Branża turystyczna i hotelarska staje się coraz bardziej zależna od nowoczesnej technologii informatycznej w zakresie zarządzania rezerwacjami, przetwarzania płatności i przechowywania danych Klientów. Niestety, uzależnienie od technologii sprawiło, że branża ta stała się atrakcyjnym celem dla cyberprzestępców.
Ogólne rozporządzenie o ochronie danych (RODO) to kompleksowe prawo o ochronie danych, które zostało wdrożone przez Unię Europejską (UE) w 2018 roku. Ma zastosowanie do każdej organizacji przetwarzającej dane osobowe mieszkańców UE, niezależnie od tego, gdzie organizacja się znajduje.
Zgodność z RODO jest wymogiem prawnym nakładanym między innymi na hotele i biura podróży, które przetwarzają dane osobowe mieszkańców UE. Nieprzestrzeganie tych regulacji może skutkować surowymi karami, w tym grzywnami w wysokości do 20 milionów euro lub 4% całkowitego rocznego obrotu, w zależności od tego, która kwota jest wyższa. Przestrzegając przepisów RODO, hotele i biura podróży mogą uniknąć tych wysokich kar i konsekwencji prawnych oraz utrzymać zaufanie swoich klientów.
Dla przedsiębiorstw turystycznych przygotowaliśmy checklistę, zawierającą 10 najważniejszych obowiązków i wskazań, które pozwolą zapewnić zgodność z RODO.
Checklistę możesz również pobrać w formie praktycznego narzędzia z naszej strony internetowej, wypełniając krótki formularz:
Jeśli chcesz skorzystać ze wsparcia naszych specjalistów w analizie zgodności oraz wdrażaniu zmian w Twojej firmie, umów się na bezpłatną konsultację. Podpowiemy Ci, w jaki sposób zacząć i ocenimy, jak nasz zespół może Ci pomóc.
Dlaczego zgodność z RODO jest ważna dla hoteli i biur podroży?
Utrzymanie zgodności z RODO jest niezbędne dla hoteli i biur podróży, aby chronić dane osobowe swoich Klientów, dbać swoją reputację, unikać kar finansowych i wykazywać odpowiedzialność za swoje działania związane z przetwarzaniem danych.
W jednym z naszych artykułów poświęconych bezpieczeństwu danych w hotelarstwie przytoczyliśmy przykład konsekwencji, które dotknęły jedną z globalnych sieci hotelowych na skutek naruszenia bezpieczeństwa danych Gości:
- kara w wysokości 23,8 miliona USD, nałożona przez brytyjskie Biuro Komisarza ds. Informacji (ICO), w związku z zaniedbaniem obowiązków wynikających z Ogólnego rozporządzenia o ochronie danych (RODO),
- koszty obsługi prawnej, związane ze złożonymi przeciwko firmie pozwami, zarówno ze strony poszkodowanych Klientów, jak też inwestorów,
- potencjalne odszkodowania wynikające z procesów, których wysokość szacowana jest nawet na 1,8 miliarda USD,
- czasowy spadek wartości akcji sieci o 8,7% po ogłoszeniu włamania w 2018 roku.

Wartości te doskonale obrazują, dlaczego dbałość o zgodność z wymogami Ogólnego rozporządzenia o ochronie danych (RODO) jest tak ważna.
Zgodność z RODO w działalności turystycznej. Checklista dla Twojej firmy

Poniżej znajdziesz 10 najważniejszych wymogów RODO wobec hoteli, biur podróży i platform rezerwacji online, wraz ze wskazówkami naszych ekspertów, które pomogą Ci zadbać o odpowiedni poziom zgodności z przepisami.
1. Zgodna z prawem podstawa przetwarzania
Przedsiębiorstwa turystyczne muszą uzyskać wyraźną i konkretną zgodę od osób fizycznych przed gromadzeniem i przetwarzaniem ich danych osobowych. Jest to ważne, ponieważ gwarantuje, że osoby te rozumieją, w jaki sposób ich dane będą wykorzystywane i wyraziły na to wyraźną zgodę.
Częstym nadużyciem jest pozyskiwanie danych Gości i klientów bez ich wyraźnej zgody. W przypadku przedsiębiorstw turystycznych wymóg ten jest szczególnie istotny, ponieważ gromadzone są nie tylko dane osobowe i dane dokumentów, ale często także dane związane z płatnościami (np. numery kart kredytowych).
Pamiętaj, że zgoda musi być „dobrowolna, konkretna, świadoma i jednoznaczna”. Osoba fizyczna musi wiedzieć, w jakim celu zbierane są jej dane i mieć prawo do wycofania zgody w dowolnym momencie.
