Το δικαίωμα αποζημίωσης των επιβατών με βάση το νόμο: καθυστέρηση ή ματαίωση πτήσης και προβλήματα αποσκευών

1) Ο Ευρωπαϊκός Κανονισμός 261/2004

Ο Ευρωπαϊκός Κανονισμός 261/2004 (εφεξής «ο Κανονισμός) για τη θέσπιση κοινών κανόνων αποζημίωσης των επιβατών αεροπορικών μεταφορών και παροχής βοήθειας σε αυτούς σε περίπτωση άρνησης επιβίβασης και ματαίωσης ή μεγάλης καθυστέρησης της πτήσης και για την κατάργηση του κανονισμού́ (ΕΟΚ) αριθ. 295/91, αποτελεί ένα εξαιρετικά χρήσιμο νομοθέτημα, το οποίο καθορίζει τα δικαιώματα όσων ταξιδεύουν αεροπορικώς εντός ή εκτός της Ευρωπαϊκής Ένωσης (ΕΕ). Βασική προϋπόθεση για την εφαρμογή του παραπάνω Κανονισμού είναι το αεροδρόμιο αναχώρησης του επιβάτη να βρίσκεται σε έδαφος κράτους μέλους της ΕΕ, ενώ σε περίπτωση αναχώρησης από τρίτη χώρα προς αερολιμένα κράτους μέλους της ΕΕ, η πτήση θα πρέπει να εκτελείται από κοινοτικό αερομεταφορέα, δηλαδή αεροπορική εταιρεία που διαθέτει έγκυρη άδεια εκμετάλλευσης την οποία έχει χορηγήσει κράτος μέλος της ΕΕ. Κρίνεται σκόπιμο να γίνει διάκριση μεταξύ τεσσάρων περιπτώσεων στις οποίες ο επιβάτης έχει συγκεκριμένα δικαιώματα τα οποία προβλέπονται στον Κανονισμό, δικαιούται αποζημίωση και μπορεί να διεκδικήσει ακόμη και την επιστροφή του ανιτίμου του εισιτηρίου: α) η άρνηση επιβίβασης, β) η ματαίωση, γ) η καθυστέρηση πτήσης η οποία αποτελεί και τη πιο συνηθισμένη περίπτωση καταβολής αποζημίωσης δ) η αλλαγή θέσης. Το γραφείο μας έχει αναλάβει και χειριστεί πληθώρα περιπτώσεων καθυστέρησης ή ματαίωσης πτήσης οι οποίες αφορούσαν μεταξύ άλλων τις Aegean Αirlines, Blue Air, LOT Polish Airlines, Cyprus Airways, Vueling Airlines, Ryanair και Austrian Airlines.

Είναι χρήσιμο να αναφερθεί πως υπάρχει αρχικά σαφής υποχρέωση του αερομεταφορέα να ενημερώνει τους επιβάτες για τα δικαιώματά τους με αναρτημένη και ευανάγνωστη γνωστοποίηση στο σημείο ελέγχου των εισιτηρίων.

α) Άρνηση επιβίβασης

Σε περίπτωση που ο αερομεταφορέας εκτιμά ότι υπάρχει ανάγκη άρνησης επιβίβασης, θα πρέπει σε πρώτο στάδιο να αναζητήσει «εθελοντές» επιβάτες οι οποίοι θα παραιτηθούν από τις κρατήσεις τους και θα έχουν ως αντάλλαγμα κάποιο όφελος το οποίο θα συμφωνηθεί μεταξύ του επιβάτη και του αερομεταφορέα[i]. Επιπρόσθετα, οι εν λόγω επιβάτες δικαιούνται επιστροφή του πλήρους αντιτίμου του εισιτηρίου τους εντός επτά ημερών ή τη μεταφορά τους στο τελικό προορισμό το συντομότερο δυνατό[ii]. Βέβαια, εάν δεν εντοπιστούν «εθελοντές» επιβάτες, ο αερομεταφορέας έχει τη δυνατότητα να προβεί σε άρνηση επιβίβασης παρά τη θέληση των επιβατών, οι οποίοι όμως θα δικαιούνται αποζημίωση με βάση το άρθρο 7 του Κανονισμού (το οποίο θα αναλυθεί εκτενέστερα παρακάτω), έχουν δικαίωμα επιστροφής χρημάτων ή μεταφοράς με άλλη πτήση καθώς και δικαίωμα φροντίδας (πχ. γεύματα, διανυκτέρευση σε ξενοδοχείο κτλ.)[iii].

