HotSoft ja yleinen tietosuoja-asetus (GDPR) – FAQ

Nämä usein kysytyt kysymykset on tarkoitettu HotSoft 7-, HotSoft 8-, HotSoft Online- ja/tai Serviator-käyttäjille. Niiden tarkoituksena on tarjota yleiskatsaus Hoist Groupin toimista, joilla se pyrkii takaamaan tietosuoja-asetuksen vaatimusten noudattamisen, sekä tiedoista, jotka sinulla on rekisterinpitäjänä oikeus saada tietää.

Johdanto 

Yleinen tietosuoja-asetus (GDPR) tulee voimaan koko EU:n alueella 25. toukokuuta 2018. Tämä vaikuttaa Hoist Groupiin ja kaikkiin sen asiakkaisiin. Yleisen tietosuoja-asetuksen taustalla on käsitys, että ihmisiä (jäljempänä ’rekisteröityjä’) koskevien tietojen on oltava kyseisten ihmisten hallittavissa. Hoist Group on samaa mieltä.

Yleisen tietosuoja-asetuksen mukaan ihmisiä koskevat tiedot (jäljempänä ’rekisteröidyn tiedot’) on suojattava fyysisin ja teknisin keinoin toteutettavilta varkauksilta. Asetuksen tavoitteena on antaa ihmisille (”rekisteröidyille”) mahdollisuus hallita omia tietojaan. Yleisen tietosuoja-asetuksen mukaan yritysten välillä tapahtuvan rekisteröityjen tietojen siirron on oltava läpinäkyvää, ja sen laajuus on selitettävä sopimuksessa. Rekisteröityjen tiedot saa viedä EU:n ulkopuolelle ainoastaan tietyissä turvallisissa olosuhteissa.

Yleisen tietosuoja-asetuksen mukaan yritysten on pystyttävä:

  • poistamaan rekisteröidyn tiedot tämän niin vaatiessa;
  • oikaisemaan tietoja rekisteröidyn niin vaatiessa;
  • toimittamaan rekisteröidylle jäljennös yrityksen hallussa olevista rekisteröidyn tiedoista.

Yleisen tietosuoja-asetuksen mukaan yritysten on dokumentoitava pyrkimyksensä seurata rekisteröidyn tietoja ja otettava käyttöön kyseisten tietojen suojaamisen varmistavia käytänteitä, minkä lisäksi joidenkin yritysten on myös nimitettävä tietosuojavastaava. Yleisen tietosuoja-asetuksen vaatimuksiin kuuluu, että ihmisten on voitava saada helposti selville, mitä tietoja yrityksellä on heistä ja kenelle ne luovuttavat kyseisiä tietoja.

Hoist Group on vuoden 2017 aikana antanut tuotteensa ja prosessinsa ulkoisten oikeudellisten neuvonantajien auditoitavaksi. Nämä arvioivat, miten hyvin yleisen tietosuoja-asetuksen vaatimukset täyttyvät ja miten asetuksen mukaiset tietosuojavaatimukset voidaan sovittaa yhteen asiakkaiden kaupallisten etujen kanssa.

Sopimusten päivittäminen

Yleisen tietosuoja-asetuksen mukaan tietojen käsittelijöiden ja rekisterinpitäjien välisissä sopimuksissa on ilmoitettava tietyt tiedot. Hoist Group on laatinut sopimukseen vaatimuksenmukaisuutta koskevan täydennyksen, joka sisältää kyseiset tiedot. Täydennys lähetetään tammikuussa. Sopimusten liitteenä on ohjelmistoja koskevia ohjeita, joita on noudatettava.

PMS-järjestelmäohjelmiston tietosuoja-asetuksen mukaisuutta koskevat ohjeet

Missä määrin HotSoft-tuotteet täyttävät asetuksen vaatimukset?

HotSoft Online: HotSoft Onlinen vaatimuksenmukaisuuden varmistamiseksi Hoist Groupin ja sen asiakkaiden välisiä sopimuksia on päivitettävä. Olemme lisäksi päivittäneet HotSoft Onlinea koskevaa yksityisyydensuojailmoitusta. Se on luettavissa jo kaikilla HotSoft Onlinea käyttävillä sivustoilla.

