Ο GDPR πηγαίνει…Διακοπές

Μεταξύ παραλίας, αντηλιακού και ψάθας, ο Γενικός Κανονισμός Προστασίας Δεδομένων (ΕΕ) 2016/679 (εφεξής «Γενικός Κανονισμός»)[1], ο γνωστός σε όλους μας πλέον ως GDPR (ακρωνύμιο: “General Data Protection Regulation”), αγρυπνά και κατά τον χρόνο αυτόν της θερινής μας ραστώνης απλώνοντας πέπλο προστασίας στα προσωπικά μας δεδομένα (εφεξής «Δεδομένα»), όπως πράττει άλλωστε από την 25η/05/2018, χρόνο έναρξης ισχύος του για όλα τα κράτη-μέλη της Ένωσης.

Πάμε λοιπόν να εξετάσουμε κάποιες βασικές έννοιες του Γενικού Κανονισμού και να επισημάνουμε ειδικότερα ζητήματα, που σχετίζονται με τους βασικούς συντελεστές των καλοκαιρινών μας -και όχι μόνο- εξορμήσεων: τα ξενοδοχεία, πανδοχεία και γενικότερα τις επιχειρήσεις υπηρεσιών διαμονής (εφεξής «Επιχείρηση»).

Υπεύθυνος Επεξεργασίας

Από πλευράς προστασίας προσωπικών δεδομένων οι επιχειρήσεις υπηρεσιών διαμονής ανεξάρτητα της νομικής τους υπόστασης είτε δηλαδή γίνεται λόγος για ατομική επιχείρηση ή προσωπική εταιρεία (Ο.Ε, Ε.Ε.) είτε για κεφαλαιουχική εταιρεία (Ι.Κ.Ε., Ε.Π.Ε., Α.Ε.) αποκτούν την ιδιότητα του Υπευθύνου Επεξεργασίας αναφορικά με τα Δεδομένα των πελατών, οι οποίοι τις επιλέγουν ή ενδέχεται να τις επιλέξουν για τη διαμονή τους. Τούτου δεχθέντος οι εν λόγω επιχειρήσεις υποχρεούνται τόσο σε τήρηση των γενικών διατάξεων του Γενικού Κανονισμού σχετικά με τις αρχές και τη νομιμότητα της επεξεργασίας (άρ. 5 επ.) όσο και στη τήρηση των προβλεπόμενων διατάξεων για τα δικαιώματα του Υποκειμένου των Δεδομένων (εν προκειμένω του πελάτη/υποψηφίου πελάτη) και των ειδικότερων υποχρεώσεων του Υπευθύνου Επεξεργασίας (αρ. 12 επ.).

Σε συνέχεια των ανωτέρω και με τη σκέψη στην προστασία των προσωπικών του δεδομένων, ο υποψήφιος πελάτης κρίνεται σημαντικό, πριν ακόμα επικοινωνήσει για πρώτη φορά με τον υπεύθυνο κρατήσεων της Επιχείρησης, να αναζητήσει στο Διαδίκτυο, εάν η εν λόγω Επιχείρηση διαθέτει ιστοσελίδα και σε περίπτωση επιτυγχούς αναζήτησης, εάν βρίσκεται αναρτημένη εντός αυτής σχετική Πολιτική Προστασίας Προσωπικών Δεδομένων (εφεξής «Πολιτική»). Η ανάρτηση στην εταιρική ιστοσελίδα σχετικής Πολιτικής θεωρείται ορθή πρακτική βάσει της οποίας πληρούνται δύο εκ των βασικών υποχρεώσεων που ενέχει ο Υπεύθυνος Επεξεργασίας: η ενημέρωση και η διαφάνεια ως προς την επεξεργασία Δεδομένων. Εντός της εν λόγω Πολιτικής καταγράφονται όλες εκείνες οι πληροφορίες που είναι απαραίτητες βάσει του Γενικού Κανονισμού, να διατίθενται στο Υποκείμενο των Δεδομένων (πελάτη/υποψήφιο πελάτη) σχετικά με τις διενεργούμενες πράξεις επεξεργασίας.

