בעקבות בעיות נגיף הקורונה כמו תאימות ל-GDPR נפלו עד המותניים. למרות שזה לא נושא פופולרי - עדיין חשוב לכל מלונאי להבין את המושגים הבסיסיים סביב חוק הפרטיות של האיחוד האירופי.

האם המלון שלכם תואם לתקנת הגנת המידע הכללית, הידועה יותר בשם GDPR? אולי עברת יישום משמעותי כדי להביא את המלון שלך לעמוד בדרישות. או שאולי נרתעת מהעלות של פרויקט כזה ונקטת בגישה של "מחזיקים אצבעות" לפיה המותג הקטן יותר שלך לא יהיה יעד לביקורות תאימות.

בכל מקום שבו אתה נוחת על הספקטרום הזה, הסיכון של אי ציות ל-GDPR למלון שלך הוא גבוה יחסית. הוגשו 281,000 מקרים לרגולטורים בשנה הראשונה של GDPR, כאשר חברות מסתכנות בקנס מרבי של 20 מיליון יורו או 4% מההכנסות השנתיות, הגבוה מביניהם. וביולי 2019, הסיכונים של אי ציות למלונות הודגשו בקנס שיא של 125 מיליון דולרהואשם ממריוט בגין הפרת נתונים חמורה על פי הרגולציה. הנזק ליחסי ציבור בלבד הוא כנראה יקר יותר מהקנס!

עבור תעשייה המאגדת ומשתפת נתונים בין אתרים, מנהלי ערוצים ומנועי הזמנות של צד שלישי, GDPR היה כאב עצום. זה גם היה יקר להפליא, כאשר פורבס מעריך את העלות העולמית של ציות ליותר מ-9 מיליארד דולר. וזה רק לחברות הגדולות ביותר! עסקים קטנים עד בינוניים משקיעים כמות עצומה של זמן וכסף בציות.

למרות ההשקעה הזו, הרגולציה פשוט לא פעלה כמתוכנן. זו יוזמה עם כוונות טובות שבוצעה בצורה נוראית. בפריימר המהיר הזה של "GDPR for dummies", נחקור איך זה התחיל חזק ואיפה זה השתבש, וניתן לך רשימת GDPR מלאה עבור בתי מלון כדי שתוכל לעמוד בדרישות מבלי להרוס את הבנק.

מהו חוק הגנת המידע (GDPR)?

GDPR, המהווה את תקנת הגנת המידע הכללית , נכנסה לתוקף באיחוד האירופי ב-25 במאי 2018. העברת החוק התאפיין בהתנגשות חריפה, בין אלה המאמינים בתפקידה של הממשלה בהגנה על פרטיות הצרכנים באמצעות רגולציה ואלו המאמינים ששוק חופשי חייב לנצח.

GDPR מספקת "הגנה על אנשים טבעיים בכל הנוגע לעיבוד נתונים אישיים ועל תנועה חופשית של נתונים כאלה". בתור שיפוץ גדול של האופן שבו עסקים צפויים לעבד, לטפל ולאחסן נתונים, GDPR גם נתן לאנשים שליטה מפורטת יותר על הנתונים שלהם.

לפי GDPR, הנתונים מתייחסים הן לנתונים אישיים, כגון שמות, כתובות IP או כל דבר שיכול לשמש לזיהוי אדם, והן לנתונים אישיים רגישים, כגון חומר גנטי, דעות פוליטיות, נטייה מינית וכדומה.

כל ארגון הפועל כבקר או מעבד של נתונים אישיים מכוסה על ידי ה-GDPR. בקר נתונים הוא הישות שקובעת כיצד נעשה שימוש בנתונים להמשך התהליך, בעוד שמעבד הנתונים הוא כל ישות שאינה עובדת של בקר הנתונים המעבדת נתונים מטעם הבקר.

