Ο Γενικός Κανονισμός για την Προστασία των Δεδομένων στις ξενοδοχειακές επιχειρήσεις
Επιμέλεια: Ειρήνη Αποστολίδου, ασκούμενη δικηγόρος
Σε μία εποχή, όπου η ψηφιακή επανάσταση στον τομέα της πληροφορίας επιτρέπει τη ραγδαία εξάπλωση του διαδικτύου, την ολοένα και μεγαλύτερη πρόσβαση από όλα σχεδόν τα μέρη της γης στα μέσα κοινωνικής δικτύωσης και την παγκοσμιοποίηση της ροής της πληροφορίας και κάθε λογής δεδομένων που αφορούν στο άτομο, αυτό προσφέρει, χωρίς να το αντιλαμβάνεται τις περισσότερες φορές, τεράστιο όγκο προσωπικών δεδομένων σε μηχανές μέσα από απλές καθημερινές πράξεις ρουτίνας (λ.χ. χρήση smartphones, χώρος αποθήκευσης cloud) που διακινούν τον όγκο αυτό στον αχανή κόσμο του διαδικτύου και της εν γένει υπάρχουσας ηλεκτρονικής πραγματικότητας. Γίνεται εύκολα αντιληπτό ότι ελλοχεύουν κίνδυνοι για παραβίαση και παρακολούθηση πτυχών της προσωπικότητας του. Προκύπτει, επομένως, η ανάγκη οι -συνυφασμένες άρρηκτα με την προσωπικότητα του ατόμου- έννοιες της ιδιωτικότητας και του πληροφοριακού αυτοκαθορισμού να προστατευτούν και να κατοχυρωθούν θεσμικά, ώστε η ροή των δεδομένων-πληροφοριών να πραγματοποιείται με εγγυήσεις 1.
Η ιδιωτικότητα απορρέει από την διάκριση μεταξύ της δημόσιας και ιδιωτικής ζωής όπως αυτή προστατεύεται στο άρθρο 9Σ κι είναι ένα αναπόσπαστο κομμάτι του συνταγματικά κατοχυρωμένου δικαιώματος της προσωπικότητας στο άρθρο 5 παράγραφος 1Σ, που περιλαμβάνει θεμελιώδεις αρχές όπως αυτή της αξιοπρέπειας, ασφαλείας, ανωνυμίας και του δικαιώματος του ελέγχου και του περιορισμού της προσβασιμότητας σε πληροφορίες που αφορούν στο άτομο. Έκφανση της συνταγματικά κατοχυρωμένης ιδιωτικής ζωής αποτελεί και η συνταγματική προστασία του άρθρου 9Α του Συντάγματος για την προστασία των προσωπικών δεδομένων.
Ο πληροφοριακός αυτοκαθορισμός αφορά στην δυνατότητα γνώσης κι ελέγχου κάθε πληροφορίας που στοχεύει στο άτομο, το οποίο έχει το δικαίωμα να επιλέγει και να συμπροσδιορίζει την υπό προϋποθέσεις πρόσβαση στην ιδιωτικότητά του, ως οντότητα με κατοχυρωμένα δικαιώματα κι ελευθερίες.
Αυτή η ανάγκη και απαίτηση κατοχυρωμένης προστασίας εξασφαλίζεται με το Γενικό Κανονισμό Προστασίας Προσωπικών Δεδομένων (Κανονισμός (ΕΕ) 2016/679). Πρόκειται για Κανονισμό της Ευρωπαϊκής Ένωσης, που ρυθμίζει κι εξασφαλίζει το απόρρητο των πληροφοριών τόσο στην Ευρωπαϊκή Ένωση (ΕΕ) και στον Ευρωπαϊκό Οικονομικό Χώρο (ΕΟΧ) όσο κι εκτός αυτών υπό συγκεκριμένα κριτήρια που θα αναλυθούν παρακάτω. Ενσωματώθηκε στην ελληνική νομοθεσία με το Ν. 4624/2019, ο οποίος αντικατέστησε το Ν. 2472/1997 που είχε ενσωματώσει στο εθνικό δίκαιο την κοινοτική Οδηγία 95/46/ΕΚ (όπως αυτή συμπληρώθηκε από την Οδηγία 2002/58/ΕΚ, η οποία αντίστοιχα τροποποιήθηκε με την Οδηγία 2009/136/ΕΚ). Ο ΓΚΠΔ αποτελεί σημαντικό στοιχείο της νομοθεσίας της ΕΕ για την προστασία της ιδιωτικής ζωής και της νομοθεσίας για τα ανθρώπινα δικαιώματα, συμπεριλαμβανομένων και των προσωπικών δεδομένων. Σημαντικό ρόλο στη διαμόρφωση της σημασίας που αποδίδει η ΕΕ στην προστασία των εννοιών αυτών διαδραμάτισε ιδίως ο Χάρτης των Θεμελιωδών Δικαιωμάτων της ΕΕ ως νομικά δεσμευτικό πρωτογενές ενωσιακό δίκαιο2. Στο ά. 8 αυτού κατοχυρώνεται το δικαίωμα προστασίας των δεδομένων προσωπικού χαρακτήρα. Το άρθρο αυτό στηρίζεται τόσο στην Οδηγία 95/46/ΕΚ όσο και στο ά. 8 της ΕΣΔΑ και τη Σύμβαση 108 του Συμβουλίου της Ευρώπης, που αποτέλεσε το πρώτο διεθνές κείμενο δεσμευτικού χαρακτήρα αναφορικά με την προστασία του ατόμου από την αυτοματοποιημένη επεξεργασία προσωπικών δεδομένων. Οι στόχοι του Κανονισμού είναι να ενισχύσει τον έλεγχο και τα δικαιώματα των ατόμων στα προσωπικά τους στοιχεία και να απλοποιήσει τους κανονισμούς για τις διεθνείς επιχειρήσεις.
Το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο της Ευρωπαϊκής Ένωσης υιοθέτησαν τον Κανονισμό στις 14 Απριλίου 2016, για να τεθεί σε ισχύ στις 25 Μαΐου 2018. Ως Κανονισμός της ΕΕ (αντί για Οδηγία), ο ΓΚΠΔ εφαρμόζεται άμεσα με ισχύ νόμου στα εθνικά δίκαια και στις οριζόντιες σχέσεις μεταξύ ιδιωτών χωρίς να χρειάζεται προηγουμένως ενσωμάτωσή του με κάποιον εσωτερικό νόμο. Σημαντικό πλεονέκτημα αποτελεί η αυτόματη ανάκτηση δικαιώματος πρόσβασης στις δικαστικές κι εποπτικές αρχές σε ευρωενωσιακό επίπεδο. Ωστόσο, παρέχει, επίσης, ευελιξία στα μεμονωμένα κράτη μέλη να τροποποιούν (παρεκκλίνουν) ορισμένες από τις διατάξεις του.
