Cách tuân thủ GDPR: Khuyến nghị cho ngành du lịch

Việc áp dụng Quy định bảo vệ dữ liệu chung (GDPR) đã trở thành một trong những chủ đề nóng nhất trong một loạt các ngành công nghiệp. Ngành du lịch cũng không ngoại lệ. GDPR áp dụng cho việc xử lý dữ liệu cá nhân ở tất cả các quốc gia thành viên của Liên minh châu Âu. Câu hỏi chính là quy định bảo vệ dữ liệu mới sẽ ảnh hưởng đến các doanh nghiệp như thế nào. Các công ty du lịch sẽ bị ảnh hưởng trực tiếp nhờ dữ liệu cá nhân và nhạy cảm mà họ thu thập và xử lý. Mỗi doanh nghiệp du lịch làm việc với người dùng dữ liệu cá nhân và thông tin nhà cung cấp. Trong bài viết này, chúng tôi sẽ thảo luận về các vị trí chung và một số chi tiết cụ thể về việc áp dụng GDPR trong ngành du lịch.

Quy định bảo vệ dữ liệu chung hoặc GDPR là gì?

GDPR đặt ra các quy tắc liên quan đến bảo vệ người dân các quyền và quyền tự do cơ bản liên quan đến việc xử lý dữ liệu cá nhân.

Ngày thi hành án. Nghị viện EU đã phê chuẩn và thông qua GDPR vào ngày 14 tháng 4 năm 2016. Việc thực thi quy định phải được thực hiện sau thời gian chuyển tiếp hai năm, vào ngày 25 tháng 5 năm 2018.

Mục tiêu chính. Mục tiêu chính của GDPR, là thay thế Chỉ thị bảo vệ dữ liệu 95/46 / EC 1998 và đưa ra một luật bảo vệ dữ liệu duy nhất nhằm tăng sự riêng tư cho các cá nhân bằng cách thực thi các quy tắc bảo mật mạnh mẽ hơn cho các công ty xử lý dữ liệu cá nhân.

Cấu trúc GDPR. Toàn bộ quy định bao gồm 99 điều khoản có quyền của các cá nhân và nghĩa vụ được đặt lên các tổ chức. Rất nhiều nguyên tắc chính của GDPR tương tự như các nguyên tắc trong Chỉ thị bảo vệ dữ liệu hiện hành. Nếu doanh nghiệp của bạn đã áp dụng các nguyên tắc Chỉ thị Bảo vệ Dữ liệu, đó sẽ là điểm khởi đầu tốt để thực hiện luật. Tuy nhiên, có những yếu tố mới và cải tiến quan trọng. Hầu hết các doanh nghiệp cần điều chỉnh các quy trình của họ theo những thay đổi này.

Phạm vi lãnh thổ. Quy định này được áp dụng trực tiếp cho tất cả các quốc gia thành viên EU và không yêu cầu bất kỳ luật pháp cho phép nào được thông qua bởi chính phủ của họ.

Mục đích. Mục đích của thay đổi là giúp mọi người truy cập dễ dàng hơn vào dữ liệu cá nhân của họ mà các công ty lưu trữ, một hệ thống phạt tiền mới và trách nhiệm rõ ràng đối với các tổ chức để có được sự đồng ý từ những người có thông tin họ thu thập.

Nhân viên bảo vệ dữ liệu. Trong một số trường hợp, các công ty cần chỉ định một nhân viên bảo vệ dữ liệu, người sẽ được chuẩn bị cho các yêu cầu thông tin từ người dùng. Nhân viên bảo vệ dữ liệu phải đáp ứng các yêu cầu về mục đích lấy dữ liệu cá nhân và cung cấp một bản sao của tất cả dữ liệu người dùng nếu cần. Ngoài ra, vai trò này yêu cầu thiết lập quy trình xóa dữ liệu.

Dữ liệu nào GDPR xem xét cá nhân

Theo định nghĩa GDPR, data dữ liệu cá nhân có nghĩa là bất kỳ thông tin nào liên quan đến một người cho phép họ được xác định trực tiếp hoặc gián tiếp. Quy định liệt kê một số định danh chính như tên, số nhận dạng, dữ liệu vị trí hoặc một số yếu tố cụ thể đối với danh tính vật lý, văn hóa hoặc xã hội của người đó.

