На кого распространяются требования GDPR

На фотографов

Нужно ли мне регистрироваться в ICO?

GDPR на кого распространяетсяОчень маловероятно, что вам нужно будет регистрироваться, если вы владеете типичным, небольшим бизнесом в области фотосъемки. Но если вы сомневаетесь, просто сделайте самостоятельный расчет на сайте ICO прямо здесь.

Нужно ли мне иметь политику конфиденциальности на своем сайте фотографии?

Да. Вам понадобится Политика конфиденциальности (это не ново), и вы должны будете убедиться, что она соответствует GDPR. Но не стоит волноваться. Это не очень важно для небольшого, хорошо организованного бизнеса, подобного вашему. Не тратьте деньги на политику конфиденциальности! Проверьте это бесплатно в SEQ Legal. Вы можете скачать и настроить её на свой вкус.

Вам понадобится ссылка на вашу политику конфиденциальности в нижнем колонтитуле вашего веб-сайта, и вы сможете указать людям на неё, где бы вы ни собирали данные (контактная форма сайта, выбор форм и т.д.).

Посмотрите на этот шедевр от Марианны Чуа для вдохновения.(Это совместимо? Понятия не имею. Кого это волнует? Сомнительно.)

Насколько вероятно, что я могу быть оштрафован за несоблюдение?

Летающие свиньи приходят на ум… (вероятность крайне мала)

В прошлом году ICO выпустило только 38 денежных штрафов. И посмотрите на компании, которых оштрафовали. Это не изменится в рамках GDPR. Эти штрафы не для нас с вами. Они для больших компаний, которые пренебрегают правилами и неправильно используют личные данные с их неустанным спамом.

Если у Джимми, клиента headshot из вашего списка электронной почты, неудачный день и он сообщает о вас в ICO из-за того, что вы делаете ему рассылку по электронной почте, тогда как он не дал вам своего четкого, конкретного согласия на это – ICO просто уведомит вас, что это произошло, и выдаст вам соответствующее руководство, которое вам необходимо, для того чтобы соответствовать нормам.

При этом, если Джимми, Нора, Фрэнки, Салли и 3000 других обратятся к ICO, чтобы пожаловаться на вас, тогда у вас проблемы (и невероятно большой список адресов электронной почты!).

Нужно ли мне иметь согласие человека на законную обработку каких-либо персональных данных о них вообще?

Нет.

В соответствии с GDPR вы должны определить причину сбора и обработки персональных данных, чтобы затем вы могли решить, какое законное основание вы используете для этого.

Согласие на обработку данных – это лишь одно законное основание. Вы можете прочитать о них здесь.

Другое, что мы, фотографы, безусловно, будем использовать часто, это законные интересы. В ICO говорится:

«Законные интересы, скорее всего, будут наиболее подходящими, там, где вы используете данные людей в тех случаях, когда они разумно ожидали бы этого и имели минимальное влияние на неприкосновенность частной жизни, или там, где есть убедительное обоснование для обработки данных».

Если вы уверены, что можете использовать законные интересы для обработки персональных данных, вам не требуется согласие.

Могу ли я использовать «законные интересы» в качестве основы для сбора и обработки всех личных данных, которыми я занимаюсь?

Нет. Будьте осторожны.

Если вы сомневаетесь, пройдите эту Законную оценку интересов, чтобы убедиться.

Нужно ли мне получить конкретное согласие от моих клиентов и потенциальных клиентов, чтобы связаться с ними по поводу их съемки или заполнения анкеты?

На кого распространяется требования GDPRНет! Это было бы очень странно.

Представьте, что вы отправились в ресторан на обед, и официантка отказалась подойти к вам, пока вы не дали ей разрешение.

Это пример обработки персональных данных на законной основе законных интересов, потому что ваш клиент/потенциальный клиент будет разумно ожидать этого, и это будет иметь минимальное влияние на конфиденциальность. Конечно, вам нужно общаться с ними по поводу вашей съемки или их анкеты. Они будут ожидать этого!