Ο Κανονισμός έχει εφαρμογή σε όλους τους φορείς (ιδιωτικές και δημόσιες επιχειρήσεις, κρατικές αρχές, συλλόγους κ.ά.) που διαχειρίζονται, επεξεργάζονται, αποθηκεύουν και διακινούνται δεδομένα προσωπικού χαρακτήρα είτε έχουν έδρα και- το πιο σημαντικό- ουσιαστική και πραγματική δραστηριότητα σε χώρα της Ε.Ε. είτε όχι, με υποχρέωση, αν πληρούται το ά. 3 παράγραφος 2 του Κανονισμού, διορισμού αντιπροσώπου στην Ε.Ε. για εφαρμογή του (κριτήριο της εγκατάστασης). Δεύτερο κριτήριο εφαρμογής του είναι τα δεδομένα να αφορούν σε Ευρωπαίους πολίτες ή να σχετίζονται και να προσφέρονται οποιουδήποτε είδους υπηρεσίες και αγαθά προς αυτούς (κριτήριο της στόχευσης)3.
Ο Κανονισμός δεν εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από φυσικό πρόσωπο στο πλαίσιο αποκλειστικά προσωπικής ή οικιακής δραστηριότητας και, ως εκ τούτου, δε χωρά εφαρμογή του χωρίς σύνδεση με κάποια επαγγελματική ή εμπορική δραστηριότητα.
Χαρακτηριστικό παράδειγμα επιχείρησης που ασκεί επιχειρηματική δραστηριότητα κι εντάσσεται στον κλάδο του τουρισμού είναι η ξενοδοχειακή (ξενοδοχεία, πανσιόν, ενοικιαζόµενα δωµάτια κλπ.). Οι επιχειρήσεις που εντάσσονται στο χώρο της ξενίας και στηρίζουν σεβαστό κι υπολογίσιμο μέρος της τουριστικής βιομηχανίας κατέχουν εξέχουσα θέση στην οικονομία πολλών χωρών, με αντιπροσωπευτικό παράδειγμα αυτό της Ελλάδας. Συγκεκριμένα, σύμφωνα με μελέτες του ΙΝΣΕΤΕ η άμεση συνεισφορά του τουρισμού για το 2022 ανέρχεται στο 11,5% του ΑΕΠ της χώρας, ενώ συνολικό τζίρο 8,62 δισ. ευρώ πραγματοποίησαν τα ελληνικά ξενοδοχεία το 20224. Οι επιχειρήσεις αυτές έρχονται σε επαφή όσο λίγες επιχειρήσεις με ένα τεράστιο φάσμα ατόμων με διαφορετικά χαρακτηριστικά και καταβολές λόγω της φύσης των υπηρεσιών που προσφέρουν και τον κλάδο στον οποίο εντάσσονται.
Τα προσωπικά δεδομένα ή δεδομένα προσωπικού χαρακτήρα ως έκφανση της ιδιωτικότητας που επεξεργάζονται κατά κύριο λόγο οι ξενοδοχειακές επιχειρήσεις είναι:
- Ημερομηνία άφιξης και αναχώρησης
- Στοιχεία ταυτότητας/ταυτοποίησης (ονοματεπώνυμο, ημερομηνία, τόπος γέννησης, γλώσσα επικοινωνίας, στοιχεία διαβατηρίου ή αστυνομικής ταυτότητας)
- Στοιχεία διαμονής (αριθμός δωματίου, διάρκεια παραμονής, πληροφορίες για κατανάλωση αγαθών και υπηρεσιών, πληροφορίες για αναχώρηση)
- Δεδομένα εικόνας μέσω φωτογραφιών και βίντεο μέσω βιντεοεπιτήρησης
- Στοιχεία επικοινωνίας (διεύθυνση, τηλέφωνο, ηλεκτρονικό ταχυδρομείο με απώτερο σκοπό λόγους marketing με αποστολή e-mail, SMS, newsletter, επιστολές για προγράμματα -προσφορές)
- Στοιχεία πληρωμής (EC-cards, χρεωστικές/πιστωτικές κάρτες, με τον αριθμό πιστωτικής κάρτας να συνηθίζεται να σημειώνεται για την διασφάλιση της κράτησης ή και την ολοκλήρωση της συναλλαγής με ενδεχόμενη αποθήκευση για μελλοντική διευκόλυνση του πελάτη)
Ειδική κατηγορία προσωπικών δεδομένων που επεξεργάζονται οι επιχειρήσεις αποτελούν τα ευαίσθητα δεδομένα όπως:
- Εθνικότητα ή φυλετική προέλευση
- Πολιτικά φρονήματα
- Θρησκευτικές ή φιλοσοφικές πεποιθήσεις
- Ερωτική ζωή
- Κοινωνική πρόνοια για τους εργαζόμενους των επιχειρήσεων
- Υγεία που αφορά τόσο στους πελάτες όσο και τους εργαζόμενους π.χ ιδιαίτερες προτιμήσεις σε φαγητό, αλλεργίες, προτίμηση σε συγκεκριμένα φαγητά η δυσανεξίες ή σε απορρυπαντικά, πρόσφατη ιατρική επέμβαση για κατάλληλη ρύθμιση του κλιματισμού και επιλογή κατάλληλων κλινοσκεπασμάτων. Να σημειωθεί ότι κατά την πρόσφατη διάρκεια της πανδημίας του COVID-99 λειτουργούσαν στην χώρα μας τα λεγόμενα «ξενοδοχεία καραντίνας», στα οποία οι πελάτες έδιναν λεπτομέρειες και πληροφορίες για την υγεία τους που παρακολουθείτο από τη δηλωθείσα ημερομηνία νόσησης μέχρι και την ημερομηνία συμπλήρωσης της προβλεπόμενης διάρκειας παραμονής τους σε αυτά.
- Συμμετοχή σε ενώσεις, σωματεία, συνδικαλιστικές οργανώσεις
- Προηγούμενες καταδίκες ή διώξεις κατά την λήψη του βιογραφικού σημειώματος των υποψηφίων εργαζομένων
Όλα αυτά λαμβάνονται κατά τη διάρκεια της κράτησης, του check-in, της πληρωμής, ερευνών ικανοποίησης πελατών από τις υπηρεσίες του ξενοδοχείου, από τα εστιατόρια, το μπαρ, με στόχο τον εμπλουτισμό των υπηρεσιών και της ταξιδιωτικής εμπειρίας για τον πελάτη και μελλοντικές ενέργειες marketing για την ξενοδοχειακή επιχείρηση5.
Στο χώρο της ξενίας, προσωπικά δεδομένα δεν συλλέγονται μόνο για τους πελάτες αλλά και για τους εργαζόμενους και τους προμηθευτές.
