Του Δημοσθένη Κωστούλα, ΜΒΑ, MSc*
Το θέμα της προστασίας προσωπικών δεδομένων στον ξενοδοχειακό κλάδο και κατά πόσο οι ξενοδοχειακές μονάδες φροντίζουν για την διαφύλαξη των δεδομένων των πελατών τους και όχι μόνο, ίσως δεν αποτελούσε την ύψιστη προτεραιότητα για τους πρωταγωνιστές του κλάδου, μέχρι την έναρξη ισχύος του ευρωπαϊκού Κανονισμού προστασίας προσωπικών δεδομένων (ΓΚΠΔ ή GDPR) τον Μάιο του 2018.
Κατά την εξυπηρέτηση πελατών από μια ξενοδοχειακή μονάδα, δύναται να συλλεχθούν απλού και ειδικού τύπου (ευαίσθητα) δεδομένα, τα οποία μπορεί να αφορούν: 1) απλά στοιχεία, όπως ενδεικτικά το ονοματεπώνυμο, τον τόπο διαμονής, τα στοιχεία επικοινωνίας, το αστυνομικό δελτίο ταυτότητας κλπ., 2) λεπτομέρειες για την διαμονή ή τις προηγούμενες διαμονές του πελάτη στην ξενοδοχειακή μονάδα, συμπεριλαμβανομένου πληροφοριών για τον τύπο δωματίου, την διάρκεια της παραμονής, τα άτομα που τον συνόδευσαν, επιπλέον καταναλώσεις, αξιοποίηση επιπλέον υπηρεσιών που μπορεί να προσφέρει η ξενοδοχειακή μονάδα εντός ή εκτός των χώρων του ξενοδοχείου, όπως συμμετοχή σε εκδηλώσεις, χρήση γυμναστηρίων / χώρων ευεξίας, συμμετοχή σε εκδρομές (ενδεχομένως και σε συνεργασία με εξωτερικούς συνεργάτες), χρήση της υπηρεσίας pay tv κλπ.) δεδομένα που αφορούν την υγεία ή τις ιδιαίτερες προτιμήσεις του πελάτη που ο ίδιος αναφέρει ή αιτείται κατά την διαμονή του, όπως πχ ειδικές διατροφικές ανάγκες, ιδιαίτερες ανάγκες για ιατρικούς λόγους, 4) εικόνες από κλειστό κύκλωμα τηλεόρασης (CCTV) κλπ. Επιπλέον, σε μια ξενοδοχειακή μονάδα δύναται να συλλέγονται δεδομένα και πέραν της φιλοξενίας / διανυκτέρευσης πελατών, όπως από την οργάνωση εκδηλώσεων κοινωνικού χαρακτήρα ή άλλων δράσεων (ενδεικτικά, γάμοι, βαφτίσεις, εκθέσεις, λοιπές κοινωνικές ή πολιτιστικές εκδηλώσεις εντός των χώρων της μονάδας).
Λαμβάνοντας υπόψη τα παραπάνω και με αφορμή την πρόσφατη «επαναδραστηριοποίηση» του ξενοδοχειακού κλάδου μετά την ζοφερή περίοδο του COVID-19, γεννιούνται τα εξής δύο ερωτήματα για τις μικρές και μεγάλες ξενοδοχειακές μονάδες που λειτουργούν στην Ελλάδα:
- αν, μετά από τα τρία χρόνια αφότου ξεκίνησε η εφαρμογή του GDPR, γνωρίζουν τις υποχρεώσεις που απορρέουν από τον κανονισμό για την προστασία προσωπικών δεδομένων και την κείμενη νομοθεσία και
- αν έχουν υλοποιήσει όλες τις απαραίτητες ενέργειες προς την κατεύθυνση της προστασίας των προσωπικών δεδομένων που επεξεργάζονται.
Άσχετα από την απαίτηση ή όχι για τον διορισμό ενός υπεύθυνου προστασίας δεδομένων (DPO), αφού αυτό εξαρτάται από το 1) αν υπάρχει τακτική και συστηματική παρακολούθηση δεδομένων πελατών , προσωπικού κλπ. σε μεγάλη κλίμακα ή 2) αν λαμβάνει χώρα μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών δεδομένων (ευαίσθητων), μια ξενοδοχειακή μονάδα οφείλει να εφαρμόσει ορισμένα κατάλληλα τεχνικά και οργανωτικά μέτρα για την προστασία των δεδομένων.
