sarah-gotze-22372-unsplash

Viešbučių ir laisvalaikio planavimo sektorius: Kaip atitikti BDAR reikalavimus?

Viešbučių ir laisvalaikio planavimo sektorius surenka didžiulį kiekį asmens duomenų, todėl būtina imtis reikiamų veiksmų, kad būtų išvengta finansinių pasekmių dėl BDAR reikalavimų nesilaikymo. Juolab, kad BDAR pažeidimus patyrė vieni žinomiausių viešbučių visame pasaulyje: Radisson (skaitykite plačiau apie duomenų apsaugos pažeidimus Radisson viešbučių tinkle), Hilton, Mandarin Oriental, Trump Hotels.

Dažnai asmeninė informacija apie klientus yra surenkama skirtingais būdais: jie gai būti surenkami tiesiogiai iš klientų, per viešbučių rezervavimo svetaines ir kt. Viešbučiai, kelionių agentūros ir panašūs paslaugų teikėjai turi klientų kreditinės kortelės informaciją. Ši turima informacija gali padidinti riziką pažeisti asmens duomenų teises. Todėl, BDAR negali būti ignoruojamas.

Svarbu suprasti, kad BDAR taikomas ES piliečių informacijos tvarkymui. Tai reiškia, kad, pavyzdžiui, jei viešbutis yra Jungtinėse Amerikos Valstijose, yra didelė tikimybė, kad jame lankosi turistai iš ES šalių.  Todėl JAV įsikūrės viešbūtis turi laikyti taikomos GDPR taisyklių ir reikalavimų.

Kaip viešbučių ir laisvalaikio planavimo sektorius turi pradėti pasirengimą BDAR? 

Viešbučių ir laisvalaikio planavimo sektorių atsovaujančios įmonės tvarko daug įvairios asmeninės informacijos apie jų klientus. Todėl pirmas dalykas, kurį turėtų atlikti šios bendrovės, – peržiūrėti visus sukauptus duomenis. Sutikimas tvarkyti asmens duomenis turėtų būti gauti tiek jau esamiems, tiek naujai gaunamiems duomenims.

Informacija apie klientus paprastai saugoma įvairiose platformose, tad rekomenduojama peržiūrėti:

  • CRM sistemas
  • Rezervacijos programas
  • Apmokėjimo įrankius
  • El.rinkodaros įrankius
  • Socialinės platformas
  • Klientų duomenų bazes
  • Elektroninio puslapio slapukus ir kt.

Asmens duomenų įgyjimas

Yra šeši teisėti asmens duomenų tvarkymo pagrindai. Daugeliu atvejų viešbučių ir laisvalaikio planavimo sektorius turėtų remtis su klientais pasirašytomis sutartimis. Tačiau, nepriklausomai nuo to, koks yra teisėtas pagrindas, asmuo turi būti informuotas, kokie jo duomenys renkami, kam jie naudojami ir kiek laiko saugomi. Dėl šios priežasties, turi būti renkami tik būtini duomenys konkretiems tikslams ir jie turėtų būti saugomi tik tam laikotarpiui, kurio reikia tam tikslui pasiekti.

Duomenų subjektai turi teises, susijusias su jų asmens duomenimis. Viena iš jų – teisė sužinoti, kokie duomenys yra renkami. Įmonės turi 30 dienų pateikti bet kokios saugomos informacijos apie juos kopiją. Šie duomenys, klientų pageidavimu, gali būti pakeisti. Jei nėra jokio teisėto pagrindo rinkti asmens duomenis ir įmonė negali įrodyti priešingai, informacija turi būti ištrinta.

Asmens duomenų apsauga 

Yra daug būdų užtikrinti, kad tvarkomi asmens duomenys yra saugūs.  Tai apima viską – nuo saugumo politikos peržiūros iki duomenų šifravimo ir (arba) pseudonizavimo. Tačiau pradėti reiktų nuo privatumo pagal dizainą taikymo. Tai ypač svarbu dabar, kai technologijos yra sujungiamos su personalizavimu.

Viešbučių ir laisvalaikio planavimo sektoriuje mobiliosios technologijos atieka svarbų vaidmenį – kelionių ir viešbučių rezervacijų planavimas, įlaipinimo bilieto nuskaitymas ir kita. Šiandien šiems tikslams vis dar reikalingos atskiros programos, tačiau kelionė tampa vis sklandesnės tobulėjant technologijų ir personalizacijos bendradarbiavimui – privatumui pagal dizainą, kai asmens duomenimis dalinasi, tarkim, kelionių agentūra ir viešbutis. Tad šioje situacijoje negalima pamiršti BDAR reikalavimų. Turi būti parengtas  susitarimas tarp skirtingų šalių dė asmens duomenų perdavimo ir tvarkymo. Nepriklausomai nuo paslaugų teikėjo (duomenų tvarkytojo), įmonė (duomenų valdytoja), yra atsakinga už tai, kad duomenų tvarkytojas vykdytų įsipareigojimus remiantis BDAR nurodymais.

