Kako vam je Hotelinco v pomoč pri doseganju skladnosti z GDPR uredbo in ZVOP-2?
Kaj je GDPR?
GDPR je kratica za General Data Protection Regulation oz. za Splošno uredbo EU o varstvu podatkov, ki določa nova pravila glede varstva osebnih podatkov. GDPR uredba je obvezna in se izvaja od 25. maja 2018.
Kaj je ZVOP-2?
Od leta 2018, ko se je v Sloveniji začela uporabljati Splošna uredba o varstvu podatkov, smo se nahajali v obdobju »pravne praznine« – kljub temu, da je Splošna uredba (GDPR) že veljala, zaradi zamude pri sprejemu nacionalne zakonodaje (Zakon o varstvu osebnih podatkov – ZVOP-2) slovenski nadzorni organ ni imel pooblastil za izrekanje sankcij.
ZVOP-2 je bil sprejet 15. decembra 2022.
ZVOP-2 na področju varstva osebnih podatkov uvaja novosti ter podrobneje interpretira GDPR, hkrati pa na Informacijskega pooblaščenca kot inšpekcijski in prekrškovni organ prenaša pooblastila ter odgovornost, da za kršitve zakonodajnih predpisov izreka tudi precejšnje globe, skladno z GDPR.
Hotelinco GDPR orodja
Hotelinco ima razvita orodja, ki vam bodo pomagala pri doseganju skladnosti z GDPR.
Pod Kartoteke -> Urejanje kartoteke gosta so na voljo funkcije:
GDPR Izbris,
Izvoz podatkov,
Sled kartoteke.
Pravica do vpogleda.
V skladu z GDPR imajo vaši gostje pravico do vpogleda oz. dostopa do svojih podatkov ali do "pozabljenosti" (pravico, da so trajno izbrisani iz vaših baz podatkov).
Hotelinco omogoča izvoz podatkov o posameznem gostu, ki so v kartoteki gosta, vključno s sledmi o vseh aktivnostih (Sled kartoteke), ki so bile izvedene na tej kartoteki gosta, in sicer v obliki pdf dokumenta.
S klikom na Izvoz podatkov generira Hotelinco pdf dokument z vsemi podatki, ki jih hranite o izbranem gostu.
Primer zapisa oz. sledenje aktivnosti na kartoteki gosta:
S klikom na Sled kartoteke se odpre novo okno " Pregled sledi" , kjer se izpiše seznam vseh aktivnosti na kartoteki.
Pravica do pozabe.
V skladu s Splošno uredbo o varstvu podatkov (GDPR) imajo vsi vaši gostje, katerih podatke hranite v vašem Hotelinco računu pravico zahtevati, da izbrišete vse njihove osebne podatke. Ko se to zgodi, GDPR zahteva, da trajno odstranite zapise gosta iz svoje zbirke podatkov, vključno z zgodovino sledenja e-poštnih sporočil, ipd. Običajno je treba te zahteve obravnavati v 30-ih dneh. Pravica do izbrisa ni absolutna in je med drugim omejena s pravico do svobode izražanja, dolžnostjo glede hrambe osebnih podatkov, če tako zahteva zakon in pravico oziroma dolžnostjo glede hrambe podatkov, ki so potrebni za uveljavljanje in izpolnjevanje zakonskih zahtevkov. Podjetja in organizacije, ki obdelujejo osebne podatke, v teh primerih podatkov niti ne smejo izbrisati, čeprav to zahteva posameznik oziroma bi umaknil soglasje. Obdelava namreč morda poteka zato, ker tako zahteva zakon.
Če bi gost po odhodu iz hotela, želel izbris svojih podatkov oz. uveljaviti svojo pravico do pozabe, omogoča Hotelinco izbris kartoteke gosta (GDPR Izbris) in anonimizacijo osebnih podatkov v zgodovini in statistikah.
Hotelinco tako na zahtevo gosta:
- izbriše kartoteko gosta
- izvede anonimizacijo osebnih podatkov gosta v zgodovini/arhivu in statistikah.
Anonimiziranje je tehnika obdelave podatkov, s katero se odstranijo ali spremenijo podatki, ki omogočajo osebno identifikacijo. Rezultat anonimizacije so anonimizirani podatki, ki jih ni mogoče povezati s katerim koli posameznikom.
Po izbrisu kartoteke se tako anonimizirajo osebni podatki, ki so za hotelski PMS relevantni za analitiko poslovanja in druga pomembna menedžerska poročila. Ni pa več karoteke gosta, s katero bi lahko natančno identificirali vašega gosta ali vodili nadaljnjo komunikacijo z gostom (pošiljanje ponudbe ali drugih sporočil ni več mogoče, kljub morebitnemu prej pridobljenemu GDPR soglasju za pošiljanja s strani gosta).
Pred izvedbo ukaza GDPR Izbris, zagotovite dokaz o izbrisu katoteke gosta, tako da gostu najprej izvozite njegove osebne podatke, ki jih hranite s sistemsko individualno številko kartoteke. Nato izvedite GDPR Izbris. Iz loga aktivnosti bo razvidno, katera številka kartoteke je bila izbrisana. Podatkov o gostu, s katerim bi ga bilo mogoče identificirati, namreč po izvebi funkcije GDPR izbrisa ne bo več v sistemu.
GDPR Izbris kartoteke gosta ni mogoč, kadar so rezervacije aktivne (torej GDPR izbris je mogoč za vse rezervacije, razen odjavljenih in rezervacij v zgodovini!
Akcija izbrisa kartoteke ne vpliva na elektronsko Knjigo gostov!
PRAVILNIK o prijavi in odjavi gostov namreč nalaga, da mora ponudnik namestitve voditi evidenco prijavljenih in odjavljenih gostov v obliki knjigi gostov. Če je ta vodena v elektronski obliki s Hotelinco sistemom, potem se ob akciji anonimizacije osebni podatki gosta, potrebni za prijavo na AJPES, v elektronski knjigi ne bodo anonimizirala. Podatki pa se bodo anonimizirali na hotelski kartoteki gosta.
Pravilnik prav tako nalaga izbris gostov iz knjige gostov ta obdobje dveh let nazaj oziroma vse goste, ki so bivali pri vas 1.1. in 31.12. pred preteklega leta.
Ta izbris izvede uporabnik v modulu Poročanje AJPES -> Izbris podatkov -> Izbris elektronske knjige gostov za izbrano obdobje.
Prosimo, upoštevajte: čeprav so te funkcije na voljo v Hotelinco, se glede skladnosti za vašo specifično situacijo, obrnite na vašega pravnega svetovalca!
Commentaires