Άρθρο του Νικόλα Κανελλόπουλου για τα βήματα συμμόρφωσης με τον Κανονισμό για τα Προσωπικά Δεδομένα στον Τουρισμό. (money-tourism.gr)

Ο νέος Γενικός Κανονισμός για την προστασία προσωπικών δεδομένων “GDPR”, σε λιγότερο από δύο μήνες, ήτοι την 25η.5.2018, τίθεται σε πλήρη εφαρμογή. 
Η μη συμμόρφωση με τον Κανονισμό, μπορεί να οδηγήσει σε επιβολή βαρύτατων προστίμων, τα οποία δύναται να ανέλθουν έως και σε 20.000.000 ευρώ ή στο 4 % του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών (ανάλογα με το ποιο είναι υψηλότερο). 

Ο κλάδος του Τουρισμού καλείται να τεθεί στην πρώτη γραμμή συμμόρφωσης με το Κανονισμό, εκτός από τα βαρύτατα πρόστιμα που επαπειλούνται σε περίπτωση διαπίστωσης παραβίασης, οι επιπτώσεις από τη μείωση της φήμης και της αξιοπιστίας είναι ίσως ακόμα επαχθέστερες στη διαμόρφωση της κρίση των υποψήφιων πελατών, αφού ο σεβασμός στην ιδιωτικότητα του ατόμου αποτελεί βασικό κριτήριο, κυρίως όσον αφορά σε υπηρεσίες φιλοξενίας. Η εμπιστευτικότητα, η ανωνυμία, η ορθή διαφύλαξη και προστασία των προσωπικών δεδομένων σχετίζονται άρρηκτα πλέον με τις ποιοτικά παρεχόμενες τουριστικές υπηρεσίες.

Το μάνατζμεντ κάθε επιχείρησης θα δώσει τον παλμό  για τη συμμόρφωση με τις επιταγές του Κανονισμού. Αφού συνειδητοποιήσει το διακύβευμα, ορίζει το έργο της συμμόρφωσης ως σημαντικό εταιρικό στόχο και  διορίζει ομάδα έργου για την υλοποίησή του, η οποία θα αναλάβει την εποπτεία ή/και εφαρμογή πτυχών της συμμόρφωσης.

1/. Το πρώτο βήμα προς την κατεύθυνση αυτή είναι να αναγνωρίσουν οι επιχειρήσεις τα δεδομένα που τηρούν και επεξεργάζονται (know your data).

2/. Το δεύτερο βήμα είναι να δημιουργήσουν ένα χάρτη-αρχείο δραστηριοτήτων επεξεργασίας (Data Inventory), ο οποίος θα παρουσιάζει όλο τον κύκλο ζωής των δεδομένων μέσα στην επιχείρηση (ήτοι: πώς εισάγονται, που αποθηκεύονται, πόσο χρόνο διατηρούνται, πώς καταστρέφονται, που διαβιβάζονται, κ.ο.κ.). Αυτό το αρχείο έχει διττό σκοπό, αφενός να αποτελέσει μια πλήρη καταγραφή των προσωπικών δεδομένων που τηρούνται από την επιχείρηση, αφετέρου δε να αναδείξει τις περιοχές υψηλού κινδύνου για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων.

3/. Το τρίτο βήμα, είναι να εντοπιστούν οι επεξεργασίες υψηλού ρίσκου
(high risk activities).

4/. Το τέταρτο βήμα είναι η διενέργεια εκτίμησης αντικτύπου ιδιωτικότητας (Data Privacy Impact Assessment), μια άσκηση που επιβάλλεται να διεξαχθεί για τις επεξεργασίες υψηλού ρίσκου. Τα αποτελέσματα αυτής της άσκησης μπορεί να οδηγήσουν, είτε στην κατάργηση ορισμένων επεξεργασιών προσωπικών δεδομένων, είτε στον ανασχεδιασμό τους.