Λαμβάνοντας βέβαια υπόψη ότι κάποια Επιχείρηση μπορεί είτε να μην έχει εισέλθει στον κόσμο του Διαδικτύου μη έχουσα εταιρική ιστοσελίδα είτε ακόμη και εάν διαθέτει να μην έχει επιλέξει την ως άνω πρακτική, ο ιδιοκτήτης της Επιχείρησης ή ο υπεύθυνος κρατήσεων που εργάζεται για τον πρώτο, οφείλει σε περίπτωση που λάβει Δεδομένα του επικοινωνούντος υποψηφίου πελάτη, να του παρέχει το πρώτον προφορικά την απαιτούμενη βάσει των διατάξεων του Γενικού Κανονισμού ενημέρωση και στη συνέχεια είτε με την ολοκλήρωση της κράτησης, να προωθήσει στον ίδιο την Πολιτική μέσω ηλεκτρονικής επικοινωνίας είτε ως τελευταία επιλογή να τον ενημερώσει, ότι θα υπάρχει διαθέσιμη στον χώρο της Επιχείρησης και θα του παραδοθεί κατά τον χρόνο άφιξης.

Σε κάθε περίπτωση η σύνταξη σχετικής Πολιτικής από πλευράς της Επιχείρησης και η εύκολη πρόσβαση του πελάτη/υποψηφίου πελάτη σε αυτή λογίζεται ως υποχρεωτική σύμφωνα με το πνεύμα και το γράμμα του Γενικού Κανονισμού.

Δεδομένα και Επεξεργασία

Όταν γίνεται λόγος για επεξεργασία Δεδομένων εννοούμε οποιαδήποτε πράξη σε αυτά, όπως ενδεικτικά η συλλογή, η καταχώριση, η οργάνωση, η αποθήκευση, η χρήση, η αναζήτηση, η διαβίβαση, η διαγραφή ή η καταστροφή αυτών, εφόσον τα Δεδομένα έχουν περιληφθεί ή πρόκειται να περιληφθούν σε σύστημα αρχειοθέτησης (ακόμη και ένα πρόχειρο χαρτί με καταγεγραμμένα Δεδομένα, θεωρείται, σύμφωνα με τον Γενικό Κανονισμό, σύστημα αρχειοθέτησης).

Τα Δεδομένα τα οποία συλλέγει και επεξεργάζεται μια Επιχείρηση, είναι συνήθως τα εξής:

α. Δεδομένα Ταυτοποίησης: όνομα, επώνυμο, Α.Φ.Μ.

β. Δεδομένα Επικοινωνίας: αριθμός κινητού ή/και σταθερού τηλεφώνου, ηλεκτρονική διεύθυνση, ταχυδρομική διεύθυνση

γ. Δεδομένα Εικόνας ή/και Ήχου: Προϋπόθεση επεξεργασίας των εν λόγω Δεδομένων, η εγκατάσταση και λειτουργία στους χώρους της Επιχείρησης συστήματος βιντεοεπιτήρησης (CCTV/κάμερες) ή/και η εγκατάσταση και λειτουργία συστήματος καταγραφής τηλεφωνικών κλήσεων, αντίστοιχα.

Τα ανωτέρω Δεδομένα συλλέγονται και χρησιμοποιούνται με σκοπό την επικοινωνία της Επιχείρησης με τον πελάτη/υποψήφιο πελάτη, την έκδοση φορολογικών παραστατικών, την προστασία προσώπων ή/και αγαθών, την επιβεβαίωση των προσφερόμενων υπηρεσιών/παροχών.

