Τα τουριστικά καταλύματα στο επίκεντρο της προβληματικής.
Του Γιώργου Γαλανόπουλου
Δικηγόρου, Υπ. Διδάκτορος Νομικής ΕΚΠΑ
Η προϊούσα υγειονομική κρίση τροφοδότησε αδιαμφισβήτητα πρωτόγνωρες συνθήκες κοινωνικής και οικονομικής απομόνωσης σε παγκόσμια κλίμακα. Τα ελληνικά τουριστικά καταλύματα βρέθηκαν στο επίκεντρο αυτής της κρίσης αντιμετωπίζοντας τις συνέπειες του νέου κορωνοϊού με την υιοθέτηση υγειονομικών πρωτοκόλλων.
Με κύριο μέλημα την προάσπιση της δημόσιας υγείας, ορίστηκε, μεταξύ άλλων, με την υπ’ αριθ. 1881/30.5.2020 ΚΥΑ, όπως τροποποιήθηκε και ισχύει, ότι «η διεύθυνση/διοίκηση του καταλύματος οφείλει να τηρεί αρχείο των μελών προσωπικού και όλων των ατόμων που διέμειναν στο κατάλυμα -όνομα, εθνικότητα, ημερομηνία άφιξης και αναχώρησης, στοιχεία επικοινωνίας (διεύθυνση, τηλέφωνο, e-mail)- ώστε να καθίσταται δυνατή η επικοινωνία με τις στενές επαφές τυχόν κρούσματος COVID-19, που ενδέχεται να ταυτοποιηθεί εκ των υστέρων». Επισημαίνεται στην ίδια κοινή υπουργική απόφαση ότι θα πρέπει να δίδεται ιδιαίτερη προσοχή στις διατάξεις του Γενικού Κανονισμού (ΕΕ) 2016/679 (GDPR), ενώ σε κάθε περίπτωση η επιχείρηση θα πρέπει να διασφαλίζει ότι ενημερώνει επαρκώς τα υποκείμενα των δεδομένων, δηλαδή τους πελάτες και τους εργαζόμενούς της, ως προς την τήρηση του αρχείου αυτού.
Πράγματι, η ιχνηλάτηση επαφών κάποιου κρούσματος μπορεί να συμβάλει δραστικά στον περιορισμό της διάδοσης του ιού. Γι’ αυτό το λόγο, οι διοικήσεις όλων των τουριστικών καταλυμάτων υποχρεούνται να επεξεργάζονται τα παραπάνω αναγκαία προσωπικά δεδομένα αποκλειστικά και μόνο για το σκοπό για τον οποίον παρασχέθηκαν, δηλαδή για την προστασία της δημόσιας υγείας. Έτσι, τυχόν χρήση e-mails που συλλέχθηκαν στο πλαίσιο του αρχείου καταλυμάτων και του βιβλίου συμβάντων COVID - 19 για διαφημιστικούς σκοπούς είναι παράνομη. Πρακτικά, τα τουριστικά καταλύματα οφείλουν με τα κατάλληλα τεχνικά και οργανωτικά μέτρα να εναρμονίσουν τη δραστηριότητά τους σε σχέση με τον Γενικό Κανονισμό (ΕΕ) 2016/679 ενσωματώνοντας ένα νέο σκοπό επεξεργασίας δεδομένων: την εκ του νόμου επιβαλλόμενη διασφάλιση της δημόσιας υγείας.
Η ενημέρωση των υποκειμένων για την επεξεργασία των δεδομένων τους είναι καθοριστική στη «μηχανική» του Γενικού Κανονισμού (ΕΕ) 2016/679. Για την ορθή και πολυεπίπεδη πληροφόρηση των πελατών «συνιστάται η ενημέρωση της ιστοσελίδας του τουριστικού καταλύματος με ειδική ενότητα COVID-19, στην οποία θα αναρτά τα μέτρα και την νέα πολιτική του καταλύματος περί λήψης αυξημένων μέτρων υγιεινής…». Η ενημέρωση αυτή θα πρέπει να περιλαμβάνει, μεταξύ άλλων, την αναγκαία πληροφόρηση ως προς τα δεδομένα που συλλέγονται, τον σκοπό της επεξεργασίας, τον χρόνο αποθήκευσης των δεδομένων βάσει και της κατ’ αρχήν περιορισμένης διάρκειας ισχύος της ανωτέρω ΚΥΑ (31.12.2020) καθώς και τα στοιχεία του υπευθύνου επεξεργασίας, δηλαδή του τουριστικού καταλύματος. Ιδιαίτερη μέριμνα, από την άλλη πλευρά, θα πρέπει να υπάρξει και για την κατ’ ιδίαν ενημέρωση των εργαζομένων ως προς τα συλλεγόμενα γι’ αυτούς δεδομένα, πέραν των άλλων, και για το σκοπό της προάσπισης της δημόσιας υγείας.