Οι βασικές σχέσεις των συνήθως εμπλεκόμενων στο πλαίσιο δραστηριοτήτων μίας ξενοδοχειακές επιχειρήσεις είναι οι παρακάτω:
α) Σύμβαση ξενίας: αμφοτεροβαρής ενοχική σύμβαση μεταξύ του ξενοδόχου και του πελάτη με την παροχή υπηρεσιών, όπως διαμονή, διατροφή, καθαριότητα, αναψυχή και φύλαξη προσωπικών αντικειμένων με καταβολή τιμήματος για αυτές.
β)Ξενοδοχειακή σύμβαση6: μεταξύ ξενοδόχου και τουριστικού γραφείου/πράκτορα/ οργανισμού σύμβαση μίσθωσης δωματίων από τον τουριστικό πράκτορα για να τα διαθέσει σε δικούς του πελάτες με 2 μορφές:
- Σύμβαση εγγυημένης/βέβαιης κράτησης (guarantee/commitment):
Συμφωνημένη παραχώρηση αριθμού δωματίων από τον ξενοδόχο κι υπηρεσιών ξένισης στον πράκτορα για συγκεκριμένη περίοδο με καταβολή συμφωνημένου τιμήματος, ανεξάρτητα αν γίνει χρήση τους ή όχι.
- Σύμβαση allotment (κατά μερίδιο ή υπό προειδοποίηση):
Κράτηση δωματίων για συγκεκριμένη περίοδο με ανώτατο όριο διάθεσης συμφωνημένων δωματίων από τον ξενοδόχο και κάλυψη κατώτερου ορίου με ανάλογο τίμημα από τον πράκτορα με ρητή πρόβλεψη ότι οι ενοχικές υποχρεώσεις θα γεννηθούν μόνο εφόσον αυτός ζητήσει τη χρήση τους .
γ) Σύμβαση εργασίας: μεταξύ ξενοδόχων με όλους τους υπαλλήλους του με συλλογή, κατόπιν ηλεκτρονικής ή έγγραφης συγκατάθεσης τους, πληροφοριών για την πρόσληψή τους, καταβολή μισθών κι υγεία-ασφάλιση, που είναι απαραίτητα για την εκπλήρωση κοινωνικής ασφάλισης από τον εργοδότη ή την ασφαλιστική εταιρεία, καθώς και με βάση όσα ορίζονται στο εργατικό δίκαιο.
δ) Σύμβαση με προμηθευτές
Όλα τα παραπάνω πρόσωπα, εφόσον είναι φυσικά πρόσωπα, αποτελούν υποκείμενα δεδομένων. Με βάση τον Κανονισμό, κατά τη λειτουργία και τη δραστηριότητα της επιχείρησης ορίζονται πρόσωπα τα οποία εξασφαλίζουν την προστασία των δεδομένων κατόπιν της επεξεργασίας, τα οποία είναι τα εξής:
- Υπεύθυνος της επεξεργασίας (controller): φυσικό/νομικό πρόσωπο, δημόσια αρχή υπηρεσία ή φορέας που μόνο ή από κοινού με πρωτοβουλία του καθορίζει τους σκοπούς και τον τρόπο επεξεργασίας των δεδομένων με τη σχετική ωφέλεια της επεξεργασίας και την ευθύνη για την κανονιστική συμμόρφωση.
- Εκτελών την επεξεργασία (processor): κατά κανόνα τρίτο φυσικό/νομικό πρόσωπο, δημόσια αρχή υπηρεσία ή φορέας που επεξεργάζεται δεδομένα για λογαριασμό του υπεύθυνου με βάση τις εντολές και τις οδηγίες του, λ.χ. λογιστική επιχείρηση που τηρεί τα βιβλία, ο πάροχος υπηρεσιών φιλοξενίας στο διαδίκτυο της ιστοσελίδας της ξενοδοχειακής επιχείρησης, η εταιρεία βιντεοεπιτήρησης, ακόμα κι οι εργαζόμενοι ως βοηθοί εκπλήρωσης και προστηθέντες του υπεύθυνου.
Οι δύο αυτές κατηγορίες προσώπων ευθύνονται μεταξύ τους αλληλέγγυα και εις ολόκληρον. Εκείνος που θα αποζημιώσει πλήρως τον παθόντα (υποκείμενο των δεδομένων) μπορεί να στραφεί αναγωγικά σε βάρος των υπολοίπων εμπλεκομένων στην ίδια επεξεργασία για την ανάκτηση μέρους της αποζημίωσης που αντιστοιχεί στο μέρος της ευθύνης τους λόγω της ζημίας που προκλήθηκε, όπως προβλέπει τόσο ο Αστικός Κώδικας όσο και το ά. 82 παρ. 5 του Κανονισμού. Επιπρόσθετα, ανάμεσα σε αυτούς παρατηρείται σχέση πρόστησης (ΑΚ 922) με τον κύριο ή προστήσαντα να ευθύνεται για αλλότρια πράξη ανεξαρτήτου υπαιτιότητάς του κατά τα ά. 334, 922 ΑΚ7.
- Υπεύθυνος Προστασίας Δεδομένων (Data Protector Officer-DPO):ορίζεται υποχρεωτικά μόνο στις περιπτώσεις του ά. 37 παρ. 1 του Κανονισμού. Έχει ρόλο διαμεσολαβητικό κι υποστηρικτικό, υποβοηθά τη συμμόρφωση του υπεύθυνου και του εκτελούντος με τον Κανονισμό. Έχει ατομική ευθύνη για την ορθότητα των συμβουλών του, αλλά δε φέρει προσωπική ευθύνη για τη μη συμμόρφωση των λοιπών φορέων με τον Κανονισμό. Μπορεί να είναι είτε εργαζόμενος στην ξενοδοχειακή επιχείρηση (χωρίς να είναι κι εκτελών) είτε τρίτο πρόσωπο που παρέχει ανεξάρτητες υπηρεσίες.
Η κάθε είδους επεξεργασία όλων των δεδομένων που συλλέγονται από μία ξενοδοχειακή επιχείρηση πρέπει να διέπονται από ορισμένες βασικές αρχές(ά. 5):
- Αρχή της νομιμότητας: Νόμιμη και θεμιτή επεξεργασία τηρώντας την αρχή της διαφάνειας με προηγούμενη ενημέρωση στο υποκείμενο. Η επεξεργασία περιλαμβάνει ενέργειες όπως η αποθήκευση, η προσαρμογή, η συλλογή, η αναζήτηση, η διάδοση/διαβίβαση, η χρήση, η διαγραφή κ.ά. με χειροκίνητο ή αυτοματοποιημένο τρόπο8.
