fbpx
We use cookies to improve your online experience. For information on the cookies we use and for details on how we process your personal information, please see our privacy policy. By continuing to use our website you consent to us using cookies.
GDPR guidance: How does it affect you?

GDPR guidance: How does it affect you?

GDPR guidance: How does it affect you?

This is the first in a series of blogs that will offer GDPR guidance to our clients and other hospitality businesses. We recommend referring to these as you master GDPR compliance for your business.

In less than 10 months, a new data law comes into effect with sweeping implications for businesses that operate in the EU. The GDPR ushers in new requirements relating to the privacy of personal data including stiff penalties for non-compliance of key provisions of the regs of the GREATER of €20 million or 4% of global annual turnover.

While GDPR is getting lots of media coverage, studies suggest considerable confusion about the requirements, who it applies to and if it does apply, how to go about achieving compliance. We want to provide GDPR guidance to the core customers we serve: the hospitality industry.

Since GDPR applies to ‘data controllers’ and ‘data processors’ of ‘personal data’, it makes sense to start with these terms so hospitality businesses can understand what, if anything, in the GDPR applies to them and what this means generally.

Let’s start with a basic but incontrovertible statement: The GDPR applies to every hospitality business, that includes you. Why? Because every EU hospitality business, at a minimum, collects and processes the personal data of employees. That said, whether you are a ‘data controller’ or a ‘data processor’ of ‘personal data’ in a given instance has important implications.

You can explore the definition of these terms and others under the GDPR here. However, given there’s considerable nuance to the definitions, the easiest way to think about them is this:

  • The definition of ‘personal data’ is very broad, any information that identifies a person directly or indirectly, and accordingly this should be taken literally. So things like a cookie (one of many forms of online identifiers), a name, an email address, a biometric element (facial recognition, fingerprint) used for identity verification, a person’s location, occupation, gender, a physical factor, a health-related data element, indeed anything.
  • Whoever owns the relationship with the data subject is likely the ‘data controller’.
  • If you help the data controller by performing a task using the personal data then you are a ‘data processor’.

GDPR Guidance: Putting GDPR to the test

Let’s test these definitions in the context of a core hospitality business. In the first instance, imagine Joe’s Burgers is a restaurant working with online order aggregator, Just Eat. Customers sign up with Just Eat to place orders with listed restaurants, including Joe’s. Here, Just Eat is the data controller since it owns the customer relationship. To fulfil the order, Just Eat likely provides Joe’s with personal data (e.g. name, email, device code or mobile identifier) which would make Joe’s a data processor.

So what does this mean for Joe’s? Unlike under the current Directive 95/46/EC where Joe’s would not be subject to direct regulation, under GDPR, Joe’s is subject to all the main provisions of the regulation. This would include the following:

  • The data processing activities must be covered by a data processor agreement with the data controller, Just Eat, that includes a number of specific requirements including security measures, usage restrictions, requirements to return or destroy data after purpose completed and documenting that Joe’s is complying with GDPR requirements.
  • Logging records of data processing activities and providing upon request.
    Implement adequate data security to protect the personal data it processes including monitoring so if a breach occurs it can report to the data controller without undue delay.
  • Direct liability for non-compliance to GDPR requirements or for failure to comply with instructions of the data controller.

This, despite the fact that Joe’s, as the data processor, gets no residual benefit from the customer data since its use would be restricted to the purposes of fulfilling customer orders from Just Eat.

Now imagine Joe’s signs an agreement with Preoday for online and mobile ordering. How does Joe’s role, rights and obligations differ?

Under the terms of Preoday’s customer agreements, Joe’s and Preoday would be joint-controllers sharing the customer relationship. Nominally, controllers have the primary obligations under the GDPR for how personal data is obtained, processed, stored and controlled. Preoday, however, as the solution provider offers a GDPR compliant platform that will provide Joe’s with the comfort of knowing that all controller obligations will be managed accordingly.

Moreover, as a joint data controller, Joe’s would have rights with respect to the underlying customer data, as agreed in consultation with Preoday, and would have the option to separately licence a GDPR compliant tool for managing customer data prospectively including anonymisation services.

All hospitality companies doing business in the EU, including in the UK, will be subject to the provisions of the GDPR. In this time of digitisation of enterprise, where customer data is viewed as a core asset, hospitality businesses need consider more carefully than ever the choices they make with respect to technology solutions that touch customers and process personal data.

Preoday wants to empower its customers by giving it control of customer data in a fully GDPR compliant manner. As part of this, we have created a dedicated white paper which has been designed with the hospitality industry, and helping it through GDPR, in mind. Once you’ve read it, we’d be keen to know if you have any questions, so do get in touch.

Other Blog Articles

Vägledning om GDPR: Hur påverkar det dig?

Vägledning om GDPR: Hur påverkar det dig?

Vägledning om GDPR: Hur påverkar det dig?

Detta är den första i en serie av bloggar som kommer att erbjuda vägledning om Allmänna dataskyddsdirektivet, GDPR,  till våra kunder och andra företag inom gästnäringen.

Om mindre än 10 månader kommer en ny datalag att träda i kraft med omfattande konsekvenser för företag som är verksamma inom EU. GDPR introducerar nya integritetskrav vid hanteringen av personuppgifter, inklusive hårda straff för bristande efterlevnad av viktiga bestämmelser upp till det största av 20 miljoner euro eller 4% av den globala årsomsättning.

