Λίγες μέρες απομένουν μέχρι να τεθεί σε πλήρη εφαρμογή ο Ευρωπαϊκός Κανονισμός Προστασίας Προσωπικών Δεδομένων, γνωστός ως GDPR, ο οποίος από την 25.5.2018 εφαρμόζεται καταργώντας το υφιστάμενο νομικό πλαίσιο.
Ο GDPR επηρεάζει όλες τις επιχειρήσεις που προσφέρουν υπηρεσίες και συναλλάσσονται με ευρωπαίους πολίτες θεσπίζοντας καινούριες υποχρεώσεις για αυτές και δικαιώματα για τα φυσικά πρόσωπα των οποίων τα προσωπικά δεδομένα υφίστανται επεξεργασία.
Η διαπίστωση μη συμμόρφωσης στις απαιτήσεις του Κανονισμού συνεπάγεται βαρύτατα πρόστιμα έως και 20 εκατομμύρια ευρώ ή το 4 % του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών (ανάλογα ποιο είναι υψηλότερο). Αρμόδια αρχή για τον έλεγχο συμμόρφωσης είναι η Αρχή Προστασίας Προσωπικών Δεδομένων η οποία είτε αυτεπαγγέλτως είτε κατόπιν καταγγελίας θα διενεργεί τους σχετικούς ελέγχους.
Ο Κανονισμός δεν περιέχει συγκεκριμένα βήματα που πρέπει να ακολουθήσουν οι επιχειρήσεις και η συμμόρφωση διαφέρει ανάλογα με την υφιστάμενη κατάσταση της κάθε επιχείρησης, ωστόσο ειδικά για τις τουριστικές επιχειρήσεις τα αμέσως επόμενα βήματα είναι απαραίτητα:
1./ Δημιουργία ενός χάρτη επεξεργασίας δραστηριοτήτων. Πρόκειται για ένα αρχείο το οποίο περιέχει τη ροή των προσωπικών δεδομένων σε κάθε τμήμα της επιχείρησης. Πως εισάγονται στην επιχείρηση, ποιος τα επεξεργάζεται, που αποθηκεύονται, σε ποιόν διαβιβάζονται κοκ.
2./Εντοπισμός όλων των περιοχών υψηλού ρίσκου, διεξαγωγή εκτίμησης αντικτύπου ιδιωτικότητας (DPIA) και διαβούλευση με την Αρχή Προστασίας Προσωπικών Δεδομένων σε περίπτωση που υφίσταται κίνδυνος για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων από την εν λόγω επεξεργασία. Τέτοια επεξεργασία αποτελεί για παράδειγμα η καταγραφή προσώπων μέσω κλειστού κυκλώματος παρακολούθησης (CCTV).
3./ Τροποποίηση των συμβάσεων με τα τρίτα μέρη/συνεργάτες με τους οποίους γίνεται οποιαδήποτε είδους διαβίβαση προσωπικών δεδομένων. Oι τουριστικές επιχειρήσεις συχνά διαμοιράζονται προσωπικά δεδομένα με τρίτους όπως για παράδειγμα με ταξιδιωτικούς πράκτορες ή με τρίτες εταιρίες που συντηρούν τα ηλεκτρονικά τους συστήματα και συνεπώς έχουν πρόσβαση σε αυτά. Οι συμβάσεις αυτές πρέπει να περιλαμβάνουν ειδικότερους όρους προστασίας προσωπικών δεδομένων σύμφωνα με τον GDPR.
4./ Αξιολόγηση των ανωτέρω αναφερόμενων συνεργατών και έλεγχος για το εάν έχουν λάβει ή όχι μέτρα συμμόρφωσης με τον GDPR. Εφεξής, όλοι οι συνεργάτες στους οποίους γίνεται οποιουδήποτε είδους διαβίβαση προσωπικών δεδομένων πρέπει να αποδεικνύουν ότι συμμορφώνονται με τις επιταγές του Κανονισμού.