- Αρχή του σκοπού: Συλλογή αποκλειστικά για σαφείς και συγκεκριμένους σκοπούς, εκτός αν έχει προηγουμένως το υποκείμενο ενημερωθεί. Ο σκοπός της επεξεργασίας πρέπει να είναι προκαθορισμένος κι εξετάζεται με βάση το περιβάλλον στο οποίο εκτελείται η συμφωνηθείσα υπηρεσία. Η μετάδοση σε τρίτους συνιστά νέο σκοπό κι απαιτείται νέα νομική βάση, όπως αυτές θα αναλυθούν παρακάτω. Ο σκοπός πρέπει να προσδιορίζεται και να περιορίζεται ειδικά στην περίπτωση δευτερεύουσας χρήσης των δεδομένων σε διαφορετικό ξενοδοχείο του ομίλου ή συνεργαζόμενη επιχείρηση. Με βάση το ά. 6 παρ. 4 διαπιστώνεται η συμβατότητα της αρχικής συλλογής με την επακόλουθη για τη νομιμότητά της9.
- Αρχή της ελαχιστοποίησης των δεδομένων ή ορθότερα της συνάφειας: Έκφανση της αρχής της αναλογικότητας και της αναγκαιότητας. Τα δεδομένα πρέπει να είναι συναφή και κατάλληλα προς τους σκοπούς και τα απολύτως αναγκαία της επεξεργασίας για εύλογη χρονική διάρκεια και μετά να τα καταστρέψει, εκτός αν έχει προβεί η επιχείρηση σε τεχνικές, όπως ανωνυμοποίηση ή κρυπτογράφηση, και για λόγους ιστορικότητας ή στατιστικούς.
- Αρχή της ακρίβειας: Τα δεδομένα πρέπει να είναι ακριβή κι όταν δεν είναι να διαγράφονται ή να διορθώνονται με απαραίτητη ορισμένες φορές την επικαιροποίηση. Ο ξενοδόχος έχει την υποχρέωση να φροντίζει τα προσωπικά δεδομένα που συλλέγει, όταν κρίνεται αναγκαίο, να επαληθεύονται10. Έτσι αποφεύγεται η παραπληροφόρηση κι η δυσλειτουργία του ξενοδοχείου.
- Αρχή του περιορισμού της περιόδου αποθήκευσης: Όταν εκπληρωθούν οι σκοποί πρέπει η τήρησή τους να παύει.
- Αρχή της ακεραιότητας και της εμπιστευτικότητας: Η πληροφορία είναι καθαρά προσωπική, οπότε κι ο υπεύθυνος κι ο εκτελών πρέπει να διασφαλίζουν το απόρρητο από εξουσιοδοτημένα πρόσωπα με ασφαλή και νόμιμο τρόπο.
- Αρχή της λογοδοσίας: Αποτελεί νέα προσθήκη. Ο υπεύθυνος πρέπει να αποδείξει τη συμμόρφωση με τον Κανονισμό και την έχει αποκλειστικά ο ξενοδόχος.
Μία ξενοδοχειακή επιχείρηση συλλέγει κι επεξεργάζεται με βάση τις παραπάνω αρχές, με σκοπό να εξυπηρετηθούν οι επιχειρηματικές δραστηριότητές της με την καλύτερη δυνατή φιλοξενία σε πελάτες/υποψήφιους πελάτες που θέλει να κερδίσει την προτίμησή τους και τελικά να υπηρετήσει σκοπούς μάρκετινγκ. Εξαίρεση στις αρχές αυτές, ιδίως του χρονικού περιορισμού αποθήκευσης, σκοπού, ελαχιστοποίησης, είναι οι τεχνικές της ανωνυμοποίησης, κρυπτογράφησης, ψευδωνυμοποίησης για σκοπούς νόμιμης περαιτέρω επεξεργασίας για αρχειοθέτηση, εφόσον πρόκειται για σκοπούς δημόσιου συμφέροντος, επιστημονικούς, ιστορικούς και στατιστικούς, εφόσον εφαρμόζονται τα κατάλληλα τεχνικά μέτρα11.Η επιχείρηση μπορεί να αποστέλλει στατιστικά είτε στο Υπουργείο Τουρισμού είτε στην ΕΛΣΤΑΤ, λ.χ. ημέρες διαμονής, ιθαγένεια επισκεπτών χωρίς να ταυτοποιείται το υποκείμενο.
Η νομιμότητα της επεξεργασίας θεμελιώνεται σε νόμιμες βάσεις (ά. 6-8), καθώς καταρχήν είναι παράνομη κι αίρεται το παράνομο μόνο εφόσον υπάρχει τουλάχιστον ένας από τους έξι λόγους επεξεργασίας του Κανονισμού, καθένας από τους οποίους έχει την ίδια νομική ισχύ κι αξία. Στις ξενοδοχειακές επιχειρήσεις ισχύουν ιδίως οι πέντε από αυτούς:
- Η συγκατάθεση του υποκειμένου: Αφορά σε οποιαδήποτε ένδειξη ελεύθερης βούλησης εν πλήρη επιγνώσει με κάθε σαφή θετική ενέργεια και δήλωση στην επεξεργασία. Προϋποτίθεται η επαρκής ενημέρωση. Καλή πρακτική μίας ξενοδοχειακής επιχείρησης είναι να καταγράφεται η συγκατάθεση σε κάποιο έντυπο ή ηλεκτρονικό μέσο, καθώς φέρει το βάρος απόδειξης στο πλαίσιο λογοδοσίας. Πρέπει να καλύπτει το σύνολο των δραστηριοτήτων κι αν υπάρχουν διαφορετικοί σκοποί απαιτείται διαφορετική συγκατάθεση κι αν μεταβληθεί ο σκοπός αυτή δε θεωρείται έγκυρη. Το υποκείμενο έχει δικαίωμα να ανακαλέσει ελεύθερα εξίσου εύκολα κι οποτεδήποτε τη συγκατάθεσή του, αφού δε σημαίνει ότι με τη συγκατάθεση παραιτείται από το δικαίωμα προστασίας.
Ιδιαίτερη περίπτωση συγκατάθεσης εντοπίζεται στην περίπτωση ανηλικότητας. Ο Κανονισμός θεωρεί σύννομη τη συγκατάθεση ενός ανηλίκου εφόσον είναι τουλάχιστον 16 ετών, δίνοντας ως προς το σημείο αυτό τη δυνατότητα στα κράτη μέλη να μειώσουν το συγκεκριμένο ηλικιακό όριο στο 13ο έτος. Δίχως ειδικότερη νομοθετική διάταξη στην Ελλάδα, ο ξενοδόχος οφείλει, ιδίως στην ιστοσελίδα που διατηρεί, να ζητεί με τη συμπλήρωση του σχετικού τετραγωνιδίου υπεύθυνη δήλωση του πελάτη ότι είναι τουλάχιστον 16 ετών. Προφανώς τούτο είναι δύσκολο να αποδειχθεί στο πλαίσιο μιας ηλεκτρονικής κράτησης, αλλά η ευθύνη του ξενοδόχου εξαντλείται, κατ’ αρχήν, με την παραπάνω δήλωση. Σε περίπτωση βέβαια που από τα λοιπά στοιχεία του αιτούντος την κράτηση προκύπτει η ανηλικότητα του υποψήφιου πελάτη, ο ξενοδόχος οφείλει να καταβάλει «εύλογες προσπάθειες» για να επαληθεύσει ότι υφίσταται συγκατάθεση των εχόντων τη γονική μέριμνα του ανηλίκου (πχ τηλεφωνική επικοινωνία με τους γονείς πριν από την είσοδο του ανηλίκου στο ξενοδοχείο).
