Jak systém reenio pomáhá s GDPR

Rezervační systém reenio je softwarový nástroj, který mimo jiné zpracovává osobní údaje zákazníků firem, které rezervační systém využívají. S ohledem na ochranu těchto údajů a zacházení s nimi, nabízí systém reenio celou řadu funkcí, které naplňují požadavky nařízení GDPR. I když systém poskytuje tyto funkce, vždy je nutné, aby problematika zpracování a ochrany osobních údajů byla pojata celkově, a to s ohledem na konkrétní oblast podnikání a pravidla definované správcem osobních údajů. Rezervační systém je tedy nástroj vystupující na straně zpracovatele osobních údajů pro firmy, které poskytují služby svým zákazníkům a vystupují v roli správce. Odpovědnost za naplnění formálních požadavků nařízení GDPR (a to nejen v rámci rezervačního systému) je na straně správce.

Mějte vždy na paměti, že problematika GDPR se netýká pouze on-line rezervačního systému, ale celkového nakládání s osobními údaji v rámci celého Vašeho podnikání.

Další informace o nařízení GDPR najdete například na webech www.gdpr.cz a www.uoou.cz.

Zabezpečení dat s využitím cloudu Microsoft Azure

Náš systém plně využívá možnosti moderních technologií v oblasti cloudových služeb. Veškeré interní serverové části vč. databází jsou provozovány na platformě Microsoft Azure a serverech, které jsou geograficky umístěny na území EU. Využití infrastruktury Microsoft Azure přináší garantovanou kvalitu služeb, a to včetně odpovídajících úrovni zabezpečení jejich provozu a dat. Další informace o zabezpečení služeb můžete najít na speciální stránce Service Trust Portal.

Běžným standardem je dnes také využívání zabezpečeného přenosu s využitím protokolu HTTPS, který automaticky nabízíme ZDARMA u všech rezervačních stránek, které jsou provozovány na naší hlavní doméně (reenio.cz), ale i dalších národních či doplňkových doménách. V případě provozu na vlastní doméně je pak možný zabezpečený provoz na vlastním certifikátu, který však musí zajistit provozovatel konkrétní rezervační stránky.

Samotné zpracování osobních údajů

Nařízení GDPR definuje celou řadu povinností a práv, která se týkají Vás (správců) a Vašich zákazníků při zpracování osobních údajů a nakládání s nimi. Jeden z hlavních bodů je pak definování účelu a odpovídajícího právního titulu pro zpracování osobních údajů. Těchto titulů může být hned několik a každý předpokládá odlišný proces při nakládání s osobními údaji. Pro běžný provoz rezervační stránky a naplnění účelu poskytování rezervovaných služeb bude nejčastějším právním titulem oprávněný zájem či plnění smlouvy. V případě, že osobní údaje budete chtíti využívat i k jiným účelům, pak takovýto účel může vycházet z právního titulu souhlasu.

Osobní údaje, které se v systému zpracovávají se dělí na dvě základní skupiny - základní údaje a údaje z formulářů. Základní údaje jsou definovány systémem a jedná se o standardní údaje potřebné k zajištění bežné funkcionality registrace či rezervace zákazníka, např. jméno, e-mailová adresa, telefonní číslo. Tyto údaje jsou přímo navázány na jednotlivého zákazníka. Osobní údaje z formulářů jsou pak takové údaje, které si každý provozovatel rezervační stránky může nadefinovat dle své potřeby (v rámci nastavení vlastních rezervačních formulářů). Tyto údaje nejsou přímo vázány na zákazníka, ale na jeho jednotlivé rezervace - dokonce každá rezervace může zahrnovat jinou sadu osobních údajů s ohledem na použitý formulář u konkrétního termínu.

Informační povinnost

Pokud využíváte rezervační systém, zcela jistě zpracováváte a nakládáte s osobními údaji. Klíčovým bodem zajištění souladu Vašeho podnikání s GDPR je naplnění tzv. informační povinnosti. Vaši povinností jako správce je informovat své zákazníky o všech klíčových momentech při zpracování jejich osobních údajů. Především se jedná o informace o rozsahu a účelu zpracování osobních údajů, kdo a jakým způsobem je bude zpracovávat a komu mohou být předávána. Další součástí informační povinosti je pak popis způsobu naplnění práv subjektů osobních údajů, především práva na výmaz, práva na opravu či práva na přístup k osobním údajům.