עבור בתי מלון, הבחנה זו חשובה, שכן הם עשויים לשמש כ"בקר" בנתונים (כלומר הזמנות ישירות) בעוד שהספקים שלהם נתפסים כ"מעבדים" של הנתונים (כלומר הזמנות שבוצעו בפלטפורמות של צד שלישי). אלא אם כן נקבע אחרת על ידי חוזה, מבקר הנתונים אחראי לכל תאימות ל-GDPR.

מול קנס פוטנציאלי של עד 25 מיליון יורו או 4% מההכנסות, בתי מלון חייבים לשים את האורח במרכז כל אסטרטגיות הגנת המידע. נסקור זאת בהמשך ברשימת ה-GDPR של המלון שלנו.

רשימת GDPR של מלון

כדי להביא את המלון שלך לעמוד בדרישות, כמו גם לשמור על תאימות זו לאורך זמן, זה דורש גישה מתחשבת והוליסטית. תצטרך לחשוב היטב על אופן שיתוף הנתונים בין מערכות פנימיות, כמו גם כיצד הנתונים הללו זורמים הלוך ושוב ממערכות צד שלישי שאינן בשליטתך ישירות.

מכיוון ש-GDPR מטיל את האחריות על המלון שלך כבקר נתונים, חשוב שתבין כיצד זורמים נתונים בכל צומת. להלן רשימת בדיקה של GDR עבור מלונות:

1. בְּדִיקָה. בצע ניתוח כדי לסקור תהליכים פנימיים, חוזים עם ספקים, מסדי נתונים קיימים וכיצד זורמים נתונים בין מערכות. אתה צריך להבין איזה מידע יש לך ולמי יש גישה אליו. בהירות זו אמורה להודיע על כל מה שאתה עושה מנקודה זו ואילך.

2. לתקשר. שאל את הספקים הקיימים לגבי מדיניות תאימות הנתונים שלהם. עלינו לקבל תמונה ברורה של האופן שבו הנתונים של המלון שלך מקיימים אינטראקציה עם המערכות שלהם, ולזהות נקודות תורפה או ספקים בעלי מידע גרוע. לאחר שדיברתי עם הספקים הקיימים שלך, ייתכן שהגיע הזמן להעריך אפשרויות אחרות. כאשר עובדים עם ספק תואם GDPR, כמוה-GMS (CRM) של TravelClick, מנוע ההזמנות של iHotelier או בונה אתרים של בתי מלון , אתה מבטל את מתח התאימות מבלי להרים אצבע. התאימות מובנית במוצר כך שתהיה לך יותר שקט נפשי.

3. לְתַכְנֵן. ברגע שיש לך את הביקורת שלך ואת מחסנית הטכנולוגיה המעודכנת, השלב הבא הוא יצירת תוכנית ניהול. אתה רוצה מסגרת לניהול נתונים, כולל מדיניות ותהליכים כדי למנוע פערים פוטנציאליים באופן שבו המלון שלך מטפל בנתוני האורחים. תזדקק לתפקידים ואחריות מוגדרים בבירור לצוות, כגון הקצאת אחריות לטיפול בבקשות נתונים נכנסות מצרכנים. כמו כן, תרצה ליצור תוכנית פעולה שלב אחר שלב להפרת נתונים שתבצע במקרה של תקרית, פריצה או הפרה הקשורים לנתונים.

4. לבצע. עכשיו הגיע הזמן לעבוד על התוכנית! דברים שאתה רוצה להיות בטוח שיכללו:

   1. הסכמה מפורשת: בקש מהמבקרים באתר שלך להצטרף לקובצי Cookie, במקום להתקין קובצי Cookie אוטומטית ולבטל את הסכמתו. תצטרך גם לעקוב אחר מתי והיכן כל אדם הסכים (או ביטל את ההסכמה).

   2. מדיניות פרטיות: עדכן את מדיניות הפרטיות שלך כך שתכלול מידע רלוונטי לגבי תאימות GDPR, כגון אופן השימוש שלך בנתונים וכיצד משתמשים יכולים לבטל את הסכמתך.