β) Ματαίωση πτήσης

Σε περίπτωση ματαίωση πτήσης, οι επιβάτες έχουν δικαίωμα επιστροφής των χρημάτων τους ή μεταφοράς με άλλη πτήση[iv] και δικαίωμα φροντίδας[v] ενώ μπορούν επιπρόσθετα να διεκδικήσουν αποζημίωση με βάση το άρθρο 7 (το οποίο όπως προαναφέρθηκε θα αναλυθεί παρακάτω). Βέβαια, όταν ο αερομεταφορέας πληροφορήσει τους επιβάτες για ματαίωση εντός συγκεκριμένου χρονικού διαστήματος πριν την ημερομηνία πραγματοποίησης της πτήσης και/ή τους προσφέρεται δυνατότητα πραγματοποίησης του ταξιδιού με εναλλακτική πτήση, η αεροπορική εταιρεία δεν είναι υποχρεωμένη να καταβάλει οποιαδήποτε αποζημίωση[vi].

γ)  Καθυστέρηση πτήσης

Η πιο συνηθισμένη περίπτωση καταβολής αποζημίωσης σε επιβάτες που ταξιδεύουν αεροπορικώς αποτελεί η καθυστέρηση πτήσης. Εκτός από το άρθρο 6 του Κανονισμού, το οποίο προβλέπει ότι σε περίπτωση καθυστέρησης, οι επιβάτες έχουν δικαίωμα φροντίδας και σε ορισμένες περιπτώσεις δικαιούνται επιστροφή των χρημάτων τους[vii], με βάση τη νομολογία του Δικαστηρίου της Ευρωπαϊκής Ένωσης[viii], οι επιβάτες οι οποίοι φθάνουν στον προορισμό τους με καθυστέρηση τριών ή περισσότερων ωρών δικαιούνται να λάβουν σημαντικό χρηματικό ποσό ως αποζημίωση. Ειδικότερα, για όλες τις πτήσεις έως 1500 χιλιόμετρα[ix], οι επιβάτες δικαιούνται να λάβουν το ποσό των 250 ευρώ, για τις ενδοκοινοτικές πτήσεις άνω των 1500 χιλιομέτρων δικαιούνται να λάβουν το ποσό των 400 ευρώ όπως και σε όλες τις άλλες πτήσεις μεταξύ 1500 και 3500 χιλιομέτρων, ενώ δικαιούνται να λάβουν το ποσό των 600 ευρώ όταν η πτήση τους δεν εμπίπτει στις παραπάνω περιπτώσεις. Αξίζει να επισημανθεί, ότι σε περίπτωση που προσφερθεί η δυνατότητα ο επιβάτης να φθάσει στον προορισμό του με άλλη πτήση και η ώρα άφιξής του (με τη νέα πτήση) δεν θα ξεπερνά την αρχικά προγραμματισμένη ώρα άφιξής του[x] στον προορισμό, ο αερομεταφορέας μπορεί να μειώσει την αποζημίωση κατά 50%[xi].

