GDPR: Как отелю соответствовать новому закону о персональных данных

GDPR: Как отелю соответствовать новому закону о персональных данных
23 мая 2018 #Законы

25 мая 2018 года вступает в силу Общий регламент по защите данных (General Data Protection Regulation, GDPR). C его помощью Евросоюз регламентирует сбор и хранение персональных данных жителей ЕС. Он коснется и отелей.

Сервисы TravelLine соответствуют GDPR, дополнительно настраивать ничего не нужно. Но если отель работает с жителями ЕС, нужно сделать некоторые доработки и на стороне отеля. О чем позаботились мы, а что еще нужно сделать отельерам, чтобы соответствовать новому закону, читайте в статье.

— О чем закон?

— О том, как компании могут собирать и обрабатывать персональные данные граждан Евросоюза.

Закон защищает жителей ЕС от неправомерного использования их личных данных и описывает, как эта информация может передаваться за пределы Евросоюза.

— Зачем он нужен?

— Делает сбор данных безопаснее и помогает понять, кто и для чего собирает личную информацию.

Основная цель GDPR — дать людям больше контроля за собственными персональными данными. Также закон стандартизирует обработку данных граждан ЕС для всех компаний, которые их запрашивают.

— Он касается отелей?

— Да.

Отель должен соответствовать требованиям GDPR независимо от того, в какой стране он находится, если он подпадает хотя бы под один из критериев:

  • Предлагает продукты или услуги жителям ЕС.
  • Запрашивает персональные данные у жителей ЕС: электронную почту, имя и фамилию, данные банковской карты или другую финансовую информацию, фото или видео, онлайн-идентификаторы, такие как IP-адрес, cookie и т.д.

Человек может быть гражданином любой страны, но если он бронирует номер в вашем отеле, находясь на территории ЕС, вы должны соблюдать GDPR.

— Как соответствовать GDPR?

— Перестроить работу с личными данными гостей.

К сожалению, закон не дает конкретного перечня действий, и формат статьи не позволяет описать все нюансы GDPR. Расскажем лишь о первоочередных изменениях, которые нужно сделать отелю.

Что мы рекомендуем сделать в первую очередь:

Обновить политику конфиденциальности

Рекомендуем перепроверить и обновить политику конфиденциальности на сайте отеля.

Текст должен быть на всех языках, которые поддерживает сайт, и на английском, чтобы его понимали пользователи из Европы. Пишите просто, без непонятных юридических терминов и обтекаемых формулировок. Человек должен понимать, какие данные и для чего у него просят, где и сколько они будут храниться и т.д.

Обязательно должно быть отражено в политике конфиденциальности:

  1. Кто контролер, а кто — процессор.

Контролер — тот, кто определяет цели и средства сбора данных. На контролерах лежит больше юридической ответственности. Процессор — по сути, исполнитель, он занимается обработкой данных (что включает сбор, хранение, структурирование, изменение, удаление и т.п.).

Если собираете данные о гостях через сторонние сервисы, например, через модуль бронирования TravelLine, вы — контролер, TravelLine — процессор.

Если собираете данные о гостях сами через собственные сервисы или форму обратной связи на сайте, вы — и контролер, и процессор.

  1. Контактные данные контролера.
  2. Лицо, ответственное за обработку персональных данных (необязательно).
  3. Права пользователя в соответствии с GDPR. Право на доступ к данным, их изменение, удаление и т.п.
  4. Указание того, является ли сбор данных обязательным.
  5. Указание того, передаются ли данные за рубеж. Если данные гостей передаются в другую страну, необходимо указать, как они защищены и как гости могут их запросить.
  6. Обоснование сбора данных. Укажите, для чего вам нужна та или иная информация.
  7. Как можно отозвать согласие. Расскажите, куда отправить запрос, чтобы удалить информацию о себе из базы данных.

Получать явное согласие на обработку персональных данных

Согласно GDPR, если люди не дали согласия на рассылку, отправлять им письма незаконно.

Для сбора новых контактов можно использовать форму подписки с чекбоксом. Уберите предустановленные галочки. Пользователь должен явно выразить согласие, в данном случае, самостоятельно проставив галочку:

Согласие на обработку персональных данных при подписке на рассылку

Пользователь может отказаться от дачи своих персональных данных. При этом понятным языком описано, что произойдет, например, «не предоставив email, вы не сможете создать аккаунт».

У существующих контактов нужно заново получить согласие на получение рассылок. Для этого отправьте письма с просьбой согласиться на получение новостей и в будущем делайте рассылки только по тем, кто дал явное согласие. Это хороший повод почистить базу контактов и увеличить эффективность рассылок: вы будете рассылать их более заинтересованным людям.

Уведомлять о сборе персональных данных

Речь здесь, например, о cookie-файлах. Они используются на большинстве сайтов, некоторые из них собирают персональную информацию о пользователях. Рекомендуем добавить уведомление об использовании cookie-файлов на сайт отеля.