Что касается обработки их персональных данных в маркетинговых целях, смотрите раздел «маркетинговые письма» ниже.

Как насчет контактной формы моего сайта? Нужно ли что-то к нему добавлять?

Добавьте что-то вроде «не волнуйтесь, ваша информация в безопасности со мной. Я уважаю вашу конфиденциальность» (или, если вы загружаетесь сильнее, чем мы, вы можете немного придать живости). Вы также должны дать ссылку на свою политику конфиденциальности.

Как я должен хранить персональные данные, которые у меня уже есть?

Давайте все рассмотрим, какой это абсолютно адский кошмар, должно быть, для компаний-разработчиков программного обеспечения, которые участвуют в хранении и обработке персональных данных. Но они очень усердно работали за кулисами, чтобы соответствовать GDPR, поэтому… используйте их!

Во-первых, убедитесь, что у вас есть отличная система управления бизнесом в области фотографии. И убедитесь, что у вас хорошая система маркетинга по электронной почте, которая полностью соответствует GDPR. Mailchimp, ConvertKit и ActiveCampaign – все они есть (или будут). Как только вы потратите время на то, чтобы установить эти системы и использовать их правильно, вы сможете всегда быть в курсе, как кто-то пришел в ваш мир, потому что у этих систем будет запись об этом. Вы узнаете, были ли они клиентами для семейных, свадебных съемок, или теми, кто скачал вашу электронную книгу.

У вас также будет запись о том, дали ли они согласие на рассылку им маркетинговых писем или на использование их изображений в вашей работе (подробнее об этом ниже).

Прекратите сбор информации вручную, используя свои собственные системы. Это просто не стоит того.

Наличие этих платных систем также позаботится о других аспектах GDPR, таких как право человека на доступ, исправление, удаление или перемещение своих данных. Если вы храните данные, используя программное обеспечение, совместимое с GDPR и не используя свои собственные системы, то вам должно дышаться немного легче.

Не только это, ваш рабочий стол будет аккуратнее и ваш рабочий процесс будет более автоматизированным. Теперь все может быть в электронном виде, включая подписание контракта. Так что идем на встречу цифровым технологиям!

Как долго я могу хранить данные клиентов?

Наиболее вероятный ответ, который мы нашли на этот вопрос – 7 лет. Причина в том, что вы должны хранить данные, относящиеся к контракту с клиентом, в течение 7 лет после окончания контракта.

Маркетинговые электронные письма и информационные бюллетени – нужно ли спрашивать всех в моем списке по электронной почте, хотят ли они все еще получать информацию от меня?

Пожалуйста, не надо. У вас может возникнуть соблазн сделать это, потому что я держу пари, что ваш почтовый ящик буквально разрывается от электронных писем от других компаний, которые просят вас подписаться на рассылку, чтобы вы могли продолжать получать от них информацию. Многим ли вы ответили, о желании получать от них рассылку? Так и думала.

Давайте договоримся об этом. Вам нужно сесть и проверить все адреса электронной почты, которые у вас есть и разделите их на группы. Если вы используете систему электронной почты, такую как mailchimp или ConvertKit, это должно быть относительно просто. Если вы давно пользуетесь Gmail – желаю вам удачи…

Группа 1 – У Вас уже есть действующее, четкое согласие на отправку им информационных бюллетеней и маркетинговых писем, и вы можете это доказать. Например, они заполнили при регистрации электронную форму на вашем сайте.

Могли ли они еще яснее дать понять, что хотят получать от вас информацию? Оставьте их в покое и не раздражайте их еще одним глупым письмом с согласием на основе GDPR!

Группа 2 – Вы понятия не имеете, где вы получили эти адреса электронной почты или как.

Вы действительно не должны хранить или использовать эти адреса электронной почты вообще. Особенно для отправки регистрации в GDPR в электронном письме. Это просто как-то совсем не очень. Лучшее, что вы можете сделать с ними, это полностью удалить их.