Η Επιχείρηση μέσω της καταγεγραμμένης Πολιτικής της οφείλει, να ενημερώνει τον πελάτη/υποψήφιο πελάτη ιδίως για τις κατηγορίες Δεδομένων που επεξεργάζεται, για τους σκοπούς επεξεργασίας τους, τους αποδέκτες ή τις κατηγορίες των αποδεκτών αυτών, εάν λαμβάνει χώρα ή ενδέχεται να λάβει χώρα διαβίβαση των Δεδομένων σε χώρα εκτός της Ε.Ε. (περιπτώσεις ομίλων Επιχειρήσεων), τον χρόνο διατήρησης/αποθήκευσης αυτών, τα δικαιώματα που διαθέτει ο ίδιος ως Υποκείμενο των Δεδομένων, τα στοιχεία επικοινωνίας της Επιχείρησης, τα στοιχεία επικοινωνίας του Υπευθύνου Προστασίας Δεδομένων (DPO), εάν η ίδια έχει ορίσει.

Δικαιώματα υποψηφίων πελατών/πελατών

Οι πελάτες/υποψήφιοι πελάτες ως Υποκείμενα των Δεδομένων διαθέτουν δικαιώματα, αναφορικά με τα Δεδομένα, που επεξεργάζεται η Επιχείρηση, στο πλαίσιο της παροχής των υπηρεσιών της. Μεταξύ άλλων τα εξής:

Πρόσβασης: Έχουν δικαίωμα να γνωρίζουν ενδεικτικά: Εάν και ποια Δεδομένα επεξεργάζεται η Επιχείρηση, τους σκοπούς επεξεργασίας, τους αποδέκτες, τον χρόνο τήρησης αυτών. Το δικαίωμα πρόσβασης συνδέεται άρρηκτα με τις υποχρεώσεις ενημέρωσης και διαφάνειας της Επιχείρησης, ως αναφέρθηκαν ανωτέρω.

Διόρθωσης: Όταν αμφισβητείται η ακρίβεια των συλλεχθέντων Δεδομένων.

Διαγραφής («Δικαίωμα στη Λήθη»): Ιδίως όταν τα Δεδομένα δεν είναι πλέον απαραίτητα σε σχέση με τους σκοπούς που συλλέχθηκαν ή υποβλήθηκαν σε επεξεργασία χωρίς νομικό έρεισμα.

Περιορισμού της επεξεργασίας: Όταν αμφισβητείται από τον πελάτη/υποψήφιο πελάτη η ακρίβεια ή/και το σύννομο της επεξεργασίας.

Φορητότητας: Τα Δεδομένα κατ’ επιλογή του πελάτη/υποψηφίου πελάτη δύνανται να λαμβάνονται σε ψηφιακό αρχείο (πχ. Usb sticks) ή/και να διαβιβάζονται σε έτερη Επιχείρηση.

Εναντίωσης: Δύνανται να αντιτάσσονται ανά πάσα στιγμή στην επεξεργασία των Δεδομένων ιδίως όταν η επεξεργασία λαμβάνει χώρα με σκοπό την εκπλήρωση εννόμου συμφέροντος της Επιχείρησης (πχ. προώθηση διαφημιστικών μηνυμάτων με χρήση των αριθμών κινητού τηλεφώνου με σκοπό την αύξηση πελατείας).

Καταγγελίας στην Εποπτική Αρχή: Ως Εποπτική Αρχή της τήρησης της νομοθεσίας προστασίας Δεδομένων έχει ορισθεί η ανεξάρτητη Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα[2]. Είναι απαραίτητο στην Πολιτική κάθε Επιχείρησης να αναγράφεται το εν λόγω δικαίωμα και να παραπέμπεται παράλληλα ο πελάτης/υποψήφιος πελάτης στην Εποπτική Αρχή, εφόσον θεωρεί ο τελευταίος, ότι η επεξεργασία των Δεδομένων του από την Επιχείρηση δεν πραγματοποιείται σύμφωνα με την οικεία νομοθεσία προστασίας προσωπικών δεδομένων· Τον Γενικό Κανονισμό, τον Ν. 4624/2019 της εθνικής νομοθεσίας (ως εκάστοτε ισχύει) και τις Πράξεις της ίδιας της Εποπτικής Αρχής.

