Za potrebe izrade ovog teksta smo se pripremali tjednima marljivo iščitavajući dostupne materijale, kontaktirajući stručnjake iz područja sigurnosti podataka ali i TZ-ove (lokalne i glavne). Još očekujemo odgovor iz AZOP ali informacije koje smo pripremili su prilično sažele bit nove regulative te objasnili na što moraju paziti hoteli a na što iznajmljivači.
Kako Vas ne bi zamarali nepotrebnim informacijama, u nastavku donosimo pregled tema po naslovima. Svaki naslov je klikabilan i klik na naslov će vas baciti na mjesto u tekstu u kojem se obrađuje određena tema.
P.S. – Još jedna stvar koja bi vam mogla olakšati čitanje ako sada nemate vremena. Preuzmite PDF BESPLATNO i čitajte ga poslije!
[zc4wp_za36]
Klikni na naslov koji te zanima:
OPĆENITO O GDPR UREDBI:
Što donosi GDPR *Opća uredba o zaštiti podataka?
Koje informacije štiti Opća uredba o zaštiti podataka?
Da li se GDPR odnosi na mene?
Kakve su kazne za neprovođenje GDPR regulative (Opće uredbe o zaštiti podataka)?
Osam prava pretplatnika na vaš newsletter koja morate poštovati
Pripreme za provođenje GDPR direktive: Od kuda početi?
Najčešća pitanja vezana uz GDPR odredbu i čuvanje podataka
Zaključno o GDPR regulativi
GDPR ZA HOTELE:
Utjecaj GDPR regulative na hotelski sektor
16 koraka do implementacije Opće uredbe o zaštiti podataka u poslovanje hotela (sa praktičnim primjerima)
Primjeri
Uloga tehnologije u zaštiti kartičnih i osobnih podataka gostiju hotela
Kako se Megabooker priprema za stupanje nove EU direktive na snagu?
Tko će kontrolirati provedbu GDPR regulative na prostoru Republike Hrvatske?
Treba li mi dozvola gosta za unos njegovih podataka u eVisitor?
Dosadašnje upute Hrvatske turističke zajednice vezane uz provedbu GDPR regulative
Kopije osobnih iskaznica i drugih dokumenata ne čuvajte
Postoje li podaci koje ne unosimo u eVisitor a isto moramo štititi?
Zaštitite svoju web stranicu (ako je imate)
Treba li iznajmljivaču voditelj obrade podataka
KAKO SMO SE MI PRIPREMILI:
Megabooker je prilagodio svoje poslovanje novoj regulativi – Općoj uredbi za zaštitu osobnih podataka
IZVORI INFORMACIJA
Megabooker je prilagodio svoje poslovanje novoj regulativi – Općoj uredbi za zaštitu osobnih podataka
IZVORI INFORMACIJA
1. Što donosi GDPR?
*Opća uredba o zaštiti podataka
1.1. Koje informacije štiti GDPR uredba?
[one_half]
– Informacije o identitetu osobe:
a) ime,
b) adresa,
c) podaci osobne iskaznice
– Web podatke poput:
a) lokacije korisnika,
b) cookie podaci,
c) IP adrese,
d) RFID (radio frequency identification)
[/one_half] [one_half_last]
– Biometrijske podatke
– Rasu, etničku pripadnost
– Zdravstveno stanje i genetičke podatke
– Spolnu orjentaciju
– Političke stavove
[/one_half_last]
1.2 Da li se GDPR odnosi na mene?
Ako ste tvrtka koja ima svoje sjedište unutar granica EU (a vjerovatno jeste) onda se morate uskladiti sa odrednicama GDPR regulative.
Ova se uredba odnosi i na neprofitne i nevladine organizacije. Ovo pravilo vrijedi samo ukoliko obrađuju osobne podatke!
Ukratko, GDPR ne zanima veličina vaše kompanije.
Sve detalje i informacije uvijek možete dobiti od Državnog nadzornog tijela. U Hrvatskoj cijeli proces implementacije nadzire AZOP (Agencija za zaštitu osobnih podataka)
Ovdje možete postavljati i upite ukoliko među ponuđenim sadržajem ne pronađete rješenje za svoj problem.
*Nažalost primjetili smo da nisu baš ažurni kada se radi o odgovaranju na upite (možda ćete vi biti bolje sreće).
1.3. Kakve su kazne za neprovođenje GDPR regulative?
Kazne nisu neznatne stoga je važno upoznati se sa svim odrednicama regulative što prije te ih adekvatno implementirati u svoje poslovanje.Prekršitelji se mogu kazniti s do 20 milijuna Eura ili s do 4 % ukupnog godišnjeg prometa na svjetskoj razini za prethodnu financijsku godinu (ovisno o tome što je veće).
Istraživanja su pokazala da bi kazne vezane za korištenje i zloporabu podataka u 2016 bile čak 79 puta veće da je GDPR bio tada na snazi.
Izvor: The Register
Dobro je znati: Kompanije sa sjedištem van Europske Unije i dalje moraju poslovati unutar okvira GDPR regulative. Izuzete su samo ako za svoje marketinške aktivnosti ne prikupljaju i ne obrađuju podatke građana Europske unije.
1.4. 8 prava pretplatnika na vaš newsletter (koja morate poštovati)!
1.4.1. Prvo i najvažnije pravo prema Općoj uredbi o zaštiti podataka: Transparentnost
Voditelj obrade mora obavijestiti ispitanika o svojem identitetu i kontakt podacima, svrhama obrade i pravnoj osnovi za obradu podataka, primateljima, iznošenju u treće zemlje, razdoblju pohrane, mogućnosti povlačenja privole.
1.4.2. Pravo na zaborav
Svi pretplatnici na newsletter moraju imati mogućnost ukloniti se s liste u bilo kojem trenutku.
Podatke osobe koja se odjavila morate obrisati.