Группа 3 – Вы знаете, как вы получили адрес электронной почты, но человек на самом деле не дал вам необходимого согласия GDPR для отправки ему маркетинговых писем. Например, они поучаствовали в промо-акции, которую вы провели в прошлом году, но Вы недостаточно ясно объяснили, что тем самым они подписались на рассылку ваших маркетинговых писем.

Да, вы должны отправить им электронное письмо, чтобы спросить, хотят ли они продолжать получать от вас рассылку.

Я знаю, что это полный бред, что нужно отправлять это повторное разрешение по электронной почте, и вы будете беспокоиться о потере многих ваших подписчиков, но, помните, 10 подписчиков, которые хотят услышать от вас, это в миллион раз лучше, чем 1000 подписчиков, которые в вас не заинтересованы.

Посмотрите на эти примеры повторного разрешения на отправку по электронной почте.

Группа 4 – Ваши прошлые клиенты, которые не давали вам согласия на маркетинговую рассылку.

Здесь могут снова применяться законные интересы (мы говорим «может», потому что это такая серая область!) Если кто-то нанял вас в ближайшем прошлом, можно с уверенностью предположить, что они будут очевидно ожидать получения от вас рассылки о ваших услугах и продуктах.

Это цитата непосредственно из ICO по этому вопросу: «если у вас есть существующие отношения с клиентами, которые приобрели у Вас товары или услуги, возможно, не потребуется получать новое согласие.» Прочитайте остальную часть этой статьи здесь.

Пока вы отправляете хорошие электронные письма и не спамите их каждый день разной ерундой, тогда не беспокоите этих ребят по поводу этого глупого разрешения. Или, если вы хотите играть безопасно – почему бы не отправить им «отписаться» по электронной почте вместо этого?

Являются ли фотографии людей персональными данными?

Да.

Тем не менее, ваши фотографии также являются вашей интеллектуальной собственностью, и они имеют важное значение для вас в управлении вашим бизнесом. По этой причине существует множество сценариев, в которых вы должны иметь возможность ссылаться на «законные интересы» в качестве основы для хранения и использования фотографий людей.

Нужно ли мне четкое, конкретное согласие моего клиента на использование их фотографий в моем маркетинге?

GDPR требованияДа. Скорее всего, вы уже делаете это в любом случае с релизом модели, но вам может потребоваться получить более «детальное» согласие.

Составьте простую форму согласия для ваших клиентов, чтобы заполнить ее отдельно от их контракта. Попросите их подписать ее и поставить галочку против того, в каких случаях они предпочли бы, чтобы вы использовали их изображения (веб-страницы, сообщения в блогах, социальные сети, студийные образцы, конкурсы, обмен с поставщиками, отправка в журналы/блоги и т. д.).

У меня нет письменного согласия от всех, кого я когда-либо фотографировал. Должен ли я обратиться к ним, чтобы получить его задним числом?

О, это звучит так весело.

Мы уверены, что у вас есть дела поважнее – например, зарабатывать на жизнь!

Под строжайшей буквой закона – возможно. Но как вы думаете, что произойдет, если вы этого не сделаете? Скорее всего ничего!

Если кто-то жалуется, что вы используете их изображение на своем веб-сайте без их согласия, просто удалите его. Если они сообщат о вас в ICO, худшее, что произойдет, это то, что кто-то свяжется с вами и спросит, нужна ли вам какая-либо помощь, чтобы соответствовать правилам в области фотографий, которые вы делаете.

Лучшее, что вы можете сделать, это защитить себя, и спрашивать о согласии на использование фотографий заранее.

И не забывайте, что есть возможность сказать, что для вашего бизнеса является неприемлемым не иметь возможность использования фотографий ваших клиентов в рекламных целях. Этот старый «законный интерес» снова …

А как насчет «права быть забытым»? Может ли бывший клиент отозвать свое согласие и потребовать, чтобы я удалил сохраненные фотографии?

