top of page

GDPR και Ξενοδοχειακες Επιχειρησεις: Οδηγος Επιβιωσης

Η εφαρμογή του Γενικού Κανονισμού για την Προστασία των Δεδομένων (GDPR ή Κανονισμός) αποτελεί ένα φλέγον και πολύπλοκο θέμα για τις ξενοδοχειακές επιχειρήσεις. Είναι γι’ αυτό σημαντικό να γίνουν κατανοητές κάποιες βασικές έννοιες του Κανονισμού. Άλλωστε η συμμόρφωση με τον GDPR δεν είναι μία στιγμιαία διαδικασία. Δεν είναι καν μία διαδικασία με αρχή, μέση και τέλος. Από εδώ και στο εξής, όσοι επεξεργάζονται δεδομένα προσωπικού χαρακτήρα είναι υποχρεωμένοι όχι μόνο να συμμορφώνονται διαρκώς με τον GDPR, αλλά και να μπορούν να αποδείξουν την εν λόγω συμμόρφωση. Οι ξενοδοχειακές επιχειρήσεις επεξεργάζονται προσωπικά δεδομένα ή ευαίσθητα προσωπικά δεδομένα μέσω της κράτησης, κατά την άφιξη και έως την αναχώρηση των πελατών τους κατά την επίσκεψη πελατών/υποψηφίων πελατών στα website τους, ενώ παράλληλα είναι ιδιαίτερα ευάλωτες σε παραβιάσεις (οn-line συστήματα κράτησης, στοιχεία από πληρωμές πιστωτικών καρτών κτλ.). Γι’ αυτόν τον λόγο, η διαρκής συμμόρφωσή τους με τον Κανονισμό είναι απολύτως αναγκαία.

Η συμμόρφωση με τον GDPR δεν αφορά μόνο σε μία διαδικαστική παρακολούθηση κάποιων κανόνων. Πλέον, καθίσταται επιτακτική η ουσιαστική αλλαγή της επιχειρηματικής κουλτούρας στον τρόπο που προστατεύονται τα δεδομένα και ειδικά οι ξενοδόχοι οφείλουν να κατανοήσουν και άμεσα να συμμορφωθούν με τη νέα αυτή πραγματικότητα. Πέραν του Κανονισμού, οι ξενοδοχειακές επιχειρήσεις θα πρέπει να εφαρμόζουν την υπάρχουσα ελληνική νομοθεσία, αλλά και το νέο νόμο που θα ψηφιστεί στο άμεσο μέλλον.

Στο άρθρο παρουσιάζεται τι πρέπει να προσέξουν οι ξενοδόχοι κατά την εφαρμογή του νέου Κανονισμού, από το δικηγόρο Νίκο Γρηγοριάδη.

ΣΗΜΑΝΤΙΚΑ ΣΗΜΕΙΑ ΠΟΥ ΑΦΟΡΟΥΝ ΣΤΙΣ ΞΕΝΟΔΟΧΕΙΑΚΕΣ ΕΠΙΧΕΙΡΗΣΕΙΣ

Πριν αναφερθούμε σε βασικές έννοιες του νέου Κανονισμού, θα υπογραμμίσουμε κάποια βασικά ζητήματα, στα οποία οι ξενοδοχειακές επιχειρήσεις θα πρέπει να δώσουν ιδιαίτερη έμφαση. Προσοχή θα πρέπει, μεταξύ άλλων, να δοθεί:

Σε συνεργασίες με τρίτους, όπως Travel Agents & Tour Operators

Είναι σημαντικό να εξεταστούν και ενδεχομένως να τροποποιηθούν οι έγγραφες συμβάσεις, που έχουν συναφθεί με τρίτους (π.χ. συμβάσεις εγγυημένης κράτησης-guarantee, allotment ή μικτές συμβάσεις με τα ταξιδιωτικά πρακτορεία) και να περιληφθούν σε αυτές ειδικές ρήτρες, σύμφωνα με τα όσα ορίζει ο GDPR. Επίσης, για ενδεχόμενες συνεργασίες, όπου δεν υπήρξε έγγραφη συμφωνία, είναι πλέον επιτακτική ανάγκη η σύναψή της, ώστε να συμφωνηθούν οι αναγκαίοι, σύμφωνα με τα όσα ορίζει ο Κανονισμός, όροι. Προσοχή θα πρέπει να δοθεί σε ρήτρες που συνδέουν τη συμμόρφωση της ξενοδοχειακής επιχείρησης με τον GDPR με την καταγγελία των συμβάσεων συνεργασίας μεταξύ ταξιδιωτικού πρακτορείου και ξενοδοχειακής επιχείρησης, αν η τελευταία δεν έχει συμμορφωθεί με τον GDPR. Ειδική προσοχή θα πρέπει να δοθεί και στις συμβάσεις με τους online travel agents, αφού θα πρέπει να γίνει αξιολόγηση από την ξενοδοχειακή επιχείρηση αν και οι εν λόγω εταιρείες έχουν συμμορφωθεί με τον GDPR.

Στη σχέση τους με το Προσωπικό, τους Συμβούλους και τους Προμηθευτές

Πλέον θα πρέπει το προσωπικό της ξενοδοχειακής επιχείρησης να εκπαιδευτεί, ώστε να εξασφαλίζεται διαρκώς η συμμόρφωση όλων με τους νέους κανόνες. Θα πρέπει να δημιουργηθούν δηλώσεις ενημέρωσης του προσωπικού, να συνταχθούν έγγραφες συμβάσεις τήρησης εχεμύθειας, έγγραφες συμβάσεις με τους συμβούλους της ξενοδοχειακής επιχείρησης (π.χ. IT) και να τηρούνται αρχεία δραστηριοτήτων επεξεργασίας (βλ. παρακάτω).

Θα πρέπει στο σημείο αυτό να γίνει απολύτως σαφές ότι τα δεδομένα προσωπικού χαρακτήρα δεν είναι μόνο τα δεδομένα των πελατών, αλλά και του προσωπικού και των προμηθευτών του ξενοδοχείου, εφόσον είναι φυσικά πρόσωπα, τα οποία θα πρέπει να τύχουν της ίδιας αντιμετώπισης και προστασίας.

Στη σχέση με τους επισκέπτες της ξενοδοχειακής επιχείρησης

Από την ίδια την κράτηση δίνονται προσωπικά δεδομένα στο ξενοδοχείο, τα οποία πολλές φορές μπορεί να ανήκουν σε ειδικές κατηγορίες και απαιτούν ειδική προσοχή, αφού αντιμετωπίζονται και προστατεύονται από τον Κανονισμό διαφορετικά απ’ ότι τα προσωπικά δεδομένα. Αρχικά να υπογραμμιστεί ότι απαιτείται ενίσχυση και διατήρηση της ασφάλειας των δεδομένων από εξωτερικές (hacking) και εσωτερικές απειλές (του συνόλου των δεδομένων, όχι μόνο των επισκεπτών). Επίσης, όσον αφορά στη σχέση με τον ταξιδιώτη, τα ξενοδοχεία θα πρέπει να προβούν σε σύνταξη ειδικής φόρμας, που θα συμπληρώνουν οι πελάτες τους, ώστε να διευκολύνονται στην άσκηση των δικαιωμάτων τους (αναφορά στα δικαιώματα γίνεται πιο κάτω) και να ενημερώνονται ως προς αυτά. Ειδική μέριμνα θα πρέπει να δοθεί στη χρήση συστημάτων βιντεοεπιτήρησης (CCTV), αφού η αποτύπωση της εικόνας του προσώπου αποτελεί προσωπικό δεδομένο και πρέπει να γίνεται βάσει των όσων προβλέπει ο Κανονισμός και οι αρχές που αυτός θέτει, αλλά και η εθνική νομοθεσία.

