Πώς η εμπλοκή του μηχανισμού μιας στάσης του ΓΚΠΔ οδήγησε μια εποπτική αρχή σε μια απόφαση με την οποία δεν συμφωνούσε
Επιμέλεια: Δημήτρης Βέρρας
Ένας Γερμανός, κάτοικος Έσσης, έκλεισε μέσω ταξιδιωτικού πρακτορείου με έδρα στη Βάδη-Βυρτεμβέργη μια εκδρομή στην Ευρώπη. Πρώτος σταθμός στο ταξίδι του αυτό ήταν η Λετονία και πρώτη στάση ένα ξενοδοχείο στη Ρίγα.
Κάνοντας check-in στο ξενοδοχείο αυτό, οι ταξιδιώτες αντίκρυσαν ένα έγχαρτο έντυπο, στο οποίο καλούνταν, ο ένας μετά τον άλλο, να συμπληρώσουν τα προσωπικά στοιχεία τους, μεταξύ αυτών η ημερομηνία γέννησης και ο αριθμός διαβατηρίου.
Ο συγκεκριμένος ταξιδιώτης δεν είδε θετικά την πρακτική αυτή, από άποψη προστασίας προσωπικών δεδομένων· θεωρώντας πως με τον τρόπο αυτό παραβιάζεται η εμπιστευτικότητα των προσωπικών δεδομένων του, καθώς αυτά ήταν ορατά σε όσους συνταξιδιώτες του θα συμπλήρωναν τα στοιχεία τους μετά από αυτόν, υπέβαλε καταγγελία στην εποπτική αρχή του τόπου του, την αρχή προστασίας δεδομένων της Έσσης. Όπως μάλιστα επεσήμανε, σε κανένα άλλο ξενοδοχείο από αυτά που διέμεινε στη συνέχεια της εκδρομής του δεν ακολουθήθηκε παρόμοια πρακτική.
Ποιος ήταν ο υπεύθυνος επεξεργασίας για τη συγκεκριμένη επεξεργασία δεδομένων και ποια η εποπτική αρχή που θα έπρεπε να διερευνήσει την καταγγελία, ως επικεφαλής εποπτική αρχή, σύμφωνα με τον μηχανισμό μιας στάσης του ΓΚΠΔ;
Οι εμπλεκόμενες εποπτικές αρχές φάνηκαν να μπερδεύονται ως προς αυτό.
Η Έσση ρώτησε τη Λετονία, η οποία αρνήθηκε την οποιαδήποτε ευθύνη του ξενοδοχείου και κατ’ επέκταση τη χρέωση της υπόθεσης. Ακολούθως, η Έσση διαβίβασε την υπόθεση στη Βάδη-Βυρτεμβέργη, η οποία αφού ρώτησε το ταξιδιωτικό πρακτορείο, κατέληξε πως η ευθύνη για την επεξεργασία ανήκε στο ξενοδοχείο και άρα στη λετονική εποπτική αρμοδιότητα.
Η λετονική αρχή προστασίας δεδομένων αρνήθηκε και πάλι να αναλάβει την πρωτοβουλία της διερεύνησης. Όπως χαρακτηριστικά απάντησε, η δική της εταιρεία (διαχείρισης ξενοδοχείων) απέρριψε την οποιαδήποτε ανάμειξή της στην επεξεργασία δεδομένων και επέρριψε την ευθύνη στον ταξιδιωτικό πράκτορα.
Εν τέλει, και αφού κανείς δεν φαινόταν διατεθειμένος να αναλάβει την υπόθεση, ως επικεφαλής εποπτική αρχή, η αρχή προστασίας δεδομένων της Βάδης-Βυρτεμβέργης συμφώνησε να κρατήσει την υπόθεση, ερευνώντας τις ευθύνες του ταξιδιωτικού πρακτορείου, ως υπευθύνου επεξεργασίας, μολονότι μόνο βέβαιη δεν ήταν πως η ευθύνη έπρεπε να αναγνωριστεί εκεί.
Σύμφωνα με την απόφασή της, η οποία δημοσιεύτηκε στο ηλεκτρονικό αρχείο αποφάσεων του άρθρου 60 του ΕΣΠΔ, το ταξιδιωτικό πρακτορείο αποτέλεσε εν τέλει τον υπεύθυνο επεξεργασίας, καθώς η επιρροή του στον καθορισμό των σκοπών και των μέσων της επεξεργασίας «δεν μπορεί να αποκλειστεί». Ο ισχυρισμός του πρακτορείου πως η επίμαχη επεξεργασία αποτέλεσε ιδέα των υπαλλήλων του ξενοδοχείου δεν ελήφθη υπόψιν από την εποπτική αρχή.
Η γερμανική εποπτική αρχή διαπίστωσε πως η επεξεργασία αυτή τελέστηκε κατά παράβαση των απαιτήσεων εμπιστευτικότητας των δεδομένων των άρθρων 6 παρ.1στ’ και 32 ΓΚΠΔ και της αρχής λογοδοσίας του άρθρου 5 παρ.2 ΓΚΠΔ. Όπως παρατήρησε στην απόφασή της, τα προσωπικά δεδομένα πρέπει να αποθηκεύονται κατά τρόπο ώστε μη εξουσιοδοτημένα πρόσωπα – συμπεριλαμβανομένων των υπολοίπων επισκεπτών – να μην έχουν πρόσβαση στα δεδομένα των εγγεγραμμένων πελατών. Οι έντυπες φόρμες, για παράδειγμα, πρέπει να μην αφήνονται επάνω σε γκισέδες, ενώ στο τέλος της ημέρας πρέπει να κλειδώνονται με ασφάλεια.
Καταληκτικώς, η γερμανική αρχή προχώρησε και στην παροχή συμβουλών προς ταξιδιωτικούς πράκτορες. Σύμφωνα με τις συμβουλές της αυτές, τα ταξιδιωτικά πρακτορεία πρέπει να μεριμνούν για την καταχώριση των δεδομένων των εκδρομέων σε ατομικά δελτία ή σε ηλεκτρονικά αρχεία, έτσι ώστε η επεξεργασία δεδομένων να τελεί σε συμμόρφωση με το άρθρο 5 παρ.1στ’ ΓΚΠΔ. Έτι περαιτέρω, τα ταξιδιωτικά πρακτορεία πρέπει και να δίνουν οδηγίες στους ταξιδιωτικούς συνεργάτες τους, πχ. ξενοδοχεία, ώστε και αυτοί να ακολουθούν την ίδια πρακτική.
Για τις διαπιστωθείσες παραβάσεις, η εποπτική αρχή απηύθυνε συστάσεις προς το ταξιδιωτικό πρακτορείο. Η λήψη πρόσθετων διορθωτικών μέτρων κρίθηκε μη αναγκαία, δεδομένου ότι το συγκεκριμένο πρακτορείο είχε διακόψει τη δραστηριότητά του ήδη από τον Οκτώβριο του 2020.
