في أعقاب انتشار فيروس كورونا ، تراجعت مشكلات الامتثال للقانون العام لحماية البيانات (GDPR). في حين أنه ليس موضوعًا شائعًا - لا يزال من المهم لكل صاحب فندق أن يفهم المفاهيم الأساسية حول قانون الخصوصية في الاتحاد الأوروبي.

هل فندقك متوافق مع اللائحة العامة لحماية البيانات ، المعروفة أكثر باسم اللائحة العامة لحماية البيانات؟ ربما تكون قد خضعت لعملية تنفيذ كبيرة لجعل فندقك يصل إلى مستوى الامتثال. أو ربما تكون قد رفضت تكلفة مثل هذا المشروع واتخذت نهج "الأصابع المتقاطعة" بأن علامتك التجارية الصغيرة لن تكون هدفًا لعمليات تدقيق الامتثال.

أينما وصلت إلى هذا الطيف ، فإن مخاطر عدم الامتثال للائحة العامة لحماية البيانات في فندقك تكون عالية نسبيًا. تم تقديم 281000 حالة إلى الجهات التنظيمية في السنة الأولى من اللائحة العامة لحماية البيانات ، حيث تخاطر الشركات بغرامة قصوى تبلغ 20 مليون يورو أو 4٪ من الإيرادات السنوية ، أيهما أكبر. وفي يوليو 2019 ، تم التأكيد على مخاطر عدم الامتثال للفنادق من خلال غرامة قياسية قدرها 125 مليون دولار أمريكييتحمل ماريوت المسؤولية عن انتهاك كبير للبيانات بموجب اللوائح. ربما يكون ضرر العلاقات العامة أكثر تكلفة من الغرامة!

بالنسبة للصناعة التي تجمع البيانات وتشاركها عبر مواقع الويب ومديري القنوات ومحركات الحجز التابعة لجهات خارجية ، كان القانون العام لحماية البيانات يمثل ألمًا هائلاً. كما أنها كانت باهظة الثمن بشكل لا يصدق ، حيث قدرت Forbes التكلفة العالمية للامتثال بأكثر من 9 مليار دولار أمريكي. وهذا فقط لأكبر الشركات! تستغل الشركات الصغيرة والمتوسطة الحجم قدرًا هائلاً من الوقت والمال في الامتثال.

على الرغم من هذا الاستثمار ، فإن التنظيم ببساطة لم يعمل كما هو مُصمم. إنها مبادرة حسنة النية تم تنفيذها بطريقة مروعة. في هذا الكتاب التمهيدي السريع حول "GDPR for dummies" ، سنستكشف كيف بدأت بقوة وأين حدث خطأ ، ونمنحك قائمة مراجعة كاملة للائحة العامة لحماية البيانات للفنادق حتى تتمكن من الامتثال دون كسر البنك.

ما هو قانون حماية البيانات (GDPR)؟

دخل القانون العام لحماية البيانات (GDPR) ، الذي يمثل اللائحة العامة لحماية البيانات ، حيز التنفيذ في الاتحاد الأوروبي في 25 مايو 2018. وقد تميز تمرير القانون بصراع صارخ بين أولئك الذين يؤمنون بدور الحكومة في حماية خصوصية المستهلكين من خلال التنظيم وأولئك الذين يعتقدون أن السوق الحرة يجب أن تسود.

توفر اللائحة العامة لحماية البيانات "حماية الأشخاص الطبيعيين فيما يتعلق بمعالجة البيانات الشخصية والحركة الحرة لهذه البيانات." كإصلاح شامل للطريقة التي يُتوقع من الشركات معالجة البيانات ومعالجتها وتخزينها ، منحت اللائحة العامة لحماية البيانات للأفراد أيضًا تحكمًا أكثر دقة في بياناتهم.

بموجب القانون العام لحماية البيانات (GDPR) ، تشير البيانات إلى كل من البيانات الشخصية ، مثل الأسماء وعناوين IP أو أي شيء يمكن استخدامه لتحديد هوية الشخص والبيانات الشخصية الحساسة ، مثل المواد الوراثية والآراء السياسية والتوجه الجنسي وما شابه.

أي منظمة تعمل كمراقب أو معالج للبيانات الشخصية مشمولة باللائحة العامة لحماية البيانات (GDPR). المتحكم في البيانات هو الكيان الذي يحدد كيفية استخدام البيانات للعملية في حين أن معالج البيانات هو أي كيان ليس موظفًا في وحدة التحكم في البيانات الذي يعالج البيانات نيابة عن المتحكم.

