在诸如 GDPR 合规性等 COVID 问题之后，它被束之高阁。虽然它不是一个热门话题，但对于每个酒店经营者来说，了解欧盟隐私法的基本概念仍然很重要。

您的酒店是否符合一般数据保护条例（通常称为 GDPR）？也许您已经进行了一项重大实施以使您的酒店达到合规性。或者，也许您对这样一个项目的成本犹豫不决，并采取“手指交叉”的方法，您的小品牌不会成为合规审计的目标。

无论您在哪个范围内登陆，您酒店的非 GDPR 合规风险都相对较高。在 GDPR 实施的第一年，就有 281,000 起案件提交给监管机构，公司面临最高 2000 万欧元或年收入 4% 的罚款，以较高者为准。 2019 年 7 月，创纪录的 1.25 亿美元罚款突显了酒店的违规风险根据规定向万豪收取重大数据泄露事件的费用。光是公关伤害就可能比罚款更贵！

对于一个跨网站、渠道经理和第三方预订引擎聚集和共享数据的行业来说，GDPR 一直是一个巨大的痛苦。它也非常昂贵，福布斯估计全球合规成本超过 90 亿美元。这仅适用于最大的公司！中小型企业在合规方面投入了大量时间和金钱。

尽管进行了这项投资，但该法规根本没有按设计发挥作用。这是一项善意的举措，但执行得非常糟糕。在这个快速入门的“GDPR 傻瓜”入门中，我们将探讨它是如何开始强大的以及哪里出了问题，并为您提供完整的酒店 GDPR 清单，这样您就可以在不破坏银行的情况下遵守。

什么是数据保护法 (GDPR)？

GDPR 代表通用数据保护条例，于 2018 年 5 月 25 日在欧盟生效。该法案的通过标志着一场鲜明的冲突，在那些相信政府通过监管保护消费者隐私方面的作用的人之间那些相信自由市场必须占上风的人。

GDPR 提供“在处理个人数据和此类数据的自由流动方面对自然人的保护”。作为对企业处理、处理和存储数据方式的重大改革，GDPR 还赋予个人更精细的数据控制权。

根据 GDPR，数据既指个人数据，例如姓名、IP 地址或任何可用于识别个人身份的信息，也指敏感个人数据，例如遗传材料、政治观点、性取向等。

GDPR 涵盖任何充当个人数据控制者或处理者的组织。数据控制器是确定如何将数据用于流程的实体，而数据处理器是代表控制器处理数据的非数据控制器员工的任何实体。

对于酒店来说，这种区别很重要，因为它们可能充当数据的“控制者”（即直接预订），而他们的供应商则被视为数据的“处理者”（即在第三方平台上进行的预订）。除非另有合同规定，否则数据控制者负责任何 GDPR 合规性。

面对高达 2500 万欧元或收入 4% 的潜在罚款，酒店必须将客人置于所有数据保护策略的中心。我们稍后将在我们的酒店 GDPR 清单中对此进行更多介绍。

酒店 GDPR 清单

为了使您的酒店合规，并随着时间的推移保持合规，它需要一种深思熟虑和整体的方法。您需要仔细考虑如何在内部系统之间共享数据，以及数据如何从不受您直接控制的第三方系统来回流动。

由于 GDPR 将责任赋予您的酒店作为数据控制者，因此了解数据在每个关键时刻的流动方式至关重要。以下是 GDR 酒店清单：

1. 审计。进行分析以审查内部流程、与供应商的合同、现有数据库以及数据如何在系统之间流动。您需要了解您拥有哪些信息以及谁可以访问这些信息。从这一点开始，这种清晰性应该会告知您所做的一切。

2. 交流。询问现有供应商的数据合规政策。我们必须清楚地了解您酒店的数据如何与其系统交互，并识别任何漏洞或信息不足的供应商。在与您现有的供应商交谈后，可能是时候评估其他选项了。与符合 GDPR 的供应商合作时，例如TravelClick 的 GMS (CRM)、 iHotelier 预订引擎或酒店网站建设者，您无需费力就能消除合规压力。合规性内置于产品中，让您更加安心。

3. 计划。完成审核并更新技术堆栈后，下一步就是创建治理蓝图。您需要一个管理数据的框架，包括消除酒店处理客人数据的潜在差距的政策和流程。您需要为员工明确定义角色和职责，例如分配处理来自消费者的入站数据请求的职责。您还需要创建分步数据泄露行动计划，以便在发生与数据相关的事件、黑客攻击或泄露时实施。

