Як дотримуватися GDPR: Рекомендації для туристичної галузі

Прийняття Загального регламенту щодо захисту даних (GDPR) стало однією з найгарячіших тем у широкому спектрі галузей. Індустрія подорожей не є винятком. GDPR застосовується до обробки персональних даних у всіх країнах-членах Європейського Союзу. Основне питання - як нове регулювання захисту даних вплине на бізнес. Туристичні компанії будуть безпосередньо впливати завдяки особистим та конфіденційним даним, які вони збирають та обробляють. Кожен туристичний бізнес працює з особистими даними користувачів та інформацією про постачальника. У цій статті ми обговоримо загальні позиції та деякі особливості прийняття GDPR у туристичній галузі.

Що таке Загальний регламент щодо захисту даних або GDPR?

GDPR встановлює правила щодо захисту основних прав і свобод людей щодо обробки персональних даних.

Дата примусового виконання. Парламент ЄС затвердив та прийняв GDPR 14 квітня 2016 року. Забезпечення виконання регуляторних норм має відбутися після дворічного перехідного періоду, 25 травня 2018 року.

Основна мета. Основна мета GDPR - замінити Директиву щодо захисту даних 95/46 / ЄС 1998 р. Та запровадити єдиний закон про захист даних, що підвищує конфіденційність приватних осіб шляхом застосування більш жорстких правил безпеки для компаній, що обробляють персональні дані.

Структура GDPR. Повний текст регламенту включає 99 статей, які містять права осіб та обов'язки, покладені на організації. Багато основних принципів GDPR аналогічні принципам чинної Директиви про захист даних. Якщо ваш бізнес вже прийняв принципи Директиви про захист даних, це буде хорошою відправною точкою для впровадження закону. Однак є нові елементи та важливі вдосконалення. Більшість підприємств мають налагодити свої процеси відповідно до цих змін.

Територіальна сфера. Положення застосовується безпосередньо до всіх країн-членів ЄС і не вимагає прийняття урядом ухвалюючих законодавчих актів.

Ціль. Метою змін є надання людям більш легкого доступу до їх персональних даних, які зберігаються компаніями, нової системи штрафних санкцій та чіткої відповідальності за організацію отримання згоди від людей, інформацію яких вони збирають.

Офіцер із захисту даних. За деяких обставин компаніям потрібно призначити службу захисту даних, яка буде готова до запитів інформації від користувачів. Службовці із захисту даних повинні відповідати на запити про мету отримання персональних даних та надати копію всіх даних користувачів, якщо це необхідно. Також ця роль вимагає налаштування процесу видалення даних.

Які дані GDPR вважають особистими

Відповідно до визначення GDPR, "персональні дані" означають будь-яку інформацію, яка стосується особи, яка дає змогу їх ідентифікувати прямо чи опосередковано. Положення перераховує деякі основні ідентифікатори, такі як ім'я, ідентифікаційний номер, дані про місцезнаходження або деякі фактори, характерні для фізичної, культурної чи соціальної ідентичності цієї особи.

З точки зору індустрії подорожей, особисті дані можуть включати такі типи та джерела інформації:

  • Ідентифікаційні дані / реквізити паспорта: імена, поштові адреси, раса, походження, біометричні дані;
  • Контактна інформація: адреси електронної пошти, телефонні номери;
  • Цифрові дані: фотографії та відео;
  • Конфіденційні дані: фінансова та платіжна інформація;
  • HR-записи: поточні та колишні дані працівника.

Особа, особисті дані якої обробляються, називається суб'єктом даних.

З точки зору обробки даних, регламент застосовується як до «контролерів», так і до «процесорних» компаній.

Контролер - це особа чи компанія, яка визначає цілі та засоби обробки даних.

Обробник - це особа (крім працівника контролера даних) або компанія, яка обробляє дані від імені контролера.

Збільшення територіального розмаху

GDPR поширюється на обробку персональних даних контролером чи установою обробника в Європейському Союзі, незалежно від того, відбувається обробка в Союзі чи ні. Зрештою, зміна стосується майже всіх туристичних компаній, які пропонують товари та послуги в Європі та обробляють особисті дані громадян ЄС, а також інших користувачів, розташованих в межах її кордонів.