Từ khía cạnh ngành du lịch, dữ liệu cá nhân có thể bao gồm các loại và nguồn thông tin sau:

  • Chi tiết ID / Hộ chiếu: tên, địa chỉ bưu chính, chủng tộc, nguồn gốc, dữ liệu sinh trắc học;
  • Thông tin liên lạc: địa chỉ email, số điện thoại;
  • Dữ liệu số: hình ảnh và video;
  • Dữ liệu nhạy cảm: thông tin tài chính và thanh toán;
  • Hồ sơ nhân sự: chi tiết nhân viên hiện tại và trước đây.

Người có dữ liệu cá nhân được xử lý được gọi là chủ thể dữ liệu.

Từ góc độ xử lý dữ liệu, quy định này áp dụng cho cả ‘bộ điều khiển và bộ xử lý của bộ xử lý.

Bộ điều khiển là một người hoặc công ty xác định mục đích và phương tiện xử lý dữ liệu.

Bộ xử lý là một người (không phải là nhân viên của bộ điều khiển dữ liệu) hoặc một công ty xử lý dữ liệu thay mặt cho bộ điều khiển.

Tăng phạm vi lãnh thổ

GDPR áp dụng cho xử lý dữ liệu cá nhân của bộ điều khiển hoặc cơ sở xử lý tại Liên minh Châu Âu, bất kể việc xử lý có diễn ra trong Liên minh hay không. Cuối cùng, thay đổi này áp dụng cho hầu hết tất cả các công ty du lịch cung cấp sản phẩm và dịch vụ ở châu Âu và xử lý dữ liệu cá nhân của công dân EU cũng như những người dùng khác, nằm trong biên giới của nó.

Quan điểm ngành du lịch. Điều này có nghĩa là các đại lý du lịch trực tuyến toàn cầu hoặc, ví dụ, các hãng hàng không Hoa Kỳ, sẽ được điều chỉnh trực tiếp bởi GDPR. Ví dụ: khi một khách sạn có trụ sở tại Emirates bán cho các đại lý du lịch EU hoặc nhà bán buôn bên thứ ba có trụ sở tại châu Âu, nó nằm trong Quy định. Nếu bạn giám sát hành vi của những người dùng ở EU, chẳng hạn như điểm đến chuyến bay và đặt phòng khách sạn ở Pháp, bạn phải tuân thủ các yêu cầu. Cách tiếp cận này ảnh hưởng đến việc sử dụng các công cụ phân tích trang web, thu thập và theo dõi dữ liệu cho mục đích cá nhân hóa và nhắm mục tiêu lại. Nó cũng áp dụng cho các lượt truy cập trang web từ người dùng ở EU, bất kể họ có phải là công dân EU hay không.

Hệ thống phạt

GDPR thi hành các hình phạt cực kỳ cao được chia thành hai loại chính:

  • Cấp cao hơn - lên tới 20 triệu euro hoặc 4% tổng doanh thu toàn cầu hàng năm trên toàn thế giới trong năm tài chính gần nhất cho các vi phạm lớn. So sánh số tiền phạt này với vi phạm dữ liệu tương ứng vào năm 2012, có thể được coi là một lỗi chính vì 1.163.996 hồ sơ ghi nợ và thẻ tín dụng đã bị đánh cắp từ một đại lý du lịch. Trước đó, số tiền phạt là khoảng 255.000 đô la.
  • Mức thấp hơn - lên tới 10 triệu euro hoặc 2% tổng doanh thu toàn cầu hàng năm trên toàn thế giới trong năm tài chính gần nhất đối với các vi phạm nhỏ hơn.

Số tiền phạt tùy thuộc vào những gì quy định của bài viết bị vi phạm. Thông thường, các hành vi vi phạm quyền riêng tư và quyền tự do cá nhân sẽ là chủ đề của các khoản phạt cấp trên. Hành vi vi phạm của bộ điều khiển hoặc tổ chức bộ xử lý Nghĩa vụ, bao gồm các vi phạm bảo mật dữ liệu, sẽ dẫn đến mức phạt thấp hơn.

