sarah-gotze-22372-unsplash

Hotelli ja matkailuala: Kuinka noudattaa Yleistä tietosuoja-asetusta?

Hotelli ja matkailuala (majoitus, ravintolat, matkailu) on yksi suurimmista yksittäisistä aloista, jotka keräävät eniten henkilötietoja. Näin ollen on tärkeää, että tietosuoja-asetusta koskevia määräyksiä noudatetaan taloudellisten seuraamusten välttämiseksi. Osa maailmanlaajuisista hotelliketjuista kuten Radisson, Hilton, Mandarien Oriental sekä Trump-hotellit ovat jo saaneet tietosuojan laiminlyönneistä seuranneita sanktioita.

Asiakkaita koskevat henkilötiedot kulkevat usein monien kanavien kautta, jotka vastaanottavat sekä välittävät  henkilötietoja kyseiselle alalle. Tämä tarkoittaa sitä, että henkilötietoja kerätään sekä suoraan asiakkailta että useilta varauspalveluilta ja matkailualan välitysfirmoilta kuten Bookings. Hotellit, matkailutoimistot sekä vastaavat palveluntarjoajat pitävät hallussaan asiakkaiden luottokorttitietoja. Asiakkaiden luottokorttitietojen säilyttäminen ja kerääminen  tekevät matkailualan yrityksistä haavoittuvaisia mahdollisille tietovuodoille, joten tietosuoja-asetuksen määräyksiä ei voi sivuuttaa.

Yleinen tietosuoja-asetus (GDPR) koskee kaikkia yrityksiä, jotka käsittelevät EU kansalaisten henkilötietoja vaikka yritys itse olisi Euroopan ulkopuolella. Esimerkiksi jos hotelli sijaitsee Yhdysvalloissa on mahdollista, että Hotellin vierailijat tulevat Euroopasta. Näin ollen tulee Hotellin soveltaa GDPR asettamia vaatimuksia.

Miten Hotelli ja matkailualan pitäisi alkaa valmistautumaan Yleiseen tietosuoja-asetukseen?

 Matkailualan yritykset keräävät ja säilyttävät paljon erilaisia henkilötietoja asiakkaistaan. Yritysten tulisi ensiksi tarkastella, mitä tietoja heillä on asiakkaistaan. Suostumus käytännöt tulisi olla sekä olemassa olevissa että aikaisemmissa asiakas tiedostoissa. Jos joitakin puuttuu, pitää käytännöt päivittää.

Asiakastietoja säilytetään yleensä eri tiedostoissa ja sovelluksissa. Seuraavat tulisi käydä läpi:

  • CRM-järjestelmät
  • Varausjärjestelmät
  • Verkkosivustojen kehittäjät
  • Maksuprosessorit
  • Markkinointityökalut/ sähköposti
  • Jäsenyydet
  • Sosiaalinen media
  • Asiakastietokannat
  • Verkkosivustojen evästeet

Henkilötietojen kerääminen

Henkilötietojen käsittelyyn on Yleisen tietosuoja-asetuksen mukaan olemassa kuusi laillista perustaa. Useimmissa tapauksissa hotelli ja matkailuala voivat käyttää perusteenaan sopimusvelvoitetta. Riippumatta siitä, mitä laillista perustetta henkilötietojen käsittelyyn käytetään, tulee asiakasta informoida tietojen keräämisestä, mitä tietoja kerätään, mihin tietoja käytetään ja kuinka kauan tietoja säilytetään. Tämän vuoksi, vain välttämättömiä tietoja asiakkaista tulee kerätä ja niitä tulisi säilyttää vain sopimuksen voimassaolon ajan tai vastaavasti niin kauan kuin on tarpeellista.

