Μια από τις πιο διαδεδομένες πρακτικές της ελληνικής τουριστικής αγοράς μπαίνει πλέον στο στόχαστρο της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.
Με παρέμβαση που αναμένεται να επηρεάσει χιλιάδες ξενοδοχεία, ενοικιαζόμενα δωμάτια και τουριστικά καταλύματα σε όλη τη χώρα, η Αρχή ξεκαθαρίζει ότι η φωτογράφιση ή φωτοτύπηση ταυτοτήτων, διαβατηρίων και τραπεζικών καρτών πελατών δεν συνάδει με τις απαιτήσεις του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR).
Η εξέλιξη θεωρείται ιδιαίτερα σημαντική για έναν από τους βασικότερους πυλώνες της ελληνικής οικονομίας, καθώς αφορά άμεσα τον τρόπο με τον οποίο πραγματοποιούνται καθημερινά χιλιάδες check-in σε ξενοδοχειακές μονάδες.
Οι δύο πρακτικές που μπαίνουν στο στόχαστρο
Στο επίκεντρο της παρέμβασης βρίσκονται δύο πρακτικές που εξακολουθούν να εφαρμόζονται ευρέως.
Η φωτογράφιση ή φωτοτύπηση δελτίων ταυτότητας και διαβατηρίων πελατών
Η φωτογράφιση ή αποθήκευση αντιγράφων πιστωτικών και χρεωστικών καρτών
Πολλές επιχειρήσεις φιλοξενίας υποστηρίζουν ότι οι πρακτικές αυτές εφαρμόζονται για λόγους ταυτοποίησης, έκδοσης παραστατικών ή προστασίας έναντι ακυρώσεων και αμφισβητήσεων πληρωμών.
Ωστόσο, η Αρχή θεωρεί ότι η συλλογή και διατήρηση πλήρων αντιγράφων εγγράφων και τραπεζικών καρτών υπερβαίνει κατά πολύ τα δεδομένα που είναι αναγκαία για την εξυπηρέτηση του συγκεκριμένου σκοπού.
Παραβίαση θεμελιωδών αρχών του GDPR
Η παρέμβαση της Αρχής δεν περιορίζεται σε μια απλή σύσταση.
Αντίθετα, επισημαίνει ότι οι συγκεκριμένες πρακτικές έρχονται σε αντίθεση με βασικές διατάξεις της ευρωπαϊκής νομοθεσίας περί προστασίας προσωπικών δεδομένων.
Ειδικότερα παραβιάζονται:
- Η αρχή της νομιμότητας, αντικειμενικότητας και διαφάνειας
- Η αρχή της ελαχιστοποίησης των δεδομένων
- Η αρχή της προστασίας δεδομένων εξ ορισμού (Privacy by Default)
- Η αρχή της προστασίας δεδομένων ήδη από τον σχεδιασμό (Privacy by Design)
Σύμφωνα με ειδικούς του κλάδου, πρόκειται για μια σαφή υπενθύμιση ότι οι επιχειρήσεις δεν μπορούν να συλλέγουν δεδομένα «για παν ενδεχόμενο», αλλά μόνο όταν αυτό είναι απολύτως αναγκαίο και νομικά τεκμηριωμένο.
Οι κίνδυνοι για τους πελάτες
Η διατήρηση αντιγράφων ταυτοτήτων και τραπεζικών καρτών δεν αποτελεί μόνο ζήτημα κανονιστικής συμμόρφωσης.
Αυξάνει σημαντικά και τους κινδύνους για τους ίδιους τους πολίτες.
Η Αρχή επισημαίνει ότι τέτοιες πρακτικές μπορούν να οδηγήσουν σε:
Υποκλοπή ταυτότητας
Οικονομική απάτη
Μη εξουσιοδοτημένη χρήση προσωπικών δεδομένων
Διαρροή ευαίσθητων πληροφοριών
Παραβίαση τραπεζικών στοιχείων
Σε μια εποχή όπου οι κυβερνοεπιθέσεις και οι διαρροές δεδομένων αυξάνονται διαρκώς, η προστασία των προσωπικών πληροφοριών αποτελεί κρίσιμο ζήτημα για τον τουριστικό κλάδο.
Η παρέμβαση προς τους φορείς του τουρισμού
Η Αρχή δεν απευθύνθηκε μόνο σε συγκεκριμένες επιχειρήσεις.