Dalje, ako ste organizirali nagradnu igru na nekoj od društvenih mreža, sve podatke morate izbrisati nakon što nagradna igra završi. Dakle svako prekomjerno čuvanje podataka je prema GDPR uredbi kažnjivo i na to se treba paziti.
1.4.3. Pravo na ispravak
Korisnik ima pravo zatražiti ispravak netočnih osobnih podataka koji su prikupljeni a odnose se na njega. Korisnik ima pravo i dopuniti nepotpune osobne podatke, među ostalim i davanjem dodatne izjave.
1.4.4. Pravo usprotiviti se donošenju automatiziranih pojedinačnih odluka (profiliranje)
Ispitanik ima pravo da se na njega ne odnosi odluka koja se temelji isključivo na automatiziranoj obradi.
1.4.5. Pravo na prenosivost
Gost ima pravo zaprimiti svoje osobne podatke, te prenijeti te podatke drugom voditelju obrade.
1.4.6. Pravo na prigovor obrade osobnih podataka
U ovom slučaju voditelj obrade ne smije više obrađivati osobne podatke ispitanika osim ako dokaže da njegovi legitimni razlozi za obradu nadilaze interese ispitanika.
1.4.7. Pravo na ograničenje obrade
U pojedinim situacijama ispitanik ima pravo zahtijevati da se obrada ograniči uz iznimku pohrane i nekih drugih vrsta obrade.
1.4.8. Pristup podacima
Korisnik može od voditelja obrade tražiti potvrdu obrađuju li se osobni podaci koji se odnose na njega te ako se takvi osobni podaci obrađuju, smije tražiti pristup osobnim podacima i informacije (među ostalim, o obrađenim osobnim podacima, o svrsi obrade, roku pohrane, iznošenju u trede zemlje itd).
1.5. Pripreme za provođenje GDPR direktive:Od kuda početi?
[zc4wp_za36]
1.5.1. Ako još niste, postavite “kolačiće” (cookies) i dajte korisniku nove opcije.
Do sada se na prozorčiću mogao pronaći samo “x” za uklanjanje prozora. Sada se na prozoru mora vidjeti i “Check box” (opt in).
Primjer dobro napravljenih kolačića: LINK
Već smo se svi susreli sa famoznim “cookies” prozorčićem koji nas obavještava o tome da neka web stranica prikuplja podatke o našoj aktivnosti putem web browsera te ih planira koristiti u buduće promotivne svrhe. Ukoliko još niste postavili obavijest o kolačićima sada je pravo vrijeme da to promijenite!
Dalje, korisnik mora imati opciju želi li ili ne želi da prikupljate podatke o njemu, također mora mu se osigurati pristup podacima vaše web stranice koji neće biti uvjetovan pristankom o prikupljanju njegovih informacija putem cookies-a. Ukratko, korisnika ne smijete ucjenjivati!
Ne smijete imati unaprijed obilježenu kućicu, korisnik mora sam kliknuti i dati vam dozvolu za korištenje podataka.
Nema varanja!
Posjetitelju stranice se mora dati uputa gdje točno on može povući svoj pristanak i kako to može učiniti.
1.5.2. Prestanite slati newslettere osobama koje za to nisu dale jasan pristanak
Newsletter kampanje se ne smiju slati osobama koje za to nisu dale jasan i glasan pristanak.
Posjetitelj vaše stranice je preuzeo zanimljivu studiju u PDF formatu, vi ste prikupili njegove osobne podatke i sada mu šaljete promotivne ponude. OD 28.5. NE SMIJETE!
Iako je pristao dati podatke kako bi dobio vaš promotivni materijal on još nije pristao na primanje newslettera stoga mu se isti ne smije ni slati! Bazu primatelja newslettera morate prijaviti Agenciji za zaštitu osobnih podataka (AZOP).
Svi podaci moraju biti zaštićeni imenom i lozinkom (nema veze ako se radi samo o email-u)
1.5.3. Počnite primjenjivati “double opt in”
Double opt in (ili dupla potvrda) je najbolji način na koji se možete pripremiti za nadolazeću EU regulativu.
Iako je pristao na vašoj stranici pretplatiti se na newsletter vaše kompanije, korisniku pošaljite još jedan mail putem kojeg će potvrditi svoju privolu klikanjem na novi link. Primjer: „Da, želim primati newsletter!”.
1.5.4. Zaštite svoje podatke
GDPR propisuje korištenje modernih tehnologija za sigurnost podataka.
Najvažnije od tih metoda su enkripcija i pseudonimizacija. Korištenjem tih tehnologija potencijalnim napadačima otežano je dohvaćanje smislenih podataka koji pojedincima mogu naštetiti.
Ostale sigurnosne metode, kao naprimjer lozinke, edukacije zaposlenika i kontrole pristupa, također su dobrodošle.
1.5.4.1. Što je pseudonimizacija i kako tehnički zaštititi podatke
Pseudonimizacija se odnosi na čišćenje podataka.
Takvi pročišćeni podaci nekome tko ukrade vašu listu nemogu dati do znanja o kojem se pojedincu radi, odnosno, njegov identitet je zaštićen.
Enkripcija uz pseudonimizaciju predstavlja dva najvažnija načina tehničke zaštite podataka.
DRUGI KORISNI SAVJETI:
a) Enkriptirajte podatke na serveru
b) Ažurirajte antivirusni softver na računalima zaposlenika
a) Zabranite slanje osobnih podataka sa bilo kojeg računala kompanije
1.5.4.2. Vodite evidenciju
Sve tvrtke koje zapošljavaju više od 250 djelatnika dužne su voditi evidenciju.
U svojim evidencijama morate navesti:
1. Svrhu obrade
2. Kategoriju obrade
3. Daljnji primatelji osobnih podataka (osobe zadužene za obradu podataka unutar tvrtke)
4. Sve prijenose podataka u trede zemlje
5. Popis sigurnosnih mjera kojima se podaci štite
1.6. Najčešća pitanja vezana uz GDPR regulativu i čuvanje podataka
[zc4wp_za36]
1.6.1. Što je sa starim podacima gostiju?