Nastavení - Rezervační stránka - Obchodní podmínky

Pro naplnění informační povinnosti je Vám v administraci k dispozici celá řada možností v rámci specifikace obchodních podmínek. Toto nastavení najdete v Nastavení - Rezervační stránka - Obchodní podmínky. Do odpovídajících sekcí uveďte veškeré informace důležité pro Vaše zákazníky, a to nejen s ohledem na samotné rezervace, ale především ve vztahu k celému podnikání a nabízeným službám. Specifikace obchodních podmínek a dalších náležitostí je důležitá také pro bezproblémové provozování on-line platební brány GoPay příp. dalších.

Mějte stále na paměti, že rezervační systém reenio je pouze nástrojem pro zpracování informací o rezervacích (vč. osobních údajů), který Vám pomáhá ve Vašem podnikání. Náležitosti spojené s ochranou a zpracováním osobních údajů byste měli mít vyřešeny bez ohledu na použité nástroje, tj. i když své rezervace budete zpracovávat například v papírovém diáři. Nařízení GDPR (resp. ochrana osobních údajů) se týká obecného nakládání s údaji v rámci Vašeho podnikání, nikoliv specificky při využívání on-line nástrojů.

Souhlasy

Právním titulem pro účely zpracování osobních údajů bude, z pohledu on-line rezervací, nejčastěji oprávněný zájem či plnění smlouvy. Samozřejmě je vždy potřeba zohlednit účel i rozsah konkrétních osobních údajů. Pokud tedy definujete konkrétní účely zpracování pod tímto titulem, stačí splnit informační povinnost a není potřeba získávat od zákazníků specifický souhlas se zpracováním osobních údajů. Pokud však budete osobní údaje využívat mimo tyto definované účely nebo budete zpracovávat osobní údaje nad rámec potřeby naplnění těchto účelů, je nezbytné požádat své zákazníky o specifický souhlas. Souhlas musí být definován konkrétně, musí být časově omezen a jeho udělení/neudělení nesmí ovlivnit možnost využití nabízených služeb. Souhlas může být kdykoliv odvolán, což spadá do základních práv subjektů osobních údajů. Typicky můžete takovýto specifický souhlas využít při synchronizaci se systémem SmartEmailing a následném zasílání marketingových sdělení.

Nastavení - GDPR

Práce se souhlasy je v rezervačním systému poměrně jednoduchá. V Nastavení - GDPR najdete správu jednotlivých souhlasů, stejně jako přehled udělených/odebraných souhlasů jednotlivými zákazníky. Při vytváření souhlasů máte možnost zadat jeho název, popisný text, dobu platnosti a zařazení do skupin. Skupiny souhlasů umožňují jednotlivé souhlasy nabízet zákazníkům v rámci procesu rezervace, registrace či dokonce specificky u konkrétních termínů. Pokud provedete editaci již používaného souhlasu, tak toto neovlivní předchozí již udělené souhlasy u jednotlivých zákazníků, tj. zákazník stále souhlasí s původním zněním souhlasu. Nová verze souhlasu se používá až pro následně udělené souhlasy, příp. zákazník může při rezervaci udělit souhlas k nové podobě souhlasu.

Na této stránce je také k dispozici přehled všech udělených souhlasů, včetně informací o zákazníkovi, který souhlas udělil či následně odebral. Informace o souhlasech jsou také k dispozici v detailu každého zákazníka. Důležitá je také možnost ovlivnění exportu zákazníků podle toho, jaký souhlas jednotlivý zákazník udělil či nikoliv.

Přístup k osobním údajům

Mezi základní práva subjektů osobních údajů patří právo na informace a na přístup ke svým údajům. V tomto může být náš rezervační systém velmi nápomocen, protože nabízí funkce, které zpracování těchto žádostí automatizují. Zákazník tak prostřednictvím webového formuláře příp. svého uživatelského profilu po přihlášení (pokud je registrován), může získat přístup k přehledu údajů, které jsou o něm obecně zpracovávány, jaké souhlasy udělil a tyto souhlasy modifikovat, jaké údaje se zpracovávají u jednotlivých rezervací či si tato data může stáhnout ve strojově zpracovatelném formátu.