Περαιτέρω, με την υπ. αριθ. 9418/23.6.2020 ΚΥΑ προβλέφθηκε ότι «στις περιπτώσεις που εξεταστικός φορέας συνάπτει συμφωνία με ξενοδοχειακό κατάλυμα για την διενέργεια προφορικών εξετάσεων, πρέπει να διατηρεί πλήρη λίστα με τους συμμετέχοντες στην εξέταση σύμφωνα με τα ανωτέρω και να την διαθέτει στη διοίκηση του ξενοδοχειακού καταλύματος για την εφαρμογή του πρωτοκόλλου εντοπισμού επαφών κρουσμάτων σε περίπτωση που αυτό χρειαστεί να ενεργοποιηθεί».
Οι τουριστικές επιχειρήσεις οφείλουν λοιπόν στο πλαίσιο της αρχής της λογοδοσίας να είναι ανά πάσα στιγμή έτοιμες να αποδείξουν το σύννομο χαρακτήρα των επεξεργασιών που διεξάγουν∙ πολλώ δε μάλλον όταν πρόκειται για δεδομένα υγείας. Άλλωστε, παράλειψη ή μη ορθή τήρηση του αρχείου καταλύματος και βιβλίου συμβάντων COVID – 19, είτε σε φυσική είτε σε ηλεκτρονική μορφή, επισύρει πρόστιμο από 2.001 έως 3.000 ευρώ. Οποιαδήποτε όμως τυχόν πλημμελής διαχείριση περιστατικού COVID – 19 σε τουριστικό κατάλυμα μπορεί να «ενεργοποιήσει» τις πλέον αυστηρές κυρώσεις του GDPR.
Επομένως, απαιτείται ιδιαίτερη επιμέλεια στη χρήση των δεδομένων των υποκειμένων ενόψει του νέου σκοπού επεξεργασίας που αφορά στην προστασία της δημόσιας υγείας.
Η προϊούσα υγειονομική κρίση τροφοδότησε αδιαμφισβήτητα πρωτόγνωρες συνθήκες κοινωνικής και οικονομικής απομόνωσης σε παγκόσμια κλίμακα. Τα ελληνικά τουριστικά καταλύματα βρέθηκαν στο επίκεντρο αυτής της κρίσης αντιμετωπίζοντας τις συνέπειες του νέου κορωνοϊού με την υιοθέτηση υγειονομικών πρωτοκόλλων.
Με κύριο μέλημα την προάσπιση της δημόσιας υγείας, ορίστηκε, μεταξύ άλλων, με την υπ’ αριθ. 1881/30.5.2020 ΚΥΑ, όπως τροποποιήθηκε και ισχύει, ότι «η διεύθυνση/διοίκηση του καταλύματος οφείλει να τηρεί αρχείο των μελών προσωπικού και όλων των ατόμων που διέμειναν στο κατάλυμα -όνομα, εθνικότητα, ημερομηνία άφιξης και αναχώρησης, στοιχεία επικοινωνίας (διεύθυνση, τηλέφωνο, e-mail)- ώστε να καθίσταται δυνατή η επικοινωνία με τις στενές επαφές τυχόν κρούσματος COVID-19, που ενδέχεται να ταυτοποιηθεί εκ των υστέρων». Επισημαίνεται στην ίδια κοινή υπουργική απόφαση ότι θα πρέπει να δίδεται ιδιαίτερη προσοχή στις διατάξεις του Γενικού Κανονισμού (ΕΕ) 2016/679 (GDPR), ενώ σε κάθε περίπτωση η επιχείρηση θα πρέπει να διασφαλίζει ότι ενημερώνει επαρκώς τα υποκείμενα των δεδομένων, δηλαδή τους πελάτες και τους εργαζόμενούς της, ως προς την τήρηση του αρχείου αυτού.