Vaša kompanija posluje već 5 godina i prikupili ste hrpu mailova i podataka o posjetiteljima svoje stranice. Što nakon što Opća uredba o zaštiti podataka stupi na snagu? Da li smijem stare pretplatnike obavještavati o novostima kao i do sada?
AZOP odgovara da se podaci smiju koristiti samo ako su prikupljeni u skladu sa uvjetima koje donosi novi zakon.
„U brošuri voditelja obrade ispitanik mora polje označiti kvačicom ako ne želi da ga voditelj obrade povremeno informira o novostima u ponudi, akcijama i pogodnostima. To je u suprotnosti sa odredbama Opde Uredbe glede privole.
Ispitanik privolu mora dati jasnom potvrdnom radnjom, dakle, mora označiti polje ukoliko želi da ga voditelj obrade povremeno informira o novostima u ponudi, akcijama i pogodnostima. Dakle, Opda Uredba za davanje privole traži opciju „opt-in“, a ne „opt-out“.” AZOP
1.6.2. Kako primjena GDPR (Opće uredbe o zaštiti podataka) izgleda u praksi?
Iako zakon ne traži da se stari podaci izbrišu iz pojedih baza, neke kompanije se odlučuju upravo na ovaj potez i preusmjeravaju svoje marketinške aktivnosti prema društvenim mrežama.
Kompanija Wetherspoons je obrisala cijelu listu nakon curenja podataka i ulaže sve u oglašavanje na Facebooku i drugim kanalima.
Kompanija Flybe je platila kaznu od £70,000 nakon što je poslala više od 3 milijuna mailova sa naslovom „Are your details correct?”.
Zašto je Fybe kažnjen?
Iako je obrazloženje kompanije bilo da se pripremaju za nadolazeću GDPR uredbu, Fybe je kažnjen jer je upit poslao i onim kontaktima koji su već obilježili opt-out i nisu htjeli primiti marketinške poruke kompanije.
Kompanija Honda, popularni proizvođač automobila, kažnjena je sa £13,000 nakon što je poslala 289,790 mailova pokušavajući dobiti dozvole za slanje promotivnih poruka od starih korisnika.
Traženje ponovne privole može biti kažnjivo
Iako su spomenute kompanije možda re-permission kampanju radile u dobroj namjeri, ovakve mailove nisu smjele slati!
Traženje ponovne privole osobama koje su tražile da ih se ukloni s liste (ili osobama koje nikad nisu pristale primati vaše mailove) se smatra marketinškim potezom bez prethodno ishodovane dozvole korisnika.
Što možemo naučiti iz tuđih iskustava:
Budite oprezni! Nemojte olako shvatiti ovu regulativu. Ukoliko dođe do povrede prava gost se ne mora obraćati našim institucijama, već se može obratiti nadležnoj instituciji u svojoj državi ili primjerice u Bruxellesu. Kazne koje šalje njemački sud ne želite u svom sandučiću!
1.6.3. Kako nova direktiva Europske unije o zaštiti podataka utječe na remarketing?
Remarketing gubi svoju moć!
Kako bi starim posjetiteljima mogli prikazivati oglase određene tematike za to ćete morati imati izričitu dozvolu. Remarketing će kroz GDPR primiti veliki udarac na svoju učinkovitost.
1.6.4. Treba li mi zaposlenik koji će biti zadužen za zaštitu podataka?
Svaka kompanija koja prikuplja i obrađuje osobne podatke za promotivne i druge svrhe će unutar svojih prostorija morati imati osobu zaduženu za zaštitu podataka (ovo se odnosi za veće kompanije ne na iznajmljivače),
Voditelj obrade mora ustrojiti kvalitetne mjere zaštite podataka. To obuhvaća pseudonimizaciju, enkripciju, osiguravanje povjerljivosti podataka, dostupnost sigurnosnih kopija i redovne inspekcije valjanosti tehničkih i organizacijskih mjera sigurnosti.
Na izvršiteljima obrade je da obavijeste voditelje o mogućim povredama i voditelju dokažu da su usklađeni s GDPR-om.
I izvršitelj i voditelj mogu se međusobno osigurati ugovorima o tajnosti podataka ako se obrađuju osjetljivi podaci.
Poduzetnici koji obrađuju osobne podatke pojedinaca moraju voditi evidenciju aktivnosti obrade osobnih podataka, osim ako imaju manje od 250 zaposlenika. Izvor:GDPR2018
Definicije službenika (unutar kompanije) zaduženih za rukovanje osobnim podacima:
Voditelj obrade – subjekt koji određuje svrhu i sredstva obrade
Izvršitelj obrade – subjekt koji obrađuje osobne podatke u ime voditelja obrade
1.6.5. Što ako dođe do curenja podataka?
1. Obratite se nadzornom tijelu (Kod nas je to AZOP)
2. Nikad ne prijavljujte povredu kasnije od 72 sata od njenog događanja
3. U prijavi povrede navedite:
– Opis i prirodu povrede,
– kategorije i procjena broja oštedenika
– Kontakt detalji službenika za zaštitu podataka unutar tvrtke
– Opis mogudih posljedica povrede
– Popis poduzetih mjera za smanjenje štetnih posljedica povrede
1.7. Zaključno o GDPR regulativi
Nova regulativa za zaštitu podataka je idealan alat za segmentaciju!
Ukoliko posjetitelj vaše web stranice smatra da je sadržaj koji mu se nudi kvalitetan i koristan on će pristati i na double opt in i na kolačiće i na sve buduće check boxove. Ako čitatelj smatra da je stranica kvalitetna i korisna on će to i pokazati. Ako nisu spremni sa vama podijeliti podatke, čitatelji koji odlaze sa stranice nikada i nebi postali kvalitetni leadovi.