Αντιθέτως, έστειλε επίσημη ενημέρωση προς:
Πανελλήνια Ομοσπονδία Ξενοδόχων (ΠΟΞ)
Ξενοδοχειακό Επιμελητήριο Ελλάδος (ΞΕΕ)
Συνομοσπονδία Επιχειρηματιών Τουριστικών Καταλυμάτων Ελλάδος (ΣΕΤΚΕ)
ζητώντας να ενημερώσουν άμεσα τα μέλη τους για τις υποχρεώσεις που απορρέουν από τον GDPR.
Η κίνηση αυτή ερμηνεύεται ως ένδειξη ότι η Αρχή θεωρεί το πρόβλημα εκτεταμένο και όχι περιορισμένο σε μεμονωμένες περιπτώσεις.
Οι πέντε υποχρεώσεις για τα ξενοδοχεία
Η ανακοίνωση της Αρχής περιλαμβάνει ένα σαφές πλαίσιο συμμόρφωσης.
1. Τερματισμός λήψης αντιγράφων ταυτοτήτων και διαβατηρίων
Τα ξενοδοχεία δεν πρέπει να φωτογραφίζουν ή να αποθηκεύουν αντίγραφα εγγράφων ταυτοποίησης, καθώς δεν υπάρχει ειδική νομοθετική διάταξη που να το επιβάλλει.
2. Τέλος στα αντίγραφα πιστωτικών καρτών
Η φωτογράφιση ή αποθήκευση στοιχείων τραπεζικών καρτών απαγορεύεται ακόμη και όταν επικαλούνται λόγους ασφαλείας ή μελλοντικών αμφισβητήσεων.
3. Τεκμηρίωση κάθε επεξεργασίας
Κάθε προσωπικό δεδομένο που συλλέγεται πρέπει να βασίζεται σε σαφή νομική βάση και να πληροί τις αρχές αναγκαιότητας και αναλογικότητας.
4. Πλήρης ενημέρωση των πελατών
Οι επιχειρήσεις οφείλουν να παρέχουν σαφή, επικαιροποιημένη και εύκολα προσβάσιμη ενημέρωση για τον τρόπο επεξεργασίας των προσωπικών δεδομένων.
5. Αναθεώρηση διαδικασιών check-in
Η Αρχή ζητά συνολικό επανασχεδιασμό των διαδικασιών υποδοχής, κρατήσεων και πληρωμών, καθώς και εκπαίδευση του προσωπικού.
Τι αλλάζει για τον ξενοδοχειακό κλάδο
Η παρέμβαση έρχεται σε μια περίοδο κατά την οποία ο ελληνικός τουρισμός καταγράφει ιστορικά υψηλές επιδόσεις.
36 εκατ. επισκέπτες ετησίως
Πάνω από 22 δισ. ευρώ τουριστικά έσοδα
Δεκάδες χιλιάδες επιχειρήσεις φιλοξενίας
Η συμμόρφωση με το ευρωπαϊκό πλαίσιο προστασίας προσωπικών δεδομένων αποκτά πλέον κεντρικό ρόλο στη λειτουργία του κλάδου.
Στελέχη της αγοράς εκτιμούν ότι αρκετές επιχειρήσεις θα χρειαστεί να αναθεωρήσουν διαδικασίες που εφαρμόζονταν για δεκαετίες, προκειμένου να προσαρμοστούν στις απαιτήσεις του GDPR.
Προειδοποίηση για ελέγχους και κυρώσεις
Παρότι η Αρχή επέλεξε σε αυτή τη φάση να κινηθεί μέσω συστάσεων και ενημέρωσης των φορέων, το μήνυμα προς την αγορά είναι σαφές.
Οι επιχειρήσεις που συνεχίζουν να διατηρούν φωτοαντίγραφα ταυτοτήτων, διαβατηρίων ή τραπεζικών καρτών ενδέχεται να βρεθούν αντιμέτωπες με:
Καταγγελίες πελατών
Ελέγχους συμμόρφωσης
Διοικητικές κυρώσεις
Σημαντικά πρόστιμα βάσει GDPR
Η παρέμβαση της Αρχής σηματοδοτεί ουσιαστικά μια νέα εποχή για τη διαχείριση προσωπικών δεδομένων στον ελληνικό τουρισμό, υπενθυμίζοντας ότι η προστασία της ιδιωτικότητας δεν αποτελεί πλέον τυπική υποχρέωση αλλά κρίσιμο στοιχείο εμπιστοσύνης μεταξύ επιχειρήσεων και πελατών.
Πηγή: pagenews.gr
