ING Ingenious GDPR logo

Γενικός Κανονισμός Προστασίας Προσωπικών Δεδομένων ( GDPR ) Για Ξενοδοχεία

Προ ολίγων μηνών απασχόλησε έντονα την επικαιρότητα η είδηση, ότι ιδιοκτήτης τουριστικού καταλύματος φέρεται να τοποθέτησε κάμερες εντός δωματίου, καταγράφοντας προσωπικές στιγμές ενός ζευγαριού. Με αφορμή λοιπόν το παραπάνω γεγονός, θα επιχειρήσουμε να καταγράψουμε το ισχύον μετά την ψήφιση του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR) νομικό πλαίσιο για την επεξεργασία προσωπικών δεδομένων στον κλάδο του τουρισμού, συμπεριλαμβανομένης φυσικά της χρήσης συστημάτων βιντεοεπιτήρησης, αλλά και να αναδείξουμε τα σημαντικά, κατά τη γνώμη του γράφοντος, οφέλη που μπορεί να αποκομίσει μία τουριστική επιχείρηση που έχει συμμορφωθεί με τις διατάξεις του. 

Εισαγωγικές παρατηρήσεις

Ως γνωστόν, ο Γενικός Κανονισμός Προστασίας Δεδομένων (GDPR) τέθηκε σε ισχύ την 25-5-2018, με σκοπό τη διαμόρφωση ενός ενιαίου θεσμικού πλαισίου για την προστασία των δεδομένων προσωπικού χαρακτήρα σε όλα τα κράτη μέλη της Ε.Ε.. Στο ρυθμιστικό πεδίο του Κανονισμού εμπίπτουν όλες οι επιχειρήσεις που επεξεργάζονται προσωπικά δεδομένα πολιτών της Ε.Ε., ανεξάρτητα από το αν εδρεύουν στην εδαφική της επικράτεια ή όχι. Ως Κανονισμός της Ευρωπαϊκής Ένωσης μάλιστα, ο GDPR είναι μία δεσμευτική νομοθετική πράξη, η εφαρμογή της οποία είναι άμεσα υποχρεωτική σε όλα τα κράτη μέλη της Ένωσης, χωρίς να χρειάζεται να προηγηθεί ενσωμάτωσή της στην εθνική τους νομοθεσία, όπως συμβαίνει με τις Οδηγίες.  

Με βάση τις διατυπώσεις του GDPR, ως «Υπεύθυνος Επεξεργασίας δεδομένων» λογίζεται το φυσικό ή το νομικό πρόσωπο που καθορίζει τους σκοπούς και τον τρόπο επεξεργασίας των δεδομένων προσωπικού χαρακτήρα. Στην πράξη, η οντότητα στην οποία αποδίδεται η ιδιότητα του  Υπεύθυνου Επεξεργασίας φέρει την ευθύνη της συμμόρφωσης με τον GDPR, αλλά και της απόδειξής της, σύμφωνα με την αρχή της λογοδοσίας. Τούτο σημαίνει, ότι ο Υπεύθυνος Επεξεργασίας, δηλαδή η εκάστοτε  επιχείρηση ή Οργανισμός θα πρέπει όχι μόνο να συμμορφώνεται με τον GDPR, αλλά είναι και σε θέση να αποδείξει τη συμμόρφωσή αυτή, προκειμένου να αποφύγει την επιβολή διοικητικού προστίμου για παραβίαση των διατάξεων του Κανονισμού. 

Ο ξενοδοχειακός κλάδος 

Όπως συνάγεται από τα παραπάνω, η συμμόρφωση με τον GDPR είναι υποχρεωτική για τη συντριπτική πλειοψηφία των επιχειρήσεων της χώρας. Αναμφίβολα, ένας από τους κλάδους που επηρεάζεται περισσότερο από την εφαρμογή του GDPR στη χώρα μας, ενόψει της αθρόας προσέλευσης τουριστών ιδίως τους θερινούς μήνες, είναι αυτός των επιχειρήσεων παροχής υπηρεσιών διαμονής, άλλως πως των ξενοδοχείων. Ως εκ τούτου, η εφαρμογή του GDPR στο συγκεκριμένο κλάδο αποτελεί ένα σημαντικό ζήτημα, το οποίο θα μας απασχολήσει στο παρόν. 