Перспектива туристичної галузі. Це означатиме, що глобальні туристичні агенти в Інтернеті або, наприклад, американські авіакомпанії, будуть безпосередньо регулюватися GDPR. Наприклад, коли готель на базі Еміратів продає туристичним агентам ЄС або стороннім оптовим торговцям, що базуються в Європі, це підпадає під дію Регламенту. Якщо ви стежите за поведінкою користувачів, які знаходяться в межах ЄС, наприклад, пункти призначення рейсів та бронювання готелів у Франції, ви повинні виконувати вимоги. Цей підхід впливає на використання інструментів веб-аналітики, збору та відстеження даних для персоналізації та ретаргетингу. Він також стосується відвідувань веб-сайтів від користувачів, які знаходяться в ЄС, незалежно від того, є вони громадянами ЄС чи ні.

Система пені

GDPR застосовує надзвичайно високі покарання, розділені на дві широкі категорії:

  • Вищий рівень - до 20 млн. Євро або 4 відсотки від загального річного доходу в світі за останній фінансовий рік за значні порушення. Порівняйте цю суму штрафу з відповідним порушенням даних у 2012 році, яке можна вважати основним, оскільки у туристичного агента було викрадено 1163,996 дебетових та кредитних карток. Тоді сума штрафу становила приблизно 255 000 доларів.
  • Нижчий рівень - до 10 мільйонів євро або 2 відсотки від загального світового річного доходу за останній фінансовий рік за менші порушення.

Розмір штрафу залежить від того, які правила статті порушені. Як правило, порушення окремих прав та свобод конфіденційності буде предметом штрафу верхнього рівня. Порушення зобов’язань контролера чи організації процесора, включаючи порушення безпеки даних, призведе до штрафу нижчого рівня.

Регулятор також має коригувальні функції:

  • Регулятор може винести вимову за порушення правил GDPR.
  • Регулятор може видавати наказ про те, що певні поведінки повинні бути виправлені протягом певного часу.
  • Штрафи застосовуватимуться на додаток до регуляторних повноважень або замість них.

Це лише основні моменти штрафу системи GDPR, оскільки штрафи за порушення є багаторівневими. У кожному конкретному випадку враховуються різні критерії. Вони можуть бути характером, тривалістю та характером порушення чи типом персональних даних, які стосуються, попередніми порушеннями та рівнем співпраці.

Практичні рекомендації для туристичних компаній для підготовки до GDPR

Створіть новий формат для отримання згоди користувача

Обробка даних ґрунтується на згоді. Відповідно до регламенту, згода означає дозвіл на обробку персональних даних, наданий фізичними особами. GDPR встановлює умови та правила для створення згоди, і підприємства повинні дотримуватися їх, щоб відповідати законодавству.

Нові правила, що застосовуються до отримання згоди:

  • Згода повинна бути вільно дана, конкретна, поінформована та однозначна.
  • Компанії повинні представити згоду у легкодоступній формі, яка написана зрозумілою мовою.
  • Про згоду не можна зробити з мовчання, відвідування та перегляду веб-сайту. Його також потрібно відокремити від інших умов. Користувач повинен виконати позитивну дію. Найкращий підхід - це створити клацання з полем для входу.
  • Якщо ви збираєте інформацію про користувачів за допомогою файлів cookie, ви повинні надати їм можливість їх прийняти чи відхилити.
  • Якщо користувач передумав, він також повинен мати доступ до меню налаштувань, щоб оновити свої налаштування.

Особиста інформація, зібрана про користувачів з однією метою, не може використовуватися для іншої.

Перспектива туристичної галузі. Усі веб-сайти авіакомпаній збирають електронні адреси користувачів, щоб вони могли надсилати електронний квиток. Зазвичай мета отримання цих листів чітко сформульована. Але авіакомпанії повинні знову попросити явної згоди, якщо вони будуть використовувати ці дані для електронних кампаній.

Так само і з готелями, якщо користувач дає згоду на збір даних для бронювання готелів, дані не можна використовувати для маркетингових цілей, оскільки згода на таке використання не була дана. Найкращий спосіб зв’язатися зі своїми клієнтами за згодою - це включити кілька галочок для кожного типу згоди.

Туристичні послуги - від стоянок аеропорту до бронювання номерів у готелях - повинні пояснити клієнтам, чому вони фіксують свої особисті дані, хто запитує ці дані та хто ще матиме доступ до них.