HotSoft 8: HotSoft 8:n vaatimuksenmukaisuuden varmistamiseksi Hoist Groupin ja sen asiakkaiden välisiä sopimuksia on päivitettävä. Päivitys toimitettaneen tammikuussa. Koska asiakkaat eivät ole suoraan tekemisissä HotSoft 8:n kanssa, siinä ei tarvita yksityisyydensuojailmoitusta.

HotSoft 7: HotSoft 7 on vanhempi tuote, jonka valmiudet käsitellä kirjautumisia ja tietojen poistoa eivät ole parhaat mahdolliset. Jotta HotSoft 7:ää voidaan käyttää vaatimukset parhaalla mahdollisella tavalla täyttäen, kaikkien asiakkaiden on noudatettava ehdottomasti 7. tammikuuta toimitettavia HotSoft 7 -ohjelmistoa koskevia ohjeita ja päivitettyä sopimusta. Pidemmällä tähtäyksellä HotSoft 7 on määrä lopettaa.

Mitä ongelmia liittyy HotSoft 7 -ohjelmistoon?

Tekniikka kehittyy nopeasti – samoin käsityksemme tietojen asianmukaisesta teknisestä ja fyysisestä suojauksesta. HotSoft 7 ei sisällä sellaisia uusinta teknologiaa edustavia suojausominaisuuksia, joita uskomme lainsäätäjien tarkoittavan, joten se on määrä poistaa tuotevalikoimastamme.

HotSoft 7:n ongelmia ovat:

Kirjautuminen: Yleisen tietosuoja-asetuksen mukaan tiedot on suojattava – tähän kuuluu myös kohtuullinen mahdollisuus valvoa tietoihin pääsyä. Tietosuoja-asetuksen vaatimukset täydellisesti täyttävässä järjestelmässä jokaisen käyttäjän kirjautuminen tapahtuu salasanalla suojatusti, ja siinä on mahdollista tietää, kuka HotSoftin käyttäjä on muuttanut mitäkin tietoja.

Korjaus: Voit korjata tämän puutteen useammalla tavalla. Voit pitää Excel-taulukossa kirjaa siitä, kuka työntekijä on ollut milloinkin töissä, jolloin tiedot on mahdollista jäljittää silloin, jos ne varastetaan. Voit antaa työntekijöillesi allekirjoitettavaksi salassapitosopimuksen, jossa heidät velvoitetaan säilyttämään rekisteröidyn tiedot luottamuksellisina (suosittelemme tätä).

Tietojen poistaminen: HotSoft 7 ei periaatteessa poista tietoja. Yleisen tietosuoja-asetuksen mukaan sinun tulee informoida rekisteröityjä siitä, kuinka kauan heidän tietojaan säilytetään, säilyttää tietoja ainoastaan niin kauan, kun on tarve ja poistaa tiedot pysyvästi joko rekisteröidyn pyynnöstä, tai tietyn ajanjakson jälkeen. Sinä hallitset tietoja, ja määrität kuinka pitkä tämä ajanjakso on. Hotellialalla asiakkaiden yhteydet voivat kuitenkin kestää pitkäänkin! Tietojen, joita ei enää tarvita, poistaminen on tällöin rekisterinpitäjän vastuulla. Rekisteröidyn tietojen poistaminen on selvitetty sopimuksen täydennyksen liitteessä 1.

Huomaa: Hoist Group tukee siirtymistäsi HotSoft 8 -versioon, sillä HotSoft 7 on määrä lakkauttaa. Lisätietoa HotSoft 8 -versiopäivityksestä saat paikalliselta Hoist Group -edustajaltasi.

Mitä tietoja käyttämäni HotSoft kerää?