Bộ điều chỉnh cũng có chức năng khắc phục:

  • Cơ quan quản lý có thể đưa ra lời khiển trách trong đó các điều khoản GDPR đã bị vi phạm.
  • Cơ quan quản lý có thể ban hành lệnh rằng một số hành vi nhất định phải được sửa chữa trong một thời gian nhất định.
  • Hình phạt sẽ được sử dụng bổ sung hoặc thay cho các quyền điều chỉnh theo quy định.

Đây chỉ là những điểm chính của hệ thống phạt GDPR vì các hình phạt cho các vi phạm được xếp theo cấp bậc. Tiêu chí khác nhau được xem xét trong từng trường hợp. Chúng có thể là bản chất, thời lượng và đặc điểm của hành vi xâm phạm hoặc các loại dữ liệu cá nhân bị ảnh hưởng, các hành vi xâm phạm trước đó và mức độ hợp tác.

Khuyến nghị thiết thực cho các công ty du lịch để chuẩn bị cho GDPR

Tạo định dạng mới để có được sự đồng ý của người dùng

Xử lý dữ liệu dựa trên sự đồng ý. Theo quy định, sự đồng ý có nghĩa là sự cho phép xử lý dữ liệu cá nhân được cung cấp bởi các cá nhân. GDPR thiết lập các điều kiện và quy tắc để tạo sự đồng ý và các doanh nghiệp phải tuân theo chúng để tuân thủ theo đạo luật.

Các quy tắc mới áp dụng để có được sự đồng ý:

  • Sự đồng ý phải được đưa ra một cách tự do, cụ thể, được thông báo và không mơ hồ.
  • Các công ty phải trình bày sự đồng ý ở dạng dễ tiếp cận được viết bằng ngôn ngữ rõ ràng.
  • Sự đồng ý có thể được suy ra từ sự im lặng, truy cập và tiếp tục duyệt một trang web. Nó cũng cần phải được tách ra khỏi các điều khoản và điều kiện khác. Người dùng phải hoàn thành một hành động khẳng định. Cách tiếp cận tốt nhất là tạo một nhấp chuột với hộp chọn tham gia.
  • Nếu bạn thu thập thông tin về người dùng thông qua cookie, bạn nên cho họ cơ hội chấp nhận hoặc từ chối họ.
  • Nếu người dùng thay đổi ý định, họ cũng phải có thể truy cập các menu cài đặt để cập nhật tùy chọn của họ.

Thông tin cá nhân được thu thập về người dùng cho một mục đích có thể được sử dụng cho một mục đích khác.

Quan điểm ngành du lịch. Tất cả các trang web của hãng hàng không thu thập địa chỉ email của người dùng để họ có thể gửi vé điện tử. Thông thường, mục đích để có được những email này được xác định rõ ràng. Nhưng các hãng hàng không phải yêu cầu sự đồng ý rõ ràng một lần nữa nếu họ sử dụng dữ liệu này cho các chiến dịch email.

Tương tự với khách sạn, nếu người dùng đồng ý thu thập dữ liệu để đặt phòng khách sạn, dữ liệu có thể được sử dụng cho mục đích tiếp thị vì sự đồng ý cho việc sử dụng đó đã được đưa ra. Cách tốt nhất để liên hệ với khách hàng của bạn để có sự đồng ý là bao gồm nhiều hộp đánh dấu cho mỗi loại đồng ý bạn cần.

Dịch vụ du lịch, từ bãi đậu xe sân bay đến đặt phòng khách sạn, phải giải thích cho khách hàng lý do tại sao họ lấy dữ liệu cá nhân của họ, ai đang yêu cầu dữ liệu đó và ai khác sẽ có quyền truy cập vào dữ liệu đó.