Rekisteröidyt henkilöt ovat oikeutettuja henkilötietoihinsa. Yksi oikeuksista on pääsy henkilötietoihin. Yrityksellä on 30 aikaa antaa pyynnön esittäneelle asiakkaalle pääsy tämän henkilötietoihin. Tietoja on päivitettävä tai muutettava asiakkaiden pyynnöstä. Jos yrityksellä ei ole laillista perustetta henkilötietojen keräämiseen tai säilyttämiseen, tulee tiedot tällöin poistaa.

Henkilötietojen suojaaminen

Henkilötietojen suojaamiseksi on olemassa erilaisia toimenpiteitä. Kuten riittävät tietoturva käytännöt ja tietojen anonymisointi. Tietojen suojaus tulisi kuitenkin aloittaa keskittymällä yksityisyyden suojaamiseen, joka on erityisen tärkeää kun teknologia rakentuu vahvasti henkilöiden antamien tietojen varaan.

Hotelli ja matkailualalla mobiili teknologialla on suuri vaikutus – matkan varaamisesta lentolipun lataamiseen. Nykyään tarvitaan silti erillisiä sovelluksia kyseisiin tarkoituksiin. Matkakokemusta parantaa, mitä vähemmän erillisiä sovelluksia asiakas joutuu käyttämään eri tarkoituksiin. Asiakkaan yksityisyys tulee ottaa huomioon kun tietoja välitetään eri matkailualan yritysten välillä. Yleisen tietosuoja-asetuksen asettamat vaatimukset tulee ottaa myös tässä kohtaa huomioon. Esimeriksi varmistamalla, että tietoja välittävillä osapuolilla on asianmukaiset sopimukset tietojen käytöstä keskenään. Riippumatta yrityksen yhteistyökumppaneista tai muista palvelun tarjoajista, yritys (joka GDPR:n mukaan katsotaan rekisterinpitäjäksi) on viime kädessä vastuussa GDPR:n noudattamisesta.

Yrityksien kohdalla jotka käsittelevät henkilötietoja suurissa määrin on erityisen tärkeää noudattaa tietosuoja-asetuksen vaatimuksia ja yrityksien tulisi tällöin nimittää tietosuojavastaava. Tietosuojavastaavat vastaavat yrityksen tietosuojakäytännöistä sekä suorittavat vaikutusten arviointia henkilötietojen osalta. Henkilötietoja, joita siirretään EU:n ulkopuolelle on erityiset vaatimukset.

Yritysten ei tule aliarvioida sitä, kuinka tärkeää on sopeutua Yleisen tietosuoja-asetuksen asettamiin sääntöihin ja vaatimuksiin. Matkailualan yritykset joutuvat arvioimaan henkilötietojen käsittelyään, teknologiaansa sekä toimintatapojansa tietojen käsittelyn suhteen. Henkilökunnan tulee myös ymmärtää asetuksen asettamat vaatimukset. Asetuksen vaatimusten laiminlyönti voi johtaa sanktioihin, jotka ovat 4% prosenttia vuotuisesta maailmanlaajuisesta liikevaihdosta tai vastaavasti 20 miljoonaa.

Share on facebook
Share on linkedin
Share on twitter
Share on pinterest
Share on email

Get your compliance organized with proper GDPR tools.
Contact us for a demo and get access to 14-day trial.

Save time and be confident

Latest Posts
Tietosuojavaltuutettu määräsi Svea Ekonomia muuttamaan käytäntöjään henkilötietojen käsittelyssä

Tietosuojavaltuutettu määräsi Svea Ekonomia muuttamaan käytäntöjään henkilötietojen käsittelyssä

Helsingin sanomat julkaisi hiljattain artikkelin, jossa kerrottiin tietosuojavaltuutetun määränneen rahoitusyhtiö Svea Ekonomin muuttamaan henkilötietojen käsittelyä koskevia käytäntöjään.   Tietosuojavaltuutettu aloitti tutkinnan...
GDPR ja verkkohyökkäykset: Kiristyshaittaohjelmat

