливає на використання інструментів веб-аналітики, збору та відстеження даних для персоналізації та ретаргетингу. Він також стосується відвідувань веб-сайтів від користувачів, які знаходяться в ЄС, незалежно від того, є вони громадянами ЄС чи ні.

Система пені

GDPR застосовує надзвичайно високі покарання, розділені на дві широкі категорії:

  • Вищий рівень - до 20 мільйонів євро або 4 відсотки від загального річного світового доходу за останній фінансовий рік за основні порушення. Порівняйте цю суму штрафу з відповідним порушенням даних у 2012 році, яке можна вважати основним, оскільки у туристичного агента було викрадено 1163,996 дебетових та кредитних карток. Тоді сума штрафу становила приблизно 255 000 доларів.
  • Нижчий рівень - до 10 мільйонів євро або 2 відсотки від загального світового річного доходу за останній фінансовий рік за менші порушення.

Розмір штрафу залежить від того, які правила статті порушені. Як правило, за порушення прав та свобод приватних осіб є предметом штрафу верхнього рівня. Порушення зобов’язань контролера чи організації-обробника, включаючи порушення безпеки даних, призведе до штрафу нижчого рівня.

Регулятор також має коригувальні функції:

  • Регулятор може винести вимову за порушення правил GDPR.
  • Регулятор може видавати наказ про те, що певні поведінки повинні бути виправлені протягом певного часу.
  • Штрафи застосовуватимуться на додаток до регуляторних повноважень або замість них.

Це лише основні моменти штрафу системи GDPR, оскільки штрафи за порушення є багаторівневими. У кожному конкретному випадку враховуються різні критерії. Вони можуть бути характером, тривалістю та характером порушення чи типом особистих даних, які стосуються, попередніми порушеннями та рівнем співпраці.

Практичні рекомендації для туристичних компаній для підготовки до GDPR

Створіть новий формат для отримання згоди користувача

Обробка даних ґрунтується на згоді. Відповідно до регламенту, згода означає дозвіл на обробку персональних даних, наданий фізичними особами. GDPR встановлює умови та правила для створення згоди, і підприємства повинні дотримуватися їх, щоб вони відповідали закону.

Нові правила, що застосовуються до отримання згоди:

  • Згода повинна бути вільно дана, конкретна, поінформована та однозначна.
  • Компанії повинні представити згоду у легкодоступній формі, яка написана зрозумілою мовою.
  • Про згоду не можна зробити з мовчання, відвідування та продовження перегляду веб-сайту. Його також потрібно відокремити від інших умов. Користувач повинен виконати позитивну дію. Найкращий підхід - це створити клацання з полем для входу.
  • Якщо ви збираєте інформацію про користувачів за допомогою файлів cookie, ви повинні надати їм можливість їх прийняти чи відхилити.
  • Якщо користувач передумає, він також повинен мати доступ до меню налаштувань, щоб оновити свої налаштування.

Особиста інформація, зібрана про користувачів з однією метою, не може використовуватися для іншої.

Перспектива туристичної галузі. Всі веб-сайти авіакомпаній збирають електронні адреси користувачів, щоб вони могли надсилати електронний квиток. Зазвичай мета отримання цих листів чітко сформульована. Але авіакомпанії повинні знову попросити явної згоди, якщо вони будуть використовувати ці дані для електронних кампаній.

Так само і з готелями, якщо користувач дає згоду на збір даних для бронювання готелів, дані не можна використовувати для маркетингових цілей, оскільки згода на таке використання не була надана. Найкращий спосіб зв’язатися зі своїми клієнтами за згодою - це включити декілька галочок для кожного типу згоди.

Туристичні послуги - від стоянок аеропорту до бронювання номерів у готелях - повинні пояснювати клієнтам, чому вони фіксують свої особисті дані, хто запитує ці дані та хто ще матиме доступ до них.

Аудит даних, які ви зберігаєте

Оскільки випадки використання зростають, а особиста інформація застосовується в різних відділах, відстежувати всі типи зібраної інформації стає важко. Організуйте інформаційний аудит. Це допоможе проаналізувати, які дані у вас є, чому ви їх зберігаєте, що ви хочете робити з ними та як довго ви повинні їх зберігати. Важливо визначити, яку згоду ви отримали на цю інформацію. Це було чітко, чи ні? Чи надаєте ви заходи безпеки для захисту даних від порушення? Офіс комісара з питань інформації (ICO) - незалежний орган Великобританії, створений для підтримки прав на інформацію, - на своєму веб-сайті має корисний контрольний список для оцінювання того, наскільки вони готові до правил GDPR.