Они могут попробовать, но удаление интеллектуальной собственности и вашего искусство очень отличается от удаления чье-то имени и адреса электронной почты из ваших файлов, не так ли? Вполне вероятно, что вы могли бы привести законные интересы в качестве основания для отказа в этом требовании

И, честно говоря, насколько это вероятно?

Как насчет фотографирования в общественных местах-нужно ли мне четкое согласие от кого-либо, кто может появиться на моих фотографиях?

Нет. Это все еще приемлемо в пределах разумного.

Здесь очень важно использовать здравый смысл. Если вы собираетесь вылавливать и распространять спорные изображения или изображения, которые могут нанести оскорбление людям на них, вы доставите себе много хлопот. Просто будьте благоразумным.

Я фотографирую на больших спортивных мероприятиях и т. д. – нужно ли мне согласие от всех, кто может появиться на моих фотографиях?

Когда люди посещают подобное мероприятие, логично, что они ожидают присутствия фотографа? Будут ли фотографии иметь минимальное влияние на конфиденциальность людей на мероприятии?

Если ответ на эти вопросы да, тогда вы должны быть в состоянии использовать законные интересы в качестве основания, чтобы продолжать работу без их согласия.

Если вы хотите быть крайне осторожным, то просто напишите объявление с просьбой к людям, чтобы те сообщили, если не хотят, чтобы их фотографировали. Лично я бы, оценила сперва риски без этих хлопот.

Если вы фотографируете людей, которые выглядят счастливыми и наслаждаются событием, то с 99,99999% людей не будет проблем с этими фотографиями, сделанными и выставленными напоказ. И если кто-то свяжется со мной и попросит удалить его фотографию. Просто удалите её.

Тем не менее, если вы фотографируете страстные встречи или маленьких старушек с юбками, заправленными в трусики, и делитесь ими в интернете, вы напрашиваетесь на жалобы (и позор вам!).

Что на счет частных мероприятий, таких как свадьбы? Должен ли я получить согласие от всех, кто туда придет, чтобы иметь возможность их сфотографировать и использовать эти фотографии?

Давайте вернемся к реальности. Как именно вы можете сделать это до, во время или после свадьбы?! Когда люди посещают свадьбу, они обоснованно ожидают присутствия фотографа?

Будут ли фотографии иметь минимальное влияние на конфиденциальность гостей на свадьбе?

Если ответ да – то вы можете использовать законные интересы в качестве основы для сбора, хранения и использования этих изображений.

Просто убедитесь, что у вас есть согласие, которое мы упомянули выше от вашего клиента. Это хорошая идея попросить вашего жениха и невесту дать понять гостям, что будет фотограф, на их празднике, и, если кто-либо из их гостей не хочет фотографироваться или не хочет появляться на любой из фотографий в Интернете, тогда они должны дать вам знать об этом.

Помните, что вы должны подписать контракт с женихом и невестой. Это должно быть вашим приоритетом номер один.

Стоит еще раз упомянуть, что использование здравого смысла – это путь вперед. Распространение изображений пьяных гостей в компрометирующих ситуациях онлайн является открытым поводом для жалоб. Обмен великолепными фотографиями жениха и невесты и их гостей, которые прекрасно проводят время не доставит вам никаких проблем. И если кто-то по какой-то причине попросит вас удалить определенную фотографию из вашего блога, просто сделайте это.

У меня есть ссылка на подписку по электронной почте на моем веб-сайте. Нужно ли мне что-то к нему добавить?

Если подписка заключается в том, чтобы только присоединиться к вашему списку электронной почты, то человек, заполнив её дает вам очень четкое, активное согласие, чтобы вы имели права отправлять ему электронные письма. Никакого дополнительного согласия не требуется. Не забудьте включить ссылку в вашу политику конфиденциальности.