   3. דלפק קבלה: ודא שמדיניות איסוף הנתונים שלך בדלפק הקבלה תואמת כי כל מה שאתה אוסף במצב לא מקוון חייב גם לעמוד ב-GDPR.

   4. מידע קיים. GDPR חל על כל הנתונים האישיים, לא משנה מתי הם נלכדו. מכיוון שהנתונים כפופים גם לכללים ורגולציה חדשים, אתה רוצה להיות בטוח שגם הם עומדים!

5. רכבת. תאימות טובה רק כמו החוליה החלשה ביותר שלך. על ידי הכשרת צוות לציית למדיניות זו, אתה תהיה פחות פגיע לבעיות הקשורות ל-GDPR. למד את הצוות שלך על מה עלול להוביל לפרצת נתונים וכיצד הם יכולים לסייע במניעתה - כולל ניטור אחר דגלים אדומים. להפעיל תהליך ברור לצוות לדווח על טעויות או בעיות אחרות הקשורות לתלונות להנהלה. צריכה להיות סביבה ללא פחד שתעדוף שקיפות על פני ענישה.

6. לְתַחְזֵק. התחזוקה מכבידה הרבה פחות מהציות. בדוק שוב כל היבט של תוכנית הגנת הנתונים שלך באופן קבוע כדי לבדוק אם יש שינויים בלתי צפויים או בעיות תאימות חדשות.

חוק הגנת המידע הוא יוזמה עם כוונות טובות...

הכוונות מאחורי חוק הגנת המידע היו טובות: הכל היה על יצירת יותר בקרות לצרכנים בעידן הדיגיטלי של היום מונע נתונים. ברוב המדינות והאזורים, חוקי הפרטיות הקיימים נחקקו לפני השתלטות האינטרנט. התקנה נועדה לתפוס את התקנות עד למסחר.

כדי להשיג מטרה זו של שליטה רבה יותר בעידן הדיגיטלי של היום, הרגולציה עיגנת שבע זכויות אינדיבידואליות המבוססות על עקרונות הליבה של הגנת מידע:

1. הזכות לקבל מידע. חברות חייבות לציין אילו נתונים נאספים, מדוע הם נאספים, לשם מה הם ישמשו וכמה זמן הם יישמרו. לחברות חייבות להיות גם סיבות ברורות לאחסון נתונים למשך פרק זמן זה.

1. זכות הגישה. אנשים יכולים לגשת לנתונים האישיים על פי בקשה, בפורמט הניתן לקריאה בקלות.

2. הזכות לתיקון. אנשים יכולים לסקור, לשנות ולתקן נתונים שיש לחברות עליהם.

3. הזכות להישכח. אנשים פרטיים יכולים לבקש מחיקת מידע אודותיהם וחברות חייבות לאזן בין אינטרס אישי לטובת הציבור בעת מתן בקשות מחיקה.

4. הזכות להגביל עיבוד. ליחידים יש את הזכות להגביל את העיבוד של הנתונים האישיים שלהם כאשר יש להם סיבה מסוימת לרצות את ההגבלה.

5. הזכות לניידות נתונים. ליחידים יש את הזכות להעביר את הנתונים האישיים שלהם לפי דרישה.

6. הזכות להתנגד. חברות חייבות לקבל הסכמה מיחידים באופן מפורש ולהציע את האפשרות לבטל את ההסכמה, תוך מעקב אחר הסכמה זו במיקום מרכזי. ליחידים יש גם את הזכות למחות על החלטות שהתקבלו על ידי אלגוריתמים אוטומטיים.

אפילו עם יתרונות כה חזקים עבור שליטה אינדיבידואלית על הנתונים שלהם ואופן השימוש בהם, היוזמה היו גם כמה השלכות לא מכוונות.

...עם הרבה השלכות לא רצויות

היו כמה השלכות לא מכוונות משמעותיות של GDR; כלומר, כיצד המציאות של ציות זלגה אל הכלכלה של עשיית עסקים באירופה וביצרה עוד יותר את כוחה של Big Tech:

1. ביג טק הוא המרוויח הגדול ביותר.

