FAQ zur DSGVO-Konformität von HotSoft

Diese FAQ richtet sich an Kunden der Hoist Group, die HotSoft 7, HotSoft 8, HotSoft Online und / oder Serviator verwenden. Es soll einen grundlegenden Überblick über die GDPR-Compliance-Bemühungen der Hoist Group geben und eine Vorschau der Informationen anzeigen, die Sie als Datenverantwortlicher kennen dürfen.

Einführung

Am 25. Mai 2018 sind in der EU die Allgemeinen Datenschutzbestimmungen (DSGVO) in Kraft getreten. Sie gelten für die Hoist Group und alle ihre Kunden. Die Idee hinter der DSGVO ist, dass Informationen über Personen („betroffene Personen“) unter der Kontrolle dieser Personen stehen sollten. Hoist Group stimmt diesem zu.

Am 25. Mai 2018 sind in der EU die Allgemeinen Datenschutzbestimmungen (DSGVO) in Kraft getreten. Sie gelten für die Hoist Group und alle ihre Kunden. Die Idee hinter der DSGVO ist, dass Informationen über Personen („betroffene Personen“) unter der Kontrolle dieser Personen stehen sollten. Hoist Group stimmt diesem zu.

 

Die DSGVO verlangt, dass Informationen über Personen („Subjektdaten“) vor physischem und technischem Diebstahl geschützt werden. Ziel ist es, Personen („betroffene Personen“) für ihre eigenen Daten verantwortlich zu machen. Die DSGVO verlangt, dass die Übertragung von Subjektdaten zwischen Unternehmen transparent ist und in einem Vertrag erläutert wird und dass Unternehmen Subjektdaten nur unter bestimmten sicheren Umständen aus der EU exportieren.

Die DSGVO verlangt, dass Unternehmen die Fähigkeit haben:

  • auf Antrag der betroffenen Person betroffene Daten zu löschen;
  • diese Daten auf Anfrage zu korrigieren und
  • der betroffenen Person eine Kopie der Informationen zur Verfügung zu stellen, die sie speichern

Die DSGVO verlangt, dass Unternehmen ihre Bemühungen zur Verfolgung von Subjektdaten dokumentieren, Richtlinien zum Schutz dieser Daten festlegen, und für einige Unternehmen verlangt die DSGVO, dass sie einen Datenschutzbeauftragten installieren. Die DSGVO verlangt, dass es einfach ist herauszufinden, welche Daten ein Unternehmen besitzt und mit wem es sie teilt.

Während des gesamten Jahres 2017 hat die Hoist Group externe Rechtsberater eingesetzt, um ihre Produkte und Prozesse auf Einhaltung der DSGVO zu prüfen, und die Notwendigkeit des Datenschutzes gemäß den Vorschriften sorgfältig mit den kommerziellen Interessen ihrer Kunden in Einklang gebracht

 

Vertragsaktualisierungen

Die DSGVO verlangt, dass bestimmte Informationen in ihren Verträgen zwischen Datenverarbeitern und für die Verarbeitung Verantwortlichen übermittelt werden. Die Hoist Group hat eine konforme Vertragsergänzung erstellt, die diese Informationen enthält. Es wird im Februar / März ausgestellt. Den Verträgen sind Softwareanweisungen beigefügt, die befolgt werden müssen.

DSGVO-bezogene PMS-Anleitung

Wie ist der Konformitätsstatus der HotSoft-Produkte?

HotSoft Online: Damit HotSoft Online konform ist, müssen die Verträge der Hoist Group mit ihren Kunden aktualisiert werden. Wir haben auch unsere Datenschutzrichtlinie für HotSoft Online aktualisiert. Diese ist bereits auf allen Websites mit HotSoft Online aktiv.

HotSoft 8: IDamit HotSoft 8 kompatibel ist, müssen die Verträge der Hoist Group mit ihren Kunden aktualisiert werden. Wir erwarten, dass dieses Update im Januar veröffentlicht wird. Da es sich bei HotSoft 8 nicht um ein Endkunden – Programm handelt, ist keine Datenschutzrichtlinie erforderlich.

HotSoft 7: HotSoft 7 ist ein älteres Produkt ohne ideale Protokollierungs- und Löschkapazität. Um HotSoft 7 so konform wie möglich nutzen zu können, müssen alle Kunden die Softwareanweisungen befolgen, die im Januar für HotSoft 7 zusammen mit der Vertragsaktualisierung ausgegeben werden. Letztendlich ist geplant, HotSoft 7 einzustellen.