Αν και η έκταση και το εύρος εφαρμογής αυτών των μέτρων μπορεί να διαφοροποιούνται ανάλογα με την περίπτωση (πχ αλυσίδα ξενοδοχείων, μεμονωμένα καταλύματα κλπ.), συστήνεται η υλοποίηση μιας λίστας προληπτικών ενεργειών.
Ενδεικτικά, αλλά όχι περιοριστικά για μια ξενοδοχειακή μονάδα:
Ύπαρξη μιας πολιτικής προστασίας δεδομένων προσωπικού χαρακτήρα. Για τις μεγαλύτερες μονάδες, συστήνεται η σύνταξη ενός αρχείου δραστηριοτήτων με το σύνολο των κατηγοριών επεξεργασίας των προσωπικών δεδομένων για τις οποίες είναι υπεύθυνη η μονάδα (ως υπεύθυνος επεξεργασίας), με ταυτόχρονη αναφορά σε μια σειρά από βασικές πληροφορίες που απαιτούνται από τον GDPR. Ύπαρξη κατάλληλου εντύπου ενημέρωσης των πελατών για την χρήση των δεδομένων τους, με αναφορά στους σκοπούς για τους οποίους θα χρησιμοποιηθούν τα δεδομένα τους, την νομική βάση για την επεξεργασία τους, για πόσο χρονικό διάστημα θα αποθηκεύονται, σε ποιους θα κοινοποιούνται, αναφορά στα βασικά δικαιώματά τους όσον αφορά την προστασία των δεδομένων, το δικαίωμά τους να υποβάλουν καταγγελία κλπ. Συστήνεται το έντυπο ενημέρωσης να υπογράφεται από τον πελάτη κατά την διαδικασία του αρχικού check in και να αρχειοθετείται στην καρτέλα του, ως απόδειξη λήψης γνώσης.
Στην περίπτωση εξωτερικών συνεργασιών, υπογραφή σύμβασης ή άλλης νομικής πράξης σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα, κατά περίπτωση και βάση του είδους της συνεργασίας. Ενδεικτικά, μπορεί να αφορά συνεργασίες της ξενοδοχειακής μονάδας με τουριστικά γραφεία ή/και ταξιδιωτικούς πράκτορες, με εταιρείες ενοικίασης οχημάτων – σκαφών ή/και για λοιπές δια ζώσης ή διαδικτυακές υπηρεσίες. Επιπλέον, μπορεί να αφορά υπηρεσίες μισθοδοσίας ή/και ασφάλισης προσωπικού της μονάδας, υπηρεσίες λογιστικής και μηχανογραφικής υποστήριξης της μονάδας συμπεριλαμβανομένου του λογισμικού προγράμματος κρατήσεων), υπηρεσίες διαχείρισης της εταιρικής ιστοσελίδας και των social media, υπηρεσίες γενικότερης προβολής της ξενοδοχειακής μονάδας (εταιρία marketing), υπηρεσίες συντήρησης του εξοπλισμού, υπηρεσίες καθαριότητας των υποδομών, υπηρεσίες φύλαξης ή/και λοιπές συνεργασίες με πάσης φύσεως συμβούλους.
Σε περίπτωση λειτουργίας κλειστού κυκλώματος τηλεόρασης (CCTV), ενημέρωση των υποκειμένων με εμφανείς σημάνσεις για την ύπαρξη του συστήματος βιντεοεπιτήρησης για το σκοπό της ασφάλειας προσώπων και αγαθών. Παράλληλα, τήρηση των σχετικών απαιτήσεων που προκύπτουν από την κείμενη νομοθεσία, όπως ενδεικτικά, τοποθέτηση καμερών σε σημεία εισόδου και εξόδου, σε χώρους ταμείων ή χώρους κρίσιμων εγκαταστάσεων της ξενοδοχειακής μονάδας, απαίτηση για διαγραφή του καταγεγραμμένου υλικού εντός συγκεκριμένου χρονικού διαστήματος, προστασία της μονάδας του ελέγχου του κυκλώµατος (καταγραφικό), το υλικό να μην χρησιμοποιείται για την διαδικασία αξιολόγησης του προσωπικού κλπ.