- Συμβατική εκτέλεση: Προκειμένου να εκτελεστεί μία σύμβαση της οποίας το υποκείμενο είναι συμβαλλόμενο μέρος ή για τη λήψη μέτρων κατόπιν αιτήσεως πριν από τα σύναψη σύμβασης, η επεξεργασία είναι αναγκαία. Καταλαμβάνονται διάφορες σχέσεις με τουριστικά γραφεία, προμηθευτές, εργαζομένους κ.ά.. Ο ξενοδόχος συλλέγει καταναλώσεις σε bar του ξενοδοχείου, στοιχεία πιστωτικής κάρτας για πληρωμή, υπηρεσίες ενοικίασης αυτοκινήτου. Καλύπτονται μορφές σύμβασης για τις οποίες δεν υπάρχει ρητή συγκατάθεση, αλλά βρίσκονται σε άμεση αιτιώδη συνάφεια με τη σύμβαση διαμονής του πελάτη.
- Συμμόρφωση με νομική υποχρέωση: Σειρά νόμων και διατάξεων επιβάλλουν στον ξενοδόχο την τήρηση συγκεκριμένων υποχρεώσεων. Ένα ξενοδοχείο οφείλει να τηρεί βιβλίο πόρτας βάσει αστυνομικών διατάξεων, πυροσβεστικές, φορολογικές διατάξεις του επιβάλλουν ρητά το πλαίσιο συλλογής χωρίς να απαιτείται η προηγούμενη συγκατάθεση.
- Έννομο συμφέρον: Η αόριστη νομική αυτή έννοια αποτελεί νόμιμη βάση για τον υπεύθυνο ή και με τον τρίτο στον οποίο διαβιβάζονται πληροφορίες, με το ΔΕΕ να κρίνει ότι για την κατάφασή του πρέπει να πληρούνται σωρευτικά 3 προϋποθέσεις, που πρέπει να κρίνονται εξατομικευμένα ανά περίσταση. Στα πλαίσια σχετικής και κατάλληλης σχέσης του ξενοδόχου και του υποκειμένου, η ευλόγως αναμενόμενη επεξεργασία πρέπει να επιδιώκει (σκοπός κι σημασία επεξεργασίας) άμεσο υλικό/ηθικό όφελος στα πλαίσια (δυνητικά) υπαρκτής, ενεστώσας ή μέλλουσας σχέσης με την πράξη αυτή να είναι αναγκαία, όχι όμως απαραίτητα κι ο μοναδικός τρόπος επεξεργασίας, και να μην υπερτερούν θεμελιώδη δικαιώματα κι ελευθερίες του υποκειμένου, κυρίως στην περίπτωση ανηλικότητας.
Χαρακτηριστικό παράδειγμα έννομου συμφέροντος είναι το άμεσο μάρκετινγκ μέσω λίστας με πληροφορίες (π.χ. e-mail) αντλούμενες από δημόσιες πηγές (π.χ. τηλεφωνικοί κατάλογοι, μέσα κοινωνικής δικτύωσης) ή από υφιστάμενο πελατολόγιο, υπό την προϋπόθεση ότι δεν αφορά σε επεξεργασία προσωπικών δεδομένων για συμπεριφορική διαφήμιση (behavioural advertising)12.
- Δημόσιο συμφέρον: Όπως αναφέρθηκε παραπάνω μία ξενοδοχειακή επιχείρηση μπορεί να αποστέλλει στοιχεία στατιστικά στο Υπουργείο Τουρισμού ή στην ΕΛΣΤΑΤ.
Φυσικά ο Κανονισμός θα ήταν ελλιπής αν δεν κατοχύρωνε και τα δικαιώματα των υποκειμένων με τις αντίστοιχες υποχρεώσεις για το υπεύθυνο:
- Το δικαίωμα στην πληροφόρηση/ενημέρωση ως έκφανση της αρχής της διαφάνειας, η οποία πρέπει να προηγείται της επεξεργασίας με σαφήνεια. Μία ξενοδοχειακή επιχείρηση οφείλει να παρέχει σε όλα τα υποκείμενα πληροφορίες αναλυτικά για:
- αν τα δεδομένα του έχουν κοινοποιηθεί σε άλλη ξενοδοχειακή επιχείρηση της ίδιας αλυσίδας, σε ταξιδιωτικά πρακτορεία, ασφαλιστικές εταιρείες
- στοιχεία του υπεύθυνου ή του DPO, αν υπάρχει
- σκοπούς επεξεργασίας και τη νομική βάση αυτής
- τυχόν αποδέκτες των δεδομένων ή τυχόν πρόθεση διαβίβασης σε τρίτη χώρα ή διεθνή οργανισμό
- το χρονικό διάστημα και τα κριτήρια του χρόνου αποθήκευσης των δεδομένων
- τα δικαιώματά του εν γένει όπως αυτά αναλύονται παρακάτω
- το αν οι πληροφορίες λαμβάνονται πρωτογενώς ή από τρίτους π.χ. τουριστικό πράκτορα
- Το δικαίωμα πρόσβασης: το δικαίωμα του υποκειμένου να ζητήσει και να λάβει χωρίς καθυστέρηση πληροφορίες σχετικά με οτιδήποτε αφορά στα δεδομένα του. Η ξενοδοχειακή επιχείρηση οφείλει να επαληθεύει την ταυτότητα του αιτούντος σε κάθε περίπτωση. Δικαίωμα πρόσβασης ασκεί ο εργαζόμενος ζητώντας το εκκαθαριστικό μισθοδοσίας του ή ο πελάτης σε στοιχεία σχετικά με τη διαμονή του.
- Δικαίωμα διόρθωσης: ο υπεύθυνος οφείλει χωρίς αδικαιολόγητη καθυστέρηση να διορθώσει με συμπλήρωση ή διευκρίνιση δεδομένα του υποκειμένου με την προσκόμιση των απαραίτητων δικαιολογητικών.
- Δικαίωμα εναντίωσης/ αντίρρησης/αντίταξης: ανά πάσα στιγμή μπορεί δωρεάν να αρνηθεί την επεξεργασία. Ο ξενοδόχος επιλύει τη διαφορά αποδεικνύοντας νόμιμο λόγο επεξεργασίας, υπέρτερα συμφέροντα ή αδήριτη ανάγκη. Το δικαίωμα αυτό περιλαμβάνει και την εναντίωση σε περίπτωση αυτοματοποιημένης λήψης αποφάσεων/ επεξεργασίας με τη χρήση οποιουδήποτε συστήματος τεχνητής νοημοσύνης, όπως στην περίπτωση πελάτη προγράμματος loyalty ή member card με την δωματίων ενός ξενοδοχείου/ ομίλου, όπου ο πελάτης κατηγοριοποιείται λαμβάνοντας αυτοματοποιημένα τα «θέλω» του.