بالنسبة للفنادق ، يعد هذا التمييز مهمًا ، حيث قد تعمل بمثابة "مراقب" البيانات (أي الحجوزات المباشرة) بينما يُنظر إلى مورديها على أنهم "معالجون" للبيانات (أي الحجوزات التي تتم على منصات طرف ثالث). ما لم ينص عقد على خلاف ذلك ، يكون مراقب البيانات مسؤولاً عن أي امتثال للائحة العامة لحماية البيانات (GDPR).

في مواجهة غرامة محتملة تصل إلى 25 مليون يورو أو 4٪ من الإيرادات ، يجب أن تضع الفنادق الضيف في مركز جميع استراتيجيات حماية البيانات. سنغطي ذلك أكثر لاحقًا في قائمة مراجعة الناتج المحلي الإجمالي للفندق.

قائمة مراجعة الناتج المحلي الإجمالي للفندق

لتحقيق امتثال فندقك ، وكذلك الحفاظ على هذا الامتثال بمرور الوقت ، يتطلب الأمر اتباع نهج مدروس وشامل. ستحتاج إلى التفكير بعناية في كيفية مشاركة البيانات عبر الأنظمة الداخلية ، فضلاً عن كيفية تدفق هذه البيانات ذهابًا وإيابًا من أنظمة الجهات الخارجية التي لا تخضع لسيطرتك مباشرة.

نظرًا لأن اللائحة العامة لحماية البيانات تضع المسؤولية على عاتق فندقك كمراقب بيانات ، فمن الأهمية بمكان أن تفهم كيفية تدفق البيانات في كل منعطف. فيما يلي قائمة تحقق GDR للفنادق:

1. مراجعة. إجراء تحليل لمراجعة العمليات الداخلية والعقود مع البائعين وقواعد البيانات الحالية وكيفية تدفق البيانات بين الأنظمة. تحتاج إلى فهم المعلومات التي تمتلكها ومن يمكنه الوصول إليها. يجب أن يخبرك هذا الوضوح كل ما تفعله من هذه النقطة فصاعدًا.

2. يتواصل. اسأل البائعين الحاليين عن سياسات امتثال البيانات الخاصة بهم. يجب أن تكون لدينا صورة واضحة عن كيفية تفاعل بيانات فندقك مع أنظمتها ، وتحديد أي نقاط ضعف أو البائعين غير المطلعين. بعد التحدث إلى البائعين الحاليين ، قد يكون الوقت قد حان لتقييم الخيارات الأخرى. عند العمل مع مورد متوافق مع اللائحة العامة لحماية البيانات ، مثلبرنامج TravelClick's GMS (CRM) أو iHotelier Booking Engine أو منشئ موقع الفندق ، يمكنك التخلص من ضغوط الامتثال دون أن تحرك ساكناً. تم تضمين الامتثال في المنتج حتى تحصل على مزيد من راحة البال.

3. يخطط. بمجرد الانتهاء من المراجعة وتحديث المكدس التقني ، فإن الخطوة التالية هي إنشاء مخطط للحوكمة. أنت تريد إطار عمل لإدارة البيانات ، بما في ذلك السياسات والعمليات للقضاء على الفجوات المحتملة في كيفية تعامل فندقك مع بيانات النزلاء. ستحتاج إلى أدوار ومسؤوليات محددة بوضوح للموظفين ، مثل إسناد المسؤولية للتعامل مع طلبات البيانات الواردة من المستهلكين. ستحتاج أيضًا إلى إنشاء خطة عمل خطوة بخطوة لخرق البيانات لسنها في حالة وقوع حادث متعلق بالبيانات أو اختراق أو خرق.

4. نفذ - اعدم. حان الوقت الآن للعمل على الخطة! الأشياء التي تريد التأكد من تضمينها:

   1. الموافقة الصريحة: اطلب من زوار موقع الويب الخاص بك الاشتراك في ملفات تعريف الارتباط ، بدلاً من تثبيت ملفات تعريف الارتباط تلقائيًا وإلغاء اشتراكها. ستحتاج أيضًا إلى تتبع متى وأين وافق كل شخص (أو ألغى تلك الموافقة).

   2. سياسة الخصوصية: قم بتحديث سياسة الخصوصية الخاصة بك لتضمين معلومات الامتثال للائحة العامة لحماية البيانات ذات الصلة ، مثل كيفية استخدامك للبيانات وكيف يمكن للمستخدمين إلغاء الاشتراك.