Zákazník, který se identifikuje pomocí své e-mailové adresy může využít stránku pro správu osobních údajů. Ta je přístupná pomocí odkazu v patičce každé rezervační stránky. Po zadání e-mailové adresy bude zaslán e-mail s informací o dalším postupu. Výsledkem procesu je pak stránka, na které jsou souhrnně prezentovány informace spojené se zákazníkem s danou e-mailovou adresou.

Pokud je zákazník registrovaný a může se na dané rezervační stránce přihlásit, pak obdobný souhrn informací a funkcí je dostupný v rámci jeho uživatelského profilu.

Mazání osobních údajů

Jednou ze zásad zpracování osobních údajů je skutečnost, že data by neměla být zpracovávána, pokud k tomu již není důvod. V tom případě se v našem rezervačním systému nabízí dva možné přístupy - žádost na odstranění dat zákazníkem a automatizované odstraňování osobních údajů. Pokud zákazník zažádá o výmaz svých osobních údajů, je tento požadavek zaznamenán a na provozovateli rezervační stránky je pak zhodnocení a rozhodnutí, zda a jakou formou výmaz provede - toto není možné automatizovat s ohledem na možné komplexní důsledky právních titulů, účelů a souhlasů pro zpracování daných osobních údajů (např. potřeba reklamace poskytnuté služby). Automatizované odstraňování osobních údajů je pak založeno na nastavení časových lhůt, kdy se po jejich uplynutí provede systém výmaz osobních údajů automaticky - odstraňují se pouze osobní údaje, tj. stále zůstává přehled o rezervacích, i když některé údaje a vazby konkrétní zákazníky již nebudou v databázi konkrétně obsaženy v původní podobě. Další úroveň mazání je pak faktické odstraňování kompletních datových záznamů o rezervacích či zákaznících.

Pokud zákazník provede ruční žádost o odstranění osobních údajů, tak se tato žádost zaeviduje a bude dostupná v administraci (Nastavení - GDPR příp. notifikace v administraci). Provozovatel rezervační stránky pak tuto žádost vyhodnotí a zpracuje s ohledem na nastavená pravidla potřeby zpracování osobních údajů zákazníka. Při zpracování žádosti má možnost zaslat zákazníkovi informační e-mail přímo ze systému.

Nastavení - GDPR - Nastavení

V případě automatizovaného procesu odstraňování osobních údajů je klíčové nastavení jednotlivých lhůt pro odstraňování údajů. Systém rozlišuje tři typy mazání - formuláře rezervací, zákazníci a účetní doklady. V případě jednotlivých rezervací se odstraňují osobní údaje v definované lhůtě po datu konání dané rezervace (odstraňují se jen ty údaje, které jsou ve formuláři označeny jako osobní údaje). Osobní údaje zákazníka se odstraňují ve lhůtě po datu konání poslední budoucí rezervace nebo po datu registrace, podle toho, co nastane později. Lhůta pro odstraňování účetních dokladů je ovlivněna legislativou.

Odpovídající nastavení parametrů pro GDPR a automatizované mazání doporučujeme provést jako jeden z prvotních úkolů při zahájení používání rezervačního systému.

Cookies

Problematika Cookies je detailně rozvedena na stránce Zásady ochrany osobních údajů a tomu odpovídá i využívání Cookies v rámci systému. Z pohledu provozu konkrétní rezervační stránky je v této souvislosti možnost aktivace či deaktivace informační lišty upozorňující návštěvníky o využívání souborů Cookies. Použití Cookies je v tomto případě úzce svázáno s využitím různých analytických nástrojů, které samostatně sbírají a ukládají informace o uživateli a jeho prohlížeči.

Nastavení - Rezervační stránka - Analytika

Pokud žádné analytické nástroje nejsou na rezervační stránce použity, nebude se informační lišta zobrazovat. Pokud je nastavení aktivní a některý z nástrojů je také aktivován, lišta bude zobrazena vždy, dokud ji návštěvních neodsouhlasí.

Text v informační liště odpovídá formulaci "Tento web využívá soubory cookie pro analýzu, přizpůsobení obsahu a reklamy. Používáním tohoto webu s tím souhlasíte.".