- Δικαίωμα περιορισμού: συνδέεται με το δικαίωμα εναντίωσης. Το υποκείμενο διαφωνεί εν μέρει με την επεξεργασία ή με επιμέρους στοιχεία αυτής. Επιτρέπεται μόνο η παθητική αποθήκευση των δεδομένων, για όσο διαρκεί η περίοδος περιορισμού για τους λόγους που ορίζονται στο ά. 18. Έχει το χαρακτήρα ασφαλιστικών μέτρων προσωρινής προστασίας με αίτημα αναστολής της επεξεργασίας13, με επικουρικό χαρακτήρα στο πλαίσιο άσκησης δικαιώματος διορθώσεως, διαγραφής, εναντίωσης. Εξαίρεση στην παθητική αποθήκευση οι λόγοι δημόσιου συμφέροντος, προηγούμενη συγκατάθεση και θεμελίωση και προστασία δικαιωμάτων άλλου φυσικού/ νομικού προσώπου.
- Δικαίωμα λήθης/διαγραφής: Αναγνωρίζεται το δικαίωμα στο υποκείμενο να «ξεχαστεί» από τον ψηφιακό κόσμο στις περιπτώσεις του ά. 17, με τις εξαιρέσεις του ά. 17 παρ. 3 του Κανονισμού και του ά. 34 Ν. 4624/2019.
Για πρώτη φορά αναγνωρίστηκε δικαστικά το δικαίωμα με την απόφαση σταθμό του ΔΕΕ στην υπόθεση Google v. Spain, κατά την εξέταση της οποίας το Ευρωπαϊκό Δικαστήριο έκρινε ότι οι Ευρωπαίοι πολίτες έχουν το δικαίωμα να ζητήσουν από τις εμπορικές εταιρείες αναζήτησης, όπως η Google, που συλλέγουν προσωπικές πληροφορίες με σκοπό το κέρδος, να αφαιρούν συνδέσμους με ιδιωτικές πληροφορίες όταν τους ζητηθεί, υπό την προϋπόθεση ότι οι πληροφορίες δεν είναι πια σχετικές με το σκοπό τους. Συγκεκριμένα, ο Ισπανός Mario Costeja Gonzalez υπέβαλε αίτηση διαμαρτυρίας ενώπιον της Ισπανικής Αρχής Προσωπικών Δεδομένων κατά της ισπανικής εφημερίδας “La Vanguardia Ediciones SL”, της “Google Spain SL” κα της “Google Inc” ζητώντας να μην εμφανίζονται πλέον τα προσωπικά του δεδομένα στις σελίδες της εφημερίδας και στα αποτελέσματα αναζήτησης που παρέχει στους χρήστες της η Google, καθώς ο εκπλειστηριασμός της οικίας του λόγω ασφαλιστικών οφειλών είχε ολοκληρωθεί. Η Αρχή δέχτηκε το αίτημα ως προς την Google, αλλά όχι ως προς την εφημερίδα, αφού οι πληροφορίες ήταν νόμιμες κατά τη δημοσίευσή τους. Το Δικαστήριο επιβεβαίωσε την απόφαση της Αρχής κι υποστήριξε τις ελευθερίες του Τύπου, ενώ υποχρέωσε την εταιρεία να διαγράψει δεδομένα που θίγουν τον ιδιώτη με την εμφάνιση αρνητικών πληροφοριών με βάση το όνομά του. Το θεμελιώδες δικαίωμα στην ιδιωτική ζωή είναι μεγαλύτερο από το οικονομικό συμφέρον της εμπορικής εταιρείας και, σε ορισμένες περιπτώσεις, από το δημόσιο συμφέρον στην πρόσβαση των πληροφοριών14.
Δικαίωμα φορητότητας: ο πελάτης έχει την επιλογή να μπορεί να λαμβάνει τα δεδομένα σε ψηφιακό αρχείο (π.χ. usb sticks) ή/και να τα διαβιβάσει σε άλλη επιχείρηση με ασφάλεια κι έλεγχο αυτής της μεταφοράς. Δεν εφαρμόζεται η διάταξη αν τα δεδομένα τηρούνται σε έντυπα αρχεία. Πρέπει να αφορούν μόνο στο ίδιο το υποκείμενο και να μην επηρεάζονται ελευθερίες τρίτων.
- Δικαίωμα καταγγελίας στην Εποπτική Αρχή. Στην Ελλάδα η αρχή αυτή είναι η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ). Στην πολιτική κάθε επιχείρησης πρέπει να αναγράφεται το εν λόγω δικαίωμα.
Όλα τα παραπάνω μπορούν να ασκηθούν ηλεκτρονικά μέσω ειδικά σχεδιασμένης φόρμας στην ιστοσελίδα του ξενοδοχείου, σε όσες επιχειρήσεις διαθέτουν τη φόρμα αυτή, είτε μέσω e-mail και πρέπει να ληφθεί απάντηση εντός 30 ημερών. Αν δεν είναι δυνατή η ικανοποίηση του αιτήματος, η επιχείρηση οφείλει να ενημερώσει για τους λόγους μη ικανοποίησης. Αν δε ληφθεί απάντηση το υποκείμενο μπορεί να απευθυνθεί στην ΑΠΔΠΧ. Καταρχήν η άσκηση των παραπάνω δικαιωμάτων είναι δωρεάν, εκτός αν το αίτημα είναι καταχρηστικό ή αβάσιμο ή έχει ήδη απαντηθεί ή απαιτεί δυσανάλογη προσπάθεια. Ο υπεύθυνος τότε μπορεί να επιβάλει ένα εύλογο τέλος ή να μην προχωρήσει σε περαιτέρω ενέργειες.
Όλα τα παραπάνω δικαιώματα αποτελούν τον κανόνα, με τον περιορισμό άσκησής τους να είναι η εξαίρεση για συγκεκριμένους λόγους, οι οποίοι πρέπει να ερμηνεύονται στενά. Οι λόγοι αυτοί συγκεντρώνεται στους εξής:
- Η αναγκαιότητα επεξεργασίας για τη σύναψη της σύμβασης
- Ρητή συγκατάθεση υποκειμένου
- Προσβολή δικαιωμάτων κι ελευθεριών τρίτων
- Εκπλήρωση καθήκοντος προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας από τον υπεύθυνο επεξεργασίας
- Η επεξεργασία επιτρέπεται από το Ευρωπαϊκό/ Εθνικό δίκαιο στο οποίο υπόκειται ο υπεύθυνος
- Κρατική- δημόσια ασφάλεια
- Εθνική άμυνα
- Διασφάλιση ανεξαρτησίας της δικαιοσύνης
- Εκπλήρωση αστικών αξιώσεων
- Δημόσιο συμφέρον κράτους-μέλους της ΕΕ
- Πρόληψη, διερεύνηση και δίωξη ποινικών αδικημάτων και παραβάσεων δεοντολογίας επί νομοθετικών κατοχυρωμένων επαγγελμάτων
- Γενικότερο δημόσιο συμφέρον για λόγους λ.χ. φορολογικούς, κοινωνικής ασφάλισης, δημόσιας υγείας αλλά κι εκπλήρωσης στατιστικών σκοπών, επιστημονικής κι ιστορικής μελέτης (ά. 29, 30 Ν. 4624/2019).