Σύστημα Βιντεοεπιτήρησης και Δεδομένα

Η Επιχείρηση ενδέχεται να έχει εγκαταστήσει στους χώρους της σύστημα βιντεοεπιτήρησης ή απλούστερα σύστημα καμερών (εφεξής «CCTV»). Η εν λόγω εγκατάσταση πραγματοποιείται αποκλειστικά για την προστασία προσώπων και αγαθών σε περιπτώσεις που η Επιχείρηση δεν δύναται να τη διασφαλίσει με ηπιότερα μέσα, όπως επί παραδείγματι με την πρόσληψη προσωπικού φύλαξης, εάν η ίδια κρίνει ότι αυτή η δαπάνη θα ήταν επιζήμια για τα οικονομικά της συμφέροντα συγκριτικά με την εγκατάσταση CCTV.

Συγκεκριμένα για τα Δεδομένα που παράγονται και συλλέγονται μέσω CCTV η Εποπτική Αρχή έχει δημοσιεύσει την με αρ. 1/2011 Οδηγία[3], η οποία μελετάται συνδυαστικά με τις με αρ. 2/2020 Συστάσεις[4]. Ειδικότερα για τα ξενοδοχεία, τα οποία είναι και το κεντρικό θέμα του παρόντος, έχει αφιερωθεί ολόκληρο το άρθρο 16 της Οδηγίας, το οποίο παρατίθεται αυτούσιο:

«παρ. 1: Η λειτουργία συστημάτων βιντεοεπιτήρησης σε ξενοδοχειακές μονάδες υπό οποιαδήποτε μορφή (ξενοδοχεία, πανσιόν, ενοικιαζόμενα δωμάτια κλπ.) πρέπει να περιορίζεται αποκλειστικά σε χώρους που αποσκοπούν στον έλεγχο εισερχομένων/εξερχομένων (όπως πχ. η κεντρική είσοδος, χώρος υποδοχής, είσοδοι/έξοδοι των ανελκυστήρων και των κλιμακοστασίων) καθώς και στους χώρους φύλαξης χρημάτων (πχ. ταμεία) και στις ηλεκτρομηχανολογικές εγκαταστάσεις.

παρ. 2: Δεν επιτρέπεται η τοποθέτηση στους χώρους εστίασης και στους διαδρόμους που οδηγούν στα δωμάτια του ξενοδοχείου και σε χώρους όπου ενδέχεται να παρακολουθούνται οι πελάτες ή/και επισκέπτες του ξενοδοχείου. Τέτοιοι χώροι είναι ιδίως οι είσοδοι των κατ΄ ιδίαν δωματίων, οι τουαλέτες και οι χώροι όπου πραγματοποιούνται δραστηριότητες αναψυχής (όπως πισίνες, γυμναστήρια, χώροι άθλησης, αποδυτήρια κλπ.)».

Η Επιχείρηση υποχρεούται παράλληλα να ενημερώνει τους πελάτες/υποψηφίους πελάτες για την εγκατάσταση CCTV στους χώρους της. Η εν λόγω ενημέρωση πραγματοποιείται σε δύο επίπεδα:

Σε πρώτο επίπεδο με χρήση προειδοποιητικών πινακίδων (χαρακτηριστικό το κίτρινο χρώμα αυτών σύμφωνα με το παρεχόμενο υπόδειγμα της Εποπτικής Αρχής, βλ. Συστάσεις με αρ. 2) στις οποίες αναφέρονται τα βασικά χαρακτηριστικά της επεξεργασίας.

