Παραβίαση ασφάλειας δεδομένων από τη χρήση κοινής λίστας συλλογής δεδομένων
Όταν καλείς τα υποκείμενα να συμπληρώσουν τα στοιχεία τους στο ίδιο έντυπο, παραβιάζεις την εμπιστευτικότητα των δεδομένων
ΓΕΩΡΓΙΟΣ ΖΕΚΟΣ
ΝΕΕΣ ΤΕΧΝΟΛΟΓΙΕΣ & ΔΙΚΑΙΟ
ΕΜΠΟΡΙΚΟ ΔΙΚΑΙΟ / ΔΙΚΑΙΟ ΒΙΟΜΗΧΑΝΙΚΉΣ ΚΑΙ ΠΝΕΥΜΑΤΙΚΉΣ ΙΔΙΟΚΤΗΣΙΑΣ ΝΕΕΣ ΤΕΧΝΟΛΟΓΙΕΣ & ΔΙΚΑΙΟ ΔΙΟΙΚΗΤΙΚΟ ΔΙΚΑΙΟ / ΕΙΔΙΚΟ ΔΙΟΙΚΗΤΙΚΟ ΔΙΚΑΙΟ / ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ
ΙΩΑΝΝΗΣ ΙΓΓΛΕΖΑΚΗΣ
Στην αρχή προστασίας προσωπικών δεδομένων της Έσσης υποβλήθηκε καταγγελία πολίτη για την παραβίαση των κανόνων της νομοθεσίας για τα προσωπικά δεδομένα. Σύμφωνα με την καταγγελία, ο καταγγέλλων συμμετείχε σε εκδρομή μέσω τουριστικού πρακτορείου, πρώτη στάση της οποίας ήταν η πόλη της Ρίγας στη Λετονία. Κατά την άφιξή τους στο ξενοδοχείο, ζητήθηκε από τους ταξιδιώτες να συμπληρώσουν τα ατομικά στοιχεία τους (μεταξύ των οποίων η ημερομηνία γέννησης και ο αριθμός διαβατηρίου) σε ειδικό έντυπο, το οποίο όμως δεν ήταν παρά μια ομαδική λίστα καταχώρισης.
Αποτέλεσμα της πρακτικής αυτής, η οποία σύμφωνα με τον καταγγέλλοντα δεν επαναλήφθηκε σε κανένα άλλο κατάλυμα τις επόμενες ημέρες της εκδρομής, ήταν τα προσωπικά δεδομένα του να καθίστανται ορατά από κάθε πρόσωπο που συμπλήρωνε τα στοιχεία του μετά από αυτόν.
Διαβάστε επίσης: Πρόστιμο 30.000 ευρώ σε διαγνωστικό κέντρο για έλλειψη μέτρων ασφαλείας
Η εποπτική αρχή της Έσσης αναζήτησε τη συνεργασία της Λετονικής αρχής, στην οποία βρισκόταν το ξενοδοχείο, για να λάβει αρνητική απάντηση και να αναγκαστεί τελικά να προωθήσει την καταγγελία στην αρχή του κρατιδίου της Βάδης – Βυρτεμβέργης, όπου είχε την έδρα του το ταξιδιωτικό πρακτορείο που διοργάνωσε την εκδρομή.
Η τελευταία αποπειράθηκε να διαβιβάσει την καταγγελία εκ νέου στη λετονική αρχή, καθώς ο ταξιδιωτικός πράκτορας αρνήθηκε την οποιαδήποτε ανάμειξή του στη συλλογή των δεδομένων από το ξενοδοχείο, οι Λετονοί όμως ήταν και πάλι αρνητικοί. Σύμφωνα με την απάντησή τους, το ξενοδοχείο τους διαβεβαίωσε πως ουδεμία ανάμειξη είχε στην καταγγελλόμενη επεξεργασία, η οποία έγινε με ευθύνη του πρακτορείου.
Μπροστά στο ασυνήθιστο αυτό αδιέξοδο, η αρχή προστασίας δεδομένων της Βάδης – Βυρτεμβέργης κράτησε την καταγγελία, ως επικεφαλής εποπτική αρχή, και αφού άκουσε τις απόψεις του ταξιδιωτικού πρακτορείου αποφάσισε να του απευθύνει επίπληξη.
Σύμφωνα με την απόφαση της γερμανικής εποπτικής αρχής, τα προσωπικά δεδομένα πρέπει να τηρούνται με τρόπο που δεν επιτρέπει σε μη εξουσιοδοτημένα πρόσωπα, μεταξύ των οποίων και οι υπόλοιποι πελάτες, να έχουν πρόσβαση στις πληροφορίες που καταχωρούνται.
Για τον λόγο αυτό, συμπληρωμένα έντυπα δεν πρέπει να εγκαταλείπονται σε χώρους που κυκλοφορούν τρίτα πρόσωπα, αλλά πρέπει να φυλάσσονται με ασφάλεια και να κλειδώνονται στο τέλος της ημέρας.
Περαιτέρω, πρέπει να αποφεύγεται η δυνατότητα τρίτων προσώπων να βλέπουν τα προσωπικά δεδομένα όσων έχουν καταχωρηθεί προηγουμένως. Η χρήση μιας κοινής λίστας συμπλήρωσης προσωπικών στοιχείων και συνακόλουθα η δυνατότητα των προσώπων που καταχωρούν τα στοιχεία τους να δουν τις πληροφορίες που έχουν ήδη καταχωρηθεί συνιστά παραβίαση της αρχής της ακεραιότητας και εμπιστευτικότητας του άρθρου 5 παρ. στ’ ΓΚΠΔ.
Ως εκ τούτου, τα ταξιδιωτικά πρακτορεία οφείλουν να χρησιμοποιούν ατομικά δελτία συμπλήρωσης προσωπικών δεδομένων, έτσι ώστε να διασφαλίζουν τη συμμόρφωσή τους με την ως άνω αρχή.
Παράλληλα – και επειδή προφανώς δεν είχε καταστεί απολύτως σαφής ο ρόλος των εμπλεκομένων στο περιστατικό – η γερμανική αρχή έσπευσε να συμπληρώσει πως ακόμη και αν δεν συλλέγουν οι ίδιοι δεδομένα, οι πράκτορες οφείλουν να δίνουν οδηγίες στους συνεργάτες τους, πχ. ξενοδοχεία, για την αποφυγή της χρήσης κοινών δελτίων καταγραφής.
