Hotelli ja matkailuala (majoitus, ravintolat, matkailu) on yksi suurimmista yksittäisistä aloista, jotka keräävät eniten henkilötietoja. Näin ollen on tärkeää, että tietosuoja-asetusta koskevia määräyksiä noudatetaan taloudellisten seuraamusten välttämiseksi. Osa maailmanlaajuisista hotelliketjuista kuten Radisson, Hilton, Mandarien Oriental sekä Trump-hotellit ovat jo saaneet tietosuojan laiminlyönneistä seuranneita sanktioita.
Asiakkaita koskevat henkilötiedot kulkevat usein monien kanavien kautta, jotka vastaanottavat sekä välittävät henkilötietoja kyseiselle alalle. Tämä tarkoittaa sitä, että henkilötietoja kerätään sekä suoraan asiakkailta että useilta varauspalveluilta ja matkailualan välitysfirmoilta kuten Bookings. Hotellit, matkailutoimistot sekä vastaavat palveluntarjoajat pitävät hallussaan asiakkaiden luottokorttitietoja. Asiakkaiden luottokorttitietojen säilyttäminen ja kerääminen tekevät matkailualan yrityksistä haavoittuvaisia mahdollisille tietovuodoille, joten tietosuoja-asetuksen määräyksiä ei voi sivuuttaa.
Yleinen tietosuoja-asetus (GDPR) koskee kaikkia yrityksiä, jotka käsittelevät EU kansalaisten henkilötietoja vaikka yritys itse olisi Euroopan ulkopuolella. Esimerkiksi jos hotelli sijaitsee Yhdysvalloissa on mahdollista, että Hotellin vierailijat tulevat Euroopasta. Näin ollen tulee Hotellin soveltaa GDPR asettamia vaatimuksia.
Miten Hotelli ja matkailualan pitäisi alkaa valmistautumaan Yleiseen tietosuoja-asetukseen?
Matkailualan yritykset keräävät ja säilyttävät paljon erilaisia henkilötietoja asiakkaistaan. Yritysten tulisi ensiksi tarkastella, mitä tietoja heillä on asiakkaistaan. Suostumus käytännöt tulisi olla sekä olemassa olevissa että aikaisemmissa asiakas tiedostoissa. Jos joitakin puuttuu, pitää käytännöt päivittää.
Asiakastietoja säilytetään yleensä eri tiedostoissa ja sovelluksissa. Seuraavat tulisi käydä läpi:
- CRM-järjestelmät
- Varausjärjestelmät
- Verkkosivustojen kehittäjät
- Maksuprosessorit
- Markkinointityökalut/ sähköposti
- Jäsenyydet
- Sosiaalinen media
- Asiakastietokannat
- Verkkosivustojen evästeet
Henkilötietojen kerääminen
Henkilötietojen käsittelyyn on Yleisen tietosuoja-asetuksen mukaan olemassa kuusi laillista perustaa. Useimmissa tapauksissa hotelli ja matkailuala voivat käyttää perusteenaan sopimusvelvoitetta. Riippumatta siitä, mitä laillista perustetta henkilötietojen käsittelyyn käytetään, tulee asiakasta informoida tietojen keräämisestä, mitä tietoja kerätään, mihin tietoja käytetään ja kuinka kauan tietoja säilytetään. Tämän vuoksi, vain välttämättömiä tietoja asiakkaista tulee kerätä ja niitä tulisi säilyttää vain sopimuksen voimassaolon ajan tai vastaavasti niin kauan kuin on tarpeellista.
Rekisteröidyt henkilöt ovat oikeutettuja henkilötietoihinsa. Yksi oikeuksista on pääsy henkilötietoihin. Yrityksellä on 30 aikaa antaa pyynnön esittäneelle asiakkaalle pääsy tämän henkilötietoihin. Tietoja on päivitettävä tai muutettava asiakkaiden pyynnöstä. Jos yrityksellä ei ole laillista perustetta henkilötietojen keräämiseen tai säilyttämiseen, tulee tiedot tällöin poistaa.
Henkilötietojen suojaaminen
Henkilötietojen suojaamiseksi on olemassa erilaisia toimenpiteitä. Kuten riittävät tietoturva käytännöt ja tietojen anonymisointi. Tietojen suojaus tulisi kuitenkin aloittaa keskittymällä yksityisyyden suojaamiseen, joka on erityisen tärkeää kun teknologia rakentuu vahvasti henkilöiden antamien tietojen varaan.
Hotelli ja matkailualalla mobiili teknologialla on suuri vaikutus – matkan varaamisesta lentolipun lataamiseen. Nykyään tarvitaan silti erillisiä sovelluksia kyseisiin tarkoituksiin. Matkakokemusta parantaa, mitä vähemmän erillisiä sovelluksia asiakas joutuu käyttämään eri tarkoituksiin. Asiakkaan yksityisyys tulee ottaa huomioon kun tietoja välitetään eri matkailualan yritysten välillä. Yleisen tietosuoja-asetuksen asettamat vaatimukset tulee ottaa myös tässä kohtaa huomioon. Esimeriksi varmistamalla, että tietoja välittävillä osapuolilla on asianmukaiset sopimukset tietojen käytöstä keskenään. Riippumatta yrityksen yhteistyökumppaneista tai muista palvelun tarjoajista, yritys (joka GDPR:n mukaan katsotaan rekisterinpitäjäksi) on viime kädessä vastuussa GDPR:n noudattamisesta.
Yrityksien kohdalla jotka käsittelevät henkilötietoja suurissa määrin on erityisen tärkeää noudattaa tietosuoja-asetuksen vaatimuksia ja yrityksien tulisi tällöin nimittää tietosuojavastaava. Tietosuojavastaavat vastaavat yrityksen tietosuojakäytännöistä sekä suorittavat vaikutusten arviointia henkilötietojen osalta. Henkilötietoja, joita siirretään EU:n ulkopuolelle on erityiset vaatimukset.
Yritysten ei tule aliarvioida sitä, kuinka tärkeää on sopeutua Yleisen tietosuoja-asetuksen asettamiin sääntöihin ja vaatimuksiin. Matkailualan yritykset joutuvat arvioimaan henkilötietojen käsittelyään, teknologiaansa sekä toimintatapojansa tietojen käsittelyn suhteen. Henkilökunnan tulee myös ymmärtää asetuksen asettamat vaatimukset. Asetuksen vaatimusten laiminlyönti voi johtaa sanktioihin, jotka ovat 4% prosenttia vuotuisesta maailmanlaajuisesta liikevaihdosta tai vastaavasti 20 miljoonaa.