Η αεροπορική εταιρεία μπορεί να αρνηθεί τις υποχρεώσεις της σε όλες τις παραπάνω περιπτώσεις όταν συντρέχουν έκτακτες περιστάσεις, δηλαδή συνθήκες πολιτικής αστάθειας, άσχημα καιρικά φαινόμενα που δεν επιτρέπουν την πραγματοποίηση συγκεκριμένης πτήσης, κίνδυνοι για τους επιβάτες κτλ., και όταν εν γένει ανακύψουν προβλήματα τα οποία δεν θα μπορούσαν να έχουν αποφευχθεί ακόμη και εάν ο συγκεκριμένος αερομεταφορέας είχε λάβει όλα τα εύλογα μέτρα για να αποφευχθεί η καθυστέρηση ή η ματαίωση. Ωστόσο, δεν σημαίνει πως η επίκληση εκτάκτων περιστάσεων αυτομάτως απαλλάσσει τον αερομεταφορέα από τις υποχρεώσεις του καθώς αυτές θα πρέπει να αποδειχθούν με αναλυτικά στοιχεία και λεπτομέρειες.

δ) Αλλαγή θέσης

Η τελευταία κατηγορία αφορά την περίπτωση που ο αερομεταφορέας τοποθετήσει επιβάτη σε θέση ανώτερη από εκείνη για την οποία έχει αγορασθεί το εισιτήριο, και όπως εύλογα γίνεται αντιληπτό ο επιβάτης δεν μπορεί να απαιτήσει οποιαδήποτε επιπλέον πληρωμή. Αντιθέτως, όταν ο επιβάτης «τοποθετηθεί» σε θέση κατώτερη, τότε δικαιούται επιστροφή του 30% ή του 50% ή του 75% του εισιτηρίου του ανάλογα με την απόσταση της πτήσης του, εντός επτά ημερών[xii].

2) Η Σύμβαση του Μόντρεαλ

Τέλος, η Σύμβαση του Μόντρεαλ αποτελεί ένα ιδιαιτέρως χρήσιμο «νομικό εργαλείο» για τους επιβάτες που ταξιδεύουν αεροπορικώς καθώς προνοεί αποζημιώσεις έως 1220 ευρώ[xiii] για φθαρμένες, καθυστερημένες ή απολεσθέντες αποσκευές. Σε περίπτωση που διαπιστωθεί πως οι παραδοτέες αποσκευές είναι φθαρμένες ή δεν εντοπίζονται στον ιμάντα που βρίσκεται στον χώρο αφίξεων του αεροδρομίου, συνίσταται αρχικά αυτό να δηλωθεί προτού απομακρυνθείτε από το αεροδρόμιο με τη συμπλήρωση ειδικού εντύπου, στο οποίο θα καταγραφούν λεπτομέρειες της αποσκευής, η οποία έχει φθαρεί ή στην χειρότερη περίπτωση απολεσθεί. Το αίτημα για αποζημίωση εξαιτίας φθοράς της παραδοτέας αποσκευής μπορεί να υποβληθεί εντός 7 ημερών από την ημέρα άφιξης στο αεροδρόμιο, ωστόσο θα πρέπει να αποδειχθεί ότι η φθορά συνέβη, ενόσω η αποσκευή βρισκόταν κάτω από τη διαχείριση της αεροπορικής εταιρείας.

Το αίτημα για αποζημίωση εξαιτίας της καθυστέρησης ή απώλειας της παραδοτέας αποσκευής μπορεί να αναφερθεί εντός 21 ημερών από την ημέρα άφιξης στο αεροδρόμιο, ενώ η αποσκευή θεωρείται πλέον απολεσθείσα εάν δεν μπορεί να εντοπιστεί εντός 21 ημερών από την ημέρα της προγραμματισμένης άφιξης, μέσω τους διεθνούς συστήματος ανεύρεσης αποσκευών. Η λεπτομερής μελέτη της πολιτικής του εκάστοτε αερομεταφορέα για τις φθαρμένες ή καθυστερημένες/απολεσθέντες βαλίτσες είναι απαραίτητη προκειμένου να εξακριβωθούν τα δικαιώματα του εκάστοτε επιβάτη.