Πράγματι, η ιχνηλάτηση επαφών κάποιου κρούσματος μπορεί να συμβάλει δραστικά στον περιορισμό της διάδοσης του ιού. Γι’ αυτό το λόγο, οι διοικήσεις όλων των τουριστικών καταλυμάτων υποχρεούνται να επεξεργάζονται τα παραπάνω αναγκαία προσωπικά δεδομένα αποκλειστικά και μόνο για το σκοπό για τον οποίον παρασχέθηκαν, δηλαδή για την προστασία της δημόσιας υγείας. Έτσι, τυχόν χρήση e-mails που συλλέχθηκαν στο πλαίσιο του αρχείου καταλυμάτων και του βιβλίου συμβάντων COVID - 19 για διαφημιστικούς σκοπούς είναι παράνομη. Πρακτικά, τα τουριστικά καταλύματα οφείλουν με τα κατάλληλα τεχνικά και οργανωτικά μέτρα να εναρμονίσουν τη δραστηριότητά τους σε σχέση με τον Γενικό Κανονισμό (ΕΕ) 2016/679 ενσωματώνοντας ένα νέο σκοπό επεξεργασίας δεδομένων: την εκ του νόμου επιβαλλόμενη διασφάλιση της δημόσιας υγείας.
Η ενημέρωση των υποκειμένων για την επεξεργασία των δεδομένων τους είναι καθοριστική στη «μηχανική» του Γενικού Κανονισμού (ΕΕ) 2016/679. Για την ορθή και πολυεπίπεδη πληροφόρηση των πελατών «συνιστάται η ενημέρωση της ιστοσελίδας του τουριστικού καταλύματος με ειδική ενότητα COVID-19, στην οποία θα αναρτά τα μέτρα και την νέα πολιτική του καταλύματος περί λήψης αυξημένων μέτρων υγιεινής…». Η ενημέρωση αυτή θα πρέπει να περιλαμβάνει, μεταξύ άλλων, την αναγκαία πληροφόρηση ως προς τα δεδομένα που συλλέγονται, τον σκοπό της επεξεργασίας, τον χρόνο αποθήκευσης των δεδομένων βάσει και της κατ’ αρχήν περιορισμένης διάρκειας ισχύος της ανωτέρω ΚΥΑ (31.12.2020) καθώς και τα στοιχεία του υπευθύνου επεξεργασίας, δηλαδή του τουριστικού καταλύματος. Ιδιαίτερη μέριμνα, από την άλλη πλευρά, θα πρέπει να υπάρξει και για την κατ’ ιδίαν ενημέρωση των εργαζομένων ως προς τα συλλεγόμενα γι’ αυτούς δεδομένα, πέραν των άλλων, και για το σκοπό της προάσπισης της δημόσιας υγείας.
Περαιτέρω, με την υπ. αριθ. 9418/23.6.2020 ΚΥΑ προβλέφθηκε ότι «στις περιπτώσεις που εξεταστικός φορέας συνάπτει συμφωνία με ξενοδοχειακό κατάλυμα για την διενέργεια προφορικών εξετάσεων, πρέπει να διατηρεί πλήρη λίστα με τους συμμετέχοντες στην εξέταση σύμφωνα με τα ανωτέρω και να την διαθέτει στη διοίκηση του ξενοδοχειακού καταλύματος για την εφαρμογή του πρωτοκόλλου εντοπισμού επαφών κρουσμάτων σε περίπτωση που αυτό χρειαστεί να ενεργοποιηθεί».
Οι τουριστικές επιχειρήσεις οφείλουν λοιπόν στο πλαίσιο της αρχής της λογοδοσίας να είναι ανά πάσα στιγμή έτοιμες να αποδείξουν το σύννομο χαρακτήρα των επεξεργασιών που διεξάγουν∙ πολλώ δε μάλλον όταν πρόκειται για δεδομένα υγείας. Άλλωστε, παράλειψη ή μη ορθή τήρηση του αρχείου καταλύματος και βιβλίου συμβάντων COVID – 19, είτε σε φυσική είτε σε ηλεκτρονική μορφή, επισύρει πρόστιμο από 2.001 έως 3.000 ευρώ. Οποιαδήποτε όμως τυχόν πλημμελής διαχείριση περιστατικού COVID – 19 σε τουριστικό κατάλυμα μπορεί να «ενεργοποιήσει» τις πλέον αυστηρές κυρώσεις του GDPR.
Επομένως, απαιτείται ιδιαίτερη επιμέλεια στη χρήση των δεδομένων των υποκειμένων ενόψει του νέου σκοπού επεξεργασίας που αφορά στην προστασία της δημόσιας υγείας.