Turite klausimų?
 Spauskite čia!

GDPR

suited man pointing at EU starts and GDPR letters

Naujos programinės įrangos funkcijos, sukurtos Europos privatumo politikai

 

Įvadas

Šis vadovas apibendrina visas priemones, kurių „Ericsoft“ ėmėsi, kad pritaikytų programinę įrangą pagal GDPR (General Data Protection Regulation, liet. BDAR – Bendrasis Duomenų Apsaugos Reglamentas) taisykles, kurios įsigaliojo nuo 2018.05.25.Naujieji teisės aktai, reglamentuojantys asmens duomenų rinkimą, saugojimą, tvarkymą ir dalijimąsi, nori garantuoti, kad šie duomenys būtų tvarkomi teisingai ir gerbiant duomenų savininkų privatumą. GDPR taikomas visose Europos Sąjungos valstybėse siekiant apsaugoti Europos piliečių duomenis (net jei šiuos duomenis tvarko bendrovės, esančios už ES ribų). Reglamente nebuvo numatytos specialios duomenų rinkimo, tvarkymo ir saugojimo procedūros, tačiau privaloma laikytis šių taisyklių, principų ir gairių, numatytų naujame reglamente, kai įmonė tvarko savo klientų ar darbuotojų asmeninius duomenis.Šiame dokumente nurodoma, kaip sukonfigūruoti PMS pagal GDPR, kartu su teisiniu konsultantu. Atkreipkite dėmesį, kad visos įmonės turi būti konsultuojamos jų teisinio konsultanto. Pavyzdžiui: duomenų saugojimo laikotarpis (kuris turi būti sukonfigūruotas pagal PMS) turi būti nuspręstas viešbučio vadybininko kartu su savo konsultantu.Programinės įrangos vartotojas, o ne „Ericsoft“, yra atsakingas už parametrų, leidžiančių teisingai valdyti svečių duomenis PMS sistemoje teisingą konfigūravimą.

Kokios yra viešbučių ir restoranų vadovų pareigos?

Viešbutis arba restorano vadovas (duomenų valdytojas) yra tas, kuris valdo svečių duomenis: jis yra atsakingas už klientų duomenų tvarkymą laikantis GDPR taisyklių. Tam viešbutis privalo aktyvuoti reikiamus viešbučio valdymo programos parametrus.  Viešbučio valdytojas turi gebėti pademonstruoti, kokios priemonės yra įdiegtos svečių duomenų saugumui užtikrinti.

Toliau pateikiamas atsargumo priemonių, kurias programinės įrangos naudotojas turėtų įdiegti, sąrašas,  kad galėtumėte prisitaikyti prie teisės GDPR aktų, kurie nėra „Ericsoft“ atsakomybė:1. Konsultuokitės su teisiniais konsultantais norėdami išanalizuoti, kokie įmonės saugomi svečių duomenys turi būti saugomi pagal GDPR taisykles ir kaip juos reikia saugoti.

2. Atlikite savo IT infrastruktūros analizę (serveriai, kompiuteriai, operacinės sistemos, antivirusai, ugniasienės…). Viešbučio IT priežiūros įmonė turi užtikrinti pakankamą saugumo lygi jūsų įmonėje. Pavyzdžiui:  operacinė sistema turi būti nuolat atnaujinama, kad ji atitiktų GDPR, nes kitaip bendrovė gali būti nubausta, kaip neturinti kompiuterio operacinės sistemos, atitinkančios teisinius standartus.

3. Kartu su konsultantu ar patarėju apibrėžkite svečių duomenų, kuriuos reikia sukonfigūruoti PMS, saugojimo laikotarpį.

4. Paruoškite aiškius informacinius lapus ir prašymus sutikti, kaip nurodyta GDPR, norėdami įrodyti, kad buvo gautas aiškus duomenų savininko sutikimas tvarkyti ir saugoti jo duomenis.

