Vad är GDPR och hur påverkar det hotellägare?

GDPR (Dataskyddsförordningen) är en ny lagstiftning som syftar till att ge medborgarna större kontroll över deras personuppgifter. Det kommer att påverka befintliga företag i hela EU och även över hela världen, eftersom alla företag som innehar eller behandlar EU-uppgifter fortfarande måste följa lagen. GDPR antogs i maj 2016 men fristen för att ha genomfört den är den 25 maj 2018, så det finns fortfarande tid för alla i gästbranschen att komma igång med att förbättra sin dataskyddsprocess.

De viktigaste områdena som påverkar hotell

Marknadsföring via e-post

Varje insamling av personuppgifter måste ske öppet och med kundernas vetskap och det kommer krävas att hotellägare bevisar att samtycke lämnades för att deras data ska användas. Information kan inte lagras och användas senare i ett annat syfte. Det vill säga att uppgifter som tas emot i samband med bokningstillfället kan inte lagras och användas senare för marknadsföring via e-post. Förordningen säger att kunderna måste ”välja till” att uppgifterna används för marknadsföringssyften, i motsats till det nuvarande systemet där man måste ”välja bort” sådana utskick. Läs mer om att få samtycke till behandling av personuppgifter i vår supportartikel här.

Rätt till åtkomst av uppgifter

För närvarande, under den befintliga dataskyddslagen, kan vem som helst skriva till ett hotell och begära ut sin personliga information. Detta medför en avgift på 6,35 Euro och informationen måste lämnas inom 40 dagar. När GDPR träder i kraft kommer denna ”rätt att söka” personuppgifter bli en gratis tjänst och hotell behöver lämna uppgifterna inom 30 dagar. Hotell måste vara förberedda eftersom dessa förändringar sannolikt innebär ett ökat antal förfrågningar om data.

Partners och tredje part

Det är viktigt att komma ihåg att många partners och tredje parter också har tillgång till era uppgifter. Med denna ändring av lagstiftningen ligger ansvaret för databehandling och datainsamling fortfarande på hotellet. Definitionerna av var och en anges i artikel 4 i Dataskyddsförordningen. En personuppgiftsansvarig är en ”person, offentlig myndighet, institution, eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och  medlen för behandlingen av personuppgifter; medan personuppgiftsbiträdet är en person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning. Detta innebär att om ett hotell lägger ut sin databehandling till en tredje part som inte uppfyller kraven kan de hållas ansvariga tillsammans med tredje part om ett brott mot lagen skulle inträffa. Detta innebär att om en kund begär borttagning av sin personliga information måste ni rensa ert eget system och se till att alla era datapartners gör detsamma. Sirvoys supportartikel som diskuterar dataskydd mer detaljerat kan hittas här.

Hur följer jag förordningen?

Alla chefer och deras personal bör bekanta sig med med hur förändringarna kommer att påverka deras verksamhet, liksom hur det kommer att påverka deras kunders rättigheter. Hubspot har producerat en praktiskt checklista för att hjälpa företag att bli redo för GDPR – du kan hitta den här. Datainspektionen har gjort en lista på svenska som man kan hitta här. Det är viktigt att lämpliga resurser ställt till förfogande för att genomföra nödvändiga förändringar. Personal bör utbildas i GDPR för att kunna följa förordningen och alla företag som accepterar kreditkortsbetalningar borde redan överensstämma med PCI DSS (Payment Card Industry Data Security Standard). I detta avseende kan våra Sirvoy-kunder bocka av denna viktiga punkt eftersom Sirvoy är helt kompatibelt med PCI och använder SSL (Secure Sockets Layer) för att säkerställa att all kommunikation är säker.