Ειδικότερα οι υποχρεωτικές πληροφορίες πρώτου επιπέδου περιλαμβάνουν: α. τον σκοπό της επεξεργασίας, β. τα στοιχεία της Επιχείρησης ή/και του εκπροσώπου της (Υπεύθυνος Επεξεργασίας), γ. αναφορά στα δικαιώματα του πελάτη/υποψηφίου πελάτη (Υποκείμενο των Δεδομένων), δ. παραπομπή στην αναλυτική ενημέρωση του δευτέρου επιπέδου (βλ. κάτωθι), ε. αναφορά στα στοιχεία επικοινωνίας του Υπευθύνου Προστασίας Δεδομένων (DPO), εφόσον έχει ορισθεί από την Επιχείρηση.

Οι πινακίδες πρέπει να τοποθετούνται με τέτοιο τρόπο ώστε να είναι ευδιάκριτες από όλα τα πιθανά σημεία εισόδου στον επιτηρούμενο χώρο.

Σε δεύτερο επίπεδο η αναγκαία πληροφόρηση παρέχεται είτε μέσω της Πολιτικής που οφείλει, ως σημειώθηκε ανωτέρω, να διαθέτει οποιαδήποτε Επιχείρηση, μέσω της οποίας ο πελάτης/υποψήφιος πελάτης θα ενημερώνεται και για τη διενεργούμενη μέσω CCTV επεξεργασία των Δεδομένων του είτε με τη σύνταξη ειδικότερου εγγράφου αναλυτικής ενημέρωσης ως προς την εν λόγω επεξεργασία των Δεδομένων. Σε αμφότερες τις περιπτώσεις το σχετικό έγγραφο Ενημέρωσης απαιτείται να αναρτάται σε χώρο με εύκολη πρόσβαση από τους πελάτες/υποψηφίους πελάτες. Η ανάρτηση αυτού σε ιστοσελίδα θεωρείται, ως σημειώθηκε ανωτέρω, ορθή και κατά την άποψη του γράφοντος ως βέλτιστη πρακτική αλλά πρέπει να συνοδεύεται παράλληλα και από μη ηλεκτρονική ενημέρωση για όσα πρόσωπα δεν έχουν άμεση ηλεκτρονική πρόσβαση.

Επίμετρο

Η προστασία των προσωπικών μας δεδομένων περιφρουρείται δυνάμει του άρ. 9Α του Συντάγματος. Συμπεριλαμβάνεται δε στο μέρος δεύτερο αυτού περί ατομικών και κοινωνικών δικαιωμάτων, όπερ σημαίνει ότι ο καθείς ατομικά αλλά και ως μέλος μιας συντεταγμένης κοινωνίας δικαιούται να προφυλάσσεται από τη χωρίς νόμιμη αιτία συλλογή, χρήση και εν γένει επεξεργασία των προσωπικών του δεδομένων και τη παραβίαση της ιδιωτικότητάς του.

Ο GDPR μέσα σε περίπου 4 χρόνια ισχύος του για όλα τα κράτη-μέλη της ευρωπαϊκής οικογένειας έχει καταφέρει να υπενθυμίσει σε όλους τη δύναμη αλλά και την ανάγκη προστασίας του ως άνω συνταγματικά κατοχυρωμένου δικαιώματος και να καταστούν οι διατάξεις του sine quae non της καθημερινότητας, μέρος της οποίας αλλά και απόδραση από την ίδια συνιστούν…οι διακοπές.

Καλές, προσωπικές -και μη- βουτιές!

[1] https://eur-lex.europa.eu/legal-content/el/TXT/?uri=CELEX:32016R0679

[2] https://www.dpa.gr/

[3] https://www.dpa.gr/el/enimerwtiko/prakseisArxis/hrisi-systimaton-binteoepitirisis-gia-tin-prostasia-prosopon-kai-agathon

[4] https://www.dpa.gr/el/enimerwtiko/prakseisArxis/systaseis-ypodeigmata-gia-tin-ikanopoiisi-toy-dikaiomatos-enimerosis-kata​