4. 执行。现在是时候制定计划了！您要确保包括以下内容：

   1. 明确同意：要求您网站的访问者选择使用 cookie，而不是自动安装 cookie 并使其退出。您还需要跟踪每个人何时何地同意（或撤销该同意）。

   2. 隐私政策：更新您的隐私政策以包含相关的 GDPR 合规信息，例如您如何使用数据以及用户如何选择退出。

   3. 前台：确保您在前台的数据收集政策符合规定，因为您离线收集的任何内容也必须符合 GDPR。

   4. 现有数据。 GDPR 适用于所有个人数据，无论何时捕获。由于数据也受新规则和法规的约束，因此您要确保它也符合要求！

5. 火车。合规性取决于您最薄弱的环节。通过培训员工遵守这些政策，您将不太容易受到 GDPR 相关问题的影响。教育您的员工了解可能导致数据泄露的原因以及他们如何帮助防止数据泄露——包括监控危险信号。制定明确的流程，让员工向管理层报告任何错误或其他与投诉相关的问题。应该有一个没有恐惧的环境，将透明度置于惩罚之上。

6. 维持。维护的负担远比合规要轻。定期重新审视您的数据保护计划的各个方面，以查看是否有任何意外更改或新的合规问题。

数据保护法是一项善意的倡议......

《数据保护法》背后的意图是好的：这一切都是为了在当今数据驱动的数字时代为消费者创造更多的控制权。在大多数国家和地区，现有的隐私法是在互联网接管之前制定的。该法规旨在将法规赶上商业。

为了在当今数字时代实现更大控制的目标，该法规基于核心数据保护原则规定了七项个人权利：

1. 被告知的权利。公司必须详细说明正在收集哪些数据、收集数据的原因、用途以及存储时间。公司还必须有明确的理由在这段时间内存储数据。

1. 访问权。个人可以根据要求以易于阅读的格式访问个人数据。

2. 整改权。个人可以查看、修改和更正公司拥有的数据。

3. 被遗忘的权利。个人可以要求删除有关他们的信息，公司在批准删除请求时必须平衡个人利益与公共利益。

4. 限制处理的权利。个人有权在他们有特定理由想要限制的情况下限制对其个人数据的处理。

5. 数据可移植性的权利。个人有权应要求转移其个人数据。

6. 反对的权利。公司必须明确征得个人的同意，并提供撤回同意的选项，同时在集中位置跟踪该同意。个人也有权抗议自动算法做出的决定。

即使对个人控制其数据及其使用方式有如此巨大的好处，该计划也产生了一些意想不到的后果。

...有许多意想不到的后果

民主德国有一些重大的意外后果；也就是说，合规的现实如何渗透到欧洲经商的经济中，并进一步巩固了大科技的力量：

1. 大科技是最大的受益者。

   1. 由于 GDPR，拥有最广泛使用的数据跟踪器的品牌获得了市场份额。随着小型公司适应新法律，它们输给了拥有最多资源的公司。 Ghostery 的一项研究显示，前 50 名广告技术供应商的网站覆盖率下降了 20%，而谷歌或 Facebook 除外。 GDPR 似乎将更多权力交到了已经占主导地位的人手中。

2. 复杂性会滋生混乱——对律师来说也是一笔意外之财。

   1. 对于个人和企业而言，法律本身都过于复杂。由于许多公司将至少 40% 的合规预算用于法律咨询，因此律师确实是唯一全面获胜的人。

3. 欧洲竞争力下降——就业机会减少。

   1. 复杂性法则对该地区的初创企业产生了巨大影响，一项研究发现“欧盟每个州每个原油行业类别每周筹集的资金总额减少了 338 万美元，每周风险交易数量减少了 17.6% ，在 GDPR 推出后，平均交易筹集的金额减少了 39.6%。”这项投资的损失在欧洲造成了 3,604 到 29,819 个工作岗位。

4. 新的合并风险。

   1. 正如万豪对喜达屋的做法相关的创纪录罚款所证明的那样，收购其他酒店的酒店承担任何与 GDR 相关的风险。因此，交易正在分崩离析，美林公司的一项调查显示，55%表示由于对目标公司的数据保护政策和 GDPR 合规性的担忧，他们曾参与过失败的交易。

5. 酒店的合规成本。

   1. 酒店业尤其受到 GDPR 的影响，因为即使是最偏远地区的酒店也必须考虑合规性。保留建议和实施系统的成本很高。 GDPR 合规性要求供应商和员工在 IT、网络安全、数字取证和系统设计方面进行协作。有这么多工作要做，最大的品牌处于 A 主要优势，因为它们可以利用其规模经济来降低总体实施成本。

尽管有这些意想不到的后果，GDPR 仍然是酒店的主要问题。通过平衡合规要求和战略方法，各种规模的酒店都可以建立一个经济实惠且有效的框架。

当您查看 GDPR 时，请记住，酒店负责供应商如何收集数据并与数据交互。每个接触点都必须合规，否则您将面临罚款。因此，您必须验证您的供应商是否了解并主动了解酒店的 GDPR。否则，无论您最终做了多少准备，您的酒店都会面临漏洞——以及不合规和发生数据泄露等事件的财务和公关后果。