Från den 25 maj 2018 gäller dataskyddsförordningen (GDPR) i Sverige och övriga medlemsstater i EU. Det har ni säkert hört om, det har varit mycket tal om detta. Exakt vad det betyder är däremot lite oklart för de allra flesta.
Många konsultföretag skriver stora rubriker om de enorma skadestånden man kan tvingas betala om man inte följer lagen, och med skrämseltaktik får folk att oroa sig maximalt mycket för denna förordning med förhoppningen om att de ska köpa konsulttimmar för att se till att allt är som det ska.
Med det sagt så tar vi på HappyBooking detta på största allvar likväl. En kort förklarning om vad som är annorlunda jämfört med den gamla PUL-lagen kan vara på sin plats:
- Det är högre krav på samtycke. Man får inte ”baka in” hanteringen av personuppgifter i en lång avtalstext där det blir otydligt vad man ger sitt samtycke till. Man måste dessutom kunna bevisa att samtycke har getts, och tidpunkten den gavs. Samtycket ska dessutom kunna tas tillbaka när som helst, utan dröjsmål
- Det är högre krav på information som ges om behandlingen av personuppgifter. Det räcker inte att säga att personuppgifter kommer att behandlas, utan man bör så tydligt man kan specificera vad uppgifterna används till samt hur länge de lagras
- Man ska kostnadsfritt kunna begära ut de uppgifter som lagrats om sig själv
- Högre krav på radering av uppgifter. När det inte finns lagligt stöd längre att spara personuppgifterna måste de raderas så snart som möjligt. Om samtycket till lagring av dragits tillbaka måste personuppgifterna också raderas så snart som möjligt
- I IT-arkitekturen måste dataskydd vara inbyggt och som standard. Med detta menas att lagring och överföring av personuppgifterna måste vara så säker som möjlig och krypterad
- Vid dataintrång måste man rapportera till myndigheterna inom 72 timmar om vad som har skett
- Det ska vara möjligt att begära ut informationen om sig själv i ett format som är enkelt att läsa för andra system
Ur hotellets synvinkel
Så om man läser detta med hotellägare i åtanke så kan man komma fram till följande lista av åtgärder och förbättringar i daglig verksamhet som måste på nåt sätt finnas på plats:
- Man måste alltid fråga kunden, om de samtycker till att man spar deras personuppgifter. Och även på ett sätt som gör det möjligt att bevisa att samtycke har getts. Detta gör bokningar över telefon och walk-in kunder till specialfall. På något sätt måste ni som tagit emot uppgifterna, kunna ha ett bevis på samtycket
- Villkoren måste vara tydliga och aktuella för vad som gäller kring gästernas uppgifter på nätet
- Bokningssystemet som används måste ha/kunna:
- Stöd för ett godkännande av villkoren för personuppgifter
- Stöd för att kunna dra tillbaka sitt samtycke utan handpåläggning
- Radera alla personuppgifter som inte är längre relevanta eller saknar samtycke
- Fullgod säkerhet genom alla sina komponenter och lagra uppgifter på ett säkert sätt
- Vid behov leverera uppgifter om personer i ett format som är enkelt för andra system att läsa
HappyBooking
De ändringar vi kommer att implementera innan den 25:e maj 2018 för att kunna leverera er ett GDPR-säkert system är följande:
- Tydligt och obligatoriskt godkännande av avtal vid bokning via vår bokningsmotor. Vi skriver ett standardvillkor för vad som gäller för vår egen del, med möjlighet för er att lägga till något om ni så önskar, som gäller för er verksamhet. Detta kommer att inkludera ett sk. personuppgiftsbiträdesavtal då vi som leverantör kommer att behandla era personuppgifter
- Låta gästen själv bestämma om de godkänner att hotellet kontaktar dem efter att bokningen passerat, och tydligt visa denna information i systemet efteråt
- Vid inläggning av bokningar via administrationsgränssnittet tydligt påminna om att samtycke måste tas emot samt lägga in ett alternativ huruvida gästen godkänt att de blir kontaktade efter att bokningen gått ut i annat syfte än den aktuella bokningen
- Ett online formulär där man kan be om att vi ska ta bort all information om personen ur våra databaser, och på så sätt dra tillbaka sitt samtycke
- Borttagning av personuppgifter 2 år efter den sista bokningen gjorts som kopplats mot personen i systemet. Det vill säga om personen inte återvänder till hotellet inom 2 års tid så kommer uppgifterna att raderas automatiskt
Det som redan finns och inte behöver ändras på något sätt är säkerheten i systemet. Det har varit av högsta prioritet från första stund. Alla våra databaser ligger i datacenter inom EU, är givetvis krypterade, och all överföring sker via säkra kanaler och vi har brandväggar som ser till att obehöriga inte har åtkomst till någonting känsligt.
Dessutom har vi alltid haft möjlighet att exportera information, så det kommer inte heller att vara något problem.
Gällande de personuppgifter vi har om er som använder systemet så kommer vi att behöva alla användares samtycke för dessa också, det kommer att inom kort dyka upp en ruta vid inloggning, där ni måste godkänna våra uppdaterade villkor.
Slutligen
Lagtexten är hela 88 sidor långt och det är mycket av formuleringarna som är oklara. Det är ingen som riktigt vet hur saker och ting ska tolkas ännu, utan det återstår att se. Arbetet med att följa GDPR kommer inte vara en engångsinsats utan kommer att kräva ett löpande arbete med att se till att organisationens processer och rutiner fortsätter att efterleva lagens krav.
Vi på HappyBooking kan inte påstå att vi är experter på allt lagen omfattar, däremot har vi sett till att kunna allt som berör våra kunder och vår egen verksamhet. Har ni några funderingar kring detta eller behöver råd hur ni bör agera i en viss situation så hjälper vi gärna till.