Вы должны быть полностью прозрачны в отношении того, какие электронные письма они получат от вас. Это отличная возможность изучить письма, которые вы действительно отправляете. Никто не собирается подписываться на рассылку, которая подразумевает получение вашего рекламного спама. Отправляете ли вы полезные или развлекательные электронные письма своим подписчикам? Отчетливо обозначьте это в форме для подписки.

Если вы посылаете различные типы писем, то подумайте о галочках, чтобы абонент мог решить, какие сообщения он хочет получать. Вы можете сделать это в самой форме, или вы можете использовать двойную регистрацию и попросить их выбрать электронные письма, которые они хотят получить в своем электронном подтверждении.

Посетители моего веб-сайта могут подписаться на получение загружаемого Контента от меня. Нужно ли мне их согласие на отправку маркетинговых писем?

Да! Загрузив электронную книгу, список документов или прайс-лист, они говорят НЕ автоматически, что вы можете связаться с ними по поводу ваших маркетинговых предложений.

Если вы хотите быть супер защищенным, вам нужно добавить окошко для галочки (или окошки), чтобы в вашей форме для подписки спрашивать людей, хотели бы они получать вашу рассылку или специальные предложения, или сообщения в блоге и т. д. Эти окошки для галочек не могут быть предварительно заполнены. Они должны быть пустыми.

На отели

Какие сотрудники отеля должны знать о GDPR?

Лица, принимающие решения, и ключевые лица в отелях ЕС и ЕЭЗ должны знать, что закон меняется на GDPR. Процедура будет включать, по крайней мере, следующие должности, если они есть: Генеральный директор, руководитель отдела маркетинга и менеджер по доходам. Каждая из этих должностей имеет дело со значительным объемом данных о клиентах и сотрудниках. Эти руководители должны прочитать данный FAQ и посмотреть дальше, как вести себя в тех областях, в которых они работают.

К какой информации в отеле должны относиться с осторожностью?

Все данные о лицах в ЕС охвачены в рамках GDPR. Сюда входят как гости, так и сотрудники. Отели должны документировать, какие персональные данные они хранят, откуда они их получили и с кем они ими делятся. Возможно, отелям потребуется организовать информационную проверку.

«Персональные данные» – любые данные об идентифицируемом лице. Человек может быть идентифицирован по его имени, номеру телефона, адресу электронной почты, номеру бронирования, IP-адресу или любой информации, которая позволяет ему быть идентифицируемым.

GDPR предоставляет дополнительную защиту для «конфиденциальных данных». Это включает в себя персональные данные, которые содержат любую следующую информацию:

  • членство в профсоюзах, которое может быть выявлено при участии в мероприятиях
  • биометрические данные для уникальной идентификации человека, например, отпечаток пальца, сохраненный для открытия дверей
  • состояние здоровья, которое может быть раскрыто в гостевых запросах
  • половая жизнь или сексуальная ориентация, которые также могут быть раскрыты в некоторых гостевых запросах

Следующие менее вероятно, появятся в гостиничных системах, но все равно следует понимать, что нужно по-особенному относиться к этим данным, если они появятся:

  • генетические данные
  • расовое или этническое происхождение
  • политические взгляды
  • религиозные или философские убеждения

Все вышеуказанные типы конфиденциальных данных могут быть обработаны только с явного согласия. Если такие данные собираются случайно, их следует немедленно удалить, чтобы избежать принятия на себя новых обязательств по защите этих данных.

Как GDPR влияет на программное обеспечение, которое могут использовать отели?

Все правила, которым должны следовать отели, также относятся и к программному обеспечению, которое они используют. Если отель использует программу для обработки данных, эта программа должна соответствовать тем же нормам, что и отельер. Каждый поставщик, получающий персональные данные из отеля, должен предоставить владельцу отеля Соглашение об обработке данных (DPA), чтобы подтвердить, что поставщик соответствует Правилам GDPR. DPA должно диктовать цели, для которых обработчик данных обрабатывает данные.