Στη διαδικτυακή παρουσία της ξενοδοχειακής επιχείρησης

Ήδη με την επίσκεψη στο website του ξενοδοχείου γίνεται -κατά κανόνα- γνωστή η IP διεύθυνση του επισκέπτη, που αποτελεί και αυτή προσωπικό δεδομένο, αφού από αυτήν και μόνο μπορούμε να τον ταυτοποιήσουμε. Ένα από τα πρώτα και σημαντικότερα βήματα για τη συμμόρφωση με τον GDPR είναι η  τροποποίηση των privacy policies των websites των ξενοδοχείων. Τα ξενοδοχεία θα πρέπει ενδεχομένως να αναθεωρήσουν όλο το digital marketing plan τους και να ελέγξουν σε ποια σημεία ο GDPR απαιτεί αναδιαμόρφωση των πολιτικών marketing. Ειδικά δε για τα newsletters θα πρέπει να εφαρμοστούν και τα όσα ορίζει η ελληνική νομοθεσία και ιδίως η Οδηγία για το ePrivacy ως ειδικότερη. Ειδική νομική μέριμνα θα πρέπει να δοθεί στα ξενοδοχεία, που στο πλαίσιο προγραμμάτων και καρτών loyalty προβαίνουν σε profiling των πελατών τους.

Ακολουθεί μια σύντομη ανάλυση βασικών εννοιών του GDPR.

ΔΕΔΟΜΕΝΑ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ ΠΟΥ ΣΥΝΑΝΤΑΜΕ ΣΕ ΞΕΝΟΔΟΧΕΙΑ

Οποιαδήποτε πληροφορία αφορά ταυτοποιημένο ή ταυτοποιήσιμο (όταν δηλαδή η ταυτότητά του μπορεί να εξακριβωθεί, άμεσα ή έμμεσα) φυσικό (όχι νομικό) πρόσωπο. Στην τελευταία αυτή περίπτωση υπάγονται μεταξύ άλλων τα παρακάτω:

  1. Ονοματεπώνυμο

  2. Αριθμός ταυτότητας

  3. ΑΦΜ

  4. Ηλικία

  5. Κατοικία

  6. Επάγγελμα

  7. Οικογενειακή κατάσταση

  8. Φυσικά χαρακτηριστικά

  9. Εκπαίδευση

  10. Εργασία

  11. Οικονομική κατάσταση (έσοδα, περιουσιακά στοιχεία, οικονομική συμπεριφορά)

  12. Ενδιαφέροντα

  13. Διευθύνσεις διαδικτυακού πρωτοκόλλου (IP)

  14. Δεδομένα τοποθεσίας (GPS)

  15. Ε-mail,

  16. Aριθμός κράτησης

  17. Αριθμός τηλεφώνου

  18. PIN

  19. Kωδικός αναγνώρισης ή πρόσβασης,

  20. Φωτογραφία

  21. Video κα.

Υπογραμμίζεται στο σημείο αυτό ότι η ξενοδοχειακή μονάδα ενδεχομένως να συλλέγει και δεδομένα υποκειμένων που δεν διαμένουν στο ξενοδοχείο, όπως δεδομένα από δραστηριότητες κοινωνικές (γάμος, βάπτιση κτλ), θρησκευτικές συγκεντρώσεις, πολιτιστικές συγκεντρώσεις, συγκεντρώσεις πολιτικών κομμάτων, εταιρικά events, υπηρεσίες spa κτλ.

ΕΥΑΙΣΘΗΤΑ ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ ΣΕ ΞΕΝΟΔΟΧΕΙΑ 

Ο Κανονισμός απονέμει αυξημένη προστασία σε κάποιες ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα, η επεξεργασία των οποίων κατ’ αρχήν απαγορεύεται, ενώ επιτρέπεται μόνο υπό αυστηρές προϋποθέσεις. Αυτές οι κατηγορίες περιλαμβάνουν δεδομένα που αποκαλύπτουν:

  1. Τη φυλετική ή εθνοτική καταγωγή  – Συνήθης πληροφορία που κατέχει ένα ξενοδοχείο

  2. Τα πολιτικά φρονήματα ή τη συμμετοχή σε συνδικαλιστική οργάνωση  – Για παράδειγμα ένα ξενοδοχείο που φιλοξενεί εκδήλωση πολιτικού φορέα και τηρεί δεδομένα των επισκεπτών της εκδήλωσης.