Η αρχή της λογοδοσίας του υπεύθυνου επεξεργασίας, που αναφέρθηκε ήδη, για να εφαρμοστεί θα πρέπει προηγουμένως ο υπεύθυνος να έχει λάβει απαιτούμενα μέτρα και πολιτικές που να διασφαλίζουν τη συμμόρφωση του με όλες τις διατάξεις του Κανονισμού, ώστε να μπορέσει να επιδείξει αντικείμενο απόδειξης ενώπιον δικαστικών ή εποπτικών αρχών, αν απαιτηθεί. Αυτό επιτυγχάνεται με την εξής διαδικασία:
Αρχικό στάδιο αποτελεί η αξιολόγηση του κινδύνου. Η ξενοδοχειακή επιχείρηση θα πρέπει να είναι σε θέση να αξιολογήσει πριν από την έναρξη λειτουργίας της ήδη από το σχεδιασμό (privacy by design)15 τους κινδύνους που ελλοχεύουν από τις εργασίες που εκτελούν για τον εντοπισμό, διαχείριση και μετριασμό των επιπτώσεων. Στην περίπτωση που διαγιγνώσκεται υψηλός κίνδυνος πρέπει να επακολουθήσει υποχρεωτικά η διενέργεια εκτίμησης επιπτώσεων/ αντικτύπου των πράξεων εκ των προτέρων και το εξετασθεί το ενδεχόμενο διαβούλευσης με την εποπτική αρχή16. Εκτιμάται γενικά ο κίνδυνος στα πληροφοριακά συστήματα, στα λογισμικά και συστήματα ασφαλείας. Η μελέτη αυτή, αν λάβει χώρα, γίνεται κατόπιν μιας ολοκληρωμένης και διαρκώς επικαιροποιημένης χαρτογράφησης των διαδικασιών. Ανάγκη τέτοιας μελέτης ανακύπτει αν ζητούνται ευαίσθητα προσωπικά δεδομένα υγείας, όπως αλλεργίες ή ασθένειες, αν ζητούνται στο πλαίσιο συμπλήρωσης στοιχείων για έκδοση loyalty cards ή συμμετοχής σε πρόγραμμα ειδικών παροχών. Δεδομένα κίνησης συγκεντρώνονται στα σημερινά smart hotels με τη χρήση smartphones που παρέχονται από το ξενοδοχείο, καθώς και μέσω της χρήσης κλειδιών- βραχιολιών.
Ακολουθεί η διαδικασία ανάλυσης των ελλείψεων και των κινδύνων σε μία έκθεση κι ο ανασχεδιασμός των πολιτικών και διαδικασιών. Προκειμένου να αντιμετωπισθούν οι κίνδυνοι αυτοί απαιτείται να προβεί η επιχείρηση σε τεχνικά κι οργανωτικά μέτρα, στα οποία συγκαταλέγονται οι τεχνικές κρυπτογράφησης, ψευδωνυμοποίησης, η πολιτική ασφαλείας που αναρτάται στην ιστοσελίδα της επιχείρησης, η βιντεοεπιτήρηση (για την οποία απαιτείται μελέτη εκτίμησης αντικτύπου), η πολιτική διαχείρισης περιστατικού παραβίασης πολύ πριν αυτό συμβεί, η πολιτική των cookies, με τη σύνταξη κατάλληλων κειμένων για την αποτύπωσή τους. Επιπλέον, οι επιχειρήσεις τουρισμού και ξενίας λόγω της καθημερινής συλλογής και μεγάλου όγκου αποθήκευσης δεδομένων, πρέπει να διασφαλίζουν ότι οι συσκευές που χρησιμοποιούν για τα οικονομικά δεδομένα με συστήματα ελέγχου ταυτότητας δύο παραγόντων για αποτροπή επιθέσεων κακόβουλων λογισμικών.
Να σημειωθεί ότι συγκεκριμένα το μέτρο της βιντεοεπιτήρησης (CCTV) πραγματοποιείται αποκλειστικά για την προστασία προσώπων και αγαθών σε περιπτώσεις που η επιχείρηση δεν δύναται να τη διασφαλίσει με ηπιότερα μέσα, όπως επί παραδείγματι με την πρόσληψη προσωπικού φύλαξης, εάν η ίδια κρίνει ότι αυτή η δαπάνη θα ήταν επιζήμια για τα οικονομικά της. Η Εποπτική Αρχή έχει δημοσιεύσει την 1/2011 Οδηγία17, η οποία μελετάται συνδυαστικά με τις με αρ. 2/2020 Συστάσεις18. Ειδικότερα για τα ξενοδοχεία, η Οδηγία κάνει λόγο στο ά. 1719. Το υποκείμενο πρέπει να ενημερώνεται για τη συλλογή δεδομένων με τον τρόπο αυτό στους χώρους με χρήση ευδιάκριτων προειδοποιητικών πινακίδων σε όλα τα πιθανά σημεία εισόδου στον επιτηρούμενο χώρο και είτε μέσω της Πολιτικής που ακολουθεί η επιχείρηση είτε με τη σύνταξη ειδικότερου εγγράφου αναλυτικής ενημέρωσης σχετικά με την επεξεργασία αυτή.
Βασικά βήματα για τη συμμόρφωση είναι η εκπαίδευση και τακτική επανεκπαίδευση μέσω σεμιναρίων του προσωπικού κι όλων των μελών της διοίκησης μίας ξενοδοχειακής επιχείρησης, ώστε να είναι σε θέση να γνωρίζουν τις επιπτώσεις περί μη συμμόρφωσης, ποια δεδομένα και πώς αυτά πρέπει να συλλέγονται, να ελαχιστοποιούν την επεξεργασία και να διαθέτουν ορθά έγγραφα.
Στη συμμόρφωση με τον Κανονισμό συμβάλλει κι ο υπεύθυνος προστασίας δεδομένων, ο οποίος αν κι ορίζεται (όποτε απαιτείται) από τον υπεύθυνο επεξεργασίας, δε λαμβάνει οδηγίες από αυτόν. Ο θεσμικός αυτός ρόλος υποβοηθά κι ελέγχει τη συμμόρφωση με τον Κανονισμό της πολιτικής της επιχείρησης, ενώ τηρεί αρχείο δραστηριοτήτων του υπεύθυνου επεξεργασίας ως απόδειξη στο πλαίσιο της αρχής της λογοδοσίας.