Was ist das Problem mit HotSoft 7?

TDie Technologie entwickelt sich schnell weiter, ebenso wie die Definition eines angemessenen technischen und physischen Schutzes von Daten. HotSoft 7 verfügt nicht über den hochmodernen Schutz, den die Aufsichtsbehörden unserer Meinung nach gerne sehen würden. Daher stellen wir das Produkt ein

Die Probleme mit HotSoft 7 sind:

Anmelden: Die DSGVO verlangt, dass Daten geschützt werden, einschließlich einer angemessenen Möglichkeit, den Zugriff auf die Daten zu kontrollieren. In einem perfekt kompatiblen System hätte jeder Benutzer eine kennwortgeschützte Anmeldung und es wäre möglich zu wissen, welcher Benutzer von HotSoft welche Daten geändert hat.

Lösung: Sie können verschiedene Schritte ausführen, um diese Compliance-Lücke zu schließen. Sie können ein Excel-Tabellenprotokoll darüber führen, wer wann gearbeitet hat, um diese Informationen zu erhalten, falls Daten gestohlen werden. Sie können (und sollten) Ihre Mitarbeiter und Auftragnehmer Vertraulichkeitsvereinbarungen unterzeichnen lassen, die sie verpflichten, die betroffenen Daten vertraulich zu behandeln.

Löschen: löscht Daten nicht wirklich. Die DSGVO verpflichtet Sie, betroffene Personen darüber zu informieren, wie lange Sie ihre Daten aufbewahren, Daten nur so lange wie nötig aufzubewahren und Daten auf Anfrage einer betroffenen Person oder nach einer bestimmten Zeit dauerhaft zu löschen. Sie sind der Datenverantwortliche und dieser Zeitraum liegt bei Ihnen. In den Softwareanweisungen in Anhang 1 Ihres Vertragszusatzes wird erläutert, wie Sie die Subjektdaten löschen.

Hinweis: Die Hoist Group unterstützt Ihren Übergang zu HotSoft 8, da geplant ist, HotSoft7 einzustellen. Bitte wenden Sie sich an Ihr lokales Hoist Group-Büro, um weitere Informationen zum Upgrade auf HotSoft 8 zu erhalten.

Welche Daten sammle ich mit HotSoft?

Alle HotSoft-Produkte erfassen die folgenden Subjektdaten:

  • Name
  • Staatsangehörigkeit
  • Ausweis-Informationen
  • E-Mail-Addresse
  • Anschrift
  • Geschlecht
  • •Geplante Reisedaten

 

Die Art der gesammelten Daten liegt in Ihrem Ermessen, vorausgesetzt, Sie verwenden nur die Daten, die für die Erbringung von Hospitality-Dienstleistungen erforderlich sind. Zu Marketingzwecken können Sie mit HotSoft beispielsweise Folgendes sammeln:

  • Projekt
  • Methode
  • Kategorie
  • Interessen
  • Reisezweck
  • Segment

Diese Informationen sollten jedoch nur bei Bedarf gesammelt werden. Darüber hinaus bietet die DSGVO zusätzlichen Schutz für so genannte „sensible Informationen“ über ethnische Zugehörigkeit, Gesundheitszustand und Religionszugehörigkeit. Die HotSoft-Produkte sind nicht dafür ausgelegt, vertrauliche Informationen zu sammeln. Tatsächlich ist es eine Bedingung der HotSoft-Verarbeitung, dass Sie keine vertraulichen Informationen sammeln

Wie sind die von HotSoft gesammelten Daten geschützt?

Erstens ist HotSoft ein proprietäres System, sodass gestohlene Daten ohne eine Kopie des Programms nicht lesbar wären. Subjektdaten können jedoch von HotSoft 7 und HotSoft 8 heruntergeladen werden.

Zweitens werden die gesammelten Daten für HotSoft 8-Cloud-Kunden in einem sicheren Rechenzentrum in Schweden aufbewahrt, das über aktuelle physische und technische Schutzmaßnahmen verfügt, einschließlich verschlossener Türen, ID-Ausweise für Sicherheit, Videoüberwachung und kontrollierten Zugriff.