  3. Τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις  – Για παράδειγμα ένας πελάτης που επιθυμεί Χαλάλ κουζίνα, όπου άμεσα προκύπτει η πληροφορία για το θρήσκευμά του.

  4. Βιομετρικά δεδομένα – Μπορεί να προκύψει από το δακτυλικό αποτύπωμα σε πόρτες ασφαλείας νέας τεχνολογίας.

  5. Δεδομένα που αφορούν την υγεία –  Για παράδειγμα  όταν οι πελάτες είναι αλλεργικοί σε φαγητά και το δηλώνουν στο ξενοδοχείο ή έχουν συγκεκριμένες ασθένειες, τις οποίες αποκαλύπτουν στο ξενοδοχείο, εγκυμοσύνες κ.α.

  6. Δεδομένα που αφορούν τη σεξουαλική ζωή – Μπορεί να προκύψει από αίτημα για την παροχή ειδικού ceremony, όπως για παράδειγμα γάμος ομόφυλου ζευγαριού.

  7. Γενετικά δεδομένα

ΕΠΕΞΕΡΓΑΣΙΑ ΔΕΔΟΜΕΝΩΝ & ΠΑΡΑΒΙΑΣΗ

Τι σημαίνει επεξεργασία Προσωπικών Δεδομένων και πότε είναι νόμιμη;

Επεξεργασία των δεδομένων προσωπικού χαρακτήρα είναι κάθε συλλογή, καταχώρηση, οργάνωση, τροποποίηση, διατήρηση, εξαγωγή, χρήση, διασύνδεση, συσχέτιση, καταστροφή, διαγραφή ή διάδοση των δεδομένων. Η μορφή είναι αδιάφορη, αν δηλαδή η επεξεργασία γίνεται με ηλεκτρονικά μέσα ή όχι.

Σύμφωνα με τον Κανονισμό, η επεξεργασία προσωπικών δεδομένων είναι νόμιμη αν, μεταξύ άλλων, το υποκείμενο των δεδομένων έχει συναινέσει (σύμφωνα με τα όσα ειδικότερα προβλέπει ο Κανονισμός) στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα του για έναν ή περισσότερους συγκεκριμένους σκοπούς, αν η επεξεργασία είναι απαραίτητη για την εκτέλεση σύμβασης (όπως για παράδειγμα είναι οι συμβάσεις μεταξύ των ξενοδοχειακών επιχειρήσεων και των ταξιδιωτικών πρακτορείων) της οποίας το υποκείμενο των δεδομένων είναι συμβαλλόμενο μέρος ή αν η επεξεργασία είναι απαραίτητη για τη συμμόρφωση με έννομη υποχρέωση του υπευθύνου επεξεργασίας.

Στην περίπτωση των δεδομένων προσωπικών κατηγοριών (βλ. παρακάτω), δηλαδή των ευαίσθητων προσωπικών δεδομένων, νόμιμη είναι η επεξεργασία όταν και πάλι δίνεται η ρητή συγκατάθεση του υποκειμένου ή όταν το ίδιο το υποκείμενο έχει δημοσιοποιήσει τα δεδομένα του ή όταν η επεξεργασία είναι αναγκαία, προκειμένου ο υπεύθυνος επεξεργασίας να στηρίξει νομικές αξιώσεις.