2. Utjecaj GDPR regulative na hotelski sektor
[zc4wp_za36]
2.1. 16 koraka do implementacije Opće uredbe o zaštiti podataka u poslovanje hotela (sa praktičnim primjerima)
“Hotelska industrija, koja inače često koristi podatke o svojim gostima, morat će se dobro pripremiti i uvjeriti se da njezini suradnici poštuju GDPR regulativu. Problem nije u prikupljanju podataka već načinu na koji to radite i s kime ih razmjenjujete. Nemojte samo kopirati pravila privatnosti od svojih kolega, jer je svaki sporazum specifičan, a i kazne za kršenje ove uredbe su velike te mogu iznositi 5 posto vaših godišnjih prihoda”,
upozorila je na ovogodišnjem Adria Hotel Forumu Marija Zrno iz Odvjetničkog ureda Bardek, Lisac, Mušec, Skoko
2.1.1. Revidirajte svoje baze
Procijenite koliko je hotelska mailing lista u skladu sa novom regulativom o zaštiti podataka.
Predviđa se da će čak 75% mailing lista biti potpuno neupotrebljivo do trenutka stupanja GDPR (Opće uredbe o zaštiti podataka) na snagu.
Uklonite sve one adrese koje su prikupljene bez „opt-in” opcije.
Za sve email adrese koje ste prikupili uz jasnu dozvolu gosta važno je da imate zabilježeno gdje, kad i kako ste tu dozvolu zaprimili.
Ako već od prije imate „opt-in” opciju onda su vaše liste u skladu sa novom regulativom.
Isto tako, važno je da utvrdite da je aplikacija / pružatelj usluge čiju uslugu koristite za prikupljanje podataka u skladu sa GDPR regulativom.
2.1.2. Utvrdili ste propuste u svojim bazama
Pročistite postojeće podatke i unajmite vanjskog stručnog suradnika ukoliko je to potrebno.
2.1. 3. Informirajte svoje goste o tipu prikupljenih podataka i svrsi prikupljanja kako bi dobili privolu
Prekontrolirajte postojeće uvjete korištenja („terms and conditions”), pravila o privatnosti („privacy policies”) te dozvoljene načine na koji stupate u interakciju s kontaktima i korisnicima.
Ažurirajte ih kako biste što bolje informirali svoje goste o tome koju vrstu podataka prikupljate te ih pitajte za privolu (pristanak).
Privola podrazumijeva naprijed pružanje informacija kako bi privola bila „informirana”:
Informacije koje se moraju osigurati gostu su sljedeće:
- identitet voditelja obrade,
- svrhe obrade (razdvojene čime se pruža mogućnost odvojenog pristanka),
- vrste podataka,
- informacije o profiliranju,
- o iznošenju u 3. zemlje i o pravu povlačenja
Privola mora:
a) Biti dokaziva i proaktivna – npr. potpis/kvačica na dokumentu, ali i potvrda putem e-maila
b) Imati procedure upravljanja privolama
c) Podrazumijevati davanje i povlačenje bez negativnih posljedica
d) Isključiti bilo kakvo uvjetovanje – usluga ne može biti uvjetovana privolom, a usluge
koje su pružena pojedincu koji je dao privolu i onomu koji ju nije dao suštinski
moraju biti iste (Working Party 29)
Konkretne primjere dobivanja privole možete vidjeti OVDJE
2.1. 4. Procjenite rizike pohrane nepotrebnih informacija
Možda prikupljate podatke koji vam nikada neće trebati ili koje koristite u iznimnim slučajevima.
Procjenite koliko je rizično čuvati takve podatke i odlučite ih ne prikupljati ukoliko to stvarno nije nužno.
2.1. 5. Koristite dupli opt in
Gosti koji se pretplate na newsletter automatiziranim mailom bi trebali dobiti link putem kojeg moraju još jednom potvrditi da žele primati vaš newsletter.
Što se tiče starih pretplatnika koji su ušli u listu kroz jedan opt-in. Ne morate ih ponovo tražiti dozvolu.
2.1. 6. Prestanite kupovati email liste (ako ih kupujete)
Nemojte žaliti za takvim listama. Kontakti sa ovakvih lista ionako nisu bili zainteresirani za ono što im nudite.
2.1. 7. Kreirajte različite opt in obrasce (ovisno o svrsi)
Svaka pretplata mora imati drugačije sadržaje uvjeta i informacija o pretplati stoga bi bilo najbolje kada bi imali i drugačije obrasce za pretplatu.
Znači svoj obrazac bi imao newsletter, drugačiji bi bio za pretplatu na blog, promotivne ponude i općenite vijesti o kompaniji.
2.1. 8. Poradite na marketing strategiji
Kreirajte sadržaj koji će pretplatnik htjeti preuzeti.
Bildajte svoju listu na korist i korisnika i vas. Ako korisnik smatra da je vaša ponuda zanimljiva on će je htjeti primati i svojevoljno će vam davati svoje podatke.
2.1. 9. Napravite re-permision kampanju (zatražite nove dozvole prije svibnja 2018)
Ukoliko niste 100% sigurni da li su stari korisnici i dalje zainteresirani za vaše promotivne ponude pošaljite im kampanju u kojoj ćete ih pitati upravo to.
Da li su i dalje zainteresirani za primanje vaših ponuda.
Iza 28. 5. 2018. ćete ionako morati imati evidentirano tko je i gdje dao dozvolu za korištenje kojih podataka i u koju svrhu. Pripremite se na vrijeme! Ali pazite, vidjeli ste što se dogodilo kompanijama koje su radile repermission kampanju usmjerenu prema korisnicima koji su već tražili da ih se ukloni s liste.
Kako to rade drugi?
Primjer Asos : LINK
2.1. 10. Koristite društvene mreže kako biste potakli vaše fanove da se upišu na vašu mailing listu
2.1. 11. Tražite od pretplatnika da potvrde svoju punoljetnost kako bi primali vaše ponude
2.1. 12. Vodite evidenciju
Morate voditi evidenciju o tome koje podatke prikupljate, zašto ih prikupljate i na koji vremenski period.