Αρχικά, βάσει όσων σημειώθηκαν ευθύς ανωτέρω, οι ξενοδοχειακές επιχειρήσεις, ανεξάρτητα από τη νομική τους μορφή, δηλαδή αν πρόκειται για ατομικές επιχειρήσεις, προσωπικές ή κεφαλαιουχικές εταιρείες, αλλά και το μέγεθός τους (μεμονωμένες ξενοδοχειακές μονάδες ή αλυσίδες) εμπίπτουν στο πεδίο εφαρμογής του Κανονισμού και φέρουν την ιδιότητα του Υπεύθυνου Επεξεργασίας σε σχέση με τα προσωπικά δεδομένα των πελατών, των υπαλλήλων, αλλά και των προμηθευτών τους. Στο σημείο αυτό θα πρέπει να επισημάνουμε ακόμη, ότι στο πεδίο εφαρμογής του GDPR εμπίπτουν, τόσο τα ηλεκτρονικά, όσο και τα φυσικά αρχεία δεδομένων προσωπικού χαρακτήρα, αλλά και κάθε επεξεργασία προσωπικών δεδομένων, ανεξάρτητα από το αν πραγματοποιείται με ηλεκτρονικά, αυτοματοποιημένα ή χειροκίνητα μέσα. Τούτο έχει ιδιαίτερη σημασία στον ξενοδοχειακό κλάδο, δεδομένου ότι ακόμη και μια επιχείρηση που δεν πραγματοποιεί λ.χ. ηλεκτρονικές κρατήσεις, τηρεί εντούτοις υποχρεωτικά με βάση την εθνική νομοθεσία βιβλίο πελατών. 

Απαιτήσεις συμμόρφωσης 

Μετά ταύτα, η συμμόρφωση των ξενοδοχειακών επιχειρήσεων με τον Κανονισμό απαιτεί μία σειρά από ενέργειες, στις οποίες μεταξύ άλλων, περιλαμβάνονται η σύνταξη πολιτικών, η αναθεώρηση και προσαρμογή των υφιστάμενων διαδικασιών, η τροποποίηση των συμβάσεων με υπαλλήλους, συνεργάτες, κλπ. με την προσθήκη παραρτημάτων σχετικά με την επεξεργασία προσωπικών δεδομένων, η λήψη οργανωτικών και τεχνικών μέτρων προστασίας και η εκπαίδευση του προσωπικού. Παρόλου που η εκτενής ανάλυση όλων των παραπάνω ενεργειών εκφεύγει φυσικά των ορίων του παρόντος άρθρου, είναι εντούτοις σκόπιμο να αναφερθούμε εν συντομία σε ορισμένα σημεία με ιδιαίτερο ενδιαφέρον και σημασία για τον ερευνώμενο κλάδο. 

Ειδικότερα, μία από τις βασικές υποχρεώσεις που εισάγει ο Κανονισμός είναι η υποχρέωση ενημέρωσης των Υποκειμένων των δεδομένων, ήτοι εν προκειμένω στην περίπτωση των ξενοδοχείων,  των πελατών, υπαλλήλων και προμηθευτών σχετικά με την επεξεργασία των προσωπικών τους δεδομένων. Τούτο στην πράξη σημαίνει, ότι οι ξενοδοχειακές επιχειρήσεις θα πρέπει να παρέχουν με κάθε πρόσφορο μέσο και κατά προτίμηση εγγράφως ή ηλεκτρονικά για λόγους αποδειξιμότητας στις παραπάνω κατηγορίες υποκειμένων πληροφορίες, μεταξύ άλλων, σχετικά με τη νομική βάση και τους σκοπούς επεξεργασίας των προσωπικών τους δεδομένων, το χρόνο διατήρησής τους, τα τρίτα πρόσωπα στα οποία πιθανόν να διαβιβαστούν κλπ.. 

Ακόμη, εξαιρετικά σημαντικές υπό το πρίσμα της προστασίας προσωπικών δεδομένων και του GDPR είναι στην περίπτωση των ξενοδοχειακών επιχειρήσεων οι περιπτώσεις χρήσης προσωπικών δεδομένων για λόγους μάρκετινγκ. Αν και φυσικά η χρησιμοποίηση προσωπικών δεδομένων για προωθητικές ενέργειες δεν απαγορεύεται υπό το καθεστώς του Κανονισμού, ωστόσο οι ξενοδοχειακές επιχειρήσεις θα πρέπει να προβαίνουν σε τέτοιες προωθητικές ενέργειες σε συμμόρφωση με τις ιδιαίτερες προβλέψεις των διατάξεών του στο πεδίο αυτό. 