Kaikki HotSoft-tuotteet keräävät seuraavat rekisteröidyn tiedot:

  • Nimi
  • Kansalaisuus
  • Henkilöllisyystodistuksen tiedot
  • Sähköpostiosoite
  • Postiosoite
  • Sukupuoli
  • Suunnitellut matkustuspäivät

Tietoja kerätään oman harkintasi mukaan edellyttäen, että kerätyt tiedot ovat tarpeellisia hotellipalveluiden tarjoamisen kannalta. Esimerkiksi markkinointia varten HotSoftilla on mahdollista kerätä seuraavat tiedot:

  • Projekti
  • Menetelmä
  • Luokka
  • Kiinnostuksenkohteet
  • Matkan tarkoitus
  • Segmentti

Näitä tietoja pitäisi kuitenkin kerätä vain silloin, kun se on tarpeellista. Lisäksi yleinen tietosuoja-asetus antaa lisäsuojan niin sanotuille ”arkaluonteisille tiedoille”, jotka koskevat mm. etnisyyttä, terveydentilaa ja uskonnollista suuntautumista. HotSoft tuotteita ei ole suunniteltu keräämään arkaluonteisia tietoja. Itse asiassa se on HotSoftin ehto, että tällaisia tietoja ei kerätä.

Miten HotSoftin keräämiä tietoja suojataan? 

Ensinnäkin on huomattava, että HotSoft on omistusoikeudella suojattu järjestelmä, joten siitä varastettuja tietoja ei voi lukea ilman kyseistä ohjelmaa. Rekisteröidyt tiedot on kuitenkin mahdollista ladata HotSoft-versioista 7 ja 8.

HotSoft 8:n pilvipalveluasiakkaiden tiedot säilytetään Ruotsissa sijaitsevassa suojatussa datakeskuksessa, jossa sovelletaan alan käytänteiden mukaisia fyysisiä ja teknisiä suojaamistoimia, kuten ovien lukitseminen, kulkuluvat, valvontakamerat ja kulunvalvonta.

Kaikista tärkeintä on kuitenkin, että sinun työntekijäsi huolehtivat HotSoftin keräämien tietojen suojaamisesta. Inhimillinen erehdys on suurin yksittäinen tietoturvaloukkausten syy, mutta inhimillisen erehdyksen mahdollisuutta voidaan pienentää hyvillä tietosuojakäytänteillä. Varmista, että HotSoft-tietoja sisältävät kuvaruudut eivät ole asiakkaiden nähtävissä. Voit ladata tai tulostaa rekisteröityjen yhdistelmätietoja sisältäviä raportteja. Ladatut raportit ovat ainoastaan sinun hallinnassasi olevia rekisteröityjen tietoja. Sinun on pidettävä raportit luottamuksellisina.

Onko hotellini henkilötietojen käsittelijä vai rekisterinpitäjä?

Koska sinä päätät, mitä tietoja keräät, ja koska sinulla on sopimus asiakkaan kanssa, yleisen tietosuoja-asetuksen mukaan (tämä ei ole muuttunut edellisistä tietosuojasäädöksistä) sinä olet rekisterinpitäjä ja Hoist Group on henkilötietojen käsittelijä. Se tarkoittaa, että sinä teet päätökset tietojen keräämisestä ja vastaat tietojen hallinnasta ja säilyttämisestä. Tämä tarkoittaa myös, että sinulla on oikeus vaatia Hoist Groupia käsittelemään tietoja puolestasi suojatusti kaikkia kohtuullisia ja alalla vakiintuneita teknisiä ja fyysisiä turvatoimia soveltaen.

Jos käyttämäsi HotSoft 8- tai HotSoft Online -ohjelmisto on yhdistetty pilvipalveluumme, asiakkainasi olleiden rekisteröityjen tietoja käsitellään datakeskuksessamme Ruotsissa. Datakeskus täyttää yleisen tietosuoja-asetuksen vaatimukset, ja se on turvallinen. Tiedoista otetaan varmuuskopiot. Jos HotSoft 7, HotSoft 8 tai Serviator on asennettu paikallisesti hotellisi koneisiin tai muuten muualle kuin pilvipalvelimeemme, HoistGroup on ainoastaan myynyt sinulle ohjelmistot, joten se ylläpitää ja käsittelee rekisteröidyn tietoja vain esimerkiksi tehdessään huoltotöitä.

