του Νικόλα Κανελλόπουλου (*)
O Ευρωπαϊκός Κανονισμός “GDPR” για την Προστασία Προσωπικών Δεδομένων τίθεται σε πλήρη εφαρμογή από την 25η Μαΐου 2018 και επηρεάζει όλες τις επιχειρήσεις που παρέχουν υπηρεσίες στην Ευρωπαϊκή Ένωση καθώς και όλες τις επιχειρήσεις οπουδήποτε και εάν εδρεύουν εφόσον διαχειρίζονται προσωπικά δεδομένα κατοίκων της Ευρωπαϊκής Ένωσης.
Το ευρύτατο πεδίο εφαρμογής του, συνδυάζεται με βαρύτατα πρόστιμα έως και 20 εκατομμύρια ευρώ ή το 4 % του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών (ανάλογα ποιο είναι υψηλότερο), ενώ συγχρόνως, όσες επιχειρήσεις επιλέξουν να μη λάβουν μέτρα συμμόρφωσης σταδιακά θα αποκλείονται από σοβαρές συνεργασίες καθώς τα πρόστιμα μπορούν πλέον να επιβληθούν και στις συνεργαζόμενες επιχειρήσεις.
Αυτό που επιδιώκει ο GDPR είναι η ριζική αλλαγή της νοοτροπίας διαχείρισης προσωπικών δεδομένων και η διαμόρφωση αυστηρής κουλτούρας προστασίας τους. Όπως αναφέρθηκε ο Κανονισμός αφορά σε όλο τον ιδιωτικό και δημόσιο τομέα, ωστόσο όπως αποδεικνύεται από έρευνες σχετικά με το δείκτη επικινδυνότητας που παρουσιάζουν ορισμένοι τομείς της οικονομίας, οι ξενοδοχειακές επιχειρήσεις βρίσκονται σε πολύ υψηλή κατάταξη, εξαιτίας του ότι εκτίθενται σε πολλαπλούς κινδύνους. Σε σχετικές μελέτες μάλιστα του 2016, ο κλάδος της φιλοξενίας βρέθηκε στη δεύτερη θέση περιστατικών παραβίασης προσωπικών δεδομένων στον κυβερνοχώρο. Ο όγκος των προσωπικών δεδομένων πελατών που διαχειρίζονται, οι πολυάριθμες πηγές από τις οποίες συλλέγονται τα δεδομένα αυτά (λ.χ. τα συστήματα κρατήσεων του ξενοδοχείου ή τρίτων, η ιστοσελίδα, τα τηλέφωνα, τα ηλεκτρονικά μηνύματα), οι συναλλαγές με κάρτες πληρωμής, η συνδιαλλαγή με πολλούς εξωτερικούς συνεργάτες (Third – Parties), η πληθώρα των εμπλεκόμενων πληροφορικών συστημάτων και εφαρμογών, η συλλογή και φύλαξη ευαίσθητων δεδομένων των πελατών για την παροχή πιο προσωποποιημένων υπηρεσιών στη βάση στοχευμένου μάρκετινγκ είναι μόνο ορισμένες από τις δραστηριότητες που καθιστούν μια ξενοδοχειακή μονάδα περισσότερο ευάλωτη σε επεξεργασίες υψηλού κινδύνου και ως εκ τούτου αντιμέτωπη με αυξημένες υποχρεώσεις, προς το σκοπό αποφυγής των δυσθεώρητων κυρώσεων.
Η διαδικασία συμμόρφωσης δεν είναι απλοϊκή. Ειδικότερα, για τις ξενοδοχειακές επιχειρήσεις ένα από τα πρώτα και βασικά βήματα είναι η δημιουργία ‘‘χάρτη’’ προσωπικών δεδομένων και η καταγραφή των υφιστάμενων διαδικασιών επεξεργασίας καθώς και των αποκλίσεων τους από τις επιταγές του Κανονισμού. Περαιτέρω, η κατάλληλη εκπαίδευση του προσωπικού σχετικά με τα προσωπικά δεδομένα και τη διαχείριση αυτών είναι επιβεβλημένη διότι οι εργαζόμενοι βρίσκονται στην πρώτη γραμμή εφαρμογής του Κανονισμού και μπορούν είτε να προστατεύσουν, είτε να θέσουν σε σημαντικό κίνδυνο ακόμα και τον πιο καλά δομημένο οργανισμό. Ιδιαίτερη σημασία οφείλουν να επιδείξουν οι τουριστικές επιχειρήσεις στη συναίνεση που πρέπει να χορηγείται από τα υποκείμενα των δεδομένων για κάθε σκοπό επεξεργασίας με επίκεντρο την τροποποίηση των σχετικών εντύπων συναίνεσης. Η γνωστοποίηση των δικαιωμάτων των υποκειμένων των δεδομένων και η δημιουργία μηχανισμών ικανοποίησης τους είναι πλέον πρώτη προτεραιότητα. Επιπροσθέτως, είναι αναγκαίος ο ανασχεδιασμός ορισμένων βασικών δραστηριοτήτων των τουριστικών επιχειρήσεων, όπως η αποστολή ενημερωτικών email (newsletters) και η κατάρτιση του προφίλ των πελατών για την επίτευξη σκοπών μάρκετινγκ, έτσι ώστε να διεξάγονται σύμφωνα με τον Κανονισμό. Επίσης, απαιτείται έλεγχος των υφιστάμενων συμβάσεων για το βαθμό συμμόρφωσης των εργολάβων συνεργατών της επιχείρησης με το GDPR και η ενσωμάτωση των οικείων προβλέψεων στα συμβατικά κείμενα. Τέλος, η πολυπλοκότητα των επεξεργασιών που διενεργούν οι ξενοδοχειακές επιχειρήσεις και η έκθεση τους σε επεξεργασίες υψηλού κινδύνου, οδηγεί στη σκέψη ότι ο ορισμός Υπεύθυνου Προστασίας Δεδομένων (DPO), ακόμη κι αν θεωρηθεί μη υποχρεωτικός, αποτελεί βέλτιστη πρακτική και τεκμήριο συμμόρφωσης με τον Κανονισμό.
Το νέο πλέγμα διευρυμένης προστασίας των προσωπικών δεδομένων επηρεάζει άμεσα τις επιχειρήσεις, οι οποίες σε περίπτωση που συμμορφωθούν με τις επιταγές του GDPR αποκτούν ηχηρό ανταγωνιστικό πλεονέκτημα στην αγορά. Δεδομένης δε, της εξέλιξης της τεχνολογίας και της ροής της πληροφορίας όλες οι επιχειρήσεις πρέπει να συνεκτιμήσουν ότι η συστηματική πλέον προστασία των προσωπικών δεδομένων δεν αποτελεί μια τάση των καιρών αλλά ήρθε για να μείνει.
(*) Ο κ. Ν. Κανελλόπουλος είναι Αντιπρόεδρος του Συνδέσμου Δικηγορικών Εταιρειών Ελλάδος και Διευθύνων Εταίρος της «Νικόλας Κανελλόπουλος – Χαρά Ζέρβα & Συνεργάτες Δικηγορική Εταιρεία».