Kiểm tra dữ liệu bạn lưu trữ

Khi các trường hợp sử dụng tăng số lượng và thông tin cá nhân được áp dụng trên các bộ phận khác nhau, việc theo dõi tất cả các loại thông tin được thu thập trở nên khó khăn. Tổ chức kiểm toán thông tin. Điều này sẽ giúp phân tích dữ liệu bạn có, tại sao bạn lưu trữ dữ liệu đó, bạn muốn làm gì với dữ liệu đó và bạn nên giữ dữ liệu đó trong bao lâu. Nó rất quan trọng để xác định những gì bạn đã nhận được sự đồng ý cho thông tin này. Nó có rõ ràng hay không? Bạn có cung cấp các biện pháp bảo mật để bảo vệ dữ liệu khỏi vi phạm? Văn phòng Ủy viên Thông tin (ICO) - cơ quan độc lập của Vương quốc Anh được thành lập để duy trì các quyền thông tin - có một danh sách kiểm tra hữu ích trên trang web của mình để các công ty đánh giá mức độ họ chuẩn bị cho các quy tắc GDPR.

Quan điểm ngành du lịch. Booking.com, chuyến bay lớn nhất và OTA lưu trú, thu thập nhiều thông tin cá nhân, bao gồm tên, mục đích du lịch (giải trí hoặc công việc), du lịch với trẻ em, email, dữ liệu thanh toán, v.v.

Booking.com lưu trữ rất nhiều thông tin nhận dạng và không xác định về người dùng

Quy định yêu cầu truyền đạt mục đích rõ ràng của việc sử dụng thông tin. Để đạt được điều đó, các công ty du lịch - đặc biệt là những công ty thu thập dữ liệu để cá nhân hóa tinh vi - phải tổ chức kiểm toán thông tin.

Xem lại hợp đồng hiện có

Trao đổi dữ liệu lớn thông qua API là thông lệ phổ biến trong ngành du lịch. Một trong những bước quan trọng nhất đối với các nhà bán buôn hiện nay là nâng cấp hợp đồng tại chỗ có quy định về bảo vệ quyền cá nhân. Các công ty nên hiểu làm thế nào các đối tác của họ thông báo cho các đối tượng dữ liệu về việc chuyển tiền họ thực hiện.

Quan điểm ngành du lịch. Chẳng hạn, các OTA gửi dữ liệu cá nhân đến các khách sạn, nhà cung cấp dịch vụ lưu trú khác, dịch vụ cho thuê xe hơi và các hãng hàng không có thể ở trong hoặc ngoài EU, nhưng vẫn cung cấp dịch vụ cho công dân EU.

Mặt khác, nếu các đối tác của bạn mua dữ liệu từ bạn, họ phải giải thích cách họ lên kế hoạch bảo mật và cập nhật dữ liệu cũng như giải thích cho các cá nhân về nơi họ đã lấy dữ liệu.

Hãy sẵn sàng đáp ứng yêu cầu của người dùng

Theo quy định, tất cả người dùng có quyền yêu cầu các công ty:

  • Liệt kê dữ liệu được lưu trữ với chúng;
  • Xác định mục đích thu thập dữ liệu và sử dụng các trường hợp;
  • Phác thảo khoảng thời gian mà dữ liệu cá nhân sẽ được lưu trữ;
  • Gửi một bản sao của tất cả dữ liệu của họ được lưu giữ;
  • Xóa dữ liệu về họ.

Mỗi công ty có nghĩa vụ cung cấp thông tin này và xử lý các yêu cầu đó.

Quan điểm ngành du lịch. Một số trong những yêu cầu này có thể được giải quyết một cách tự động. Virgin America, ví dụ, cho phép xóa một số thông tin cá nhân thông qua hồ sơ người dùng cá nhân.

Nguồn: Chính sách bảo mật của Virgin America

Các công ty du lịch cũng cần đảm bảo họ có thể kiểm soát quá trình xóa dữ liệu của bên thứ ba với quyền truy cập vào thông tin hiện có. Chẳng hạn, khi người dùng đặt chuyến đi, một cổng thông tin du lịch sẽ chuyển thông tin đến khách sạn hoặc nhà cung cấp dịch vụ cho thuê xe hơi.