Trots att GDPR får massor av media tyder studier på stor förvirring om vad det är för krav som gäller, vilka det gäller och hur man ska gå till väga för att uppnå överenstämmelse. Vi vill ge vägledning om GDPR till de kärnkunder vi tjänar: besöksnäringen.

Eftersom GDPR gäller ‘registeransvariga’ och ‘dataprocessorer’ av personuppgifter är det vettigt att börja med dessa termer så gästnäringsföretag kan förstå vad, om något, GDPR betyder för dem och vad detta innebär i allmänhet.

Låt oss börja med en grundläggande men obestridlig uttalande: GDPR gäller för gästnäringe och det inkluderar dig. Varför? Eftersom varje gästnäringsföretag inom EU, allra minst, samlar in och behandlar personuppgifter om sina anställda. Som sagt, om du är en ‘registeransvarig’ eller ‘databehandlare’ av personuppgifter i ett givet fall så har det viktiga implikationer.

Du kan utforska definitionen av dessa termer och andra under GDPR här. Men med tanke på att det finns betydande nyanser i definitionerna är det enklaste sättet att tänka på dem så här:

  • Definitionen av personuppgifter är mycket bred, all information som identifierar en person som är direkt eller indirekt. Detta bör tas bokstavligt. Saker som en cookie (en av många former av online-identifierare), ett namn, en e-postadress, ett biometriskt element (ansiktsigenkänning, fingeravtrycksavläsning) som används för verifiering av identitet, en persons plats, yrke, kön, fysisk faktorer, hälsorelaterade data, faktiskt vad som helst.

  • Den som äger kontakten med den registrerade är sannolikt ‘registeransvarig’.

  • Om du hjälpa den registeransvarige genom att utföra en uppgift med hjälp av personuppgifterna så är du en ‘dataprocessor’.

GDPR-vägledning: Att sätta GDPR på prov

Låt oss testa dessa definitioner i sammanhanget av gästnäringen. I det första fallet, föreställ er att Joes Burgers är en restaurang som arbetar med aggregatortjänsten Just Eat för online-beställningar. Kunderna loggar in med Just Eat för att göra beställningar hos deras listade restauranger, däribland Joes. Här är Just Eat den registeransvarige eftersom de äger kundrelationen. För att uppfylla ordern ger sannolikt Just Eat Joes med personuppgifter (t.ex. namn, e-post, enhetskoden eller mobil identifierare) vilket skulle göra Joes till en dataprocessor.

Så vad betyder det för Joes? Till skillnad från i det nuvarande direktivet 95/46/EU där Joe inte skulle vara föremål för direkt reglering under GDPR blir nu Joes föremål för alla de viktigaste bestämmelserna i förordningen. Detta skulle inkludera följande:

  • Databehandling måste omfattas av ett dataprocessor-avtal med den registeransvarige, Just Eat, som innehåller ett antal specifika krav, inklusive säkerhetsåtgärder, användningsbegränsningar, krav att skicka tillbaka eller förstöra data efter att ändamålet avslutats och dokumentera att Joes efterlever GDPRs-krav.

  • Att man måste föra register över databehandlingsverksamhet och tillhandahålla densamma på begäran.

  • Att man måste implementera lämplig datasäkerhet för att skydda de personuppgifter den behandlar inklusive övervakning så att man, om ett brott inträffar, kan rapportera till den registeransvarige utan onödigt dröjsmål.

  • Att man bär direkt ansvar för bristande efterlevnad av GDPRs krav eller underlåtenhet att följa instruktioner från den registeransvarige.

Detta trots det faktum att Joes, som dataprocessor, inte får någon kvarvarande nytta av kunddata eftersom dess användning skulle begränsas till att uppfylla kundorder från Just Eat.

Tänk dig nu att Joes tecknar avtal med Preoday för online- och mobilbeställningar. Hur skiljer sig Joes roll, rättigheter och skyldigheter då?

Enligt villkoren i Preoday kundavtal skulle Joes och Preoday har gemensamt ansvar över kundrelationen. Nominellt har man då de primära skyldigheter enligt GDPR för hur personuppgifter erhålls, bearbetas, förvaras och kontrolleras. Preoday erbjuder dock, som teknikleverantör, en GDPR-kompatibel plattform som kommer att förse Joes med bekvämligheten av att veta att alla förpliktelser kommer att hanteras i enlighet därmed.

Dessutom, som en gemensam registeransvarig, skulle Joes ha rättigheter med avseende på de underliggande kunddata, som överenskommits i samråd med Preoday, och skulle ha möjlighet att separat licensiera ett GDPR-kompatibelt verktyg för att hantera kunddata prospektivt inklusive anonymiseringstjänster.

Alla gästnäringsföretag som gör affärer i EU, bland annat i Sverige, kommer att omfattas av bestämmelserna i GDPR. I denna tid av digitalisering av företaget, där kunddata ses som en kärntillgång, behöver gästnäringsföretag överväga mer noggrant än någonsin de val de gör när det gäller tekniska lösningar som berör kunder och behandla personuppgifter.

Preoday vill ge sina kunder makten genom att ge dem kontroll över sin kunddata på ett fullt GDPR-kompatibelt sätt. Som en del av detta har vi skapat ett dedikerat white paper som har utformats med besöksnäringen för att hjälpa dem genom GDPR. När du har läst det är vi angelägna om att få veta om du har några frågor, så ta gärna kontakt med oss.

Other Blog Articles

Subscribe to our newsletter

Keep up to date with our news and what’s happening in the industry
View our privacy policy