Mitkä ovat oikeuteni ja velvollisuuteni rekisterinpitäjänä?

Sinulla on oikeus tietää, kenelle Hoist Group luovuttaa rekisteröidyn tiedot. Hoist Group luovuttaa rekisteröidyn tiedot ainoastaan sinun eli rekisterinpitäjän suuntaan.

Rekisterinpitäjänä sinulla on oikeus tietää tarkkaan, missä yhteydessä Hoist Group käsittelee asiakkainasi olevan rekisteröidyn tietoja ja mitä se tekee niillä.

Hoist Group käsittelee rekisteröidyn tietoja:

  • tehdessään lisensoituun ohjelmistoon kohdistuvia huolto- tai päivitystöitä;
  • silloin, kun tietoja säilytetään palvelimellamme Ruotsissa sekä;
  • silloin, kun loppukäyttäjä tekee varauksen HotSoft Onlinella.

Maksutiedot: HotSoft ei kerää rekisteröidyiltä maksutietoja. HotSoftissa käytetään kolmannen osapuolen ylläpitämiä maksutapoja, ja ohjelmisto itse tarjoaa ainoastaan liittymän, jonka avulla valitsemasi kolmas osapuoli ottaa maksun puolestasi vastaan. Hoist Groupin HotSoft-liittymät täyttävät PCI-standardin vaatimukset.

Taustatietoa: Hotellialalla merkittävimmät tietosuojaongelmat liittyvät tänä päivänä hotellien myyntipisteiden maksuliittymiin.

Tietoturvaloukkauksesta ilmoittaminen: Jos järjestelmässäsi tapahtuu tietoturvaloukkaus, jonka yhteydessä tietoja varastetaan, sinulla on velvollisuus ilmoittaa siitä valvontaviranomaiselle tai rekisteröidyille, joita tietoturvaloukkaus koskee. Hoist Group ilmoittaa siinä epätodennäköisessä tapauksessa, että pilvipalvelimessa on tapahtunut tietoturvaloukkaus, asiasta sinulle 72 tunnin kuluessa ja auttaa sinua määrittämään, onko sinun ilmoittava asiasta johonkin.

Käsittelyn kesto: Sinulla on oikeus tietää, kuinka kauan henkilötietojen käsittelijä käsittelee tietojasi. Hoist Group käsittelee rekisteröidyn tietoja niin kauan kuin kanssasi tehty sopimus kestää.

Rekisteröityjen tiedonsaantipyynnöt

Yleisessä tietosuoja-asetuksessa ihmisille annetaan tiettyjä oikeuksia saada pääsy tietoihinsa sekä oikaista, siirtää, poistaa tai lähettää niitä. Rekisterinpitäjä vastaa siitä, että tiedonsaantipyyntöihin vastataan asianmukaisesti ja että tiedot toimitetaan rekisteröidylle yleisesti käytetyssä sähköisesti luettavassa muodossa.

Hoist Group avustaa sinua mahdollisuuksiensa mukaan, mutta Hoist Groupilla ei ole tietojen käsittelijänä enempää tietoja kuin mitä sinulla on rekisterinpitäjän ominaisuudessasi, joten rekisteröidyt lähettävät tiedonsaantipyynnöt todennäköisesti sinulle. Sinun on toimitettava rekisteröidylle jäljennös tämän tiedoista tarkistettuasi ensin tämän henkilöllisyyden.

Sinun on myös poistettava rekisteröidyn tiedot tämän niin vaatiessa. Lisätietoa on ohjelmistoa koskevissa ohjeissa.

Täytyykö minun hankkia suostumus jokaiselta asiakkaalta?

Aina kun keräät rekisteröidyn tietoja, sinulla on oltava oikeusperuste siihen. Yksi suostumuksenilmauksen peruste on sopimuksen täytäntöönpano. Sinulla on sopimus asiakkaidesi kanssa majoituspalveluista. Voit kerätä niitä tietoja, joita tarvitset kyseisen sopimuksen täytäntöönpanemiseksi, ja HotSoft tarjoaa välineen siihen. Tämä kaikki on ilman erillistä suostumustakin täysin yleisen tietosuoja-asetuksen mukaista.

