Hva er GDPR og hva vil det si for din bedrift?

GDPR (general data protection regulation) er en ny lov som har tredd i kraft for å gi befolkningen mer kontroll over sin egen personlige data. Denne loven vil hovedsaklig påvirke bedrifter i EU men ettersom bedrifer verden over oppbevarer informasjon fra EU må disse også følge denne loven. GDPR ble satt igang i Mai 2016 og hadde deadline 25. Mai 2018.

Hovedsakene som påvirker hotelbransjen

Markedsføring via e-post

All lagring av personlig informasjon må gjøres med kundens viten og hotellene må kunne vise til at de har fått samtykke til å bruke kundens informasjon. Man kan ikke lagre informasjonen og bruke den til annet bruk senere, dvs. at man ikke kan bruke informasjon som man har fått inn ved en reservasjon, senere for å markedsføre via e-post. Loven sier at kunden må samtykke til at e-posten vil bli brukt til markedsføring. Det betyr at kunden selv må krysse i at de godkjenner dette, heller enn at de må krysse ur om de ikke godkjenner. Du kan lese mer om hvordan du kan skaffe deg samtykke til å behandle personlig informasjon på support siden vår her.

Forespørsel om tilgang

Under den tidligere loven kunne hvemsomhelst forespørre sin personlige informasjon. Dette kostet €6,35 og hotellet hadde en tidsfrist på 40 dager. Nå når GDPR ble vedtatt vil dette være en gratis tjeneste og hotellet vil ha en redusert tid på 30 dager for å gi informasjon. Hoteller bør være forberedt da disse endringene sannsynligvis vil bety et økt antall forespørsler om data.

Partnere og tredjeparter

Det er viktig å huske at mange partnere og tredjeparter også har tilgang til dataene dine. Med denne endringen i lovgivningen er ansvaret for databehandling og datakontrollere noe som ligger på hotellet. Definisjonene av hver er fastsatt i artikkel 4 i den generelle Data Protection Regulation. En kontroller er en «person, offentlig myndighet, byrå eller en annen som, alene eller i fellesskap med andre, bestemmer formålene og virkemidlene for behandling av personopplysninger», mens prosessoren er «person, offentlig myndighet, byrå eller annet organisasjon som behandler personlige data på vegne av registeransvarlig «. Dette betyr at hvis et hotell gir ut deres databehandling til en tredjepart som ikke er i samsvar med GDPR, kan dere holdes ansvarlige sammen med tredjepart dersom det skulle oppstå brudd. I utgangspunktet må du sørge for at hvis en kunde ber om fjerning av sin personlige informasjon, må du fjerne dette fra ditt eget system og forsikre deg om at alle datapartnere gjør det samme. Artikkelen dere finner her forklarer databeskyttelse mer detaljert.

Hvordan går vi videre?

Alle hotell managers burde gjøre seg selv og all personal kjent med hvordan denne loven påvirker hotellet samt gjesters rettigheter. Hubspot har lagt ut en checkliste som kan hjelpe foretinger til å være GDPR klare – du finner den her. Det er viktig at passende ressurser blir gjort tilgjengelig for å kunne gjennomføre de nødvendige endringene. Personalet skal være opplært i GDPR for å opprettholde en standard som er i samsvar med loven og alle virksomheter som godtar kredittkortbetalinger, bør allerede være i samsvar med Payment Card Industry Data Security Standard (PCI DSS). I dette henseende kan våre Sirvoykunder allerede sjekke av denne viktige boksen, da Sirvoy er kompatibel med PCI og bruker SSL (Secure Sockets Layer) for å forsikre at all kommunikasjon er sikret.