Перспектива туристичної галузі. Booking.com, найбільший OTA на рейси та розміщення, збирає широкий спектр особистих даних, включаючи імена, цілі подорожей (дозвілля або робота), подорожі з дітьми, електронні листи, дані про оплату тощо.

Booking.com зберігає багато ідентифікаційної та неідентифікуючої інформації про користувачів

Положення вимагає повідомляти чіткі цілі використання інформації. Для цього туристичні компанії, особливо ті, що збирають дані для складної персоналізації, повинні організувати інформаційний аудит.

Перегляньте існуючі контракти

Масивний обмін даними через API - це звична практика в туристичній галузі. Один з найважливіших кроків для оптових торговців сьогодні - оновлення контрактів, що містять положення про захист прав людини. Компанії повинні розуміти, як їх партнери інформують суб'єктів даних про передані ними перекази.

Перспектива туристичної галузі. Наприклад, OTA надсилають особисті дані готелям, іншим провайдерам житла, послугам прокату автомобілів та авіакомпаніям, які можуть знаходитися в межах ЄС або за його межами, але все ж надають послуги громадянам ЄС.

З іншого боку, якщо ваші партнери купують дані у вас, вони повинні пояснити, як вони планують захистити та оновлювати їх, а також пояснити особам, де і як вони отримали ці дані.

Будьте готові відповісти на запити користувачів

Відповідно до правил регулювання, усі користувачі мають право запитувати компанії:

  • Список даних, що зберігаються разом з ними;
  • Визначте цілі збору даних та використовуйте випадки;
  • Накресліть період часу, протягом якого особисті дані будуть зберігатися;
  • Надіслати копію всіх своїх даних, що зберігаються;
  • Видаліть дані про них.

Кожна компанія зобов’язана надавати цю інформацію та обробляти такі запити.

Перспектива туристичної галузі. Деякі з цих запитів можна вирішувати автономно. Наприклад, Virgin America дозволяє видалити частину особистої інформації через індивідуальний профіль користувача.

Джерело: Політика конфіденційності Virgin America

Туристичним компаніям також потрібно забезпечити, щоб вони могли контролювати процес видалення даних третіми сторонами з доступом до наявної інформації. Наприклад, коли користувачі бронюють поїздку, туристичний портал передає інформацію готелю чи прокату автомобілів.

Адаптуйте свої процеси персоналізації

Більшість маркетингових процесів в онлайн-туристичних агенціях базується на персоналізації персонального досвіду. GDPR надає компаніям можливість припиняти спам своїх користувачів, натомість надаючи більш чітку, цінну персоналізацію. Якщо ми подивимось на вимоги регулювання з точки зору подорожі, то це може бути розглянута як нова можливість персоналізації. Пропозиції на відпочинок, дешеві квитки авіакомпаній або зручні пропозиції готелів мотивують людей. Більшість клієнтів зацікавлені в обміні своїми особистими даними, щоб у результаті було покращене та персоналізованіше обслуговування.

Якщо туристичним компаніям вдасться налагодити чітке спілкування та дозволити мандрівникам формувати рекламні пропозиції про подорожі, це буде справжньою цінністю у змістовній та сучасній персоналізації.

Призначте посадовця із захисту даних

Відповідно до GDPR, організації повинні призначити службовця із захисту даних (DPO) за деяких обставин. Зокрема, призначення DPO є обов'язковим, коли:

  1. Організація є державним органом чи органом.
  2. Організація здійснює регулярний та систематичний моніторинг людей у ​​великих масштабах, наприклад, відстеження поведінки в Інтернеті.
  3. Організації, які займаються широкомасштабною обробкою спеціальних категорій даних (чутливих персональних даних) або даних, що стосуються кримінальних судимостей та правопорушень.

Не є винятком для малих та середніх компаній. Однак кожна країна ЄС може окремо визначити інші випадки, коли вони повинні призначити ВОО.

DPO може бути наявним співробітником, який бере на себе відповідальність за дотримання захисту даних, або компанії можуть найняти на цю роль зовнішнього експерта.