Τέλος, ιδιαίτερης σημασίας στο πεδίο της προστασίας των προσωπικών δεδομένων είναι και το ζήτημα της εγκατάστασης συστημάτων βιντεοεπιτήρησης (CCTV) σε ξενοδοχειακές επιχειρήσεις. Συγκεκριμένα, όπως αποδεικνύεται από την νομολογία της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, σε ουκ ολίγες επιχειρήσεις έχουν επιβληθεί πρόστιμα για την παράνομη εγκατάσταση τέτοιων συστημάτων. Στο σημείο αυτό θα πρέπει να σημειωθεί, ότι δεν υφίσταται πλέον υποχρέωση λήψης προηγούμενης άδειας, ούτε υποχρέωση γνωστοποίησης της εγκατάστασης τέτοιων συστημάτων στην Αρχή, όπως προβλεπόταν στο άρθρο 10 της υπ’ αρ. 1/2011 Οδηγίας, οι υπόλοιπες διατάξεις της οποίας εξακολουθούν να ισχύουν, ενώ μάλιστα το άρθρο 16 περιλαμβάνει ρυθμίσεις αποκλειστικά στις ξενοδοχειακές μονάδες. 

Παρά ταύτα, υπό το υφιστάμενο καθεστώς του GDPR και του εθνικού Ν.4624/2019 εισάγονται πρόσθετες υποχρεώσεις για τους Υπεύθυνους επεξεργασίας- ξενοδοχειακές επιχειρήσεις που φέρουν φυσικά και την ευθύνη απόδειξης της νόμιμης λειτουργίας τέτοιων συστημάτων, σύμφωνα με την προαναφερόμενη αρχή της λογοδοσίας (άρθρο 5 παρ. 2 του Κανονισμού). Ειδικότερα, οι ξενοδοχειακές επιχειρήσεις θα πρέπει, μεταξύ άλλων, να ενημερώνουν τους πελάτες/υποψηφίους πελάτες, αλλά και τους υπαλλήλους τους για την εγκατάσταση CCTV στις εγκαταστάσεις τους, να διευκολύνουν την ικανοποίηση των δικαιωμάτων των υποκειμένων των δεδομένων, όπως λ.χ. το δικαίωμα πρόσβασης στο καταγραφέν υλικό, αλλά και να διενεργούν Μελέτη Εκτίμησης Αντικτύπου σχετικά με τη συγκεκριμένη επεξεργασία, σύμφωνα με το άρθρο 35 του Κανονισμού.    

Η συμμόρφωση ως εργαλείο μάρκετινγκ 

Ήδη από τους πρώτους μήνες εφαρμογής του GDPR παρατηρήθηκε μία, ίσως υπερβολική, προσκόλληση στην προβολή του κινδύνου επιβολής υψηλότατων προστίμων που συνεπάγεται η μη συμμόρφωση με τις διατάξεις του. Μία πρόσθετη παράμετρος, ωστόσο,  που μάλλον λανθάνει της προσοχής των περισσοτέρων είναι ο κίνδυνος που μπορεί να προκύψει για την φήμη μιας επιχείρησης. Ευθύς παρακάτω θα εξηγήσουμε πως η συμμόρφωση με τον GDPR μπορεί ειδικά στην περίπτωση των ξενοδοχείων να λειτουργήσει ως ένα χρήσιμο εργαλείο μάρκετινγκ. 

Αρχικά, θα πρέπει να λάβουμε υπόψη μας, ότι μία ξενοδοχειακή επιχείρηση φιλοξενεί ετησίως χιλιάδες επισκέπτες από διαφορετικές χώρες και κατά βάση κράτη μέλη της Ε.Ε., με διαφορετική κουλτούρα και πιθανότατα μεγαλύτερο ζήλο για ζητήματα ιδιωτικότητας και προστασίας προσωπικών δεδομένων. Όσα ξενοδοχεία, λοιπόν επιλέξουν να συμμορφωθούν με τον Κανονισμό και να επιδείξουν τη δέσμευσή τους στην προστασία των προσωπικών δεδομένων των πελατών τους, θα επωφεληθούν από την οικοδόμηση σχέσης εμπιστοσύνης με τους πελάτες τους και την ενίσχυση της εταιρικής τους φήμης και αξιοπιστίας. Οι τομείς, στους οποίους θα πρέπει να εστιάσει μία ξενοδοχειακή επιχείρηση που θέλει να αξιοποιήσει τη συμμόρφωση με τον GDPR ως «εργαλείο μάρκετινγκ» είναι φυσικά η διαφάνεια όσον αφορά στην επεξεργασία προσωπικών δεδομένων των πελατών της, η ασφάλεια που συνίσταται στην εφαρμογή κατάλληλων μέτρων προστασίας τους, αλλά και η διευκόλυνση της πρόσβασής τους σε αυτά, καθώς και της εν γένει άσκησης των δικαιωμάτων που τους απονέμει ο Κανονισμός ως υποκείμενα των δεδομένων. 