Στις σχέσεις με τους εργαζόμενους του ξενοδοχείου, επιπλέον βάσεις, μεταξύ άλλων, για τη νόμιμη επεξεργασία των δεδομένων των τελευταίων αποτελεί για παράδειγμα το αναγκαίο της επεξεργασίας για την εκτέλεση των υποχρεώσεων και την άσκηση δικαιωμάτων του υπευθύνου επεξεργασίας ή του υποκειμένου στο πλαίσιο του εργατικού δικαίου και δικαίου κοινωνικής ασφάλισης και κοινωνικής προστασίας, εφόσον επιτρέπεται από το δίκαιο της Ένωσης ή κράτους μέλους ή από συλλογική συμφωνία σύμφωνα με το εθνικό δίκαιο, παρέχοντας κατάλληλες εγγυήσεις για τα θεμελιώδη δικαιώματα και τα συμφέροντα του υποκειμένου των δεδομένων, όπως επίσης και το αναγκαίο της επεξεργασίας για σκοπούς προληπτικής ή επαγγελματικής ιατρικής, εκτίμησης της ικανότητας προς εργασία του εργαζομένου, ιατρικής διάγνωσης, παροχής υγειονομικής ή κοινωνικής περίθαλψης ή θεραπείας ή διαχείρισης υγειονομικών και κοινωνικών συστημάτων και υπηρεσιών βάσει του ενωσιακού δικαίου ή του δικαίου κράτους μέλους ή δυνάμει σύμβασης με επαγγελματία του τομέα της υγείας και με την επιφύλαξη των προϋποθέσεων που θέτει ο Κανονισμός.

Πότε θεωρείται ότι έγινε παραβίασή τους;

Σύμφωνα με τον ορισμό του Κανονισμού, η παραβίαση των δεδομένων αφορά στην παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ άδειας κοινοποίηση ή πρόσβαση δεδομένων που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία.

Ποιος είναι ο Υπεύθυνος Επεξεργασίας & ποιος ο Εκτελών την Επεξεργασία;

Κάθε φυσικό ή νομικό πρόσωπο του δημοσίου ή του ιδιωτικού τομέα, το οποίο τηρεί και επεξεργάζεται δεδομένα ονομάζεται «υπεύθυνος επεξεργασίας», ενώ κάθε φυσικό ή νομικό πρόσωπο επίσης του δημοσίου ή ιδιωτικού τομέα που επεξεργάζεται δεδομένα για λογαριασμό του υπεύθυνου επεξεργασίας ονομάζεται «εκτελών την επεξεργασία». Οι υπεύθυνοι επεξεργασίας και οι εκτελούντες την επεξεργασία είναι αυτοί που θα πρέπει να αποδεικνύουν εάν και πόσο καλά προστάτευσαν τα δεδομένα προσωπικού χαρακτήρα και ευθύνονται ξεχωριστά έναντι του υποκειμένου. Αποκλείεται δηλαδή η «μετάθεση» ευθύνης έναντι του υποκειμένου (είναι άλλο το ζήτημα του επιμερισμού της ευθύνης στις μεταξύ τους σχέσεις, πράγμα ωστόσο που ισχύει μόνο για τις μεταξύ τους σχέσεις και όχι έναντι του υποκειμένου).

Για τους σκοπούς του Κανονισμού οι ξενοδοχειακές επιχειρήσεις και τα ταξιδιωτικά πρακτορεία αποτελούν υπεύθυνους επεξεργασίας.

Εκτελών την επεξεργασία δεν είναι ο υπάλληλος του ξενοδοχείου, αλλά μπορεί να είναι το λογιστικό γραφείο, η εταιρεία που παρέχει υπηρεσίες IT για το ξενοδοχείο, η εταιρεία που έχει αναλάβει προωθητικές ενέργειες του ξενοδοχείου, η εταιρεία ασφάλειας εάν έχει πρόσβαση στις λήψεις των συστημάτων βιντεοεπιτήρησης (CCTV).