2.1. 13. Pripremite se za moguće curenje podataka
Predvidite situaciju u kojoj bi moglo doći do curenja informacija o vašim gostima. Obavezno prijavite slučaj AZOP agenciji u najkraćem periodu (unutar 72 sata).
2.1. 14. Imenujte voditelja zaštite podataka
Ako vodite malu organizaciju (sa manje od 250 zaposlenih) i ne obrađujete i ne prikupljate podatke u velikoj mjeri, tada niste dužni imati voditelja zaštite podataka.
Više na: edps.europa.eu
2.1. 15. Izbrišite podatke korisnika po isteku roka pretplate ili ukoliko korisnici zatraže brisanje
Ako je vaš hotel primjerice organizirao nagradnu igru na Facebooku i gost je osvojio tjedan dana odmora u vašem hotelu, po dolasku tog gosta u hotel, sve podatke koje vam je dao u nagradnoj igri (a ne trebaju vam za potrebe unosa u evisitor) morate ukloniti. Oni imaju rok trajanja.
2.1. 16. Pratite kretanje podataka
Uvijek imajte informaciju o tome kako se kreću vaši podaci.
2.2. Primjeri
a) Dozvole za kontaktiranje putem maila, sms-a, telefona i drugih sredstava komunikacije se od sada mora prikupljati zasebno.
b) Brisanje osobnih podataka mora biti mogućnost za svakog vašeg pretplatnika. Pretplatnik mora u svakom trenutku imati informaciju gdje i kako ukloniti svoje osobne podatke sa vaše liste. Dobar primjer možete vidjeti u nastavku: LINK
Primjer preuzet sa Eco Consultansy
c) Opt in je već implementiran na većinu web stranica (naročito kod velikih kompanija i hotelskih lanaca). Kako biste što bolje razumjeli koje promjene dolaze uz stupanje Opće uredbe o zaštiti podataka na snagu u nastavku prikazujemo primjere sadržaja dobrog i lošeg Opt in-a: LINK
Primjer preuzet sa Eco Consultansy
2.3. Uloga tehnologije u zaštiti kartičnih i osobnih podataka gostiju hotela
[zc4wp_za36]
2.3. 1. Hotelski sektor je najranjiviji na napade
Kada se radi o zaštiti podataka rijetki sektori su ranjivi kao hotelski sektor.
Verizonova studija o curenju podataka iz 2016. je pokazala kako se dogodio preokret i da se sa maloprodaje kriminalne radnje vezane uz krađu podataka sve više vežu uz hotele.
Glavni uzrok je zloporaba ukradenih podataka o kreditnim karticama te nezakonita uporaba POS aparata.
2.3. 2. Što uzrokuje curenje osjetljivih kartičnih podataka u hotelima?
POS uređaji na prodajnim mjestima i dalje su pouzdan izvor podataka. Oni izravno konzumiraju informacije putem magnetne trake na karticama.
Za svoj rad POS uređaji koriste POS kontroler koji obično djeluje kao agregator transakcijskih podataka u odnosima između poslužitelja i klijenta.
U malim poduzećima, POS se često veže uz računala bez anti-virusa ili firewalla. Zbog ovog propusta podaci gostiju lako mogu doći u ruke kriminalaca.
Ukoliko hotel ne ulaže velike novce u zaštitu vlastitih računala i obrazovanje svojih djelatnika, sigurnija opcija je korištenje clouda.
2.3. 3. Što je cloud rješenje?
Cloud tehnologija čuva sve podatke koji su neophodni za poslovanje korisnika na jednom mjestu.
Podaci spremljeni na cloud su korisniku dostupni u svakom trenutku (pod uvjetom da postoji internet veza sa uređajem putem kojega se pokušava pristupiti aplikaciji / dokumentu)
Spomenuti “oblak” je već prilično popularan te ga redovito koristimo u obliku društvenih mreža, e-mail usluga itd.
2.3. 4. Što je bolje, cloud ili instalacija na računalo?
Megabooker svojim korisnicima omogućava korištenje cloud tehnologije ali i instalaciju na vlastito hotelsko računalo.
O razlikama između ovih dvaju hotelskih rješenja pisali smo na našem blogu:
https://megabooker.hr/cloud-sustav-ili-on-premise/
Ovo izvrsno hotelsko rješenje u obradi podataka gostiju pruža apsolutnu sigurnost.
Isto tako zadovoljava i sve PSI DSS standarde sigurnosti.
2.3. 5. Što je PCI DSS standard?
Standard Industry Security Data Security Standard je poseban standard informacijske sigurnosti za organizacije koje rukuju brandiranim kreditnim karticama.
Sigurnost plaćanja je najvažnija za svakoga tko sudjeluje ili upravlja novčanim transakcijama. Ovdje spadaju i financijske institucije i drugi subjekti koji pohranjuju, obrađuju ili prenose podatke o karticama.
PCI DSS pomaže u održavanju sigurnosti ovih podataka.
Oni postavljaju operativne i tehničke zahtjeve za pružatelje softverskih usluga da razviju svoje sustave u skladu sa specifičnim zahtjevima procesa upravljanja novčanim transakcijam.
2.3.6. Tko upravlja i kreira PCI DSS standardom?
PCI DSS protokolom upravlja neovisno tijelo kreirano od strane najjačih brendova u svijetu kartičnog plaćanja: Visa, MasterCard, American Express, Discover i JCB.
Spomenuti brendovi su odgovorni za primjenu i provođenje standarda u svim industrijama.
Da! Kreditna kartica, debitna kartica i drugi načini online plaćanja postaju sve popularniji.
Kada gost plaća rezervaciju, želite biti sigurni da nije došlo do kršenja sigurnosti.
Hoteli su izloženi visokom riziku prilikom obrade online plaćanja, što ih čini lakom žrtvom za sve cyber kriminalce.