Аудит даних, які ви зберігаєте

Оскільки випадки використання зростають, а особиста інформація застосовується в різних відділах, відстежувати всі типи зібраної інформації стає важко. Організуйте інформаційний аудит. Це допоможе проаналізувати, які дані у вас є, чому ви їх зберігаєте, що ви хочете з ними робити і як довго ви повинні їх зберігати. Важливо визначити, яку згоду ви отримали на цю інформацію. Це було чітко, чи ні? Чи надаєте ви заходи безпеки для захисту даних від порушення? Офіс уповноваженого з питань інформації (ICO) - незалежний орган Великобританії, створений для підтримки прав на інформацію - на своєму веб-сайті має корисний контрольний список, який дозволяє компаніям оцінити, наскільки вони готові до правил GDPR.

Перспектива туристичної галузі. Booking.com, найбільший OTA на рейси та розміщення, збирає широкий спектр особистих даних, включаючи імена, цілі подорожі (дозвілля чи роботу), подорожі з дітьми, електронні листи, дані про оплату тощо.

Booking.com зберігає багато ідентифікаційної та неідентифікуючої інформації про користувачів

Положення вимагає повідомляти чіткі цілі використання інформації. Щоб досягти цього, туристичні компанії - особливо ті, що збирають дані для витонченої персоналізації - повинні організувати інформаційний аудит.

Перегляньте існуючі контракти

Масивний обмін даними через API - це звична практика в туристичній галузі. Одним з найважливіших кроків для оптових торговців сьогодні є оновлення контрактів, які містять положення про захист прав людини. Компанії повинні розуміти, як їх партнери інформують суб'єктів даних про передані ними перекази.

Перспектива туристичної галузі. Наприклад, OTA надсилають особисті дані готелям, іншим провайдерам житла, послугам прокату автомобілів та авіакомпаніям, які можуть знаходитися в межах ЄС або за його межами, але все ж надають послуги громадянам ЄС.

З іншого боку, якщо ваші партнери купують дані у вас, вони повинні пояснити, як вони планують захистити та оновлювати їх, а також пояснити особам, де і як вони отримали ці дані.

Будьте готові відповісти на запити користувачів

Згідно з правилами регулювання, всі користувачі мають право запитувати компанії:

  • Список даних, що зберігаються разом з ними;
  • Визначення цілей збору даних та використання випадків;
  • Накресліть період часу, протягом якого особисті дані будуть зберігатися;
  • Надіслати копію всіх своїх даних, що зберігаються;
  • Видаліть дані про них.

Кожна компанія зобов’язана надавати цю інформацію та обробляти такі запити.

Перспектива туристичної галузі. Деякі з цих запитів можна вирішувати автономно. Наприклад, Virgin America дозволяє видалити частину особистої інформації через індивідуальний профіль користувача.

Джерело: Політика конфіденційності Virgin America

Туристичним компаніям також потрібно гарантувати, що вони можуть контролювати процес видалення даних третіми сторонами з доступом до наявної інформації. Наприклад, коли користувачі бронюють поїздку, туристичний портал передає інформацію готелю чи прокату автомобілів.

Адаптуйте свої процеси персоналізації

Більшість маркетингових процесів в онлайн-туристичних агенціях базується на персоналізації персонального досвіду. GDPR надає компаніям можливість припиняти спам своїх користувачів, надаючи натомість більш чітку, цінну персоналізацію. Якщо ми подивимось на вимоги регулювання з точки зору подорожей, то це може бути розглянута як нова можливість персоналізації. Пропозиції на відпочинок, дешеві квитки авіакомпаній або зручні пропозиції готелів мотивують людей. Більшість клієнтів зацікавлені в обміні своїми особистими даними, щоб у результаті було покращене та персоналізованіше обслуговування.

Якщо туристичним компаніям вдасться налагодити чітке спілкування та дозволити мандрівникам формувати рекламні пропозиції про подорожі, це буде справжньою цінністю у змістовній та сучасній персоналізації.

Призначте посадовця із захисту даних

Відповідно до GDPR, організації повинні призначити службовця із захисту даних (DPO) за деяких обставин. Зокрема, призначення DPO є обов'язковим, коли:

  1. Організація є державним органом чи органом.
  2. Організація здійснює регулярний та систематичний моніторинг людей у ​​великих масштабах, наприклад, відстеження поведінки в Інтернеті.
  3. Організації, які займаються широкомасштабною обробкою спеціальних категорій даних (чутливих персональних даних) або даних, що стосуються кримінальних судимостей та правопорушень.

Не є винятком для малих та середніх компаній. Однак кожна країна ЄС може окремо визначити інші випадки, коли вони повинні призначити ВОЗ.