 Για περισσότερες πληροφορίες μπορείτε να επικοινωνήσετε μαζί μας στο τηλ: (+357) 22377863 ή να μας στείλετε ηλεκτρονικό μήνυμα στο email: info@jurisprudentes.com

Βασίλης Π. Αντωνίου, ασκούμενος δικηγόρος

[i] Βλ. άρθρο 4 του Ευρωπαϊκού Κανονισμού 261/2004, “https://eur-lex.europa.eu/resource.html?uri=cellar:439cd3a7-fd3c-4da7-8bf4-b0f60600c1d6.0003.02/DOC_1&format=PDF”

[ii] Βλ. άρθρο 8 του Ευρωπαϊκού Κανονισμού 261/2004

[iii] Βλ. άρθρο 9 του Ευρωπαϊκού Κανονισμού 261/2004

[iv] Βλ. υποσημείωση 2.

[v] Βλ. υποσημείωση 3.

[vi] Βλ. αναλυτικά το άρθρο 5 (γ) του Κανονισμού 261/2004.

[vii] Βλ. εκτενέστερα το άρθρο 6 του Κανονισμου 261/2004.

[viii] C-402/07 και C-432/07 Sturgeon κατά Condor Flugdienst GmbH και Böck κ.λ. κατά Air France SA.

[ix] Οι αποστάσεις υπολογίζονται με τη μέθοδο της μεγιστοκύκλιας διαδρομής.

[x] Βλ. αναλυτικά προϋποθέσεις άρθρου 7 παρ. 2 του Ευρωπαϊκού Κανονισμού 261/2004

[xi] Βλ. άρθρο 7 του Ευρωπαϊκού Κανονισμού  261/2004.

[xii] Βλ. άρθρο 10 του Ευρωπαϊκού Κανονισμού 261/2004.

[xiii] Βλ. άρθρο 22 της Σύμβασης για την ενοποίηση ορισμένων κανόνων τις διεθνείς αεροπορικές μεταφορές ‘‘ https://www.eccgreece.gr/wp-content/uploads/2015/07/22001A0718-EL-Montreal-Convention.pdf ’’

Συμμόρφωση ηλεκτρονικών ιστοσελίδων και πλατφόρμων με τον Νόμο

Στην εφαρμογή της Ευρωπαϊκής οδηγίας για τα δικαιώματα των καταναλωτών (Οδηγία 2011/83/ΕΕ) προχώρησε η πασίγνωστη ιστοσελίδα εξεύρεσης καταλυμάτων Airbnb, μετά από καταγγελίες που έγιναν από καταναλωτές.

Πλέον, σύμφωνα με ανακοίνωση της Ε.Ε.[1], οι προσφορές καταλυμάτων στους καταναλωτές θα είναι σύμφωνες με τα πρότυπα που ορίζονται στο δίκαιο της Ε.Ε. για την προστασία των καταναλωτών. Η εταιρεία προχώρησε στην κίνηση αυτή κατόπιν αιτήματος που διατύπωσαν η Ευρωπαϊκή Επιτροπή και οι αρχές προστασίας των καταναλωτών της ΕΕ τον Ιούλιο του 2018.

Οι σημαντικότερες και πιο ευδιάκριτες τροποποιήσεις που έγιναν από την εταιρεία είναι ότι, στην αναζήτηση καταλύματος με επιλεγμένες ημερομηνίες, οι χρήστες βλέπουν πλέον, τη συνολική τιμή στη σελίδα αποτελεσμάτων, συμπεριλαμβανομένων όλων των εφαρμοστέων υποχρεωτικών επιβαρύνσεων και τελών (όπως χρεώσεις για υπηρεσίες καθαρισμού και τοπικούς φόρους). Επί της ουσίας δεν υπάρχουν πλέον υποχρεωτικά τέλη «έκπληξη» που να εμφανίζονται στις επόμενες σελίδες.

Επιπλέον, η Airbnb θα κάνει ευδιάκριτη την διαφορά μεταξύ καταλυμάτων που διατίθονται στην αγορά από ιδιώτες και αυτών που διατίθονται από επαγγελματίες.