Financijski podaci se koriste u više slučajeva:
- tijekom rezervacije,
- obrade rezervacije u hotelskom softveru,
- upravljanja recepcijom.
- Sve ovo čini podatke vaših gostiju dostupnijima i izloženijima svim potencijalnim cyber kriminalcima.
2.4. Kako se Megabooker priprema za stupanje nove EU direktive na snagu?
Nova GDPR regulativa nam je (kao i svima) dala posla preko glave. Najprije nas je uposlila tako da nam je dala za zadatak iščitati silne norme i pravila. Potom nas je zaposlila na način da smo morali podići razinu sigurnosti rada u Megabooker alatima.
Sigurnost podataka nam je na prvom mjestu stoga smo uredili naše poslovanje kako bismo osigurali svojim korisnicima ne samo vrhunsku uslugu (najbolji PMS, Channel Manager, Rezervacijski sustav) već i opuštenost sa spoznajom da su njihovi podaci u sigurnim rukama.
U nastavku pregledajte što smo sve odradili kako bi bili u skladu sa GDPR:
- Megabooker zadovoljava sve PSI DSS standarde sigurnosti
- Web stranice u našoj izradi dolaze uz SSL (Secure Sockets Layer).
SSL je standardna metoda enkripcije podataka između servera i browsera (pretraživača). - Potpisan DPA sporazum
- Definirana su pravila zaštite gostiju podataka
- Uvedeni su novi načini zaštite podataka
- Ugovora sa postojećim EU klijentima su mijenjani kako bi bili u skladu sa novim pravilnikom o zaštiti podataka
- Uvedena je bolja kontrola pristupu podacima
- Podaci koji se uvoze na naša računala ulaze pod enkripicijom
- Dodijeljene su posebne uloge našim zaposlenicima
Ograničen pristup podacima – samo za privilegirane zaposlenike uz korištenje lozinki za pristupanje - Praćenje pristanka (u svakom trenu se zna kako je koji korisnik dospio na listu
3. Utjecaj opće uredbe za zaštitu osobnih podataka na iznajmljivače privatnog smještaja
[responsive][zc4wp_za35][/responsive]
Nema veze što imate par malih apartmana, GDPR se odnosi i na vas.
Glavni povod za uvođenje nove EU regulative je sve češća zloporaba ukradenih podataka gostiju te manipuliranje podacima na način koji nije prethodno odobren od strane gosta
Svi podaci koji se traže od gosta moraju se dobiti uz jasnu i izričitu dozvolu (u pisanom ili elektroničkom obliku).
“Što će meni GDPR? Pa ja ne manipuliram podacima i ne pohranjujem ih!”
Anonimni iznajmljivač, Split
Iznajmljivači koriste eVisitor i za potrebe unosa podataka traže od gosta njegove osobne podatke. Stoga da, ovaj zakon se itekako odnosi i na iznajmljivače.
U nastavku ćemo detaljno objasniti sve što vi kao iznajmljivač privatnog smještaja morate znati kako biste djelovali unutar okvira nove direktive EU.
3.1 Tko će kontrolirati provedbu GDPR regulative na prostoru
Republike Hrvatske?
AZOP (Agencija za zaštitu osobnih podataka) je službeno nadzorno tijelo za provođenje i nadzor pri provođenju GDPR regulative na prostoru Republike Hrvatske.
3.2. Treba li mi dozvola gosta za unos njegovih podataka u eVisitor?
Privola za uvid u osobnu iskaznicu Vam ne treba.
Za uvid u osobne podatke s osobne iskaznice ili drugog identifikacijskog dokumenta nije Vam potrebna privola s obzirom da navedeno radite na temelju pravne obaveze.
TZ ima u najavi pripremu dokumenta koji će obrazložiti svrhu prikupljanja podataka iznajmljivača koja će se prevesti na više stranih jezika i koju će iznajmljivač morati postaviti na vidljivo mjesto.
Isto pitanje smo postavili i Voditelju zaštite podataka za Crionis , Ozrenu Ćuku pa prenosimo odgovor u nastavku:
(tvrtka se između ostalog bavi i usuglašavanjem poslovanja sa novom GDPR regulativom)
(..) ako postoji zakonska osnova za skupljanje osobnih podataka, tj. ako prikupljate osobne podatke na temelju nekog zakona, onda Vam nije potrebna privola. Ipak, napominjem da prema članku 13. GPDR-a imate obvezu prilikom skupljanja podataka pružiti gostu određene informacije.
Zato bi bilo dobro da prilikom skupljanja podataka gostima ponudite papir s takvim informacijama koji im objašnjava temeljem kojeg zakona prikupljate osobne podatke i tko je njihov primatelj (npr. evisitor sustav).
Ako se želite dodatno osigurati, vodite zapisnik gdje ćete upisati datum kad ste gostu predali te informacije, i gdje će se onda kraj datuma gost potpisati, čime će potvrditi da je doista od Vas primio te informacije.
Sva Vaša pitanja također možete poslati Agenciji za zaštitu podataka na azop@azop.hr, a oni su dužni u zakonskom roku od 30 dana u pisanom obliku odgovoriti na njih.
Ozren ĆukData Protection Officer
3.3 Dosadašnje upute Hrvatske turističke zajednice
vezane uz prvedbu GDPR regulative
Kontaktirali smo HTZ i pitali sljedeće:
a) Kako iznajmljivač smije i mora prikupljati podatke za svrhu unosa u eVisitor?
ODGOVOR:
Mišljenja smo da iznajmljivač ima pravo od gosta zatražiti identifikacijsku ispravu kako bi dobio osobne podatke koji se moraju prikupljati u posebne, izričite i zakonite svrhe, točnije radi ispunjavanja obveza koje proizlaze iz naprijed navedenih zakonskih i podzakonskih akata.