Am wichtigsten ist jedoch, dass die von HotSoft-Produkten gesammelten Daten von Ihren Mitarbeitern geschützt werden. Menschliches Versagen ist die häufigste Ursache für Datenverletzungen, aber gute Datengewohnheiten können menschliches Versagen begrenzen. Stellen Sie sicher, dass Bildschirme mit HotSoft-Informationen für Hotelgäste nicht sichtbar sind. Sie können Berichte mit aggregierten Subjektdaten herunterladen oder drucken. Sobald diese Berichte heruntergeladen wurden, unterliegen sie den Daten Ihrer alleinigen Kontrolle. Sie sind verpflichtet, diese Berichte vertraulich zu behandeln.

Ist mein Hotel ein Datenverarbeiter oder

Datenverantwortlicher?

Da Sie entscheiden, welche Daten Sie sammeln, und die Beziehung zu dem Hotelgast haben, dessen Daten Sie gemäß der DSGVO (unverändert zu früheren Datenschutzgesetzen) sammeln, sind Sie der Datenverantwortliche und Hoist Group ist der Datenverarbeiter. Das bedeutet, dass Sie steuern und überwachen, welche Daten erfasst und wie sie gespeichert werden. Dies bedeutet auch, dass Sie das Recht haben, von der Hoist Group zu verlangen, dass sie Daten in Ihrem Namen sicher und mit angemessener technischer und physischer Sicherheit der Branche verarbeitet.

Wenn Sie HotSoft 8, Serviator und HotSoft Online mit unserem zusätzlichen Cloud-Service verwenden, werden die Subjektdaten Ihrer Gäste in unserem Rechenzentrum in Schweden verarbeitet. Das Rechenzentrum ist GDPR-konform und sicher. Die Daten werden gesichert. Wenn HotSoft 7, HotSoft 8 oder Serviator lokal an Ihrem Hotelstandort installiert sind oder sich außerhalb unserer Cloud-Umgebung befinden, hat die Hoist Group Ihnen nur Software verkauft und speichert und verarbeitet daher nur dann betroffene Daten, wenn Sie beispielsweise Wartungsarbeiten durchführen.

Was sind meine Rechte und Pflichten als Datenverantwortlicher?

Sie haben das Recht zu wissen, mit wem die Hoist Group die betreffenden Daten teilt. Die Hoist Group teilt die Subjektdaten nur auf Anweisung von Ihnen, dem für die Datenverarbeitung Verantwortlichen.

Die Hoist Group verarbeitet Subjektdaten:

  • bei der Bereitstellung von Wartungs- oder Sicherungsunterstützung für die lizenzierte Software;
  • wenn die Daten auf unserem Server in Schweden gehostet werden und
  • wenn ein Endbenutzer eine Reservierung über HotSoft Online vornimmt.

Zahlungsinformationen: HotSoft akzeptiert keine Zahlungsinformationen von betroffenen Personen. HotSoft hostet die Zahlungsmethoden Dritter und bietet nur die Schnittstelle, über die ein Dritter Ihrer Wahl die Zahlung in Ihrem Namen entgegennimmt. Die HotSoft-Schnittstellen der Hoist Group sind PCI-konform

Zu Ihrer Information: Im Gastgewerbe waren die größten Datenschutzprobleme bisher die Zahlungsschnittstellen an Verkaufsstellen (POS) in Hotels

Verstoßbenachrichtigung: Falls Ihr System verletzt wird und Daten gestohlen werden, sind Sie möglicherweise verpflichtet, eine Aufsichtsbehörde oder die betroffenen Personen zu informieren. Die Hoist Group benachrichtigt Sie innerhalb von 72 Stunden in dem unwahrscheinlichen Fall, dass ein Verstoß gegen den Cloud-Speicher vorliegt, und unterstützt Sie bei der Festlegung Ihrer Benachrichtigungspflichten.

Verarbeitungsdauer: Sie haben das Recht zu wissen, wie lange ein Datenverarbeiter Ihre Daten verarbeitet. Die Hoist Group wird die betreffenden Daten bis zur Beendigung ihres Vertrags mit Ihnen weiter verarbeiten.

Subject Access Requests (SARs)

GDPR gewährt Menschen bestimmte Rechte, auf ihre Daten zuzugreifen, sie zu korrigieren, zu verschieben, zu löschen oder zu portieren. Es liegt in der Verantwortung des für die Verarbeitung Verantwortlichen, den Anforderungen der Personen bezüglich ihrer Daten nachzukommen und ihnen ihre eigenen Daten in einem gemeinsamen elektronisch lesbaren Format zur Verfügung zu stellen.