   3. مكتب الاستقبال: تأكد من أن سياسات جمع البيانات الخاصة بك في مكتب الاستقبال متوافقة لأن أي شيء تجمعه في وضع عدم الاتصال يجب أن يتوافق أيضًا مع القانون العام لحماية البيانات (GDPR).

   4. البيانات الموجودة. ينطبق القانون العام لحماية البيانات (GDPR) على جميع البيانات الشخصية ، بغض النظر عن وقت التقاطها. نظرًا لأن البيانات تخضع أيضًا لقواعد ولوائح جديدة ، فأنت تريد التأكد من أنها تتوافق أيضًا!

5. قطار. الامتثال جيد فقط مثل أضعف رابط لديك. من خلال تدريب الموظفين على الالتزام بهذه السياسات ، ستكون أقل عرضة للمشكلات المتعلقة باللائحة العامة لحماية البيانات. قم بتثقيف موظفيك بشأن ما قد يؤدي إلى خرق البيانات وكيف يمكنهم المساعدة في منعه - بما في ذلك مراقبة العلامات الحمراء. قم بإجراء عملية واضحة للموظفين لإبلاغ الإدارة عن أي أخطاء أو قضايا أخرى متعلقة بالشكاوى. يجب أن تكون هناك بيئة لا خوف تعطي الأولوية للشفافية على العقوبة.

6. الحفاظ. الصيانة أقل إرهاقًا بكثير من الامتثال. قم بإعادة زيارة كل جانب من جوانب برنامج حماية البيانات بانتظام لمراجعة أي تغييرات غير متوقعة أو مشكلات امتثال جديدة.

قانون حماية البيانات هو مبادرة حسنة النية ...

كانت النوايا الكامنة وراء قانون حماية البيانات جيدة: كان الأمر كله يتعلق بإنشاء المزيد من الضوابط للمستهلكين في العصر الرقمي القائم على البيانات اليوم. في معظم البلدان والمناطق ، تم سن قوانين الخصوصية الحالية قبل سيطرة الإنترنت. كان الهدف من اللائحة مواكبة اللوائح التجارية.

لتحقيق هذا الهدف المتمثل في زيادة التحكم في العصر الرقمي اليوم ، كرس التنظيم سبعة حقوق فردية بناءً على مبادئ حماية البيانات الأساسية:

1. الحق في أن تكون على اطلاع. يجب على الشركات تحديد البيانات التي يتم جمعها ، ولماذا تم جمعها ، والغرض من استخدامها ، ومدة تخزينها. يجب أن يكون لدى الشركات أيضًا أسباب واضحة لتخزين البيانات لتلك المدة الزمنية.

1. حق الوصول. يمكن للأفراد الوصول إلى البيانات الشخصية عند الطلب ، بتنسيق يمكن قراءته بسهولة.

2. الحق في التصحيح. يمكن للأفراد مراجعة وتعديل وتصحيح البيانات الموجودة لدى الشركات.

3. الحق في النسيان. يمكن للأفراد طلب حذف المعلومات المتعلقة بهم ويجب على الشركات الموازنة بين المصلحة الفردية والمصلحة العامة عند الموافقة على طلبات الحذف.

4. الحق في تقييد المعالجة. يحق للأفراد تقييد معالجة بياناتهم الشخصية عندما يكون لديهم سبب معين لرغبتهم في التقييد.

5. الحق في نقل البيانات. يحق للأفراد نقل بياناتهم الشخصية عند الطلب.

6. الحق في الاعتراض. يجب على الشركات الحصول على موافقة صريحة من الأفراد وتقديم خيار سحب هذه الموافقة ، أثناء تتبع هذه الموافقة في موقع مركزي. للأفراد أيضًا الحق في الاعتراض على القرارات التي تتخذها الخوارزميات الآلية.

حتى مع هذه الفوائد القوية للتحكم الفردي في بياناتهم وكيفية استخدامها ، كان للمبادرة أيضًا بعض النتائج غير المقصودة.