DPO може бути наявним співробітником, який несе відповідальність за дотримання захисту даних, або компанії можуть найняти на цю роль зовнішнього експерта.

Перспектива туристичної галузі. Якщо ви користуєтесь службою місцевих турів та заходів, яка не збирає ніяких особистих даних, окрім електронних листів, і систематично не стикаєтесь з європейськими туристами, ймовірно, що вам ще не потрібна DPO. Однак якщо ви користуєтесь OTA, яка надає послуги глобально та систематично обробляє дані користувачів для цілей бронювання, маркетингу та персоналізації, службовець захисту даних стає необхідним.

Увімкнути сповіщення про порушення даних

Переконайтеся, що ви встановили правильні процедури для ефективного виявлення, повідомлення та розслідування порушень персональних даних. Відповідно до GDPR, компанії повинні повідомити про порушення певних типів даних в Управлінні інформаційного комісара протягом 72 годин. Якщо порушення може безпосередньо вплинути на права і свободи людей, про це також слід повідомити осіб.

Перспектива туристичної галузі. ОТА, готелі та авіакомпанії збирають та зберігають багато ідентифікаційних особистих даних - від імен до дитячої інформації, забезпечуючи правильну реакцію на порушення стає критичною.

Надати користувачам доступ до особистих даних, які ви зберігали про них

Суб'єкт даних має право отримувати інформацію від контролера незалежно від того, чи обробляються його персональні дані. Ви повинні мати можливість надавати користувачам доступ до їх персональних даних та інформації про те, як ці персональні дані обробляються.

Компанії Foursquare вдалося повідомити про цілі використання даних та забезпечити контроль над персональними даними

Перспектива туристичної галузі. Частково ця вимога може бути задоволена введенням спеціальних розділів конфіденційності в налаштуваннях облікових записів користувачів. Подібно до наведеного вище прикладу Foursquare, користувачі можуть мати доступ до категорій даних і повинні мати можливість вмикати або вимикати деякі процеси збору даних.

Якщо користувач запитує, ви також повинні бути готові надати огляд категорій даних, що обробляються, та копію фактичних даних. Незалежно від того, що особисті дані обмінюються з іншими компаніями або передаються третій стороні, ви повинні надати детальну інформацію суб'єкту даних про ці процеси.

Забезпечте переносимість даних, які ви зберігаєте

Суб'єкт даних може попросити передати свої особисті дані з однієї електронної системи обробки в іншу. Ви повинні бути готові до таких запитів. Дані мають бути надані у структурованому та широко використовуваному електронному форматі. Це дає можливість іншим компаніям використовувати дані. Дані повинні надаватися безкоштовно. Користувачі також мають право вимагати передачі даних безпосередньо іншим організаціям. Однак це не означає, що ви повинні адаптувати свої системи обробки, щоб вони були сумісними з іншими організаціями.

Перспектива туристичної галузі. Якщо ви здійснюєте готельний бізнес, цілком ймовірно, що ви зберігаєте особисті дані в системі управління нерухомістю. Будьте впевнені, що ваше програмне забезпечення може експортувати дані у загальних форматах, таких як csv або xlsx.

Висновок

Для вашої компанії важливо дотримуватися GDPR. Дотримання правил є складним питанням, яке повинні підтримувати всі працівники компанії. Для того, щоб ініціювати зміни процесів на відповідність новим правилам, топ-менеджери вашої компанії повинні розуміти важливість GDPR і як це вплине на ваш бізнес, щоб вони могли бути активними.

Незважаючи на те, що GDPR, безумовно, вплине майже на всіх гравців туристичної галузі, це може бути скоріше нагода, а не загроза. Це спонукає туристичні компанії вибудовувати довірчі стосунки з клієнтами, надаючи їм цінні пропозиції. Для побудови таких відносин ви повинні переконатися, що ваші клієнти розуміють, чому дані збираються. І пам’ятайте, вони, ймовірно, нададуть більше даних для кращої персоналізації. Якщо ви ефективно використовуєте зібрані дані, ваш клієнт отримає більш персоналізовані пропозиції і, як результат, буде вмотивований здійснити покупку.

Сподобалась історія? Поплескайте нас, щоб більше людей могли його знайти!
Спочатку опубліковано в блозі AltexSoft: "Як дотримуватися GDPR: Рекомендації для туристичної галузі"

Ця історія опублікована у найбільшій підприємницькій публікації "Середній бізнес", яку переглядають 308 692 особи.

Підпишіться, щоб отримувати наші основні історії тут.