Если отель использует программное обеспечение, предоставленное ему его брендом, невозможно будет полностью проконтролировать, как будет использоваться собранная информация. В этом случае, лица ,контролирующие данные, отель и его бренд должны будут составить контракт, в котором четко указывается их отношение к управлению данными. Обеим сторонам необходимо будет сообщить об отношениях как гостям, так и сотрудникам.

Могут ли отели ЕС использовать поставщиков программного обеспечения или программное обеспечение на серверах за пределами ЕС?

Да, но существуют ограничения на передачу данных за пределы ЕС/ЕЭЗ. Большинство крупных поставщиков облачных служб и многие другие компании, такие как ALICE, имеют системы для решения этих вопросов. Чтобы подтвердить, что облачная служба соответствует требованиям GDPR, отельеры должны убедиться, что:

  • Они заключили соглашение об обработке данных. Эти соглашения необходимы для всех обработчиков данных, а не только для международных (статья 28 GDPR[3]).
  • Есть законное основание для передачи данных (GDPR Разделы.39, 40, 41; GDPR статья 6[1]), которое может быть осуществлено посредством членства поставщика услуг в Privacy Shield, подписания стандартных договорных положений или других механизмов, разрешенных в соответствии с GDPR. Большинство компаний будут полагаться на стандартные договорные положения GDPR.
  • Передача данных указана в политике конфиденциальности отеля, и объясняется назначение этой передачи.

Что отели должны делать со своими поставщиками?

Для каждого поставщика, обрабатывающего персональные данные гостей, отелю необходимо выполнить следующие действия:

  1. Определить тип данных, обрабатываемых поставщиком.
  2. Определить цель, для которой происходит обработка.
  3. Получить Соглашение на обработку данных.
  4. Если поставщик находится за пределами ЕС, подпишите с ним стандартные условия договора (как правило, часть Соглашения о обработке данных, упомянутое выше), или убедитесь, что поставщик является участником Privacy Shield.
  5. Следует упомянуть поставщика в политике конфиденциальности отеля, а также о сфере деятельности поставщика и способах использования данных.
  6. Следует убедиться, что поставщик может обрабатывать запросы на права доступа к данным с помощью SLA в течение одного месяца (например, 25 дней).

Как отель должен сообщать гостям уведомления о конфиденциальности?

Вам следует ознакомиться с текущими уведомлениями о конфиденциальности и разработать план внесения необходимых изменений во время внедрения GDPR. Вы должны проверить, как вы запрашиваете, записываете и управляете согласием и нужно ли вносить какие-либо изменения. Обновите существующие согласия, если они не соответствуют стандарту GDPR.

Отельерам, возможно, потребуется поговорить с клиентами при регистрации, если требуется явное согласие на любые формы сбора данных, которые требуют этого, например, согласие на маркетинговые коммуникации. Все программы лояльности должны быть проверены на схожие требования, если данные используются способом, требующим согласия.

Нужно ли отельерам или поставщикам зашифровывать свои базы данных?

GDPR рекомендует компаниям принять меры для защиты всех персональных данных, но не уточняет, какими должны быть эти шаги. Вместо этого компаниям предлагается определить риски для персональных данных и сделать то, что подходит для этих рисков. Шифрование является одной из многих доступных опций для защиты данных, но оно не требуется в GDPR.

Статья 32 GDPR дает следующие варианты, ни один из которых не являются строгим требованием, но которые следует учитывать в интересах конфиденциальности данных ваших гостей:

  1. псевдонимизация [сокрытие личности] и шифрование персональных данных;
  2. способность обеспечить постоянную конфиденциальность, целостность, доступность и устойчивость систем обработки и услуг;
  3. возможность восстановить доступность и доступ к Персональным данным своевременно в случае физического или технического инцидента;
  4. процесс регулярного тестирования, оценки и аттестации эффективности технических и организационных мер по обеспечению безопасности обработки.