5. Apmokykite savo darbuotojus, kaip reikia laikytis GDPR reikalavimų.

Kokios yra programinės įrangos gamintojo pareigos?„Ericsoft“ yra „Duomenų procesorius“, įmonė, teikianti PMS (viešbučio valdymo sistemą) – įrankį, kurio pagalba duomenys renkami ir tvarkomi. Įstatymai reikalauja, kad programinė įranga atitiktų GDPR „pagal dizainą“ ir „pagal nutylėjimą“, o tai reiškia, kad vystymosi stadijoje atsižvelgiama į naujus standartus ir naujus reglamentus. Naudodami ne senesnę nei  2.1.1.0 „Ericsoft“ versiją, galite garantuoti savo klientams, kad jos programinė įranga atitinka GDPR principus ir gaires.Kiek kainuoja programinės įrangos pritaikymas GDPR?

„Ericsoft“ klientams pritaikyta GDPR paslauga yra nemokama. Skirtingai nuo kitų bendrovių, kurios parduoda papildomus modulius, kad būtų suderinta su GDPR, „Ericsoft“ visiškai palaikė programinės įrangos „pagal dizainą“ ir „pagal nutylėjimą“ principą, tiesiogiai įtraukdama programoje reikalingas funkcijas.

Kaip atsinaujinti ir sukonfiguruoti į GDPR palaikančią versiją

Versijos atnaujinimas, suderintas su GDPR, gali būti atliekamas vienu iš dviejų būdų, išvardintų žemiau. Atsiminkite, kad abiem atvejais atvejai, nustatymai,  kuriuos reikia įvesti į PMS, kad būtų įjungtos reikiamos konfigūracijos (pvz., duomenų saugojimas laikotarpis) turi būti apibrėžti programinės įrangos naudotojo su jo privatumo konsultantu.

a) Autonomiškai (be „Ericsoft“ įsikišimo)

Programinės įrangos naujinys yra valdymo skydelyje https://portal.ericsoft.com  (versija 2.1.1.0 ir toliau išleidžiamos). Parametrai, kurie naudojami naujoje versijoje, leidžia tvarkyti duomenis laikantis įstatymų. Būtina padaryti atsarginę kopiją prieš tęsiant atnaujinimą (visa procedūra aprašyta internetiniame portale. portal.ericsoft.com skyriuje „atnaujinimo procedūra„). Jei abejojate, prieš tęsdami kreipkitės į mūsų atstovo priežiūros ir palaikymo skyrių.

b) Atliekamas techninio konsultanto (su „Ericsoft“ įsikišimu)

Programos atnaujinimą gali atlikti ir Ericsoft atstovai. Nurodymus, kaip konfigūruoti duomenų saugojimą, turi pateikti pats viešbutis. Paslaugos kaina – 150 EUR be PVM.

Toliau pateikiami nauji parametrai, kuriuos įdiegė „Ericsoft„, kurių teisingas konfigūravimas leidžia programinę įrangą suderinti su GDPR. Kai kurie pavyzdžiai yra susiję būtent su viešbučio svečių duomenų tvarkymu, o kiti – apskritai, susiję su duomenų saugojimu ir el. pašto rinkodaros veikla.

1 .Kliento duomenų gavimas1.1 Duomenys, reikalingi rezervacijai atlikti

Kiekvienam svečiui, norinčiam apsistoti apgyvendinimo įstaigoje, turi būti suteikta galimybė duoti sutikimą dėl duomenų tvarkymo pagal GDPR įstatymus (neatsižvelgiant į rezervavimo atlikimo būdą). Kliento duomenų gavimas taip pat vykdomas, kai svečias prašo sąskaitos faktūros. Šiuo atveju, norint gauti fiskalinį dokumentą, klientas turi gauti privatumo užtikrinimo sąlygų kopijas pagal GDPR teisės aktus. Abiem atvejais svečias pagal įstatymą negali atsisakyti priimti duomenų saugojimo taisyklių.

1.2 Sutikimas siųsti rinkodaros pranešimus

 (jei viešbutis naudoja CRM modulį)

Viešbutis, prašydamas sutikimo duomenų tvarkymui (reikalingų rezervacijai atlikti ar išrašyti sąskaitą faktūrą), taip pat gali paprašyti svečių sutikimo gauti reklaminius el. laiškus. Viešbučio valdymo sistema, priklausomai nuo kliento valios, aktyvuos naujienlaiškių gavimo funkciją. Sistema automatiškai įrašys datą / laiką, kai buvo suteiktas sutikimas.

