GDPR: Как отелю соответствовать новому закону о персональных данных

25 мая 2018 года вступает в силу Общий регламент по защите данных (General Data Protection Regulation, GDPR). C его помощью Евросоюз регламентирует сбор и хранение персональных данных жителей ЕС. Он коснется и отелей.

Сервисы TravelLine соответствуют GDPR, дополнительно настраивать ничего не нужно. Но если отель работает с жителями ЕС, нужно сделать некоторые доработки и на стороне отеля. О чем позаботились мы, а что еще нужно сделать отельерам, чтобы соответствовать новому закону, читайте в статье.

• О чем закон?
• Зачем он нужен?
• Он касается отелей?
• Как соответствовать GDPR?
• А если ничего не обновлять?
• Как TravelLine помогает отелям соответствовать GDPR?
• Как доработали модуль бронирования TravelLine: Отель?
• Как доработали личный кабинет TravelLine?
• Сайт на движке TravelLine: Express соответствует GDPR?
• Если мы храним данные в АСУ TravelLine: WebPMS?
• Что если мы используем сторонние компоненты для сбора данных на сайте отеля?

— О чем закон?

— О том, как компании могут собирать и обрабатывать персональные данные граждан Евросоюза.

Закон защищает жителей ЕС от неправомерного использования их личных данных и описывает, как эта информация может передаваться за пределы Евросоюза.

— Зачем он нужен?

— Делает сбор данных безопаснее и помогает понять, кто и для чего собирает личную информацию.

Основная цель GDPR — дать людям больше контроля за собственными персональными данными. Также закон стандартизирует обработку данных граждан ЕС для всех компаний, которые их запрашивают.

— Он касается отелей?

— Да.

Отель должен соответствовать требованиям GDPR независимо от того, в какой стране он находится, если он подпадает хотя бы под один из критериев:

• Предлагает продукты или услуги жителям ЕС.
• Запрашивает персональные данные у жителей ЕС: электронную почту, имя и фамилию, данные банковской карты или другую финансовую информацию, фото или видео, онлайн-идентификаторы, такие как IP-адрес, cookie и т.д.

Человек может быть гражданином любой страны, но если он бронирует номер в вашем отеле, находясь на территории ЕС, вы должны соблюдать GDPR.

— Как соответствовать GDPR?

— Перестроить работу с личными данными гостей.

К сожалению, закон не дает конкретного перечня действий, и формат статьи не позволяет описать все нюансы GDPR. Расскажем лишь о первоочередных изменениях, которые нужно сделать отелю.

Что мы рекомендуем сделать в первую очередь:

Обновить политику конфиденциальности

Рекомендуем перепроверить и обновить политику конфиденциальности на сайте отеля.

Текст должен быть на всех языках, которые поддерживает сайт, и на английском, чтобы его понимали пользователи из Европы. Пишите просто, без непонятных юридических терминов и обтекаемых формулировок. Человек должен понимать, какие данные и для чего у него просят, где и сколько они будут храниться и т.д.

Обязательно должно быть отражено в политике конфиденциальности:

1. Кто контролер, а кто — процессор.

Контролер — тот, кто определяет цели и средства сбора данных. На контролерах лежит больше юридической ответственности. Процессор — по сути, исполнитель, он занимается обработкой данных (что включает сбор, хранение, структурирование, изменение, удаление и т.п.).

Если собираете данные о гостях через сторонние сервисы, например, через модуль бронирования TravelLine, вы — контролер, TravelLine — процессор.

Если собираете данные о гостях сами через собственные сервисы или форму обратной связи на сайте, вы — и контролер, и процессор.

2. Контактные данные контролера.
3. Лицо, ответственное за обработку персональных данных (необязательно).
4. Права пользователя в соответствии с GDPR. Право на доступ к данным, их изменение, удаление и т.п.
5. Указание того, является ли сбор данных обязательным.
6. Указание того, передаются ли данные за рубеж. Если данные гостей передаются в другую страну, необходимо указать, как они защищены и как гости могут их запросить.
7. Обоснование сбора данных. Укажите, для чего вам нужна та или иная информация.
8. Как можно отозвать согласие. Расскажите, куда отправить запрос, чтобы удалить информацию о себе из базы данных.