Βασικές Αρχές που διέπουν την επεξεργασία

Οι βασικές αρχές που διέπουν την επεξεργασία των δεδομένων προσωπικού χαρακτήρα είναι:

– Η αρχή της νομιμότητας, αντικειμενικότητας και διαφάνειας: τα δεδομένα θα πρέπει να υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο. – Η αρχή του περιορισμού του σκοπού: τα δεδομένα θα πρέπει να συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς, ενώ επίσης θα πρέπει να μην τυγχάνουν επεξεργασίας με τρόπο ασύμβατο προς τους σκοπούς αυτούς. – Η αρχή της ελαχιστοποίησης των δεδομένων: τα δεδομένα είναι κατάλληλα, συναφή και περιορίζονται στο αναγκαίο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία. – Η αρχή της ακρίβειας: τα δεδομένα είναι ακριβή και επικαιροποιούνται, όταν είναι αναγκαίο. – Η αρχή του περιορισμού της περιόδου αποθήκευσης: διατηρούνται μόνο για το διάστημα που απαιτείται για τους σκοπούς της επεξεργασίας και όχι για μεγαλύτερο χρονικό διάστημα. – Η αρχή της ακεραιότητας και εμπιστευτικότητας: υποβάλλονται σε επεξεργασία με τρόπο που εγγυάται την ασφάλεια και την προστασία τους από μη εξουσιοδοτημένη ή παράνομη επεξεργασία, απώλεια ή καταστροφή μέσω της χρησιμοποίησης κατάλληλων μέτρων.

Ποιες οι υποχρεώσεις του υπεύθυνου επεξεργασίας;

Η υποχρέωση λογοδοσίας είναι η βασική υποχρέωση του υπεύθυνου επεξεργασίας, ο οποίος θα πρέπει να είναι σε θέση να αποδείξει τη συμμόρφωση με τις αρχές που αναφέρθηκαν παραπάνω, ενώ επίσης φέρει την αντίστοιχη ευθύνη.

Ο υπεύθυνος επεξεργασίας πρέπει μεταξύ άλλων:

  1. Να εφαρμόζει τα κατάλληλα εκείνα οργανωτικά και τεχνικά μέτρα (π.χ. ψευδωνυμοποίηση, κρυπτογράφηση), ώστε να διασφαλίζει και να μπορεί να αποδείξει ότι η επεξεργασία γίνεται σύμφωνα με τον Κανονισμό.

  2. Να γνωρίζει πού αποθηκεύονται τα δεδομένα (αρχεία κειμένων, παρουσιάσεις, υπολογιστικά φύλλα, υποδομές cloud, servers της επιχείρησης), αφού σε αντίθετη περίπτωση δεν θα είναι δυνατόν να ασκηθούν τα δικαιώματα των υποκειμένων, όπως είναι για παράδειγμα το δικαίωμα στη φορητότητα και το δικαίωμα διαγραφής.

  3. Να τηρεί ειδικά αρχεία επεξεργασιών, όπου θα καταγράφονται μεταξύ άλλων τα δεδομένα και οι επεξεργασίες τους, οι κατηγορίες αποδεκτών στους οποίους γνωστοποιήθηκαν ή θα γνωστοποιηθούν τα δεδομένα, οι τυχόν διαβιβάσεις των δεδομένων σε τρίτη χώρα ή διεθνή οργανισμό, ο χρόνος διατήρησής τους, τα μέτρα ασφαλείας κα.

  4. Να ορίσει ποιοι από την επιχείρησή του έχουν εξουσιοδότηση πρόσβασης και σε ποια δεδομένα.

  5. Να ενημερώνει τα υποκείμενα των δεδομένων για τα δικαιώματά τους και να λαμβάνει τη ρητή συγκατάθεσή τους, όπου απαιτείται.