5/. Το πέμπτο βήμα είναι η προστασία των προσωπικών δεδομένων ήδη από το σχεδιασμό και εξ’ ορισμού (Privacy by design and by default) που απαιτεί ο Κανονισμός. Στο πλαίσιο αυτό, η επιχείρηση πρέπει να αναδιαρθρώσει ή και να δημιουργήσει αντίστοιχα όλες τις Πολιτικές και Διαδικασίες για την προστασία των προσωπικών δεδομένων, εξειδικεύοντας ζητήματα όπως ο χρόνος τήρησης των δεδομένων, η πρόσβαση στα δεδομένα και η δημιουργία access controls, η διαδικασία καταστροφής τους, κ.ο.κ..

6/. Το έκτο βήμα αφορά στην αναθεώρηση όλων των συμβάσεων και ειδικότερα αυτών με τους εκτελούντες την επεξεργασία δεδομένων, καθώς και όλων των εντύπων συναίνεσης, ούτως ώστε να είναι σύμφωνα με το “GDPR”.

7/. Το έβδομο βήμα αποτελεί η οχύρωση των πληροφοριακών συστημάτων, στα οποία αποθηκεύονται προσωπικά δεδομένα, η οποία και είναι πολύ σημαντική για να αποφευχθεί το ενδεχόμενο μιας ηλεκτρονικής παραβίασης προσωπικών δεδομένων (data breach).

8/. Το όγδοο βήμα αφορά στην εσωτερική οργάνωση, εκπαίδευση και ευαισθητοποίηση του προσωπικού, καθώς όλες οι ανωτέρω διαδικασίες, χωρίς ικανά εκπαιδευμένο προσωπικό και χωρίς την ανάδειξη της συμμόρφωσης με τον Κανονισμό σε πρωταρχικό εταιρικό στόχο, αποτελούν κενό γράμμα. Η ορθή εφαρμογή και τήρηση της συμμόρφωσης αποτελεί μια αδιάλειπτη διαδικασία, η επιτυχία της οποίας στηρίζεται στα άτομα που διαχειρίζονται τα προσωπικά δεδομένα, δηλαδή, στο προσωπικό.

9/. Τέλος, το ένατο βήμα είναι η συνεχής παρακολούθηση της συμμόρφωσης από την εντεταλμένη ομάδα έργου, η οποία ιδανικά θα πρέπει να κατευθύνεται από τον Υπεύθυνο Προστασίας Δεδομένων (DPO), ο ορισμός του οποίου, δεν είναι μεν πάντοτε υποχρεωτικός, αποτελεί ωστόσο βέλτιστη πρακτική.

Όλα τα ανωτέρω βήματα έχουν ως στόχο να δημιουργήσουν ένα ισχυρό φάκελο τεκμηρίωσης, προκειμένου, σύμφωνα με την αρχή της λογοδοσίας, να δύναται η επιχείρηση, να αποδείξει σε περίπτωση ελέγχου από την Αρχή Προστασίας Προσωπικών Δεδομένων ότι έχει λάβει τα κατάλληλα μέτρα για την ασφάλεια και διαχείριση των προσωπικών δεδομένων.

Το κοντέρ μετράει λοιπόν αντίστροφα πλέον για την 25η Μαΐου, η οποία είναι προ των πυλών. Η συμμόρφωση με τον Κανονισμό δεν είναι μια στατική διαδικασία, δεν είναι ένα απλό check list! Στοχεύει στη δημιουργία μιας νέας εταιρικής κουλτούρας διαχείρισης προσωπικών δεδομένων, η οποία είναι μεν μια χρονοβόρα διαδικασία, φιλοδοξεί όμως να προσδώσει εν τέλει προστιθέμενη αξία στην φήμη και αξιοπιστία της κάθε επιχείρησης.

Νικόλας Κανελλόπουλος
Αντιπρόεδρος Συνδέσμου Δικηγορικών Εταιρειών Ελλάδος,
Διευθύνων Εταίρος της «Νικόλας Κανελλόπουλος – Χαρά Ζέρβα & Συνεργάτες Δικηγορική Εταιρεία»

πηγή: www.money-tourism.gr