  • Teigiamas atsakymas: klientas gaus informacinius laiškus iš viešbučio
  • Neigiamas atsakymas: be to, kad klientui negalima siųsti informacinių laiškų, programa saugos tik tuos duomenis, kurie reikalingi pareigoms įvykdyti pagal įstatymus. Jei svečio duomenys, gauti rezervavimo metu jie bus naikinami svečio išvykimo metu. Šis nustatymas turi būti aktyvuotas sistemos parametruose. Parametro pavadinimas : “Cancellation at check out”.

1.3 Rinkodaros pranešimų atsisakymas

 (jei viešbutis naudoja CRM modulį)

Duomenų saugojimo atšaukimas vykdomas jei:

  • Svečias sekančio apsilankymo metu nusprendžia atsisakyti anksčiau išreikšto sutikimo;
  • Klientas atsiunčia sutikimo atsisakymą elektroniniu būdu;

Abu aukščiau išvardyti atvejai,  panaikina galimybę klientui siųsti rinkodaros pranešimus, visi susiję duomenys bus atšaukti iš esamų rezervacijų. Susiję duomenys reiškia duomenis apie:  rasinę ar etninę kilmę, politines pažiūras, religiją ar religines savybes, filosofinius įsitikinimus, profesinių sąjungų narystę, biometriniai duomenys, identifikuojantys asmenį unikaliu būdu, informacija apie sveikatą (alergiją), seksualinį gyvenimą arba seksualinę orientaciją, informacija, pridėta profilio pastabose (vaizdo įrašuose, spausdintinėse pastabose, paslaugų pastabose); žymos, esančios rezervavimo kortelėje ir galimos nuotraukos.

2. Duomenų saugojimas mokesčių apskaitai

Pagal Lietuvos įstatymus apskaitos dokumentų saugojimo terminas yra 10 metų. Po šio laikotarpio bendrovė nebeturi priežasties tokius duomenis saugoti, o duomenys turi būti automatiškai pakeičiami anoniminiais PMS sistemoje: visa informacija, kuri gali išskirtinai identifikuoti asmenį, bus pakeista žvaigždutėmis (tokiu būdu informacija bus išsaugota statistikos tikslais, pvz., pardavimo ataskaitoje).

Norėdamas automatiškai padaryti duomenis anonimiškais, viešbutis privalo sukonfigūruoti parametrą: „Anonymize data after expiration of documents storage period for tax purposes (10 years)“

3. Duomenų saugojimas rinkodaros tikslais
(jei viešbutis naudoja CRM modulį)

Kaip jau buvo minėta, viešbutis, pasitelkęs konsultantų pagalbą, turi nuspręsti, kiek laiko bus saugojami svečių duomenys (pvz. 2 ar 3 metus). Po šio laikotarpio viešbučio valdymo sistema automatiškai panaikins rinkodaros laiškų gavimo sutikimą.

Norėdami automatiškai pašalinti naujienlaiškių gavimą iš svečių profilių, naudokite nustatymą: „Consider marketing authorisation expired after years: X“

Naujos CRM funkcijos duomenų saugojimui:

Naudodamiesi „Ericsoft CRM“, galėsite išplėsti duomenų saugojimo laikotarpį duomenų bazėje. Ši nauja funkcija leidžia kompanijai automatiškai atnaujinti klientų sutikimą elektroninio pašto rinkodaros veiksmams ir tai yra unikali tokio pobūdžio funkcija viešbučio valdymo sistemoje.

Štai kodėl kviečiame klientus, kurie dar nėra įsigiję šio modulio, integruoti jį į savo viešbučio valdymo sistemą ne tik teisingam duomenų valdymui pagal GDPR, bet ir kaip įrankį, kuris gali teigiamai prisidėti prie rinkodaros ir pardavimo veiklos.

Funkcijos esmė: Duomenų saugojimo laikui artėjant prie pabaigos viešbučio valdymo sistema išsiųs automatinį pranešimą klientui su nuoroda, kurios pagalba svečias galės atnaujinti savo privatumo taisykles. Jam atnaujinus privatumo taisykles, informacija viešbučio valdymo sistemoje atnaujinama automatiškai.