   1. המותגים עם עוקבי הנתונים הנפוצים ביותר צברו נתח שוק עקב GDPR. ככל שחברות קטנות יותר הסתגלו לחוק החדש, הן הפסידו לבעלי המשאבים הרבים ביותר. מחקר של Ghostery הראה ירידה של 20% בטווח הגעה לאתר עבור 50 ספקי טכנולוגיית הפרסום המובילים שלא היו גוגל או פייסבוק. נראה שה-GDPR הכניס יותר כוח בידיהם של השולטים כבר.

2. המורכבות מולידה בלבול - ורוח גבית עבור עורכי הדין.

   1. החוק עצמו מסובך מדי עבור אנשים פרטיים ועסקים כאחד. עם חברות רבות שמוציאות לפחות 40% מתקציבי הציות שלהן על ייעוץ משפטי, עורכי הדין הם באמת היחידים עם ניצחון רחב.

3. הפחתת התחרותיות האירופית -- ופחות מקומות עבודה.

   1. לחוק המורכבות הייתה השפעה עצומה על הסטארט-אפים באזור, כאשר מחקר אחד מצא "ירידה של 3.38 מיליון דולר במצטבר של דולרים שגויסו על ידי מיזמים באיחוד האירופי לכל מדינה לכל קטגוריית תעשיית נפט גולמית לשבוע, הפחתה של 17.6% במספר העסקאות השבועיות במיזם. , וירידה של 39.6% בסכום הגיוס בעסקה ממוצעת בעקבות השקת ה-GDPR." אובדן ההשקעה הזה הביא ואיפשהו בין 3,604 ל-29,819 משרות באירופה.

4. סיכוני מיזוג חדשים.

   1. כפי שמעיד הקנס של מריוט על רקע שיטות העבודה של Starwood, מלונות הרוכשים מלונות אחרים נוטלים על עצמם סיכונים כלשהם הקשורים ל-GDR. כתוצאה מכך, העסקאות מתפרקות, עם 55% מסקר של Merrill Corpאומרים שהם עבדו על עסקאות שהתפרקו בגלל חששות לגבי מדיניות הגנת המידע של חברת יעד ועמידה ב-GDPR.

5. עלות ציות לבתי מלון.

   1. תעשיית האירוח מושפעת במיוחד מ-GDPR, שכן מלונות אפילו במקומות הרחוקים ביותר חייבים לשקול ציות. עלות שימור הייעוץ והטמעת המערכות היא גבוהה. תאימות ל-GDPR מחייבת שיתוף פעולה בין ספקים ועובדים ב-IT, אבטחת סייבר, פורנזיה דיגיטלית ועיצוב מערכות. עם כל כך הרבה מה לעשות, למותגים הגדולים יש יתרון גדול מכיוון שהם יכולים להשתמש ביתרונות הגודל שלהם כדי להפחית את העלות הכוללת של היישום.

למרות ההשלכות הלא מכוונות הללו, GDPR היא עדיין בעיה מרכזית עבור בתי מלון. על ידי איזון בין דרישות הציות לגישה אסטרטגית, בתי מלון בכל הגדלים יכולים לבנות מסגרת נוחה ויעילה.

כשאתה מסתכל על GDPR, זכור שמלונות אחראים לאופן שבו הספקים אוספים נתונים ומקיימים אינטראקציה איתם. כל נקודת מגע חייבת להיות תואמת אחרת אתה מסתכן בקנסות. לכן עליך לוודא שהספקים שלך מעודכנים ויזומים לגבי GDPR עבור בתי מלון. אחרת, לא משנה כמה הכנה תעשה בצד שלך, אתה תשאיר את המלון שלך פתוח לפגיעויות - ולהשלכות הכספיות והיחסי ציבור של אי עמידה בדרישות ותתרחש משהו כמו הפרת נתונים.