Įmonės, kurios tvarko didelio masto asmens duomenis, turėtų skirti duomenų apsaugos pareigūną (DPO) ir atlikti Duomenų apsaugos poveikio vertinimą (DPIA). Taip pat yra papildomų reikalavimų, taikomų duomenims, kurie perduodami už ES ribų (daugiau informacijos apie asmens duomenų perdavimą trečiosioms šalims).

Įmonės neturėtų nuvertinti BDAR svarbos. Viešbučių ir laisvalaikio planavimo sektoriaus įmonės,  kaip ir įmonės bet kuriame kitame sektoriuje, turi atsižvelgti į asmens duomenų tvarkymo politiką, procedūras ir technologijas. Be to, svarbu užtikrinti, kad darbuotojai būtų informuoti apie savo prievoles. Iš esmės, turi būti atsižvelgiama į visus įmonės veiksmus susijusius su asmens duomenimis. Kitu atveju bausmė už neatitikimą BDAR nurodymams gali siekti  4% metinės apyvartos arba 20 mln. eurų.

Share on facebook
Share on linkedin
Share on twitter
Share on pinterest
Share on email

Get your compliance organized with proper GDPR tools.
Contact us for a demo and get access to 14-day trial.

Save time and be confident

Latest Posts
Duomenų apsaugos pareigūno vaidmuo ir pareigos

Duomenų apsaugos pareigūno vaidmuo ir pareigos

Atsižvelgiant į naujausią CPO žurnalo apklausą, mes aiškinamės, koks yra duomenų apsaugos pareigūno (DAP) vaidmuo. Šiame straipsnyje bus atsakyta į...
Skirta pirmoji BDAR bauda Lietuvoje

Skirta pirmoji BDAR bauda Lietuvoje

Praėjus metams po BDAR įsigaliojimo, Lietuvos valstybinė duomenų apsaugos inspekcija (VDAI) skyrė pirmą administracinę baudą. Įmonei UAB „Mister Tango“, kuri...
Poveikio duomenų apsaugai vertinimo vadovas

Poveikio duomenų apsaugai vertinimo vadovas

Bendrasis duomenų apsaugos reglamentas (BDAR) reikalauja, kad įmonės ir organizacijos, kurių duomenų tvarkymas gali sukelti pavojų fizinių asmenų interesams, atliktų poveikio asmens...
BDAR ir B2B rinkodara

BDAR ir B2B rinkodara

Perduodant asmeninius duomenis tiesioginei rinkodarai B2B ir B2C veikloje, reikia vadovautis dviem atskirais ES lygmens reglamentais. Elektroninių ryšių įstatymu (ERĮ)...
BDAR: Teisėti interesai

BDAR: Teisėti interesai

BDAR nurodo 6 teisėtumo pagrindus asmens duomenų tvarkymui ir teisėti interesai - vienas jų. Teisėti interesai nenurodo konkretaus duomenų tvarkymo tikslo, todėl...
Šeši mėnesiai su GDPR. Kas įvyko?

Šeši mėnesiai su GDPR. Kas įvyko?

BDAR, įsigaliojęs 2018 m. gegužės 25 d., išplėtė ES duomenų apsaugos zonos aprėptį, pristatė naujoves, turinčios įtakos tiek įmonėms, tiek...
Kibernetinės atakos iš BDAR perspektyvos: Ransomware

Kibernetinės atakos iš BDAR perspektyvos: Ransomware

Beveik kiekvienas verslo sektorius, vykdydamas kasdienes operacijas, į jas integruoja įvairias technologijas. IT infrastruktūra ir praktika, jei ji nėra reguliariai...
Sveikatos priežiūros sektorius: kaip atitikti BDAR reikalavimus?

Sveikatos priežiūros sektorius: kaip atitikti BDAR reikalavimus?

Įsigaliojus BDAR, asmens duomenų apsauga tapo sudėtingesnė sveikatos priežiūros sektoriui -  duomenys turi būti tvarkomi remiantis holistiniu požiūriu. Organizacijose turi būti...
Viešbučių ir laisvalaikio planavimo sektorius: Kaip atitikti BDAR reikalavimus?

Viešbučių ir laisvalaikio planavimo sektorius: Kaip atitikti BDAR reikalavimus?

Viešbučių ir laisvalaikio planavimo sektorius surenka didžiulį kiekį asmens duomenų, todėl būtina imtis reikiamų veiksmų, kad būtų išvengta finansinių pasekmių dėl...
Google Analytics: IP Anonimizacija

Google Analytics: IP Anonimizacija

Daugelis įmonių naudoja "Google Analytics" kaip pagalbinę priemonę, kad surinktų vertingos informacijos apie klientų elgesį svetainėse, mobiliosse programėlėse ir kt....