Προσεκτικές κινήσεις στη διαχείριση δεδομένων, ρητές συναινέσεις των φυσικών προσώπων, ειδικούς συνεργάτες-ελεγκτές καθώς και συγκεκριμένες διαδικασίες για την αντιμετώπιση διαρροής, θέτει ως προαπαιτούμενα για τη νόμιμη λειτουργία των ελληνικών τουριστικών γραφείων το νέο ενιαίο νομοθετικό πλαίσιο της ΕΕ για την προστασία των δεδομένων προσωπικού χαρακτήρα, το οποίο θα τεθεί σε πλήρη ισχύ στη χώρα μας από τις 25 Μαΐου του 2018.
Σε ειδική ενημερωτική ημερίδα που διοργάνωσε η FedHATTA για τις Ενώσεις – Μέλη της, την Τρίτη, 20 Μαρτίου 2018, τονίστηκε η ανάγκη να προσαρμοσθεί η λειτουργία των τουριστικών γραφείων στις νέες απαιτήσεις του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR), και διευκρινίστηκε ότι η ευθύνη της διαχείρισης των δεδομένων αυτών βρίσκεται αποκλειστικά στα χέρια της επιχείρησης.
Ο Κανονισμός, φαίνεται να αφορά ιδιαίτερα τα τουριστικά γραφεία, καθώς τα περισσότερα από αυτά συλλέγουν πληροφορίες προσωπικού χαρακτήρα-ταυτοποίησης από τους πελάτες τους, τις οποίες τώρα καλούνται να προστατεύσουν με τους απαιτούμενους μηχανισμούς και εγκαίρως προκειμένου να αποφύγουν βαριά πρόστιμα που φθάνουν τα 20 εκατ. ευρώ.
Μία από τις βασικές αλλαγές που εισάγονται είναι ότι η Αρχή Προστασίας Δεδομένων λαμβάνει ελεγκτικό ρόλο, επιτηρώντας εάν οι επιχειρήσεις συμμορφώνονται με το νέο πλαίσιο.
Το νέο πλαίσιο θα αφορά όλο το φάσμα των επιχειρήσεων ιδιωτικού και δημόσιου τομέα που δραστηριοποιούνται, ανεξαρτήτως της έδρας τους, εντός της ΕΕ, με σκοπό να προστατευθούν οι καταναλωτές στα σύγχρονα ψηφιακά περιβάλλοντα και να αντιμετωπισθεί η πολυφωνία των διαφορετικών ρυθμιστικών πλαισίων στα κράτη-μέλη για τα προσωπικά δεδομένα.
Όπως επισημάνθηκε στην ημερίδα, ο Κανονισμός προβλέπει την ελάχιστη δυνατή πρόσβαση μη εξουσιοδοτημένων πλευρών στα προσωπικά δεδομένα αλλά και προβλέψεις ασφαλείας σε περίπτωση που υπάρξει τελικά διαρροή τους.
Για την περίπτωση της διαρροής, τα τουριστικά γραφεία θα πρέπει να έχουν αναπτύξει μηχανισμούς κρυπτογράφησης των δεδομένων αυτών ενώ θα πρέπει να έχουν προβλέψει και για δυνατότητες διαγραφής και φορητότητάς τους.
Ως προσωπικά δεδομένα θεωρούνται τα στοιχεία με τα οποία μπορεί να ταυτοποιηθεί ένα φυσικό πρόσωπο (στοιχεία ταυτότητας/διαβατηρίου, ονοματεπώνυμο, φωτογραφία, στοιχεία πιστωτικών καρτών, ΑΦΜ, προσωπικές προτιμήσεις κτλ.). Ευαίσθητα προσωπικά δεδομένα, όπως θρήσκευμα, φυλετική και εθνοτική προέλευση, στοιχεία υγείας κλπ., προστατεύονται εξίσου.
Νέες δικλείδες ασφαλείας για την επεξεργασία, διαχείριση και προστασία τους, οι οποίες εισάγονται από τον Κανονισμό, είναι οι ακόλουθες:
-Προβλέπεται συγκεκριμένη διαδικασία και χρονικά περιθώρια γνωστοποίησης στην Αρχή Προστασίας Δεδομένων τυχόν παραβιάσεων σε προσωπικά δεδομένα. Μεταξύ άλλων, περιλαμβάνεται η ειδοποίηση των φυσικών προσώπων των οποίων τα δεδομένα παραβιάσθηκαν.
-Εκτίμηση αντικτύπου. Προβλέπεται η συλλογή από τις επιχειρήσεις μόνο των απαραίτητων προσωπικών προσωπικών δεδομένων από τους καταναλωτές και η εκτίμηση κινδύνου.
-Προβλέπεται ρητή συναίνεση του υποκειμένου. Επιτρέπεται η συλλογή προσωπικών δεδομένων βάσει συμβάσεως, δηλαδή για συγκεκριμένο σκοπό, όμως όταν ο σκοπός αυτός αλλάξει χρειάζεται ρητή συναίνεση του υποκειμένου ώστε η επιχείρηση να μπορεί να αποδείξει τη συναίνεση αυτή στην Αρχή Προστασίας Δεδομένων.
-Για την προστασία των προσωπικών δεδομένων ανηλίκων, προβλέπεται γενική απαγόρευση για ηλικίες κάτω των 15 και συγκατάθεση του προσώπου που έχει την επιμέλειά του για τα παιδιά άνω των 15 ετών.
Στην ημερίδα παρουσίασαν αναλυτικά τα βήματα για την προετοιμασία των επιχειρήσεων για τη συμμόρφωσή τους με τον Κανονισμό GDPR οι εξής ομιλητές:
– Αριστοτέλης Ανδρουτσόπουλος (Ορκωτός Ελεγκτής Λογιστής)
– Θεόδωρος Καραγιάννης (Αντιπρόεδρος Δ.Σ. Quality & Reliability ΑΕ)
– Σοφία Λάμπρου (Σύμβουλος Πληροφοριακών Συστημάτων)
– Χρήστος Σεφέρης (Ορκωτός Ελεγκτής Λογιστής, Πρόεδρος & Δ/νων Σύμβουλος TGS Hellas)
– Κωνσταντίνος Τσαγκαρόπουλος (Δικηγόρος Παρ’ Αρείω Πάγω)
Τις ομιλίες ακολούθησαν ερωτήσεις από τους παρευρισκόμενους και μία ιδιαίτερα εποικοδομητική συζήτηση.