4. Prieiga prie duomenų atvaizdavimo4.1 Kreditinės kortelės informacija.

Kreditinės kortelės informacija bus atvaizduojama darbuotojui, jei jo slaptažodis atitinka PCI Level 1 taisykles. Jei slaptažodis neatitinka šio reikalavimo, darbuotojas negalės peržiūrėti kreditinių kortelių duomenų.

PCI Level 1 reikalavimai slaptažodžiui:

  • Slaptažodžio ilgis ne trumpesnis nei 7 simboliai
  • Turi būti naudojamos ir raidės ir skaičiai
  • Turi būti naudojamos ir didžiosios ir mažosios raidės
  • Slaptažodis turi būti keičiamas kas 90 dienų
  • Slaptažodis negali kartotis su 4 paskutiniais jūsų slaptažodžiais
  • Negali būti suklysta vedant slaptažodį 6 kartus iš eilės. Tokiu atveju turi būti atliekamas 30 minučių paskyros blokavimas

4.2 Vizualizacija ir prieiga prie duomenų

Duomenų apsaugai užtikrinti gali būti įjungtas LOG (veiksmų sekimo) parametras. Kuomet ši funkcija aktyvuota, bus sekami visi veiksmai, kuriuos programoje atlieka darbuotojai.

Šio nustatymo pagalba galima bus stebėti sekančią informaciją:

  • Prisijungimo ir atsijungimo nuo viešbučio valdymo programos laikus
  • Duomenų įvedimą, modifikavimą, trynimą
  • Duomenų spausdinimą ir eksportavimą
  • Atliktus duomenų paieškos filtrus
  • Atitinkamo svečio duomenų informacijos paieškas

Viešbučio darbuotojams galima nustatyti skirtingus prieigos lygius prie informacijos: PVZ kambarinės gali matyti tik informacija apie svečio turimą alergiją, bet nematys svečio vardo, pavardės, tautybės ir t.t.

5. Papildoma informacija

Ar mes atitinkame GDPR reikalavimus, atnaujinę Ericsoft viešbučio valdymo sistemą?

Programinė įranga pritaikyta įstatymams „pagal dizainą“ ir „pagal nutylėjimą“, nes tai leidžia praktiškai taikyti naujas privatumo taisykles. Naudodami automatines operacijas lengviau galėsite laikytis GDPR reikalavimų, tačiau pačios priemonės turi būti sukonfiguuotos viešbučio atstovų. PMS naudotojas (viešbutis) turės užtikrinti, kad jo kompanijoje būtų taikomi GDPR principai, todėl rekomenduojame kreiptis į teisininką ar privatumo ekspertą (kaip ir nurodyta anksčiau).

Ką Ericsoft programinė įranga garantuoja?

„Ericsoft“ programinė įranga užtikrina, kad duomenų tvarkymo sutikimo politika, duomenų tvarkymas, saugojimas, anonimizavimas (pasenusių duomenų vertimas anoniminiais) ir klientų duomenų tvarkymo atšaukimas būtų tvarkomi automatiškai ir laikantis naujojo reglamento.

Žemiau pateiktas sąrašas automatinių procedūrų, kurios įdiegtos Ericsoft viešbučio valdymo sistemoje:

  • Duomenų vertimas anoniminiais po 10 metų (sąskaitos)
  • Pašalinti visus asmeninius svečio duomenis, jei svečias nepateikė sutikimo naujienlaiškių gavimui
  • Pašalinti visus asmeninius svečio duomenis po nurodyto termino
  • Pašalinti visus asmeninius svečio duomenis, jei klientas atšaukė savo sutikimą rinkodaros vykdymo tikslais
  • Viešbučio darbuotojo veiksmų sekimas
  • Kreditinės kortelės duomenų atvaizdavimas tik darbuotojams, kurių slaptažodžiai atitinka PCI Level 1 taisykles.

Kaip duomenų saugojimas užtikrintas duomenų bazėje?

Prieiga prie duomenų bazės yra apsaugota slaptažodžiu, be šios informacijos neįmanoma prieiti prie viešbučio valdymo programos duomenų. Dėl šios priežasties Ericsoft programa suderinama su GDPR reglamentu.