Παράλληλα η Airbnb παρέχει στον δικτυακό της τόπο, σύνδεσμο προς την πλατφόρμα ηλεκτρονικής επίλυσης διαφορών, ο οποίος μάλιστα είναι εύκολα προσβάσιμος, καθώς και όλες τις απαραίτητες πληροφορίες σχετικά με την επίλυση διαφορών.

Τέλος, η εταιρεία προχώρησε σε αναθεώρηση των όρων παροχής υπηρεσιών της, καθιστώντας πλέον σαφές ότι οι χρήστες μπορούν να προσφύγουν κατά της Airbnb ενώπιον των δικαστηρίων της χώρας κατοικίας, ότι σέβεται τα βασικά νομικά δικαιώματα των χρηστών να προσφεύγουν κατά του παρόχου καταλύματος, σε περίπτωση σωματικής βλάβης ή άλλων ζημιών καθώς και ότι δεσμεύεται να μη μεταβάλλει μονομερώς τους όρους και τις προϋποθέσεις χωρίς να ενημερώνει σαφώς τους χρήστες εκ των προτέρων και χωρίς να τους δίνει τη δυνατότητα να ακυρώσουν τη σύμβαση τους.

Η μη τήρηση των ευρωπαϊκών κανονισμών για τα δικαιώματα των καταναλωτών επιφέρει μεγάλες χρηματικές ποινές στους ιδιοκτήτες των διαδικτυακών σελίδων.

Για να μάθετε αν η ιστοσελίδα σας τηρεί τους όρους της ευρωπαϊκής οδηγίας και για να εναρμονιστείτε με αυτή επικοινωνήστε με το γραφείο μας.

[1] http://europa.eu/rapid/press-release_IP-19-3990_el.pdf

Πρόστιμο βάσει GDPR για μη καθορισμό περιόδου αποθήκευσης προσωπικών δεδομένων και μη λήψη κατάλληλων μέτρων ασφαλείας

Η Γαλλική Αρχή Προστασίας Δεδομένων (CNIL) επέβαλε πρόσφατα πρόστιμο ύψους 400.000 € σε βάρος εταιρείας ενοικιάσεων ακινήτων (SERGIC)[1] για μη περιορισμό της περιόδου αποθήκευσης των δεδομένων στον αναγκαίο για τον σκοπό επεξεργασίας τους χρόνο [2] και μη λήψη των κατάλληλων τεχνικών και οργανωτικών μέτρων ασφαλείας[3] του GDPR για την προστασία των προσωπικών δεδομένων.

Συνοπτικά διαπιστώθηκε ότι:

  • Η εταιρεία – Υπεύθυνος επεξεργασίας δεν διέγραφε ή δεν αποθήκευε σε χωριστά (ενδιάμεσα) αρχεία και για ξεχωριστή ορισμένη χρονική περίοδο δεδομένα[4] που απαιτούνται στα πλαίσια συμμόρφωσης με νομικές υποχρεώσεις ή επίλυση διαφορών από τα αρχεία δημοσίευσης στοιχείων των υποψηφίων ενοικιαστών σε ιστοσελίδα εταιρείας για τον σκοπό μίσθωσης κατοικιών. Δεν έκανε δηλαδή λογικό διαχωρισμό αρχείων και περιόδου διατήρησης τους ανάλογα με τον σκοπό χρήσης[5] τους, με αποτέλεσμα να διατηρεί προσωπικά δεδομένα υποψήφιων ενοικιαστών πέραν του αναγκαίου διαστήματος για εκπλήρωση του σκοπού -μίσθωσης κατοικίας.
  • Η εταιρεία – Υπεύθυνος επεξεργασίας δεν έλαβε τα κατάλληλα τεχνικά και οργανωτικά μέτρα ασφαλείας των προσωπικών δεδομένων[6] ώστε να διασφαλίσει την μη αποκάλυψη τους σε μη εξουσιοδοτημένα πρόσωπα, επειδή δεν αντιμετώπισε την ευπάθεια του συστήματος που γνώριζε και που εξαιτίας μη ταυτοποίησης χρήστη ιστοσελίδας έδινε πρόσβαση σε απεριόριστο αριθμό χρηστών της ιστοσελίδας και σε πλήθος εγγράφων με προσωπικά δεδομένα (κατάλογο δικαιολογητικών εγγράφων υποψήφιων ενοικιαστών) και μάλιστα εύκολα, χωρίς ειδικές τεχνικές γνώσεις[7].