Voit myös lähettää asiakkaan sähköpostiosoitteeseen tietoa hotellisi uusista tarjouksista ja kampanjoista. Asiakkaalla on tällöin oltava mahdollisuus peruuttaa viestien vastaanottaminen helposti, ja tarjoukset saavat koskea vain sitä hotellia, jossa asiakas yöpyi, ei mitään muuta samaan ketjuun kuuluvaa hotellia tai muuta yritystä.

Jos haluat kerätä asiakkaanasi olevan rekisteröidyn tietoja myydäksesi ne kolmannelle osapuolelle, tarvitset siihen asiakkaasi nimenomaisen suostumuksen. Tämä on sinun ja asiakkaasi välinen asia, eikä HotSoftilla ole tekemistä sen kanssa.

HotSoft 8 -ohjelmistoon sisältyy suostumuksenseurantatoiminto. Toimintoa ei ole HotSoft 7:ssä, joten se on tehtävä siinä manuaalisesti.

Mitkä ovat Hoist Groupin velvollisuudet hotelliasi kohtaan?

  • Hoist Group hyväksyy, että kaikki sen työntekijät, joilla on pääsy HotSoftiin tallentuneisiin rekisteröidyn tietoihin, ovat asianmukaisten luottamuksellisuutta koskevien velvoitteiden alaisia ja että heillä on pääsy kyseisiin tietoihin vain joko kirjallisesta pyynnöstäsi tai huolto- ja päivitystoimenpiteitä varten.
  • Hoist Group hyväksyy, että HotSoftiin pääsyyn sovelletaan yleisen tietosuoja-asetuksen mukaisia tietoturvatoimia ja salausta.
  • Hoist Group poistaa sopimuksen päättyessä kaikki HotSoftiin sopimuksesi puitteissa tallennetut rekisteröidyn tiedot ja niiden jäljennökset.
  • Hoist Group selvittää perustellusta pyynnöstä, miten se varmistaa yleisen tietosuoja-asetuksen vaatimusten täyttymisen.
  • Hoist Group ei siirrä käsittelyä alihankkijalle ilman kirjallista suostumustasi.
  • Hoist Groupilla on velvollisuus toteuttaa tietosuoja-asetuksessa vaaditut asianmukaiset tekniset ja organisatoriset toimenpiteet, minkä se on myös tehnyt.
  • Hoist Group suojaa kaikkia rekisteröityjen oikeuksia.
  • Hoist Group poistaa asiakkaan vaatimuksesta rekisteröidyn tiedot tai palauttaa ne hotellille suoritettuaan käsittelyyn liittyvät palvelut, ja se poistaa kaikki kyseisten tietojen muut jäljennökset.

PMS-järjestelmäohjelmiston tietosuoja-asetuksenmukaisuutta koskevat ohjeet

Vastuuvapauslauseke
Tässä ilmoitetut tiedot edustavat Hoist Groupin käsitystä siitä, mikä on oikeudellisesti ja teknisesti paras tapa täyttää yleisen tietosuoja-asetuksen vaatimukset HotSoft-tuotteiden osalta. Näiden usein kysyttyjen kysymysten jälkeen Hoist Group lähettää HotSoft-asiakkaille tammikuussa sopimusta koskevan täydennyksen. Jotta HotSoftin käytössä tulevat huomioitua yleisen tietosuoja-asetuksen vaatimukset, on ehdottoman tärkeää noudattaa ohjelmistotuotettasi koskevia ohjeita, jotka ovat liitteessä 1. Hoist Group haluaa toimia tietojen käsittelijän ja rekisterinpitäjän välistä avoimuutta ja viestintää edistäen ja toimittaa sen vuoksi nämä tiedot sinulle eli HotSoft-asiakkaallemme. Hoist Group ei kuitenkaan voi tarjota hotellillesi oikeusneuvontaa, ja yleisen tietosuoja-asetuksen vaatimusten täyttäminen on viime kädessä sinun vastuullasi.