Как отельеры могут убедиться, что они в состоянии удовлетворить запросы на переносимость данных, исправление или стирание также известные как «право быть забытым»?

Клиенты, сотрудники или любое лицо, чьи персональные данные хранятся в отеле, могут потребовать их удаления. Они также могут запросить копию всех своих данных (право на переносимость данных) или исправить свои данные. В некоторых случаях это не требуется, например, при наличии постоянного договорного или юридического требования о сохранении данных. Но в большинстве случаев запрос нужно будет выполнить. Пункт 59 GDPR требует, чтобы на эти просьбы был дан ответ в течение одного месяца. Этот срок может быть продлен еще на месяц в исключительных случаях.

Для того, чтобы иметь возможность обрабатывать эти запросы вовремя, отели должны планировать заранее, как эти запросы могут быть удовлетворены. Каждое место, в котором хранятся данные, должно быть сопоставлено с планом по выполнению запроса прав на данные в этом расположении. Каждый поставщик также должен быть проверен, чтобы подтвердить, что у них есть аналогичный план. Поставщики должны иметь SLA (договор о предоставлении услуг), которое составляет менее месяца (например, 25 дней), чтобы иметь время для связи между вами и поставщиком на каждом этапе процесса в случае запроса.

Для запросов переносимости данных закон требует, чтобы данные были предоставлены клиенту в стандартизированном формате для передачи другим компаниям. Поскольку на данный момент не существует отраслевого стандарта для передачи такого рода данных из отеля, необходимо использовать общий, но легко переносимый Формат, такой как текстовые файлы с заголовками и значениями, разделенными запятыми.

Как отели должны обрабатывать данные детей?

В ЕС / ЕЭЗ «ребенком» считается лицо, в зависимости от страны, в возрасте от 13 до 16 лет. В большинстве случаев отелям не нужно полагаться на согласие детей или родителей на обработку гостевой информации, поскольку первичная основа для обработки данных – это резервирование. Однако в тех случаях, когда согласие является основой для обработки данных, например, в маркетинговых целях, данные детей должны обрабатываться с особой тщательностью.

Теперь вы должны подумать о том, нужно ли устанавливать системы для проверки возраста людей и получения согласия родителей или опекунов на любую деятельность по обработке данных. Данные о детях могут обрабатываться только с явного согласия, когда требуется это согласие.

Рекомендуется избегать сбора и хранения данных детей, если это не требуется по закону или абсолютно необходимо для обработки бронирования.

Нужно ли отелям нанимать сотрудников по защите данных (Dpo)?

Вы должны назначить кого-то, кто возьмет на себя ответственность за соблюдение требований по защите данных и обозначить, где эта должность будет находиться в структуре и механизмах управления вашей организации, даже если вы официально не обязаны иметь DPO. Следует рассмотреть вопрос о том, требуется ли официальное назначение сотрудника по защите данных, и это назначение зависит от объема и конфиденциальности информации. На уровне сети и крупных компаний почти наверняка требуется DPO, но для отдельных отелей закон еще не ясен, и вы должны обратиться за советом к своему местному адвокату относительно того, требуется ли это.

Должны ли отели за пределами ЕС / ЕЭЗ что-либо делать для соблюдения GDPR?

Согласно статье 3 GDPR, правила охватывают деятельность, осуществляемую в рамках ЕС, или обработку данных организациями, базирующимися в ЕС. Когда гражданин ЕС выезжает за пределы ЕС, его деятельность за пределами ЕС больше не защищена GDPR, если организация, обрабатывающая данные, не базируется в ЕС.

Тем не менее, процесс бронирования, который происходит между человеком в ЕС и отелем за пределами ЕС, считается покрытым GDPR. Данные, собранные в ЕС в рамках этого процесса-относятся к деятельности, которая происходит на территории ЕС. Таким образом, отели за пределами ЕС собирают данные, которые покрываются GDPR в рамках процесса онлайн-бронирования. Эти данные должны быть защищены соответствующими гарантиями, изложенными выше.