Σε περίπτωση ύπαρξης ηλεκτρονικής ιστοσελίδας, ύπαρξη των όρων χρήσης της ιστοσελίδας, ενημέρωση για τα χρησιμοποιούμενα cookies και, παράλληλα, δυνατότητα στον επισκέπτη να αποδέχεται ή όχι την εγκατάσταση των cookies πέραν των «αυστηρώς απαραίτητων», ειδική αναφορά στις περιπτώσεις επεξεργασίας δεδομένων για την διαχείριση ηλεκτρονικών κρατήσεων από την ξενοδοχειακή μονάδα, για την διεκπεραίωση των ηλεκτρονικών πληρωμών, για την πραγματοποίηση ηλεκτρονικών επικοινωνιών μέσω της ιστοσελίδας κλπ.
Σε περίπτωση αποστολής ηλεκτρονικών newsletters / sms από την ξενοδοχειακή μονάδα (για τον σκοπό του CRM, του email marκeting, των επαναλαμβανόμενων πωλήσεων) ή/και στα πλαίσια αναδρομικής έρευνας ικανοποίησης πελατών, θα πρέπει οπωσδήποτε να δίδεται η δυνατότητα στους χρήστες / πελάτες για ξεκάθαρη και ρητή συγκατάθεση για το αν επιθυμούν να λαμβάνουν τέτοιου είδους επικοινωνίες (opt-in), με ταυτόχρονη δυνατότητα τους για άμεση και εύκολη απεγγραφή τους (στην περίπτωση που αλλάξουν γνώμη στο μέλλον).
Σχετικά με την απασχόληση του προσωπικού που εργάζεται σε μια ξενοδοχειακή μονάδα, υπογραφή εντύπου ενημέρωσης του προσωπικού για τις ακριβείς επεξεργασίες των προσωπικών τους δεδομένων και, ξεχωριστά, υπογραφή ρήτρας εμπιστευτικότητας. Επίσης, συχνή εκπαίδευση του προσωπικού της μονάδας για την ορθολογική χρήση των εταιρικών δεδομένων.
Ειδικότερα ως προς την φυσική ασφάλεια των δεδομένων, προτείνονται ενδεικτικά τα ακόλουθα μέτρα για την περίπτωση μια ξενοδοχειακής μονάδας:
- ασφαλής αποθήκευση κρίσιμων δεδομένων, όπως φύλαξη φακέλων προσωπικού, πελατών και λοιπά έντυπα αρχεία σε κλειδωμένα συρτάρια, ντουλάπες ή φωριαμούς,
- ιδεατά, εγκατάσταση κλειστού κυκλώματος τηλεόρασης (CCTV) ή/και συνεργασία με εταιρεία φύλαξης χώρων (security),
- αλλαγή κλειδαριών στους κρίσιμους χώρους, σε περίπτωση αποχώρησης προσωπικού που χειριζόταν κλειδιά.
Ως προς την ασφάλεια των ηλεκτρονικών δεδομένων και πληροφοριών, προτείνονται ενδεικτικά τα ακόλουθα μέτρα:
εφαρμογή προγραμμάτων αντιμετώπισης κακόβουλου λογισμικού (anti malware), καθώς και χρήση προγραμμάτων τειχών ασφαλείας (firewall),
αποθήκευση στο δίκτυο και κεντρική λήψη αντιγράφων ασφαλείας (backup), σε τακτική βάση και με ασφαλή τρόπο,
περιορισμοί στην σύνδεση αποσπώμενων μέσων για αποφυγή κακόβουλης εξαγωγής δεδομένων,
διαχείριση λογαριασμών χρηστών, μηχανισμοί ελέγχου πρόσβασης, διαχείριση κωδικών πρόσβασης,
λοιπές πολιτικές και διαδικασίες για την προστασία της ηλεκτρονικής πληροφορίας και δεδομένων.
Σχετικά με την διαδικασία πληρωμών μέσω πιστωτικών ή/και χρεωστικών καρτών, απαιτείται η συμμόρφωση με τα όσα προβλέπονται για την ασφάλεια τέτοιου είδους συναλλαγών.
Ως προς τις διαβιβάσεις πληροφοριών (εφόσον αυτές απαιτούνται), προτείνονται ενδεικτικά τα ακόλουθα μέτρα:
προστασία ηλεκτρονικών αρχείων κατά την αποστολή τους μέσω ηλεκτρονικού ταχυδρομείου (πχ μέσω της ξεχωριστής αποστολής των κωδικών ανοίγματος με sms ή με άλλους ενδεδειγμένους τρόπους προστασίας),
μηχανισμοί και διαδικασίες για προσεκτική ταυτοποίηση ατόμων πριν την διαβίβαση πληροφοριών δια τηλεφώνου, ηλεκτρονικά ή από κοντά κλπ.