... مع العديد من النتائج غير المقصودة

كانت هناك بعض النتائج غير المقصودة الهامة من ألمانيا الشرقية. وبالتحديد ، كيف تسربت حقائق الامتثال إلى اقتصاديات ممارسة الأعمال التجارية في أوروبا وترسيخ قوة شركات التكنولوجيا الكبرى بشكل أكبر:

1. Big Tech هي المستفيد الأكبر.

   1. اكتسبت العلامات التجارية التي تمتلك أكثر أدوات تعقب البيانات استخدامًا حصة في السوق بسبب الناتج المحلي الإجمالي. عندما تكيفت الشركات الصغيرة مع القانون الجديد ، فقد خسرت أمام أولئك الذين لديهم أكبر قدر من الموارد. أظهرت دراسة أجرتها Ghostery انخفاضًا بنسبة 20٪ في الوصول إلى مواقع الويب لأفضل 50 بائعًا لتكنولوجيا الإعلانات ، حيث لم تكن Google أو Facebook. يبدو أن اللائحة العامة لحماية البيانات قد وضعت المزيد من القوة في أيدي المهيمن بالفعل.

2. التعقيد يولد الارتباك - ومكاسب غير متوقعة للمحامين.

   1. القانون نفسه معقد للغاية بالنسبة للأفراد والشركات. نظرًا لأن العديد من الشركات تنفق ما لا يقل عن 40٪ من ميزانيات الامتثال الخاصة بها على الاستشارات القانونية ، فإن المحامين هم حقًا الوحيدون الذين يحققون فوزًا شاملاً.

3. انخفاض القدرة التنافسية الأوروبية - و وظائف أقل.

   1. كان لقانون التعقيد تأثير هائل على الشركات الناشئة في المنطقة ، حيث وجدت إحدى الدراسات "انخفاضًا قدره 3.38 مليون دولار في إجمالي الدولارات التي جمعتها مشاريع الاتحاد الأوروبي لكل ولاية لكل فئة صناعة خام في الأسبوع ، وانخفاض بنسبة 17.6٪ في عدد صفقات المشاريع الأسبوعية. ، وانخفاض بنسبة 39.6٪ في المبلغ الذي تم جمعه في متوسط الصفقة بعد طرح اللائحة العامة لحماية البيانات ". نتج عن خسارة هذا الاستثمار مكان ما بين 3604 إلى 29819 وظيفة في أوروبا.

4. مخاطر الاندماج الجديدة.

   1. كما يتضح من سجل غرامة ماريوت المتعلق بممارسات Starwood ، فإن الفنادق التي تستحوذ على فنادق أخرى تتحمل أي مخاطر متعلقة بسندات الإيداع الدولية. على هذا النحو ، تنهار الصفقات ، مع 55٪ من استطلاع Merrill Corpقائلين إنهم عملوا على صفقات انهارت بسبب مخاوف بشأن سياسات حماية البيانات للشركة المستهدفة والامتثال للائحة العامة لحماية البيانات.

5. تكلفة الامتثال للفنادق.

   1. تتأثر صناعة الضيافة بشكل خاص باللائحة العامة لحماية البيانات (GDPR) ، حيث يجب على الفنادق في أكثر المواقع النائية مراعاة الامتثال. تكلفة الاحتفاظ بالمشورة وتنفيذ الأنظمة باهظة. يتطلب الامتثال للقانون العام لحماية البيانات (GDPR) التعاون بين البائعين والموظفين في مجال تكنولوجيا المعلومات والأمن السيبراني والطب الشرعي الرقمي وتصميم الأنظمة. مع وجود الكثير مما يتعين القيام به ، تتمتع أكبر العلامات التجارية بميزة رئيسية حيث يمكنها استخدام وفورات الحجم لتقليل التكلفة الإجمالية للتنفيذ.

على الرغم من هذه العواقب غير المقصودة ، لا تزال اللائحة العامة لحماية البيانات تمثل مشكلة رئيسية للفنادق. من خلال موازنة متطلبات الامتثال مع نهج استراتيجي ، يمكن للفنادق من جميع الأحجام بناء إطار عمل ميسور التكلفة وفعال.

عندما تتطلع إلى اللائحة العامة لحماية البيانات ، ضع في اعتبارك أن الفنادق مسؤولة عن كيفية قيام البائعين بجمع البيانات والتفاعل معها. يجب أن تكون كل نقطة اتصال متوافقة وإلا فإنك تخاطر بدفع الغرامات. لذلك يجب عليك التحقق من أن البائعين لديك على علم واستباقي بشأن اللائحة العامة لحماية البيانات للفنادق. بخلاف ذلك ، بغض النظر عن مقدار التحضير الذي تقوم به من جانبك ، ستترك فندقك مفتوحًا أمام نقاط الضعف - والعواقب المالية والعلاقات العامة لعدم الامتثال ووقوع شيء مثل خرق البيانات يحدث.