Из уведомления должна вести ссылка на страницу, где объясняется, для чего файлы cookie используются и как хранятся (это может быть политика конфиденциальности). Еще стоит описать, как отказаться от предоставления этих данных.

Это далеко не полный перечень необходимых доработок. Рекомендуем серьезно изучить требования GDPR.

— Что будет, если ничего не обновлять?

— Очень серьезные штрафы.

С компаний смогут взимать штрафы в размере до 20 миллионов евро или 4% годовой выручки, в зависимости от того, какая сумма больше.

— Как TravelLine помогает отелям соответствовать GDPR?

— Мы доработали сервисы так, чтобы все требования GDPR в них были соблюдены.

— Как доработали модуль бронирования TravelLine: Отель?

— Требуем явного согласия гостя на обработку данных, обновили политику конфиденциальности, даем возможность удалить данные.

Чтобы гость мог явно согласиться на получение рассылок от отеля, мы убрали предустановленные галочки из чекбокса «Я хочу узнавать о специальных предложениях...». Чтобы согласиться, нужно самому проставить галочку:

Чекбокс с согласием на получение email-рассылок и SMS от отеля

Гость сможет прочесть обновленную политику конфиденциальности по ссылке в модуле бронирования. Здесь тоже требуем явного согласия:

Чекбокс "Я согласен с политикой конфиденциальности" в модуле бронирования TravelLine

Гости смогут удалять персональные данные из бронирования через модификацию брони. Чтобы сделать это, гость переходит по ссылке «Управление бронированием» из подтверждения о бронировании...

Ссылка "Управление бронированием" в подтверждении о бронировании TravelLine

...и нажимает на кнопку «Удалить персональные данные»:

Кнопка "Удалить персональные данные" в подтверждении о бронировании TravelLine

Если бронирование было на несколько человек, удалятся данные всех гостей.

Так можно будет делать только с бронями, совершенными после 25 мая 2018 года. Гости, бронировавшие до этой даты, не смогут удалить свои данные.

— Как доработали личный кабинет TravelLine?

— Данные гостей будут удаляться по истечении срока, заданного отельером.

Вы сможете задавать срок хранения данных, после которого они будут автоматически удаляться из личного кабинета:

Срок хранения персональных данных гостей в личном кабинете TravelLine

Если задано «бесконечно», данные будут храниться до тех пор, пока вы не измените срок, или гость не удалит их сам.

— Сайт на движке TravelLine: Express соответствует GDPR?

— Да.

К 25 мая мы внесем все необходимые доработки. После этого сайты будут полностью соответствовать GDPR.

— Если мы храним данные в АСУ TravelLine: WebPMS?

— Сможете удалять персональные данные по требованию гостя.

Мы добавим инструмент, с помощью которого отельер сможет удалить данные из WebPMS по просьбе гостя.

— Что если мы используем сторонние компоненты для сбора данных на сайте отеля?

— Проверьте, соответствуют ли они требованиям GDPR.

Если используете на сайте отеля сторонние компоненты, которые собирают персональные данные, проверьте их соответствие GDPR. Составьте список таких сервисов и свяжитесь с разработчиком каждого из них. Если есть сомнения в соответствии сервиса закону, рекомендуем снять его с сайта.


Мы максимально подстроили сервисы TravelLine под требования GDPR.

А чтобы все было в порядке с вашим сайтом и другими рабочими инструментами, советуем внимательно изучить закон GDPR. Добавьте недостающие детали и спокойно принимайте гостей из Европы.

Упоминая в этой публикации Meta, Facebook и Instagram, сообщаем, что они признаны экстремистскими организациями
и их деятельность запрещена на территории РФ.

Похожие статьи

Туристический налог 2025: полный обзор для отельеров

В статье рассказали, кого затронет туристический налог, в какие суммы выльется и как повлияет на сто...
, | 21 ноября 2024

Ставка НДС для гостиниц 0%: для кого и на какие услуги отеля действует

Из статьи вы узнаете, для кого и на какие услуги отеля действует НДС 0%, как отразить их в декла...
, , | 10 сентября 2024

Курортный сбор в 2024 году: что это такое, на какие города распространяется и как его рассчитать

Курортный сбор — это обязательный платеж, который гости платят отелям в нескольких регионах России з...
, , | 13 августа 2024

Защита персональных данных в гостинице: что нужно знать отельеру

Как работать с защитой персональных данных в гостинице: пошаговое руководство от юриста
...
, | 17 июля 2024

Смотрим в оба: как сохранить деньги и репутацию

На обучающем вебинаре Кирилл Опарин рассказал как защитить данные гостя, почему каждому сотру...

, , | 25 января 2024

Подпишитесь на блог TravelLine

Первым читайте статьи об онлайн-продажах, рабочих инструментах отельера и работе с инструментами TravelLine. Будем отправлять свежие статьи от экспертов прямо в день выхода, а вы легко их прочтете на любом устройстве.
Подпишитесь на блог TravelLine
Подпишитесь на рассылку сейчас и получите подборку статей по работе с соцсетями.
Подписка на блог
Подпишитесь на блог и получите подборку статей по работе с соцсетями.