Получать явное согласие на обработку персональных данных

Согласно GDPR, если люди не дали согласия на рассылку, отправлять им письма незаконно.

Для сбора новых контактов можно использовать форму подписки с чекбоксом. Уберите предустановленные галочки. Пользователь должен явно выразить согласие, в данном случае, самостоятельно проставив галочку:

Пользователь может отказаться от дачи своих персональных данных. При этом понятным языком описано, что произойдет, например, «не предоставив email, вы не сможете создать аккаунт».

У существующих контактов нужно заново получить согласие на получение рассылок. Для этого отправьте письма с просьбой согласиться на получение новостей и в будущем делайте рассылки только по тем, кто дал явное согласие. Это хороший повод почистить базу контактов и увеличить эффективность рассылок: вы будете рассылать их более заинтересованным людям.

Уведомлять о сборе персональных данных

Речь здесь, например, о cookie-файлах. Они используются на большинстве сайтов, некоторые из них собирают персональную информацию о пользователях. Рекомендуем добавить уведомление об использовании cookie-файлов на сайт отеля.

Из уведомления должна вести ссылка на страницу, где объясняется, для чего файлы cookie используются и как хранятся (это может быть политика конфиденциальности). Еще стоит описать, как отказаться от предоставления этих данных.

Это далеко не полный перечень необходимых доработок. Рекомендуем серьезно изучить требования GDPR.

— Что будет, если ничего не обновлять?

— Очень серьезные штрафы.

С компаний смогут взимать штрафы в размере до 20 миллионов евро или 4% годовой выручки, в зависимости от того, какая сумма больше.

— Как TravelLine помогает отелям соответствовать GDPR?

— Мы доработали сервисы так, чтобы все требования GDPR в них были соблюдены.

— Как доработали модуль бронирования TravelLine: Отель?

— Требуем явного согласия гостя на обработку данных, обновили политику конфиденциальности, даем возможность удалить данные.

Чтобы гость мог явно согласиться на получение рассылок от отеля, мы убрали предустановленные галочки из чекбокса «Я хочу узнавать о специальных предложениях...». Чтобы согласиться, нужно самому проставить галочку:

Гость сможет прочесть обновленную политику конфиденциальности по ссылке в модуле бронирования. Здесь тоже требуем явного согласия:

Гости смогут удалять персональные данные из бронирования через модификацию брони. Чтобы сделать это, гость переходит по ссылке «Управление бронированием» из подтверждения о бронировании...

...и нажимает на кнопку «Удалить персональные данные»:

Если бронирование было на несколько человек, удалятся данные всех гостей.

Так можно будет делать только с бронями, совершенными после 25 мая 2018 года. Гости, бронировавшие до этой даты, не смогут удалить свои данные.

— Как доработали личный кабинет TravelLine?

— Данные гостей будут удаляться по истечении срока, заданного отельером.

Вы сможете задавать срок хранения данных, после которого они будут автоматически удаляться из личного кабинета:

Если задано «бесконечно», данные будут храниться до тех пор, пока вы не измените срок, или гость не удалит их сам.

— Сайт на движке TravelLine: Express соответствует GDPR?

— Да.

К 25 мая мы внесем все необходимые доработки. После этого сайты будут полностью соответствовать GDPR.

— Если мы храним данные в АСУ TravelLine: WebPMS?

— Сможете удалять персональные данные по требованию гостя.

Мы добавим инструмент, с помощью которого отельер сможет удалить данные из WebPMS по просьбе гостя.

— Что если мы используем сторонние компоненты для сбора данных на сайте отеля?

— Проверьте, соответствуют ли они требованиям GDPR.

Если используете на сайте отеля сторонние компоненты, которые собирают персональные данные, проверьте их соответствие GDPR. Составьте список таких сервисов и свяжитесь с разработчиком каждого из них. Если есть сомнения в соответствии сервиса закону, рекомендуем снять его с сайта.

Мы максимально подстроили сервисы TravelLine под требования GDPR.

А чтобы все было в порядке с вашим сайтом и другими рабочими инструментами, советуем внимательно изучить закон GDPR. Добавьте недостающие детали и спокойно принимайте гостей из Европы.