Điều chỉnh quy trình cá nhân hóa của bạn

Hầu hết các quy trình tiếp thị trong các công ty du lịch trực tuyến đều dựa trên cá nhân hóa trải nghiệm người dùng. GDPR cung cấp cho các công ty một cơ hội để ngăn chặn spam người dùng của họ, thay vào đó mang lại sự cá nhân hóa rõ ràng, có giá trị hơn. Nếu chúng ta xem xét các yêu cầu quy định từ quan điểm du lịch, nó có thể được coi là một cơ hội mới để cá nhân hóa. Ưu đãi kỳ nghỉ, vé máy bay giá rẻ hoặc đề xuất dịch vụ khách sạn thoải mái thúc đẩy mọi người. Hầu hết khách hàng quan tâm đến việc chia sẻ dữ liệu cá nhân của họ để có dịch vụ tốt hơn và được cá nhân hóa hơn.

Nếu các công ty du lịch quản lý để giới thiệu thông tin liên lạc rõ ràng và cho phép khách du lịch định hình các ưu đãi du lịch được quảng bá, sẽ có một giá trị thực sự trong việc cá nhân hóa có ý nghĩa và cập nhật.

Bổ nhiệm một nhân viên bảo vệ dữ liệu

Theo GDPR, các tổ chức phải chỉ định một nhân viên bảo vệ dữ liệu (DPO) trong một số trường hợp. Cụ thể, việc bổ nhiệm DPO là bắt buộc khi:

  1. Tổ chức này là một cơ quan công quyền hoặc cơ quan.
  2. Tổ chức tham gia giám sát thường xuyên và có hệ thống các cá nhân trên quy mô lớn, ví dụ, theo dõi hành vi trực tuyến.
  3. Các tổ chức tham gia xử lý quy mô lớn các loại dữ liệu đặc biệt (dữ liệu cá nhân nhạy cảm) hoặc dữ liệu liên quan đến kết án và tội phạm hình sự.

Không có ngoại lệ cho các công ty vừa và nhỏ. Tuy nhiên, mỗi quốc gia EU có thể xác định riêng các trường hợp khác mà họ phải chỉ định DPO.

DPO có thể là một nhân viên hiện có chịu trách nhiệm tuân thủ bảo vệ dữ liệu hoặc các công ty có thể thuê một chuyên gia bên ngoài cho vai trò này.

Quan điểm ngành du lịch. Nếu bạn điều hành một dịch vụ du lịch và hoạt động địa phương không thu thập bất kỳ dữ liệu cá nhân nào ngoài email và bạn không thể đối mặt với khách du lịch châu Âu một cách có hệ thống, thì chắc chắn rằng bạn không cần DPO. Tuy nhiên, nếu bạn vận hành một OTA cung cấp dịch vụ trên toàn cầu và có hệ thống xử lý dữ liệu người dùng để đặt chỗ, tiếp thị và cá nhân hóa, nhân viên bảo vệ dữ liệu sẽ trở nên cần thiết.

Cho phép thông báo vi phạm dữ liệu

Đảm bảo rằng bạn thiết lập đúng quy trình để phát hiện, báo cáo và điều tra vi phạm dữ liệu cá nhân một cách hiệu quả. Theo GDPR, các công ty nên báo cáo một số loại vi phạm dữ liệu cho Văn phòng Ủy viên Thông tin trong vòng 72 giờ. Nếu vi phạm có thể ảnh hưởng trực tiếp đến mọi người Quyền và quyền tự do, các cá nhân cũng phải được thông báo.

Quan điểm ngành du lịch. Khi các OTA, khách sạn và các hãng hàng không thu thập và lưu trữ nhiều dữ liệu cá nhân, từ tên cho đến thông tin trẻ em, việc đảm bảo phản hồi đúng đối với các vi phạm trở nên quan trọng.

Cung cấp cho người dùng quyền truy cập vào dữ liệu cá nhân mà bạn đã lưu trữ về họ

Chủ thể dữ liệu có quyền nhận thông tin từ bộ điều khiển bất kể dữ liệu cá nhân của người đó có được xử lý hay không. Bạn sẽ có thể cung cấp cho người dùng quyền truy cập vào dữ liệu cá nhân của họ và thông tin về cách xử lý dữ liệu cá nhân này.