Συμπερασματικά, οι ξενοδοχειακές μονάδες δεν θα πρέπει απλώς να αντιλαμβάνονται τον σκοπό και την σημαντικότητα της προστασίας των δεδομένων προσωπικού χαρακτήρα που διαχειρίζονται, αλλά και να υιοθετούν μια σειρά από τεχνικά και οργανωτικά μέτρα προστασίας και διαφύλαξης των δεδομένων, υπό το πρίσμα του ΓΚΠΔ / GDPR και της κείμενης νομοθεσίας.
*Ο Δημοσθένης Κ. Κωστούλας, GDPR Expert / certified DPO – QMS Lead auditor ISO 9001:2015, είναι απόφοιτος του Τμήματος Διεθνών & Ευρωπαϊκών Οικονομικών και Πολιτικών Σπουδών του Πανεπιστημίου Μακεδονίας και κάτοχος τίτλων MSc in International Business and Finance από το Reading University (UK) και MBΑ από το ICBS Thessaloniki Business College. Είναι ένας εκ των δύο συγγραφέων του βιβλίου με τίτλο «Η Συμμόρφωση με τον Γενικό Κανονισμό Προστασίας Δεδομένων – Πρακτικά Ζητήματα – Υποδείγματα» (Ιανουάριος 2020, Εκδόσεις ΝΟΜΟΡΑΜΑ.ΝΤ), ενώ ταυτόχρονα, είναι αρθρογράφος για το GDPR. Είναι γενικός γραμματέας, μέλος Δ.Σ. και επικεφαλής της επιτροπής επικοινωνίας και εκδηλώσεων, του Ελληνικού παραρτήματος του European Association of Data Protection Professional (EADPP), επιστημονικός συνεργάτης του Ευρωμεσογειακού Ινστιτούτου Ποιότητας & Ασφάλειας στις Υπηρεσίες Υγείας Avedis Donabedian (EIQSH), μέλος του DPO Network Greece, μέλος του Ινστιτούτου Επαγγελματιών Ιδιωτικότητας Β. Ελλάδος (ΙΝ.ΕΠ.ΙΔ) και μέλος της ομάδας Homo Digitalis.
Πηγές:
Τσιπτσέ, Ο. και Κωστούλας, Δ. (Ιανουάριος 2020), Η συμμόρφωση με τον Γενικό Κανονισμό Προστασίας Δεδομένων GDPR EU 2016/679 – Πρακτικά Ζητήματα Υποδείγματα, Νομικές Εκδόσεις ΝΟΜΟΡΑΜΑ.ΝΤ, Αθήνα
https://www.homodigitalis.gr/posts/9331,
Το Πρόγραμμα Συμμόρφωσης με τον GDPR από μια πρακτική σκοπιά, Δημοσθένης Κ. Κωστούλας, 7 Ιουνίου 2021
https://www.makthes.gr/dyo-khronia-me-ton-gdpr-302275,
Γενικός Κανονισμός Προστασίας Προσωπικών Δεδομένων (GDPR): 2 χρόνια μετά, Δημοσθένης Κ. Κωστούλας, 7 Αυγούστου 2020
https://services.grhotels.gr/el/GDPR, Ξενοδοχειακό Επιμελητήριο Ελλάδος
Γενικός Κανονισμός Προστασίας Δεδομένων (ΕΕ) 2016/679
https://www.dpa.gr/portal/page?_pageid=33,213319&_dad=portal&_schema=PORT
Δείτε επίσης:
Καύσωνας: 7 τρόφιμα που ενυδατώνουν. Ανάμεσά τους και το τζατζίκι!
Μοντέλο προσομοίωσης ανάπτυξης Clostridium botulinum σε τρόφιμα
Τροφικές δηλητηριάσεις από στρείδια με νοροϊό στη Βρετανία
EFSA: Δωρεάν διαδικτυακό Workshop για εκτίμηση επικινδυνότητας στην έκθεση σε χημικές ουσίες
Καύσωνας: Πως να επιβιώσετε χωρίς κλιματισμό. Τα «ύπουλα» συμπτώματα της θερμοπληξίας
ΕΦΕΤ- Νέα ανάκληση: συσκευασμένο φιλέτο κοτόπουλο, λόγω σαλμονέλας
Aπίστευτο: το Νο1 ποτό σε πωλήσεις στον κόσμο είναι… παγκοσμίως άγνωστο!