  6. Να προβαίνει σε εκτίμηση αντικτύπου ως προς την προστασία των δεδομένων, δηλαδή να προβαίνει σε εκτίμηση των πιθανοτήτων επέλευσης κινδύνων και των συνεπειών τους και να  λαμβάνει τεχνικά και οργανωτικά μέτρα για την αποφυγή τους. Η εκτίμηση αντικτύπου επιβάλλεται όταν κριθεί από τον υπεύθυνο επεξεργασίας ότι υπάρχει υψηλός κίνδυνος για τα δικαιώματα των υποκειμένων αναφορικά με ένα συγκεκριμένο είδος επεξεργασίας (π.χ. ξενοδοχειακές επιχειρήσεις που κάνουν profiling των πελατών τους μέσω loyalty cards).

  7. Να ενημερώνει την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα ωρών σε περίπτωση παραβίασης των δεδομένων εντός 72 από τότε που έλαβε γνώση της εν λόγω παραβίασης.

  8. Οποιονδήποτε άλλο σκοπό (εάν ο υπεύθυνος επεξεργασίας σκοπεύει να επεξεργαστεί περαιτέρω τα προσωπικά δεδομένα για άλλον σκοπό από αυτόν για τον οποίο συλλέχθηκαν και μάλιστα εν προκειμένω θα πρέπει να ενημερώσει το υποκείμενο πριν τη νέα επεξεργασία).

  9. Να ενημερώνει τα υποκείμενα των δεδομένων, όποτε γίνεται επεξεργασία των δεδομένων τους ως προς:

– Την ταυτότητα και τα στοιχεία επικοινωνίας των υπεύθυνων επεξεργασίας, – Τα στοιχεία επικοινωνίας του Υπεύθυνου Προστασίας Δεδομένων (Data Protection                      Officer), αν έχει διοριστεί (βλ. παράγραφο 8) – Τους σκοπούς και τη νομική βάση για την επεξεργασία, – Τις κατηγορίες δεδομένων προσωπικού χαρακτήρα – Τους αποδέκτες των δεδομένων – Το λόγο για τον οποίο παρέχονται – Αν το υποκείμενο είναι υποχρεωμένο να τα παράσχει και ποιες είναι οι συνέπειες αν                  δεν το κάνει – Το χρονικό διάστημα αποθήκευσης – Τα δικαιώματα των υποκειμένων

Δικαιώματα των υποκειμένων

Στον Κανονισμό προβλέπονται τα δικαιώματα

  1. Πρόσβασης

  2. Ενημέρωσης

  3. Διόρθωσης

  4. Διαγραφής

  5. Περιορισμού της επεξεργασίας

  6. Λήθης

  7. Φορητότητας δεδομένων

  8. Ανάκλησης συγκατάθεσης

  9. Υποβολής καταγγελίας στην αρμόδια εποπτική αρχή

Η άσκηση των εν λόγω δικαιωμάτων πρέπει να διευκολύνεται από τον υπεύθυνο επεξεργασίας, δηλαδή την ξενοδοχειακή επιχείρηση.

Ανά περίπτωση προβλέπονται συγκεκριμένες προθεσμίες απάντησης ή υποβολής καταγγελίας στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.

Διορισμός Υπεύθυνου Προστασίας Δεδομένων (Data Protection Officer, «DPO»)

Να διευκρινιστεί κατά πρώτον ότι ο διορισμός του Υπεύθυνου Προστασίας Δεδομένων είναι υποχρεωτικός μόνο στις περιπτώσεις που ορίζει ο Κανονισμός, δηλαδή, σύμφωνα με τον Κανονισμό, αν ο υπεύθυνος επεξεργασίας προβαίνει:

– σε μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών δεδομένων (όπως αυτά που αναφέρθηκαν ανωτέρω, π.χ. δεδομένα υγείας στον ιαματικό τουρισμό), – σε πράξεις επεξεργασίας που λόγω της φύσης, του πεδίου εφαρμογής ή των σκοπών τους απαιτούν τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα ή μεγάλης κλίμακας.