Foursquare thành công trong việc truyền đạt các mục đích sử dụng dữ liệu và cung cấp quyền kiểm soát dữ liệu cá nhân

Quan điểm ngành du lịch. Một phần, yêu cầu này có thể được đáp ứng với việc giới thiệu các phần riêng tư đặc biệt trong cài đặt tài khoản người dùng. Tương tự như ví dụ trên ở trên, người dùng có thể có quyền truy cập vào các danh mục dữ liệu và phải có thể bật hoặc tắt một số quy trình thu thập dữ liệu.

Nếu người dùng yêu cầu, bạn cũng phải sẵn sàng cung cấp tổng quan về các loại dữ liệu đang được xử lý và bản sao dữ liệu thực tế. Cho dù dữ liệu cá nhân được chia sẻ với các công ty khác hoặc được chuyển cho bên thứ ba, bạn phải cung cấp thông tin chi tiết cho chủ đề dữ liệu về các quy trình này.

Đảm bảo tính di động của dữ liệu bạn lưu trữ

Chủ thể dữ liệu có thể yêu cầu chuyển dữ liệu cá nhân của mình từ hệ thống xử lý điện tử này sang hệ thống xử lý điện tử khác. Bạn phải sẵn sàng cho những yêu cầu như vậy. Dữ liệu phải được cung cấp ở định dạng điện tử có cấu trúc và thường được sử dụng. Điều này cho phép các công ty khác sử dụng dữ liệu. Dữ liệu phải được cung cấp miễn phí. Người dùng cũng có quyền yêu cầu truyền dữ liệu trực tiếp đến các tổ chức khác. Tuy nhiên, điều này không có nghĩa là bạn nên điều chỉnh các hệ thống xử lý của mình để tương thích với các tổ chức khác.

Quan điểm ngành du lịch. Nếu bạn điều hành một doanh nghiệp khách sạn, nó có khả năng bạn lưu trữ dữ liệu cá nhân trong một hệ thống quản lý tài sản. Hãy chắc chắn phần mềm của bạn có thể xuất dữ liệu theo các định dạng phổ biến, như csv hoặc xlsx.

Phần kết luận

Nó rất quan trọng cho công ty của bạn tuân thủ GDPR. Tuân thủ quy định là một vấn đề phức tạp mà tất cả nhân viên công ty phải hỗ trợ. Để bắt đầu thay đổi các quy trình tuân thủ các quy tắc mới, các nhà quản lý hàng đầu của công ty bạn phải hiểu tầm quan trọng của GDPR và cách nó sẽ ảnh hưởng đến doanh nghiệp của bạn để họ có thể chủ động.

Trong khi GDPR chắc chắn sẽ ảnh hưởng đến hầu hết tất cả những người chơi trong ngành du lịch, nó có thể là một cơ hội chứ không phải là một mối đe dọa. Nó thúc đẩy các doanh nghiệp du lịch xây dựng mối quan hệ đáng tin cậy với khách hàng cung cấp các đề xuất có giá trị cho họ. Để xây dựng các mối quan hệ như vậy, bạn phải đảm bảo rằng khách hàng của bạn hiểu lý do tại sao dữ liệu được thu thập. Và, hãy nhớ rằng, họ có khả năng cung cấp nhiều dữ liệu hơn để cá nhân hóa tốt hơn. Nếu bạn sử dụng dữ liệu được thu thập một cách hiệu quả, khách hàng của bạn sẽ nhận được các đề xuất được cá nhân hóa hơn và kết quả là, được thúc đẩy để mua hàng.

Thích câu chuyện? Vỗ tay chúng tôi để nhiều người có thể tìm thấy nó!
Được xuất bản lần đầu tại blog AltexSoft, Nhật Bản: Cách làm thế nào để tuân thủ GDPR: Khuyến nghị cho ngành công nghiệp du lịch

Câu chuyện này được xuất bản trong The Startup, ấn phẩm khởi nghiệp lớn nhất Medium Medium sau đó là 308.692+ người.

Đăng ký để nhận những câu chuyện hàng đầu của chúng tôi ở đây.