Die Hoist Group wird Sie so weit wie möglich unterstützen, aber als Verarbeiter hat die Hoist Group nicht mehr Daten als Sie als Controller, und betroffene Personen werden diese Anfragen wahrscheinlich an Sie richten. Sie müssen einer betroffenen Person eine Kopie der von ihr angeforderten Daten zur Verfügung stellen, nachdem Sie die Identität dieser betroffenen Person überprüft haben.

Sie müssen auf Anfrage auch die betroffenen Daten einer betroffenen Person löschen. Die Softwareanweisungen enthalten weitere Details.

 

Muss ich die Zustimmung jedes Gastes einholen?

Jedes Mal, wenn Sie Subjektdaten sammeln, müssen Sie eine Rechtsgrundlage dafür haben. Eine Zustimmungsgrundlage ist die Vertragserfüllung. Sie haben einen Vertrag mit Ihrem Gast über die Erbringung von Bewirtungsleistungen. Sie können die Daten sammeln, die Sie zur Ausführung dieses Vertrags benötigen, und HotSoft bietet Ihnen die Möglichkeit, dies zu tun. Dies alles entspricht ohne Zustimmung der DSGVO.

Sie können sogar die E-Mail-Adresse dieses Gastes verwenden, um ihm Nachrichten über Angebote und Werbeaktionen zu senden, die Ihr Hotel anbietet. Wenn Sie dies tun, muss der Gast in der Lage sein, sich leicht abzumelden, und die Nachrichten dürfen nur über das Hotel sein, in dem der Gast übernachtet hat, und nicht über ein anderes Schwesterhotel oder eine andere Firma.

Wenn Sie die Subjektdaten Ihrer Gäste sammeln möchten, um sie an Dritte zu verkaufen, benötigen Sie die ausdrückliche Zustimmung Ihrer Gäste. Das liegt zwischen Ihnen und Ihrem Gast und geht über den Rahmen von HotSoft hinaus.

HotSoft 8 verfügt über eine spezielle Funktion zum Nachverfolgen der Zustimmung. Diese Funktion ist in HotSoft 7 nicht verfügbar und muss manuell ausgeführt werden.

 

Was sind die Verpflichtungen der Hoist Group gegenüber meinem Hotel?

  • Die Hoist Group erklärt sich damit einverstanden, dass alle Mitarbeiter, die auf HotSoft-Subjektdaten zugreifen, angemessenen Vertraulichkeitsverpflichtungen unterliegen und nur auf Ihre schriftliche Anweisung oder zu Wartungs- oder Sicherungszwecken auf die Daten zugreifen.
  • Die Hoist Group stimmt zu, dass der Zugriff auf HotSoft GDPR-konformen Sicherheitsmaßnahmen und Verschlüsselungen unterliegt.
  • Hoist Group löscht bei Beendigung des Vertrags alle mit Ihrem Vertrag verbundenen HotSoft-Subjektdaten, einschließlich Sicherungskopien dieser Daten.
  • Die Hoist Group wird die Einhaltung der DSGVO nach Ihren Wünschen nachweisen.
  • Die Hoist Group wird die Verarbeitung ohne Ihre schriftliche Zustimmung nicht an einen Subprozessor delegieren.
  • Die Hoist Group ist verpflichtet, geeignete technische und organisatorische Maßnahmen umzusetzen und hat diese umgesetzt, um die Anforderungen der DSGVO zu erfüllen.
  • Die Hoist Group schützt alle Rechte der betroffenen Personen.
  • Die Hoist Group wird auf Wunsch des Kunden nach Beendigung der Leistungserbringung im Zusammenhang mit der Verarbeitung die betreffenden Daten löschen oder an das Hotel zurücksenden und alle zusätzlichen Kopien dieser Daten löschen

DSGVO-bezogene PMS-Anleitung

Haftungsausschluss

Dies ist das überlegte und beste rechtliche und technische Denken der Hoist Group in Bezug auf die DSGVO in Bezug auf HotSoft-Produkte. Diese FAQ ist ein Vorgängerdokument der Contract Supplement Hoist Group, das im Januar für HotSoft-Kunden herausgegeben wird. Um HotSoft GDPR-konform nutzen zu können, ist es wichtig, dass Sie der App folgen. 1 “Softwareanleitung für Ihr Produkt”. Im Geiste der Transparenz und Kommunikation zwischen Verarbreitern und Datenverantwortlichen, die die DSGVO unterstreicht, teilt die Hoist Group diese Informationen mit Ihnen, unseren HotSoft-Kunden. Die Hoist Group kann Ihr Hotel jedoch nicht rechtlich beraten, und letztendlich liegt Ihre Konformität in Ihrer Verantwortung