Το αν ο διορισμός Υπεύθυνου Προστασίας Δεδομένων είναι υποχρεωτικός ή όχι στις ξενοδοχειακές επιχειρήσεις είναι ζήτημα ανοιχτό και μπορεί να απαντηθεί ανά περίπτωση, αφού ληφθούν υπόψη πολλοί παράγοντες. Ακόμη όμως κι αν δεν είναι υποχρεωτικός ο διορισμός, το να διορίσει μία ξενοδοχειακή επιχείρηση έναν Υπεύθυνο Προστασίας Δεδομένων (σε Όμιλο επιχειρήσεων μπορεί να διοριστεί ένας για όλο τον Όμιλο) αποτελεί σίγουρα best practice, αφού ο Υπεύθυνος Προστασίας Δεδομένων, μεταξύ άλλων:

  1. Ενημερώνει και συμβουλεύει την ξενοδοχειακή επιχείρηση και τους υπαλλήλους της, που επεξεργάζονται δεδομένα ως προς τις υποχρεώσεις τους, σύμφωνα με τον Κανονισμό και την εθνική νομοθεσία

  2. Παρακολουθεί διαρκώς τη συμμόρφωση με τον Κανονισμό και την εθνική νομοθεσία και τις πολιτικές της ξενοδοχειακής επιχείρησης σε σχέση με την προστασία των δεδομένων,

  3. Παρέχει συμβουλές όσον αφορά την εκτίμηση αντικτύπου,

  4. Συνεργάζεται με την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα,

  5. Ενεργεί ως σημείο επικοινωνίας για την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα για όλα τα ζητήματα που σχετίζονται με την επεξεργασία.

Η ξενοδοχειακή επιχείρηση θα πρέπει να διασφαλίσει ότι τα καθήκοντα και οι υποχρεώσεις του Υπεύθυνου Προστασίας Δεδομένων δεν συνεπάγονται σύγκρουση συμφερόντων.

Να πούμε επίσης στο σημείο αυτό ότι ακόμη κι αν διοριστεί Υπεύθυνος Προστασίας Δεδομένων σε μία ξενοδοχειακή επιχείρηση, την ευθύνη για τη συμμόρφωση με τη νομοθεσία για την προστασία των δεδομένων την έχει ο υπεύθυνος επεξεργασίας, δηλαδή η ξενοδοχειακή επιχείρηση, και όχι ο Υπεύθυνος Προστασίας Δεδομένων, αφού ο ρόλος του είναι συμβουλευτικός.

Συνέπειες από τη μη συμμόρφωση με τον Κανονισμό

Πέραν των δικαιωμάτων αποζημίωσης για την υλική ζημία ή ηθική βλάβη που υπέστησαν τα υποκείμενα των δεδομένων από την παράνομη επεξεργασία των δεδομένων τους, τα διοικητικά πρόστιμα που δύνανται να επιβληθούν σε βάρος του υπεύθυνου ή/και του εκτελούντος την επεξεργασία μπορούν να φτάσουν έως τα 20.000.000,00 Ευρώ ή σε περίπτωση επιχειρήσεων έως το 4% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους.

Πλείστα κριτήρια ωστόσο θα ληφθούν υπόψη σε κάθε μεμονωμένη περίπτωση για τον προσδιορισμό του προστίμου, όπως μεταξύ άλλων η φύση, η βαρύτητα και η διάρκεια της παράβασης, ο δόλος ή η αμέλεια που προκάλεσε την παράβαση, οι ενέργειες στις οποίες προέβη ο υπεύθυνος ή ο εκτελών την επεξεργασία, για να μετριάσει τη ζημία των υποκειμένων, ο βαθμός ευθύνης του υπεύθυνου ή του εκτελούντος την επεξεργασία, προηγούμενες παραβάσεις των τελευταίων, ο βαθμός συνεργασίας με την Αρχή κα.

Το παρόν άρθρο δεν παρέχει σύσταση ή συμβουλή, ούτε υποκαθιστά τη συμβουλή από εξειδικευμένους συμβούλους. Για τη συμμόρφωση με τον GDPR θα πρέπει να συμβουλεύεστε τους νομικούς και τεχνικούς σας συμβούλους.

Comments


bottom of page