Λίγους μήνες πριν απασχόλησε έντονα την επικαιρότητα η είδηση ότι ιδιοκτήτης τουριστικού καταλύματος φέρεται να τοποθέτησε κρυφά κάμερες σε δωμάτια του ξενοδοχείου, καταγράφοντας προσωπικές στιγμές των ενοικιαστών. Με αφορμή το παραπάνω γεγονός, θα καταγραφεί το ισχύον νομικό πλαίσιο για την επεξεργασία προσωπικών δεδομένων στον κλάδο του τουρισμού μετά την ψήφιση του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR), συμπεριλαμβανομένης φυσικά της χρήσης συστημάτων βιντεοεπιτήρησης, αλλά κυρίως θα αναδειχθούν τα σημαντικά οφέλη που μπορεί να αποκομίσει μία τουριστική επιχείρηση που έχει συμμορφωθεί με τις διατάξεις του.
*Γράφει ο Στέλιος Μπανιώτης, Δικηγόρος ΔΣΘ Συνιδρυτής της Ingenious Consulting Group
Ο Γενικός Κανονισμός Προστασίας Δεδομένων (GDPR) τέθηκε σε ισχύ την 25-5-2018, με σκοπό τη διαμόρφωση ενός ενιαίου θεσμικού πλαισίου για την προστασία των δεδομένων προσωπικού χαρακτήρα σε όλα τα κράτη μέλη της Ε.Ε.. Στο ρυθμιστικό πεδίο του Κανονισμού εμπίπτουν όλες οι επιχειρήσεις που επεξεργάζονται προσωπικά δεδομένα πολιτών της Ε.Ε., ανεξάρτητα από το αν εδρεύουν στην εδαφική της επικράτεια ή όχι. Ως Κανονισμός της Ευρωπαϊκής Ένωσης μάλιστα, ο GDPR είναι μία δεσμευτική νομοθετική πράξη, η εφαρμογή της οποία είναι άμεσα υποχρεωτική σε όλα τα κράτη μέλη της Ένωσης, χωρίς να χρειάζεται να προηγηθεί η ενσωμάτωσή της στην εθνική τους νομοθεσία, όπως συμβαίνει με τις Οδηγίες.
Με βάση τις διατυπώσεις του GDPR, ως «Υπεύθυνος Επεξεργασίας δεδομένων» λογίζεται το φυσικό ή το νομικό πρόσωπο που καθορίζει τους σκοπούς και τον τρόπο επεξεργασίας των δεδομένων προσωπικού χαρακτήρα. Στην πράξη, η οντότητα στην οποία αποδίδεται η ιδιότητα του Υπεύθυνου Επεξεργασίας φέρει την ευθύνη της συμμόρφωσης με τον GDPR, αλλά και της απόδειξής της, σύμφωνα με την αρχή της λογοδοσίας. Τούτο σημαίνει, ότι ο Υπεύθυνος Επεξεργασίας, δηλαδή η εκάστοτε επιχείρηση ή Οργανισμός, θα πρέπει όχι μόνο να συμμορφώνεται με τον GDPR, αλλά να είναι και σε θέση να αποδείξει τη συμμόρφωσή αυτή, προκειμένου να αποφύγει την επιβολή διοικητικού προστίμου για παραβίαση των διατάξεων του Κανονισμού.
Ο ξενοδοχειακός κλάδος
Όπως συνάγεται από τα παραπάνω, η συμμόρφωση με τον GDPR είναι υποχρεωτική για τη συντριπτική πλειοψηφία των επιχειρήσεων της χώρας. Αναμφίβολα, ένας από τους κλάδους που επηρεάζεται περισσότερο από την εφαρμογή του GDPR στη χώρα μας, ενόψει της αθρόας προσέλευσης τουριστών ιδίως τους θερινούς μήνες, είναι αυτός των επιχειρήσεων παροχής υπηρεσιών διαμονής, άλλως πως των ξενοδοχείων. Ως εκ τούτου, η εφαρμογή του GDPR στο συγκεκριμένο κλάδο αποτελεί ένα σημαντικό ζήτημα, το οποίο θα μας απασχολήσει στο παρόν.