Όσον αφορά στο κυρωτικό πλαίσιο του Κανονισμού, διασφαλίζεται πρόσβαση τόσο σε δικαστικές όσο και σε αρμόδια εποπτική αρχή, με το υποκείμενο το ίδιο ή συλλογικοί φορείς στους οποίους έδωσε εντολή το υποκείμενο ή φορείς αυτοί ανεξάρτητα να μπορούν να στραφούν α) δικαστικά είτε στον τόπο εγκατάστασης του υπεύθυνου επεξεργασίας ή του εκτελούντος είτε στο δικό τους τόπο διαμονής και β) στην αρμόδια εποπτική αρχή του τόπου κατοικίας, εργασίας τους ή της παράβασης και σε οποιαδήποτε εποπτική αρχή κράτους- μέλους.
Προβλέπονται διοικητικές-κι όχι πλέον με τον ισχύοντα Κανονισμό και ποινικές- κυρώσεις χωρίς διάκριση ανάμεσα σε μικρές ή μεγάλες επιχειρήσεις για το ύψος των προστίμων, το οποίο ελέγχεται δικαστικά με αίτηση ακύρωσης ενώπιον του ΣτΕ. Τα πρόστιμα και τα διορθωτικά μέτρα καθορίζονται από τις ΑΠΔΠΧ, με εξαίρεση τη Δανία και την Εσθονία στις οποίες το νομικό σύστημα τους δεν επιτρέπει στις ΑΠΔΠΧ να ορίζουν πρόστιμα.
Εφαρμόζεται η αρχή της αναλογικότητας και της απορρόφησης, καθώς δε σωρεύονται οι κυρώσεις, αλλά η σοβαρότερη παράβαση καθορίζει το πρόστιμο σε συνδυασμό με τον αριθμό των παραβάσεων. Το υποκείμενο των κυρώσεων (υπεύθυνος επεξεργασίας κι εκτελών) μπορεί να απαλλαχθεί μόνο αν αποδείξει ότι η παράβαση οφείλεται σε κάποιο γεγονός τυχηρό ή ανωτέρας βίας (νόθος αντικειμενική ευθύνη).
Συμπερασματικά, μία ξενοδοχειακή επιχείρηση δέχεται πλήθος δεδομένων διάφορων υποκειμένων κι οφείλει να λαμβάνει τα απαραίτητα μέτρα συμμόρφωσης τόσο για τα ίδια τα υποκείμενα όσο και για την ίδια, καθώς με τον τρόπο αυτό κερδίζει την εμπιστοσύνη των πελατών και των υποψήφιων πελατών της, επιβιώνοντας στο σκληρό ανταγωνισμό του κλάδου αυτού.
- 1. Ακριβοπούλου Χ. (2011) «Το δικαίωμα στην προστασία των προσωπικών δεδομένων μέσα από το φακό του δικαιώματος στην ιδιωτική ζωή», Θεωρία και Πράξη Διοικητικού Δικαίου
- 2. https://www.europarl.europa.eu/charter/pdf/text_el.pdf
- 3. Κανέλλος Λ.(2020), «THE GDPR HANDBOOK Για DPOs, Επιχειρήσεις & Οργανισμούς»
- 4. https://www.athinorama.gr/travel/3018612/meletes-insete-sto-115-tou-aep-... amesi-suneisfora-tou-tourismou-to-2022/
- 5. Χατζηβασίλη Α. (2016) «Νομική φύση της σύμβασης ξενίας - Εφαρμοστέοι Kανόνες», Νομική Σχολή Α.Π.Θ / https://www.academia.edu/42894292/Σύμβαση_Ξενίας
- 6. Αχιλλέα Κουτσουράδη (2007) «Η Ξενοδοχειακή σύμβαση (HotelContract)» Ιόνιος Επιθεώρηση Δικαίου 2001
- 7. Γεωργιάδης Γ. (2010) Ερμηνεία άρθρου 334 ΑΚ. Σε Γεωργιάδης Α. Σύντομη Ερμηνεία Αστικού Κώδικα (ΣΕΑΚ), Δίκαιο & Οικονομία ΠΝ Σάκκουλας, Αθήνα
- 8. Ευρωπαϊκή Επιτροπή - European Commission. 2022. Τι αποτελεί επεξεργασία δεδομένων; https://ec.europa.eu/info/law/law-topic/data-protection/reform/what-cons... data-processing_el
- 9. Μήτρου Λ (2004) Προστασία Προσωπικών Δεδομένων σε Κάτσικας/Γκρίτζαλης Σ/Γκρίτζαλης Δ (επιμ)Ασφάλεια Πληροφοριακών συστημάτων, Αθήνα
- 10. Ξενοδοχειακό Επιμελητήριο Ελλάδος (ΞΕΕ) , 2020 «Κατευθυντήριες Οδηγίες για την Εφαρμογή του Κανονισμού Προστασίας Προσωπικών Δεδομένων στα Ξενοδοχεία και Καμπινγκ»
- 11. Βενέρης Α., (2019) Ο περιορισμός του δικαιώματος στον περιορισμό της επεξεργασίας: «ειδική» βάση επεξεργασίας δεδομένων προσωπικού χαρακτήρα για λόγους σημαντικού δημόσιου συμφέροντος, Δίκαιο Μέσων Ενημέρωσης και Επικοινωνίας
- 12. (14)https://edpb.europa.eu/news/news/2023/edpb-urgent-binding-decision-proce... personal-data-behavioural-advertising-meta_en
- 13. Μήτρου Λ. «Ο Γενικός Κανονισμός Προστασίας Προσωπικών Δεδομένων»,Αθήνα- Θεσσαλονίκη,Εκδόσεις Σάκκουλα
- 14. https://homodigitalis.gr/en/posts/2900/
- 15. https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_2...
- 16. Ζωγραφόπουλος, Δ. (2017). Υποχρέωση διενέργειας εκτίμησης αντικτύπου (Dataprotectionimpactassessment-DPIA) στο Γενικό Κανονισμό για την Προστασία Δεδομένων
- 17. https://www.dpa.gr/el/enimerwtiko/prakseisArxis/hrisi-systimaton-binteoe... tin-prostasia-prosopon-kai-agathon
- 18. https://www.dpa.gr/el/enimerwtiko/prakseisArxis/systaseis-ypodeigmata-gi... ikanopoiisi-toy-dikaiomatos-enimerosis-kata
- 19. (23)https://www.lawspot.gr/nomikes-plirofories/nomothesia/odigia-1-2011-tis-... prostasias-dedomenon-prosopikoy-haraktira