Συνοψίζοντας, η συμμόρφωση με τον GDPR δεν είναι, κατά τα προαναφερόμενα, επιλογή, αλλά υποχρέωση κάθε ξενοδοχειακής επιχείρησης. Παρά ταύτα, οι επιχειρήσεις του κλάδου θα μπορούσαν, αντί να προσεγγίσουν το ζήτημα της συμμόρφωσης ως μία ακόμη τυπική υποχρέωση, να εκμεταλλευτούν την συγκεκριμένη περίσταση, για να δείξουν στους πελάτες τους, ότι αντιμετωπίζουν το ζήτημα της προστασίας των προσωπικών τους δεδομένων με τη δέουσα προσοχή και σοβαρότητα, να  διαφοροποιηθούν από τον ανταγωνισμό και να ενισχύσουν την εταιρική τους φήμη και αξιοπιστία. Άλλωστε, η συμμόρφωση με τον GDPR δεν περιλαμβάνει μόνο την σύνταξη πολιτικών, την αλλαγή των διαδικασιών και τη λήψη μέτρων, αλλά θα πρέπει να οδηγεί στη διαμόρφωση μίας νέας εταιρικής κουλτούρας σε σχέση με την προστασία των προσωπικών δεδομένων. Συνεπώς, η επιλογή της συμμόρφωσης με τον Κανονισμό αποτελεί μία επιχειρηματική στρατηγική ικανή, όχι μόνο να προστατέψει τις επιχειρήσεις, αλλά και να τις βοηθήσει να αποκτήσουν ανταγωνιστικό πλεονέκτημα!

Στέλιος Μπανιώτης
Δικηγόρος, GDPR Consultant

Photo by Valeriia Bugaiova on Unsplash

SHARE THIS POST TO YOUR FEED

ΣΑΣ ΕΝΔΙΑΦΕΡΕΙ Η ΥΠΗΡΕΣΙΑ ΜΑΣ;

SHARE THIS POST TO YOUR FEED

ΣΑΣ ΕΝΔΙΑΦΕΡΕΙ Η ΥΠΗΡΕΣΙΑ ΜΑΣ;

Διαβάστε Επίσης

Leave a Reply

Your email address will not be published. Required fields are marked *

NEWSLETTER

Κάντε εγγραφή στο και παραμείνετε ενημερωμένοι για όλα τα νέα σχετικά με τον GDPR

Leave a Reply

Your email address will not be published. Required fields are marked *

NEWSLETTER

Κάντε εγγραφή στο και παραμείνετε ενημερωμένοι για όλα τα νέα σχετικά με τον GDPR

Επικοινωνία

@All Rights Reserved 2024

Created by Path Digital Agency

Νομικό Περιεχόμενο

Επικοινωνία

@All Rights Reserved 2024

Created by Path Digital Agency

Συμπληρώστε το ερωτηματολόγιο για να διαμορφώσουμε την προσφορά σας​

Μέσα από το παρακάτω ερωτηματολόγιο θα μπορέσουμε να καταλάβουμε πλήρως τις ανάγκες έτσι όπως ορίζονται από την νομοθεσία και σας καθοδηγήσουμε για τη διαδικασία. 

Σας ενημερώνουμε, ότι έχοντας λάβει σοβαρά υπόψη μας την προστασία της ιδιωτικότητάς σας και των προσωπικών σας δεδομένων, θα χρησιμοποιήσουμε τα στοιχεία σας και τις πληροφορίες που εισάγετε στην παρούσα φόρμα, αποκλειστικά και μόνο, προκειμένου να συντάξουμε και να σας αποστείλουμε οικονομική προσφορά για τη συμμόρφωση της επιχείρησής σας με τον GDPR. Ως εκ τούτου, δεσμευόμαστε ρητά να τηρούμε την εμπιστευτικότητα, όσον αφορά στις ως άνω πληροφορίες, τις οποίες δε θα αποκαλύψουμε σε τρίτους. Όλες οι πληροφορίες και τα στοιχεία που συλλέξαμε μέσω της παρούσας φόρμας, θα διαγράφονται ή θα καταστρέφονται άμεσα σε περίπτωση μη αποδοχής της προσφοράς που θα σας αποστείλουμε.