Αρχικά, βάσει όσων σημειώθηκαν ευθύς ανωτέρω, οι ξενοδοχειακές επιχειρήσεις, ανεξάρτητα από τη νομική τους μορφή, δηλαδή αν πρόκειται για ατομικές επιχειρήσεις, προσωπικές ή κεφαλαιουχικές εταιρείες, αλλά και το μέγεθός τους (μεμονωμένες ξενοδοχειακές μονάδες ή αλυσίδες) εμπίπτουν στο πεδίο εφαρμογής του Κανονισμού και φέρουν την ιδιότητα του Υπεύθυνου Επεξεργασίας σε σχέση με τα προσωπικά δεδομένα των πελατών, των υπαλλήλων αλλά και των προμηθευτών τους. Στο σημείο αυτό θα πρέπει να επισημάνουμε ακόμη ότι στο πεδίο εφαρμογής του GDPR εμπίπτουν, τόσο τα ηλεκτρονικά όσο και τα φυσικά αρχεία δεδομένων προσωπικού χαρακτήρα, αλλά και κάθε επεξεργασία προσωπικών δεδομένων, ανεξάρτητα από το αν πραγματοποιείται με ηλεκτρονικά, αυτοματοποιημένα ή χειροκίνητα μέσα. Τούτο έχει ιδιαίτερη σημασία στον ξενοδοχειακό κλάδο, δεδομένου ότι ακόμη και μια επιχείρηση που δεν πραγματοποιεί λ.χ. ηλεκτρονικές κρατήσεις, τηρεί εντούτοις υποχρεωτικά με βάση την εθνική νομοθεσία βιβλίο πελατών.
Απαιτήσεις συμμόρφωσης
Μετά ταύτα, η συμμόρφωση των ξενοδοχειακών επιχειρήσεων με τον Κανονισμό απαιτεί μία σειρά από ενέργειες, στις οποίες μεταξύ άλλων, περιλαμβάνονται η σύνταξη πολιτικών, η αναθεώρηση και προσαρμογή των υφιστάμενων διαδικασιών, η τροποποίηση των συμβάσεων με υπαλλήλους, συνεργάτες, κλπ. με την προσθήκη παραρτημάτων σχετικά με την επεξεργασία προσωπικών δεδομένων, η λήψη οργανωτικών και τεχνικών μέτρων προστασίας και η εκπαίδευση του προσωπικού. Παρόλου που η εκτενής ανάλυση όλων των παραπάνω ενεργειών εκφεύγει των ορίων του παρόντος άρθρου (GDPR Συμμόρφωση σε 4 απλά βήματα), είναι εντούτοις σκόπιμο να αναφερθούμε εν συντομία σε ορισμένα σημεία με ιδιαίτερο ενδιαφέρον και σημασία για τον ερευνώμενο κλάδο.
Ειδικότερα, μία από τις βασικές υποχρεώσεις που εισάγει ο Κανονισμός είναι η υποχρέωση ενημέρωσης των Υποκειμένων των δεδομένων, ήτοι εν προκειμένω στην περίπτωση των ξενοδοχείων, των πελατών, υπαλλήλων και προμηθευτών σχετικά με την επεξεργασία των προσωπικών τους δεδομένων. Τούτο στην πράξη σημαίνει ότι οι ξενοδοχειακές επιχειρήσεις θα πρέπει να παρέχουν με κάθε πρόσφορο μέσο- και κατά προτίμηση εγγράφως ή ηλεκτρονικά- για λόγους αποδειξιμότητας στις παραπάνω κατηγορίες υποκειμένων πληροφορίες, μεταξύ άλλων, σχετικά με τη νομική βάση και τους σκοπούς επεξεργασίας των προσωπικών τους δεδομένων, το χρόνο διατήρησής τους, τα τρίτα πρόσωπα στα οποία πιθανόν να διαβιβαστούν κλπ..
Ακόμη, εξαιρετικά σημαντικές υπό το πρίσμα της προστασίας προσωπικών δεδομένων και του GDPR είναι στην περίπτωση των ξενοδοχειακών επιχειρήσεων οι περιπτώσεις χρήσης προσωπικών δεδομένων για λόγους μάρκετινγκ. Αν και η χρησιμοποίηση προσωπικών δεδομένων για προωθητικές ενέργειες δεν απαγορεύεται υπό το καθεστώς του Κανονισμού, ωστόσο, οι ξενοδοχειακές επιχειρήσεις θα πρέπει να προβαίνουν σε τέτοιες προωθητικές ενέργειες σε συμμόρφωση με τις ιδιαίτερες προβλέψεις των διατάξεών του στο πεδίο αυτό.
Τέλος, ιδιαίτερης σημασίας στο πεδίο της προστασίας των προσωπικών δεδομένων είναι και το ζήτημα της εγκατάστασης συστημάτων βιντεοεπιτήρησης (CCTV) σε ξενοδοχειακές επιχειρήσεις. Συγκεκριμένα, όπως αποδεικνύεται από την νομολογία της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, σε ουκ ολίγες επιχειρήσεις έχουν επιβληθεί πρόστιμα για την παράνομη εγκατάσταση τέτοιων συστημάτων. Στο σημείο αυτό θα πρέπει να σημειωθεί ότι δεν υφίσταται πλέον υποχρέωση λήψης προηγούμενης άδειας, ούτε υποχρέωση γνωστοποίησης της εγκατάστασης τέτοιων συστημάτων στην Αρχή, όπως προβλεπόταν στο άρθρο 10 της υπ’ αρ. 1/2011 Οδηγίας. Ωστόσο, οι υπόλοιπες διατάξεις εξακολουθούν να ισχύουν, ενώ μάλιστα το άρθρο 16 περιλαμβάνει ρυθμίσεις αποκλειστικά στις ξενοδοχειακές μονάδες.
