GDPR-guide, sådan påvirkes du

Dette er den første i en række blogs, der vil tilbyde GDPR-vejledning til vores kunder og andre hospitality-virksomheder.

Om mindre end 10 måneder træder den nye datalov, GDPR, i kraft. En lov med store konsekvenser for virksomheder, der opererer i EU. GDPR stiller nye krav til privatlivets fred for personoplysninger, herunder strenge sanktioner for manglende overholdelse af nøglebestemmelser. Eventuelle bøder lyder på 20 mio. euro, eller 4% af den globale årsomsætning hvis dette overstiger 20 mio. euro.

Selvom GDPR får masser af mediedækning, viser undersøgelser stor forvirring over de nye krav, hvem det gælder for, og hvis det gælder, hvordan man så overholder bestemmelserne. Derfor har vi lavet denne GDPR-vejledning til de kunder, vi betjener: hospitalsbranchen.

Da GDPR anvendes på de “dataansvarlige” og “databehandlerne” af “personlige data”, er det fornuftigt at starte med disse vilkår, så hospitality-virksomheder kan forstå, hvad GDPR bestemmelsen helt konkret betyder for dem og hvad det generelt betyder.

Lad os starte med en grundlæggende, men uomtvistelig erklæring: GDPR gælder for alle hospitality-virksomheder, det inkluderer dig. Hvorfor? Fordi alle i hospitality industrien i EU som minimum indsamler og behandler medarbejdernes personoplysninger. Når det er sagt, har det en stor betydning om du er “dataansvarlig” eller en “databehandler” af “personlige data”.

Du kan undersøge definitionen af ​​disse vilkår og andre under GDPR her. Men da der er en betydelig nuance og definitionerne, er den nemmeste måde at forstå dem på, som følger:

-Definitionen af ​​”personoplysninger” er meget bred, og dækker over enhver information, der identificerer en person direkte eller indirekte, og derfor bør dette tages bogstaveligt. Det ombefatter cookies (en af ​​mange former for online identifikatorer), et navn, en e-mail-adresse, et biometrisk element (ansigtsgenkendelse, fingeraftryk), der bruges til identitetsbekræftelse, en persons placering, besættelse, køn, en fysisk faktor, helbred -relateret dataelement, m.m.

-Den, der ejer forholdet til det registrerede, er sandsynligvis den ansvarlige for ‘datastyring’.

-Hvis du hjælper den dataansvarlige med at udføre en opgave ved hjælp af de personlige data, så er du en databehandler.

GDPR Vejledning: GDPR-begreber og forståelse

Lad os teste disse definitioner i forbindelse med en kerneforretningsvirksomhed. Lad os forestille os Joe’s Burgers; restaurant, der bruger en online ordreaggregater, via Just Eat. Kunder tilmelder sig Just Eat for at placere ordrer ved børsnoterede restauranter, herunder Joe’s. Her er Just Eat den dataansvarlige, da den ejer kundeforholdet. For at opfylde ordren, giver Just Eat sandsynligvis Joe’s Burgers personlige data (f.eks. Navn, e-mail, enheds kode eller mobilidentifikator), hvilket gør Joe’s Burgers til en databehandler.

Så hvad betyder det for Joe’s Burgers? I modsætning til det nuværende direktiv 95/46 / EF, hvor Joe’s Burgers ikke er underlagt direkte regulering under GDPR, er Joe’s Burgers nu underlagt alle de vigtigste bestemmelser i forordningen. Dette vil omfatte følgende:

-Databehandlingsaktiviteterne skal være omfattet af en databehandlingsaftale med den dataansvarlige Just Eat. Det indebærer en række specifikke krav, herunder sikkerhedsforanstaltninger, brugsbegrænsninger, krav til returnering eller destruktion af data efter afsluttet formål og dokumentation for, at Joe’s Burgers overholder GDPR kravene:

-Registrering af databehandlingsaktiviteter og levering efter anmodning.

Tilstrækkelig datasikkerhed til at beskytte den personlige data, den behandler, herunder overvågning, så hvis et brud opstår, kan det uden ugrundet forsinkelse indberettes til datakontrolleren.

-Direkte ansvar for manglende overholdelse af GDPR krav eller manglende overholdelse af instruktørens instruktioner.

Dette til trods for, at Joe’s Burgers, som dataprocessoren, ikke får nogen restfordel ved kundedata siden brugen heraf ville være begrænset til at opfylde kundeordrer fra Just Eat.

Forestil dig nu, at Joe’s Burgers tegner en aftale med Preoday, med henblik på online og mobil bestilling. Hvordan er Joe’s Burgers rolle, rettigheder og forpligtelser så ændret?

I henhold til Preodays kundeaftaler ville Joe’s Burgers og Preoday være fælles dataansvarlige, der deler kundeforholdet. Nominelt har den dataansvarlige de primære forpligtelser under GDPR for, hvordan personoplysninger opnås, behandles, opbevares og kontrolleres. I forvejen, da løsningsleverandøren tilbyder en GDPR-kompatibel platform, der vil give Joes det behageligt at vide, at alle dataansvarlige forpligtelser vil blive forvaltet i overensstemmelse hermed.

Som en fælles dataansvarlig ville Joe’s Burgers også have rettigheder med hensyn til de underliggende kundedata, som aftalt i samråd med Preoday, og ville derfor have mulighed for separat at anvende GDPR-kompatibelt værktøj til styring af kundedata fremadrettet, herunder anonymiseringstjenester.

Alle hospitalsvirksomheder, der driver forretning i EU, herunder i Storbritannien, vil være omfattet af bestemmelserne i GDPR. I denne tid med digitalisering af virksomheder, hvor kundedata betragtes som et kerneaktiv, skal hopitality-virksomheder overveje de valg de tager mere omhyggeligt end nogensinde, både med hensyn til teknologiløsninger, der berører kunder og behandler personlige data.

Preoday ønsker at styrke sine kunder ved at give dem kontrol over kundedata på en fuldt GDPR-kompatibel måde. Som led i dette har vi skabt et udførlige White-paper, der er designet til hospitality-branchen og hjælper til at forstå GDPR. Når du har læst det, vil vi gerne vide, om du har spørgsmål, så du er mere end velkommen til at kontakte os.