Također, mišljenja smo da za unošenje podataka u sustav eVisitor nije potrebna privola ispitanika budući da se podaci prikupljaju u zakonite svrhe, s čime je potrebno upoznati ispitanika te istom objasniti da bez tih podataka iznajmljivači ne bi mogli ispuniti svoje obveze propisane zakonom, odnosno da ne mogu prijaviti gosta te mu time ne mogu pružiti uslugu smještaja. Hrvatska turistička zajednica namjerava objaviti popis zakonskih osnova, na nekoliko jezika, temeljem kojih se moraju prikupljati osobni podaci te koji se osobni podaci moraju prikupljati upravo kako bi olakšali iznajmljivačima i ostalim korisnicima eVisitora davanje jasne informacije ispitaniku. Preporučano da se taj popis isprinta i negdje jasno istakne.
b) Što ako iznajmljivač prikuplja podatke o gostima u marketinške svrhe?
ODGOVOR:
Ukoliko iznajmljivač prikuplja i obrađuje osobne podataka gostiju u svrhe marketinga, odnosno za slanje newslettera, za navedenu obradu osobnih podataka dužan je pribaviti njihovu privolu, odnosno dužan je ispitanika unaprijed obavijestiti o namjeravanoj obradi osobnih podataka u svrhe marketinga i o pravu da se takvoj obradi usprotivi.
c) Treba li iznajmljivač imati osobu zaduženu za obradu podataka?
ODGOVOR:
Agencija za zaštitu osobnih podataka mišljenja je da to ne bi bio slučaj kod iznajmljivača, odnosno da isti nisu obvezni imenovati službenika za zaštitu osobnih podataka.
Isto pitanje smo postavili Voditelju zaštite podataka za Crionis , Ozrenu Ćuku pa prenosimo odgovor u nastavku:
(…) Zakon o primjeni GDPR-a u Hrvatskoj još nije izglasan, moramo pričekati hoće li taj zakon ili neki drugi uvesti takve obveze i za koje kategorije subjekata. Međutim, prema trenutnom zakonodavnom uređenju iznajmljivači svakako ne moraju imati službenika za zaštitu podataka.
Što iznajmljivači moraju činiti kako bi čuvali podatke koje unose u eVisitor?
Korisnici sustava su upoznati da svoje korisničko ime, lozinku i TAN listu ne otkrivaju trećim osobama odnosno da su odgovorni za korištenje takvih pristupnih podataka kao i da se u sustavu nalaze osobni podaci koji su prikupljani u zakonom točno određenu svrhu te se isti ne smiju koristiti za drugu obradu niti ustupati osobama koje nisu ovlaštene za njihovu obradu, pojašnjavaju dalje iz HTZ-a.
(Izvor: ICTbusiness.info)
3.4. Kopije osobnih iskaznica i drugih dokumenata ne čuvajte
[zc4wp_za35]
Osobnu iskaznicu ili drugi identifikacijski dokument ne smijete fotokopirati i pohraniti s svrhom upisa podataka u sustav eVisitor ili za „svaki slučaj“ da imate spremljene podatke ili drugo jer bi se tada radilo o prekomjernoj obradi osobnih podataka.
Prekomjerna obrada osobnih podataka predstavlja kršenje osnovnih načela obrade osobnih podataka i to prvenstveno načelo smanjene količine podataka i ograničenje pohrane a za što su predviđene najviše kazne uredbe GDPR.
(Izvor: Feralis d.o.o. za savjetovanje i upravljanje)
Za koje svrhe trebam prikupiti privolu gosta?
Ukoliko bi željeli pohraniti podatak ispitanika o adresi s istog identifikacijskog dokumenta jer predmetnom gostu želite slati prigodne čestitke i promotivne ponude, za navedeno bi Vam bile potrebne privole jer se isto ne temelji na pravnoj obvezi ispitanika niti je isto nužno za izvršenje ugovora ili kako bi se poduzele radnje prije sklapanja ugovora ili ostalo.
Privola bi bila potrebna za svaku svrhu odvojeno što znači da bi morali imati jednu privolu za korištenje adrese za slanje prigodnih čestitki ispitaniku i jednu privolu za korištenje adrese za slanje promotivnih ponuda ispitaniku.
Bitno je napomenuti da privola mora biti za točno određenu svrhu i ne može pokrivati više svrha, međutim može pokrivati usko povezane svrhe što bi u ovom konkretnom slučaju predstavljalo da primjerice uz privolu za korištenje adrese stanovanja za slanje prigodnih čestitki možete pokriti i slanje prigodnog rođendanskog dara.
Međutim, privola za slanje promotivne ponude ne uključuje i primjerice slanje newslettera a što mnogi poistovjećuju te je stoga potrebno obraditi posebnu pažnju na isto kako ne bi došli u prekršaj.
(Izvor: Feralis d.o.o. za savjetovanje i upravljanje)
To znači da je iznajmljivač dužan prikupljati podatke o gostima ali isključivo za jednu namjenu – prijavu gosta u e visitor. Svako korištenje podataka gostiju van zakonsko propisanih obveza nije dozvoljeno (bez pisane dozvole gosta)
3.5. Postoje li podaci koje ne unosimo u eVisitor a isto moramo štititi?
Za bilo koju aktivnost koju provodite uz korištenje osobnih podataka gosta, treba vam njegova dozvola. Poslali bi gostu rođendansku čestitku (treba vam adresa), morate dobiti dozvolu gosta!
Opća Uredba o Zaštiti Podataka, Definira privolu ispitanika kao svako dobrovoljno, posebno, informirano i nedvosmisleno izražavanje želja ispitanika kojim on izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu osobnih podataka koji se na njega odnose.
Ako ćete gostu mailom slati promotivne ponude ili prosljeđivati njegove podatke trećoj strani on i sa time mora biti upoznat te vam dati dozvolu.
3.6. Zaštitite svoju web stranicu (ako je imate)
Podaci za koje ste dobili pisanu dozvolu obavezno čuvajte svim propisanim mjerama.