Przedsiębiorstwo gromadzące dane musi być w stanie na każde uzasadnione wezwanie przedstawić podstawę ich przetwarzania. Musi być ona zgodna z prawem, tak jak np. Umowa, pisemna zgoda lub uzasadnione interesy. Upewnij się, że podstawa jest odpowiednia dla konkretnej czynności przetwarzania oraz że przetwarzanie jest konieczne i proporcjonalne.
2. Zasada ograniczenia przechowywania danych osobowych
Firmy turystyczne mają obowiązek gromadzenia szczegółowych informacji o swoich Gościach, jednak powinny to robić jedynie w zakresie niezbędnym do świadczenia usługi i w ramach wymogów prawnych.
Oznacza to przede wszystkim, że hotele i biura podróży muszą:
- określić cel, w jakim zbierają dane osobowe,
- zapewnić, że dane są istotne, adekwatne i ograniczone do tego, co niezbędne dla określonego celu,
- zapewnić, że dane są dokładne, kompletne i aktualne,
- przechowywać dane osobowe w sposób bezpieczny i tylko tak długo, jak jest to niezbędne do osiągnięcia określonego celu.
3. Zasady prywatności w fazie projektowania oraz domyślnej ochrony danych (privacy by design i privacy by default)
Zgodność z RODO wymaga od przedsiębiorstw uwzględnienia zasady ochrony danych w swoich procesach i systemach od samego początku ich planowania. Obejmuje to wdrażanie polityk, procedur i protokołów ochrony danych, a także projektowanie odpowiednio zabezpieczonego oprogramowania, które jest dostosowane do konkretnych potrzeb firmy.
Privacy by Design to koncepcja kładąca nacisk na włączenie środków i zabezpieczeń prywatności danych do rozwoju produktów, systemów i procesów od samego początku. Wymaga to od przedsiębiorstw uwzględniania prywatności na każdym etapie projektu, a nie jakimś czasie. Takie podejście zapewnia, że prywatność jest wpisana w projekt i architekturę systemów i technologii.
Z kolei privacy by default wymaga od organizacji ustawienia najwyższego poziomu ustawień prywatności jako opcji domyślnej dla ich produktów i usług. Oznacza to, że dane osobowe osób fizycznych powinny być automatycznie chronione przy użyciu najbardziej rygorystycznych ustawień prywatności, chyba że aktywnie zdecydują się one na udostępnienie większej ilości informacji.
Przestrzeganie tych dwóch zasad ma kluczowe znaczenie dla hoteli, biur podróży i platform rezerwacji online w celu utrzymania zgodności z RODO.
4. Transgraniczne przesyłanie danych
Szczególnie przedsiębiorstwa turystyczne muszą zapewnić, że wszelkie transgraniczne przesyłanie danych podlega odpowiednim zabezpieczeniom, takim jak standardowe klauzule umowne lub certyfikacja w ramach Tarczy Prywatności UE-USA. Jest to ważne, ponieważ zapewnia ochronę danych osobowych przesyłanych poza UE, a firmy organizujące wyjazdy i wypoczynek turystów na całym świecie, z konieczności zmuszone są do przesyłania ich danych innym podmiotom, zlokalizowanym za granicą.
Warunkiem przekazania danych jest zgoda Klienta oraz zapewnienie odpowiedniego poziomu ochrony danych po stronie Twojego kontrahenta. Musisz również zapewnić ochronę danych podczas ich przesyłania między systemami.
5. Dbałość o odpowiedni poziom świadomości oraz przeszkolenie swoich pracowników
Zgodnie z danymi publikowanymi przez instytuty badawcze wciąż najczęstszą przyczyną naruszenia bezpieczeństwa danych jest błąd ludzki.
Dlatego firmy z branży turystycznej muszą edukować swoich pracowników w zakresie wymogów RODO i upewnić się, że rozumieją znaczenie prywatności danych. Muszą także zapewniać regularne szkolenia i aktualizacje dotyczące wymogów RODO i najlepszych praktyk.
6. Wyznaczenie w firmie Inspektora Ochrony Danych (IOD)
Przedsiębiorstwa turystyczne zaliczają się do grupy organizacji, które zajmują się “systematycznym monitorowaniem lub przetwarzaniem wrażliwych danych osobowych na dużą skalę”.