5./ Τροποποίηση ή δημιουργία όλων των εντύπων συναίνεσης των υποκειμένων των δεδομένων. Για παράδειγμα η κάρτα εγγραφής του πελάτη πρέπει να τροποποιηθεί ώστε να χορηγεί τη ρητή του συναίνεση για κάθε σκοπό επεξεργασίας των προσωπικών του δεδομένων. Αυτό επηρεάζει ιδιαίτερα το marketing, καθώς πρέπει να διασφαλίζεται ότι ο πελάτης έχει δώσει τη ρητή συναίνεση του για να λαμβάνει περαιτέρω επικοινωνία και προωθητικές ενέργειες.
6./ Εντοπισμός όλων των σκοπών επεξεργασίας για τους οποίους απαιτείται ενημέρωση των υποκειμένων των δεδομένων και δημιουργία των σχετικών ενημερώσεων λ.χ. ενημερωτική πινακίδα για τις κάμερες, πολιτική απορρήτου στην ιστοσελίδα.
7./ Δημιουργία πολιτικών και διαδικασιών σχετικά με τα προσωπικά δεδομένα λ.χ. πολιτική για τον χρόνο τήρησης προσωπικών δεδομένων, διαδικασία για την παραβίαση προσωπικών δεδομένων.
8./ Εκπαίδευση και ευαισθητοποίηση του προσωπικού καθώς θα κληθεί να εφαρμόσει όλες τις πολιτικές και διαδικασίες. Η επιτυχία προσαρμογής στα νέα μέτρα προστασίας προσωπικών δεδομένων είναι αδύνατη χωρίς την κατάλληλη εκπαίδευση του προσωπικού, καθώς ακόμα και αν η επιχείρηση εφαρμόζει τα ποιο προστατευμένα ηλεκτρονικά συστήματα όλα καθίστανται διαβλητά από ένα απλό ανθρώπινο λάθος.
9./ Ελαχιστοποίηση των προσωπικών δεδομένων στα απολύτως αναγκαία και καταστροφή όσων δεδομένων τηρούνται για μεγάλο χρονικό διάστημα χωρίς νόμιμη βάση. Επίσης, σε κάποιες περιπτώσεις συνίσταται η εφαρμογή τεχνικών ψευδωνυμοποίησης και ανωνυμοποίησης των προσωπικών δεδομένων αν απαιτείται η τήρηση τους για μεγαλύτερο χρονικό διάστημα.
10./ Δημιουργία μιας ομάδας προστασίας προσωπικών δεδομένων η οποία, σε περίπτωση που η επιχείρηση ορίσει, θα κατευθύνεται από τις οδηγίες του Υπεύθυνου Προστασίας Δεδομένων (DPO).
Οι τουριστικές επιχειρήσεις διαχειρίζονται μεγάλο όγκο προσωπικών δεδομένων τα οποία συλλέγονται από πολλές διαφορετικές πηγές, συχνά δε επεξεργάζονται ευαίσθητα προσωπικά δεδομένα όπως αλλεργίες των πελατών και ορισμένα δεδομένα υγείας τους, χρησιμοποιούν πολλά διαφορετικά συστήματα και προσωπικό το οποίο σε μεγάλο βαθμό ανανεώνεται κάθε χρονιά. Τα ανωτέρω απαιτούν μεγαλύτερη προσπάθεια για την επίτευξη συμμόρφωσης με τον GDPR και τη δημιουργία ισχυρών δομών πάνω στις οποίες θα κληθεί να λειτουργήσει το προσωπικό. Τα αναφερόμενα βήματα πρέπει να προσαρμοστούν στις δομές και ανάγκες της εκάστοτε επιχείρησης και αποτελούν μόνο την αρχή. Για τη δημιουργία μιας νέας κουλτούρας και για την επίτευξη ουσιαστικής συμμόρφωσης δεν αρκεί η ολοκλήρωση αυτών διεκπαιρεωτικά, αλλά η συνεχής επικαιροποίηση τους και η ουσιαστική εφαρμογή αυτών στην καθημερινή λειτουργία της επιχείρησης.
Νικόλας Κανελλόπουλος
Αντιπρόεδρος Συνδέσμου Δικηγορικών Εταιρειών Ελλάδος,
Διευθύνων Εταίρος της «Νικόλας Κανελλόπουλος – Χαρά Ζέρβα & Συνεργάτες Δικηγορική Εταιρεία»