Перспектива туристичної галузі. Якщо ви користуєтесь службою місцевих турів та заходів, яка не збирає ніяких особистих даних, окрім електронних листів, і систематично не стикаєтесь з європейськими туристами, ймовірно, що вам ще не потрібна DPO. Однак якщо ви користуєтесь OTA, яка надає послуги глобально та систематично обробляє дані користувачів для цілей бронювання, маркетингу та персоналізації, службовець із захисту даних стає необхідним.

Увімкнути сповіщення про порушення даних

Переконайтеся, що ви встановили правильні процедури для ефективного виявлення, повідомлення та розслідування порушень персональних даних. Відповідно до GDPR, компанії повинні повідомити про певні типи порушення даних в Управлінні інформаційного комісара протягом 72 годин. Якщо порушення може безпосередньо впливати на права і свободи людей, про це також слід повідомити осіб.

Перспектива туристичної галузі. ОТА, готелі та авіакомпанії збирають та зберігають багато ідентифікаційних особистих даних, від імен до інформації про дітей, забезпечуючи правильне реагування на порушення стає критичним.

Надайте користувачам доступ до особистих даних, які ви зберігали про них

Суб'єкт даних має право отримувати інформацію від контролера незалежно від того, обробляються його особисті дані. Ви повинні мати можливість надавати користувачам доступ до їх персональних даних та інформацію про те, як ці персональні дані обробляються.

Компанії Foursquare вдалося повідомити про цілі використання даних та забезпечити контроль над особистими даними

Перспектива туристичної галузі. Частково ця вимога може бути задоволена введенням спеціальних розділів конфіденційності в налаштуваннях облікових записів користувачів. Подібно до наведеного вище прикладу Foursquare, користувачі можуть мати доступ до категорій даних і повинні мати можливість вмикати або вимикати деякі процеси збору даних.

Якщо користувач запитує, ви також повинні бути готові надати огляд категорій даних, що обробляються, та копію фактичних даних. Незалежно від того, що особисті дані обмінюються з іншими компаніями або передаються третій стороні, ви повинні надати детальну інформацію суб'єкту даних про ці процеси.

Забезпечте переносимість даних, які ви зберігаєте

Суб'єкт даних може попросити передати свої особисті дані з однієї електронної системи обробки в іншу. Ви повинні бути готові до таких запитів. Дані повинні надаватися у структурованому та загальновживаному електронному форматі. Це дає можливість іншим компаніям використовувати дані. Дані повинні надаватися безкоштовно. Користувачі також мають право вимагати передачі даних безпосередньо іншим організаціям. Однак це не означає, що ви повинні адаптувати ваші системи обробки до сумісних з іншими організаціями.

Перспектива туристичної галузі. Якщо ви здійснюєте готельний бізнес, цілком ймовірно, що ви зберігаєте особисті дані в системі управління майном. Будьте впевнені, що ваше програмне забезпечення може експортувати дані у загальних форматах, таких як csv або xlsx.

Висновок

Для вашої компанії важливо дотримуватися GDPR. Дотримання правил є складним питанням, яке повинні підтримувати всі працівники компанії. Щоб ініціювати зміну процесів на відповідність новим правилам, топ-менеджери вашої компанії повинні розуміти важливість GDPR та те, як це вплине на ваш бізнес, щоб вони могли бути активними.

Незважаючи на те, що GDPR, безумовно, вплине майже на всіх гравців туристичної галузі, це може бути скоріше можливістю, ніж загрозою. Це спонукає туристичні компанії вибудовувати довірчі стосунки з клієнтами, надаючи їм цінні пропозиції. Для побудови таких відносин ви повинні переконатися, що ваші клієнти розуміють, чому дані збираються. І пам’ятайте, вони, ймовірно, нададуть більше даних для кращої персоналізації. Якщо ви ефективно використовуєте зібрані дані, ваш клієнт отримає більш персоналізовані пропозиції і, як результат, буде вмотивований здійснити покупку.

Сподобалась історія? Поплескайте нас, щоб більше людей могли його знайти! Published Спочатку опубліковано в блозі AltexSoft: "Як відповідати GDPR: Рекомендації для туристичної галузі"

Ця історія опублікована у найбільшому видавництві з питань підприємництва The Startup, серед якого 308 692 людей.

Підпишіться, щоб отримувати наші основні історії тут.