Z tego powodu, zgodnie z prawem muszą wyznaczyć inspektora ochrony danych, który będzie nadzorował ich praktyki w zakresie ochrony danych. Jest to ważne, ponieważ gwarantuje, że firma ma wyznaczony punkt kontaktowy w sprawach związanych z ochroną danych i że są one pociągane do odpowiedzialności za obchodzenie się z danymi osobowymi.
Warto pamiętać, że rolę Inspektora Ochrony Danych (IOD) w firmie może pełnić zarówno Twój pracownik, jak też specjalista pozyskany w ramach outsourcingu.
7. Opracowanie odpowiedniej dokumentacji
Przed podjęciem działań związanych z gromadzeniem oraz przetwarzaniem danych Twoich Klientów zobowiązany jesteś do przeprowadzenia oceny skutków dla ochrony danych (DPIA). Jest ona wymagana, gdy przetwarzanie danych może powodować wysokie ryzyko dla praw i wolności osób fizycznych, co z pewnością zachodzi w przypadku branży turystycznej.
8. Stworzenie odpowiednich procedur zgłaszania naruszeń oraz zagwarantowanie ich przestrzegania
W przypadku każdego poważnego naruszenia bezpieczeństwa danych Twoja firma ma tylko 72 godziny, aby powiadomić odpowiedni organ. Jest to ważne, ponieważ zapewnia, że osoby fizyczne są świadome wszelkich potencjalnych zagrożeń dla ich danych i mogą podjąć kroki w celu ochrony.
Z tego powodu, aby uniknąć grzywny przez opóźnienie w realizacji tego obowiązku warto zadbać o przygotowanie odpowiednich procedur, zaznajomienie z nimi pracowników, a także kontrolowanie, na ile się do nich stosują.
9. Obowiązek informacyjny oraz umożliwienie skorzystania Klientom z ich praw
Trzeba pamiętać, że gromadząc dane swoich Klientów, musisz również w odpowiedni sposób informować o ich uprawnieniach. Każda osoba fizyczna może wymagać od Twojej firmy m.in. dostępu, poprawiania, usuwania, ograniczania przetwarzania, sprzeciwu wobec przetwarzania i przenoszenia danych.
Jest to ważne, ponieważ umożliwia Klientom kontrolowanie własnych danych osobowych i zapewnia, że organizacje ponoszą odpowiedzialność za obchodzenie się z tymi danymi.
Korzystanie z tych uprawnień powinno być proste oraz łatwo dostępne.
10. Gromadzenie danych musi być zgodne z prawem, uczciwe i przejrzyste
Dane Twoich Klientów nie mogą być gromadzone “na wszelki wypadek” i w zakresie, jaki będzie nieadekwatny do realizacji usługi.
Musisz być w stanie wykazać, w przypadku kontroli, że Twoje działania związane z gromadzeniem i przetwarzaniem są niezbędne do świadczenia usługi. Ważne jest także pokazanie, że przed podjęciem decyzji o zakresie gromadzonych danych rozważane były alternatywne metody osiągnięcia tego celu.
Podsumowanie
Hotele, biura podróży i inne przedsiębiorstwa turystyczne w dużym stopniu polegają na technologii w zarządzaniu swoją działalnością, komunikowaniu się z gośćmi i przechowywaniu wrażliwych informacji.
Jednak to zwiększone uzależnienie od technologii naraża je również na szereg zagrożeń z zakresu bezpieczeństwa danych, którym zapobiegać mają wymagania stawiane przez Ogólne rozporządzenie o ochronie danych (RODO).
Chociaż przedsiębiorstwa turystyczne mogą samodzielnie dostosować się do wymagań stawianych przez RODO, osiągnięcie wysokiego poziomu zabezpieczeń bez pomocy ekspertów może stanowić dla nich wyzwanie.
Podjęcie współpracy ze specjalistami z software house’u, takimi jak zespół SOFTIQ, pozwoli Ci nie tylko rzetelnie zweryfikować aktualny poziom zabezpieczeń i jego z godność z wymaganiami prawnymi. Możemy wesprzeć Cię także w okresowych testach bezpieczeństwa wraz z testami penetracyjnymi, a także w szkoleniach personelu.
Jeśli chcesz mieć pewność, że Twoja firma będzie w odpowiedni sposób realizować obowiązki wynikające z RODO, skontaktuj się z nami i umów bezpłatną rozmowę z naszym ekspertem.
Jeśli potrzebujesz większej ilości informacji o zgodności z RODO w działalności turystycznej zachęcamy do lektury naszego artykułu na blogu: “Budowa systemu rezerwacji online zgodnego z RODO. Poradnik dla przedsiębiorstw turystycznych”.
This post is also available in:
English (Angielski)