Svoja računala zaštitite od virusa učinite sve kako biste prevenirali napade na svoje računalo.
Ukoliko upite i rezervacije primate preko vlastite web stranice takvu stranicu svakako zaštitite svim dostupnim sredstvima.
SSL zaštita je danas jedan od glavnih načina zaštite podataka na internetu te omogućava sigurnu komunikaciju preko interneta za razne aplikacije.
3.6.1. Još nemate web stranicu? Obratite se Megabookeru!
Megabooker štiti web stranice svojih iznajmljivača.
Naši iznajmljivači su zadovoljni a podaci sigurni uz ssl enkripciju podataka.
Ako želite sigurnu i kvalitetnu web stranicu sinkroniziranu sa svim portalima, kvalitetno i jednostavno iskustvo korištenja za vaše goste i jednostavno upravljanje cijenama slobodno nam se obratite.
Prošle godine svoje povjerenje nam je povjerilo preko 8427 hotelijera i iznajmljivača
Primjeri web stranica u našoj izradi:
https://apartments-bako-komiza.com/en/
https://apartments-hartera.com/en/
https://apartments-villa-verde-casamia.com/en/
4. Megabooker je prilagodio svoje poslovanje novoj regulativi (Općoj uredbi za zaštitu osobnih podataka)
Kao kompanija koja djeluje na području (i van područja) Europske Unije dužni smo prilagoditi se svim novim regulativama vezanih uz zaštitu i obradu podataka.
Kako bismo usuglasili svoje poslovanje sa novim pravilnikom te osigurali našim korisnicima najveću moguću sigurnost proveli smo niz mjera.
Evo što radimo kako bi naši klijenti imali ne samo vrhunsku uslugu već i poslovali u skladu sa svim važećim zakonima Republike Hrvatske i Europske Unije.
- Megabooker zadovoljava PSI DSS standarde sigurnosti
- Definirana su pravila zaštite gostiju podataka
- Web stranice u našoj izradi dolaze uz SSL (Secure Sockets Layer).
SSL je standardna metoda enkripcije podataka između servera i browsera (pretraživača). - Uvedeni su novi načini zaštite podataka
- Redefinirani su ugovori sa postojećim EU klijentima (kako bi bili u skladu sa novim pravilnikom o zaštiti podataka)
- Podaci koji se uvoze na naša računala ulaze pod enkripicijom
- Dodijeljene su posebne uloge našim zaposlenicima
Ograničen pristup podacima – samo za privilegirane zaposlenike uz korištenje lozinki za pristupanje - Praćenje pristanka (u svakom trenu se zna kako je i kroz koji kanal koji korisnik dospio na koju listu)
[zc4wp_za35]
5. Izvori informacija
- apartmanija.hr/zajednica/aktualno/iznajmljivac-ima-pravo-traziti-identifikacijski-dokumenti-gosta
- apartmanija.hr/zajednica/propisi-i-zakoni/popis-gostiju-za-iznajmljivace
- www.jutarnji.hr/vijesti/hrvatska/stizu-nova-eu-pravila-putnicke-agencije-hotelijeri-prijevoznici-i-ostali-pruzatelji-usluga-u-
- turizmu-za-novu-uredbu-nisu-ni-culi-a-kazne-su-enormne/6468898/
- ga-ms.hr/2018/01/15/gdpr-trazi-uvodenje-voditelja-informacijske-sigurnosti-tvrtkama/
- tockanai.hr/poduzetnik/edukacija/gdpr-zastita-osobnih-podataka-3045/
- tockanai.hr/tehnologija/10-mitova-o-gdpr-u-koje-treba-raskrinkati/
- www.ictbusiness.info/internet/hrvatska-turisticka-zajednica-tvrdi-da-je-spremna-za-gdpr
- www.feralis.hr/blog/gdpr-primjer-obrada.html
- edps.europa.eu/data-protection/data-protection/reference-library/data-protection-officer-dpo_en
- www.verizonenterprise.com/resources/reports/rp_DBIR_2016_Report_en_xg.pdf
- www.siteminder.com/r/technology/hotel-data-security/hoteliers-ready-gdpr-2018/
- www.amadeus-hospitality.com/insight/three-considerations-make-preparing-hotel-gdpr/
- www.eighty-days.com/2018/gdpr-and-its-impact-on-your-hotel-website-online-marketing/
- www.mailjet.com/gdpr/email-marketing/https://eugenoprea.com/almost-finished/gdpr-checklist/
- www.campaignlive.co.uk/article/gdpr-will-render-75-uk-marketing-data-obsolete/1441738
- eugenoprea.com/list-building/
- www.econsultancy.com/blog/69253-gdpr-10-examples-of-best-practice-ux-for-obtaining-marketing-consent
- www.litmus.com/blog/gdpr-re-permission-campaigns-6-tips-for-making-them-a-success
- Image source: Unsplash
DISCLAIMER:
Ovaj članak (kao i e book koji smo pripremili) su naša osobna interpretacija GDPR-a. Megabooker u niti kojem slučaju pravno ne jamči za informacije iznesene u svojim člancima niti ebook-ovima. Zbog navedenog zadržavamo pravo da informacije, podatke i savjete iznesene na našem webu (te e book-ovima) možemo promijeniti u bilo kojem trenutku i bez najave.
Naši tekstovi ne sadrže pravne savjete koje bi trebalo pratiti kako bi uskladili svoje poslovanje s EU General Data Protection Regulation (GDPR).
Naš blog i sve materijale koristite isključivo informativno. Megabooker je ovaj tekst napisao u vlastitoj interpretaciji jer smatra da će utjecaj GDPR na poslovanje hotelijera i iznajmljivača biti značajan i sveobuhvatan.
Važno je napomenuti da se zbog širokog obujma GDPR-a aspekti, interpretacije i odredbe GDPR-a odnose na svaku organizaciju specifično.