GDPR ja verkkohyökkäykset: Kiristyshaittaohjelmat

Kiristyshaittaohjelmat ja Yleinen Tietosuoja-asetus Lähes jokaisella yrityksellä on käytössä erilaisia digitaalisia ratkaisuja. Jos yrityksen IT infrastruktuuria ja sisäisiä käytäntöjä ei...
Terveydenhuoltoala ja GDPR

Terveydenhuoltoala ja GDPR

Yleisen tietosuoja-asetuksen voimaantulon jälkeen henkilötietojen suojaaminen on osoittautunut yhä haastavammaksi terveydenhuoltoalalle. Tietoja tulisi käsitellä kokonaisvaltaisemmin sekä ymmärtää tiedon liikkuvuuden rakenteita....
Hotelli ja matkailuala: Kuinka noudattaa Yleistä tietosuoja-asetusta?

Hotelli ja matkailuala: Kuinka noudattaa Yleistä tietosuoja-asetusta?

Hotelli ja matkailuala (majoitus, ravintolat, matkailu) on yksi suurimmista yksittäisistä aloista, jotka keräävät eniten henkilötietoja. Näin ollen on tärkeää, että...
IP – osoitteen Anonymisaatio – Google Analytics

IP – osoitteen Anonymisaatio – Google Analytics

Monet yritykset käyttävät Google Analyticsia apuvälineenään saadakseen tärkeää tietoa asiakkaiden käyttäytymisestä verkkosivustoilla, mobiilisovelluksissa jne. Google Analytics käyttää verkkosivustojen käyttäjien IP-...
Suomessa aloitetaan ensimmäiset GDPR-tarkastukset – Tietosuoja-asetuksen rikkomisesta voi seurata miljoonien sanktiot

Suomessa aloitetaan ensimmäiset GDPR-tarkastukset – Tietosuoja-asetuksen rikkomisesta voi seurata miljoonien sanktiot

Tietosuojavaltuutetun toimisto on saanut suuren määrän valituksia mahdollisista tietoturvaloukkauksista yleisen tietosuoja-asetuksen astuessa voimaan 25 toukokuuta 2018. Suomen tietosuojaviranomaiset ovat aloittamassa...
GDPR: Oikeutettu etu

GDPR: Oikeutettu etu

Oikeutettu etu MITÄ TARKOITTAA OIKEUTETTU ETU? GDPR määrittelee kuusi laillista perustaa henkilötietojen käsittelylle → oikeutettu etu on yksi niistä Oikeutettu etu on...
Kanta-asiakasohjelmat Tietosuoja-Asetuksen tarkastelun alla

Kanta-asiakasohjelmat Tietosuoja-Asetuksen tarkastelun alla

Liettuan tietosuojaviranomainen on äskettäin saanut valmiiksi selvityksen liittyen henkilötietojen käsittelyyn suoramarkkinointitarkoituksissa. Selvityksen kohteina olivat tärkeimmät elintarvike, lääketeollisuus sekä kotitalouden alat,...
Henkilötietojen tietoturvaloukkauksesta ilmoittaminen yleisen tietosuoja-asetuksen mukaisesti

Henkilötietojen tietoturvaloukkauksesta ilmoittaminen yleisen tietosuoja-asetuksen mukaisesti

Tietoturvaloukkauksella tarkoitetaan turvallisuuden loukkaamista, joka johtaa henkilötietojen vahingossa tapahtuvaan tai laittomaan hävittämiseen, häviämiseen, muuttamiseen, luvattoman paljastumiseen tai saatavuuteen. Henkilötietojen rikkomukset...
Miten GDPR vaikuttaa suoramarkkinointiin ja profilointiin?

Miten GDPR vaikuttaa suoramarkkinointiin ja profilointiin?

Miten GDPR vaikuttaa suoramarkkinointiin ja profilointiin? Miten GDPR vaikuttaa suoramarkkinointiin ja profilointiin? Suoramarkkinointi ja kuluttajien käyttäytymismallit (profilointi) ovat keskeisiä työkaluja,...