През последните няколко месеца GDPR (Общият Регламент за Защита на Данните) се превърна в една от най-горещите теми в областта на маркетинга, като почти всички организации, включително от туристическия бранш, започнаха да се интересуват активно как новият регламент за защита на данните ще засегне бизнеса им.
В момента има много объркване относно начина, по който GDPR може да бъде успешно приложен и последиците от него върху туристическия сектор. Затова, ние се опитахме да обобщим някои от основните промени, които новата регулация ще наложи във връзка със защитата на лични данни и как това ще окаже влияние на туристическия бизнес в България.
Същност на GDPR
Като начало, GDPR има за цел да въведе ред в съвкупността от правила за поверителност в целия Европейски Съюз. Тъй като GDPR е регламент, а не директива, той има задължителна правна сила и ще бъде незабавно приложим като закон във всички държави-членки на ЕС от 25 май 2018 г. след двугодишен преходен период. От тази дата всички разпоредби за защита на данните, които понастоящем са валидни в 28-те страни от Европейския съюз, ще бъдат заменени от този нов регламент, като 28-те различни регионални разпоредби щеизчезнат. С GDPR защитата на данните ще бъде унифицирана за целия Европейски съюз.
Новите правила на GDPR ще доведат до много промени и различни допълнителни задължения. Това ще окаже огромно влияние на всички организации, които събират и използват лични данни за осъществяване на дейността си. Туристическата индустрия ще бъде особено засегната поради голямото количество лични и чувствителни данни, които се обработват за отделни лица. Например, лична информация, събрана като част от процеса на резервиране, включително данни от “специална категория” (т.е. чувствителни), като здравни и медицински данни. Туристическите компании използват и събрани лични данни за маркетинг цели, както и за обмен на големи обеми данни с различни доставчици, като доставчици на хотели и екскурзии, напр.
С GDPR, всички свързани дейности трябва да бъдат преразгледани и приведени в съответствие с новите разпоредби.
Основни положения
Организациите, които нарушават GDPR, могат да бъдат глобени до 20 млн. евро или 4% от годишния глобален оборот (което е по-голямо от двете);
Съгласно новите правила, отговорност за нарушенията носи предимно Администраторът на данни, макар че обработващата страна също има допълнителни отговорности във връзка със защитата на данните. Имплементирането на допълнителни механизми за защита от страна на Обработващия данните, трябва да се изисква и следи от Администратора на данните;
GDPR има за цел да укрепи позицията на всяко засегнато лице. Смята се обаче, че правата, с които се сдобиват лицата, може да се използват като причина от така наречените “Потребителски Организации” за иницииране на допълнителни разследвания, свързани с липсата на адекватна защита на данните. Всичко това може да прерасне и в нов вид “наказателна” индустрия, която да увеличи риска от налагане на глоби на бизнеса.
С други думи, това е последният шанс да се вземе насериозно тази тема и да се предприемат съответните действия.
GDPR в България
В България, темата за GDPR не е особено позната сред туристическия бранш. Според различни източници, около 80% от организациите не са подготвени за новите правила.
Основен контролен орган за България е КЗЛД (Комисията за Защита на Личните Данни), като досега комисията е провела няколко семинара във връзка с локалното прилагане на регламента.
Основни моменти, които трябва да се имат предвид, са изискванията свързани с отчетността по обработка на данни. Ако туроператора/агента/хотелиера, използва някакъв софтуерен продукт, това означава пълна инвентаризация на данните, правилно дефиниране и съхранение на логове, криптиране и псевдоанонимизация (for data in transit&data at rest), управление на съгласия за обработка, имплементиране на възможност за преносимост и др.
Важно да се подчертае още, че в случай на инцидент според новите правила компаниите се разглеждат като „виновни до доказване на противното“. Това означава, че в случай на изтичане на лични данни дадената фирма ще трябва да докаже, че вината не е нейна и че тя е взела предвид всички предвидени по закон мерки.
Технологичните промени за туристическия бранш
GDPR ще доведе до големи предизвикателства за индустрията по отношение на технологиите.
Освен всичките допълнителни технически мерки, свързани със сигурността, Администраторът на данните ще отговаря за правилната обработка на данните и на своите доставчици – главно доставчиците на софтуер и други дигитални услуги (XML, JSON file exchange), които попадат в ролята на Обработващи данни.
Това означава, че хотел, базиран в България, носи пълна отговорност за дейността на своя доставчик на софтуер, който се намира в Турция или в Китай. Българският хотел е длъжен да провери дали доставчикът спазва новите правила.
В тази връзка, от туристическия бизнес се очаква да преразгледа договореностите си за обмен на данни с трети страни и да гарантира, че има сключени споразумения, които съдържат разпоредбите, предвидени в GDPR, за да се гарантира, че индивидуалните права са защитени от изискваните стандарти. Всички операции, свързани с данните на клиентите, трябва да бъдат детайлно разяснени и в Политиката за обработка на лични данни, която да е лесно достъпна за клиентите и потребителите на услуги.
Друго, което трябва да се има предвид е, че един хотел обикновено работи с до 15 софтуерни системи, съдържащи данни за гости. От 25 май 2018 г. гостите имат право да поискат информация за съхранените от тях лични данни, както и правото да изискват заличаване на личните им данни. Освен това, гост може да поиска прехвърляне на личните му данни обратно на него или на трета страна, напр. конкурентен оператор/хотел, което предполага много добра техническа подготовка от страна на бизнеса.
В тази напълно хетерогенна информационна среда, за компаниите ще бъде практически невъзможно да спазват новите правила, освен ако не разполагат с централизирано управление на данните и механизъм за профилиране, който да позволява допълнително управление на поверителността, отговарящо на новите стандарти на ЕС.
Глобите за неспазване на правилата са големи, затова ви препоръчваме да проверите дали вашият доставчик на софтуер спазва правилата на GDPR.
Защитата на данните трябва да бъде част от софтуерната концепция (Privacy by Design), и ваше право е да работите с партньори, които предоставят законно съвместим софтуер.
Как Touretta.com може да ви е полезна за GDPR
От април 2017 г. Touretta.com работи върху цялостна стратегия за спазване на GDPR.
Имплементирали сме различни механизми за неприкосновеност на личните данни в нашия софтуерен продукт, които се предоставят като стандартен модул от решението на Touretta.
За нас “Privacy by Design” означава, че приемаме сериозно личната информация и подкрепяме нашите туроператори, агенти и хотели да направят същото.