Η συμμόρφωση ως εργαλείο μάρκετινγκ
Ήδη από τους πρώτους μήνες εφαρμογής του GDPR παρατηρήθηκε μία, ίσως υπερβολική, προσκόλληση στην προβολή του κινδύνου επιβολής υψηλότατων προστίμων που συνεπάγεται η μη συμμόρφωση με τις διατάξεις του. Μία πρόσθετη παράμετρος, ωστόσο, που μάλλον λανθάνει της προσοχής των περισσοτέρων είναι ο κίνδυνος που μπορεί να προκύψει για την φήμη μιας επιχείρησης. Ευθύς παρακάτω θα εξηγήσουμε πως η συμμόρφωση με τον GDPR μπορεί, ειδικά στην περίπτωση των ξενοδοχείων, να λειτουργήσει ως ένα χρήσιμο εργαλείο μάρκετινγκ.
Αρχικά, θα πρέπει να λάβουμε υπόψη μας ότι μία ξενοδοχειακή επιχείρηση φιλοξενεί ετησίως χιλιάδες επισκέπτες από διαφορετικές χώρες και κατά βάση κράτη μέλη της Ε.Ε., με διαφορετική κουλτούρα και πιθανότατα μεγαλύτερο ζήλο για ζητήματα ιδιωτικότητας και προστασίας προσωπικών δεδομένων. Όσα ξενοδοχεία, λοιπόν επιλέξουν να συμμορφωθούν με τον Κανονισμό και να επιδείξουν τη δέσμευσή τους στην προστασία των προσωπικών δεδομένων των πελατών τους, θα επωφεληθούν από την οικοδόμηση σχέσης εμπιστοσύνης με τους πελάτες τους και την ενίσχυση της εταιρικής τους φήμης και αξιοπιστίας. Οι τομείς στους οποίους θα πρέπει να εστιάσει μία ξενοδοχειακή επιχείρηση, που θέλει να αξιοποιήσει τη συμμόρφωση με τον GDPR ως «εργαλείο μάρκετινγκ», είναι φυσικά η διαφάνεια όσον αφορά στην επεξεργασία προσωπικών δεδομένων των πελατών της, η ασφάλεια που συνίσταται στην εφαρμογή κατάλληλων μέτρων προστασίας τους, αλλά και η διευκόλυνση της πρόσβασής τους σε αυτά, καθώς και της εν γένει άσκησης των δικαιωμάτων που τους απονέμει ο Κανονισμός ως υποκείμενα των δεδομένων.
Συνοψίζοντας, η συμμόρφωση με τον GDPR δεν είναι, κατά τα προαναφερόμενα, επιλογή, αλλά υποχρέωση κάθε ξενοδοχειακής επιχείρησης. Παρά ταύτα, οι επιχειρήσεις του κλάδου θα μπορούσαν, αντί να προσεγγίσουν το ζήτημα της συμμόρφωσης ως μία ακόμη τυπική υποχρέωση, να εκμεταλλευτούν την συγκεκριμένη περίσταση για να δείξουν στους πελάτες τους ότι αντιμετωπίζουν το ζήτημα της προστασίας των προσωπικών τους δεδομένων με τη δέουσα προσοχή και σοβαρότητα, να διαφοροποιηθούν από τον ανταγωνισμό και να ενισχύσουν την εταιρική τους φήμη και αξιοπιστία. Άλλωστε, η συμμόρφωση με τον GDPR δεν περιλαμβάνει μόνο την σύνταξη πολιτικών, την αλλαγή των διαδικασιών και τη λήψη μέτρων, αλλά θα πρέπει να οδηγεί στη διαμόρφωση μίας νέας εταιρικής κουλτούρας σε σχέση με την προστασία των προσωπικών δεδομένων. Συνεπώς, η επιλογή της συμμόρφωσης με τον Κανονισμό αποτελεί μία επιχειρηματική στρατηγική ικανή, όχι μόνο να προστατέψει τις επιχειρήσεις, αλλά και να τις βοηθήσει να αποκτήσουν ανταγωνιστικό πλεονέκτημα!
*Λάβετε προσφορά για την συμμόρφωση του καταλύματος σας από τους ειδικούς της Ingenious Consulting Group και κερδίστε χρόνο και χρήμα!
Δείτε επίσης: Ξενοδοχείο στη Χαλκιδική: Έτσι παρακολουθούσε τα ζευγάρια ο 33χρονος – Πώς ξεσκεπάστηκε η δράση του