Αξίζει να σημειωθεί ότι και η Δανική Αρχή Προστασίας Δεδομένων επέβαλε πρόστιμο για μη περιορισμό της περιόδου αποθήκευσης[8] και (2) έλλειψη απόδειξης συμμόρφωσης (λογοδοσίας)[9] σε βάρος εταιρείας – Υπευθύνου επεξεργασίας (IDdesign)[10], επειδή δεν είχε στο σύστημα της περιόδους αποθήκευσης ανάλογα με τον σκοπό επεξεργασίας και δεν τηρούσε αρχείο που να βεβαιώνει ότι διαγράφηκαν τα δεδομένα που έληξε ο σκοπός και η αντίστοιχη περίοδος διατήρησης τους. Τονίστηκε επίσης ότι η διατήρηση προσωπικών δεδομένων πελατών (π.χ. τιμολόγια) για συμμόρφωση με νομικές υποχρεώσεις (π.χ. φορολογικές) ή επίλυση διαφορών πρέπει να διακρίνεται από την διατήρηση ή χρήση δεδομένων για σκοπό πώλησης εμπορεύματος και συνεπώς να τηρείται χωριστό αρχείο και χωριστή περίοδος αποθήκευσης αυτών.

Πρόσφατα, επίσης και η Ιταλική Αρχή Προστασίας Δεδομένων επέβαλε πρόστιμο[11] για μη λήψη κατάλληλων μέτρων ασφαλείας[12] σε βάρος του εκτελούντος (ΙΤ support), αυτή την φορά, επεξεργασία για λογαριασμό του Υπεύθυνου επεξεργασίας, επειδή δεν τηρούταν αρχείο καταγραφής της πρόσβασης και των ολοκληρωμένων ενεργειών στην βάση δεδομένων (database) , δηλαδή των ονομαζόμενων ‘logs’, ενώ ακόμη καμία ενέργεια που λάμβανε χώρα στο ηλεκτρονικό σύστημα της πλατφόρμας δεν καταγραφόταν. Εντοπίστηκαν από την Αρχή συνολικά οι ακόλουθες ελλείψεις μέτρων ασφαλείας σε πλατφόρμα:

  • χρήση παλιού λογισμικού χωρίς δυνατότητα επικαιροποίησης που καθιστούσε ευπαθές και αργό το σύστημα
  • μη εφαρμογή συστήματος για ισχυρούς κωδικούς ασφαλείας ‘passwords’
  • μη εφαρμογή πρωτοκόλλων ασφαλείας και ψηφιακών πιστοποιητικών κατά την μεταφορά δεδομένων που μειώνουν τον κίνδυνο από ψεύτικες ιστοσελίδες
  • μη επαρκή μέτρα για αποθήκευση των ‘passwords’ εξαιτίας αδύναμου αλγόριθμου κρυπτογράφησης
  • μη εφαρμογή μέτρων ελέγχου για καταγραφή πρόσβασης και ενεργειών σε βάση δεδομένων του συστήματος
  • χρήση κοινόχρηστων λογαριασμών με αρκετά μεγάλα προνόμια στη λειτουργία της πλατφόρμας που έδιναν πρόσβαση και σε ευαίσθητα δεδομένα (όπως πολιτικές απόψεις)
  • ανεπαρκή μέτρα ανωνυμοποίησης των δεδομένων

Ενόψει των ανωτέρω, για να αποφευχθεί ο κίνδυνος επιβολής προστίμων απαιτείται να ληφθούν από τις επιχειρήσεις, τα κάτωθι προτεινόμενα τεχνικά και οργανωτικά μέτρα ασφαλείας:

  1. Διαχωρισμός αρχείων προσωπικών δεδομένων ανάλογα με τον σκοπό επεξεργασίας στο ηλεκτρονικό και χειρόγραφο σύστημα εταιρείας.
  2. Καθορισμός στο ηλεκτρονικό και χειρόγραφο σύστημα εταιρείας συγκεκριμένης περιόδου διατήρησης προσωπικών δεδομένων ανάλογα με τον σκοπό επεξεργασίας, με την συμπλήρωση της οποίας τα συγκεκριμένα δεδομένα πελάτη να διαγράφονται ή να ανωνυμοποιούνται.
  3. Τήρηση αρχείου συμμόρφωσης από ΥΠΔ- DPO που αποδεικνύει την ύπαρξη ελέγχου ανά τακτά σύντομα διαστήματα (μηνιαίως για χειρόγραφα ή καθημερινώς για ηλεκτρονικά αρχεία) και διαγραφής αχρείαστων δεδομένων που εκπλήρωσαν τον σκοπό επεξεργασίας τους.
  4. Τήρηση διαδικασίας ταυτοποίησης προσώπου που ζητά πρόσβαση σε προσωπικά δεδομένα πριν την παροχή πρόσβασης και αποκάλυψης αυτών.
  5. Λήψη μέτρων ασφαλείας που τεχνικά αποκλείει την μη εξουσιοδοτημένη πρόσβαση είτε μέσω κωδικών χρήστη ιστοσελίδας είτε διεύθυνσης φιλτραρίσματος URL ή μετακίνησης δεδομένων σε χωριστό μη προσπελάσιμο ή κρυπτογραφημένο αρχείο κλπ.
  6. Χρήση του μέτρου ανωνυμοποίησης των δεδομένων, όταν έληξε ο σκοπός και αντίστοιχα η περίοδος διατήρησης τους.
  7. Εφαρμογή μέτρων ελέγχου για καταγραφή πρόσβασης και ενεργειών σε βάση δεδομένων (database) του ηλεκτρονικού και/ή χειρόγραφου συστήματος.
  8. Χρήση πρόσφατου λογισμικού με δυνατότητα επικαιροποίησης από προμηθευτή σε πλατφόρμα/ηλεκτρονικό σύστημα.
  9. Εφαρμογή ισχυρών κωδικών ασφαλείας ‘passwords’ σε σύστημα/πλατφόρμα.
  10. Εφαρμογή πρωτοκόλλων ασφαλείας και ψηφιακών πιστοποιητικών που διασφαλίζουν την αυθεντικότητα της ιστοσελίδας
  11. Χρήση δυνατού αλγόριθμου κρυπτογράφησης για αποθήκευση των ‘passwords’
  12. Περιορισμός δυνατότητας πρόσβασης και διαχείρισης αρχείων σε κοινόχρηστους λογαριασμούς, μέσω περιορισμένων προνομίων στη λειτουργία της πλατφόρμας/ηλεκτρονικού συστήματος που αποκλείει πρόσβαση σε δεδομένα, ιδίως ευαίσθητα, που δεν αφορούν τον συγκεκριμένο χρήστη.

Το παρόν δεν συνιστά σε καμιά περίπτωση νομική συμβουλή αλλά είναι μόνο για ενημερωτικούς σκοπούς.

 

[1] Διαθέσιμη σε: https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000038552658&fastReqId=119744754&fastPos=1

[2] Παραβίαση του άρθρου 5 (1) (ε) (περιορισμός περιόδου αποθήκευσης) του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR) EE 2016/679

[3] Παραβίαση του άρθρου 32 του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR) EE 2016/679

[4] Δηλαδή τα δικαιολογητικά έγγραφα που τις έδιναν υποψήφιοι ενοικιαστές και τα οποία απαιτούνται σύμφωνα με τη νομοθεσία για ενοικίαση ακινήτων να υπάρχουν και να κρατούνται

[5] Έχει την έννοια επεξεργασίας του GDPR

[6] σύμφωνα με το άρθρο 32 του GDPR

[7] Συγκεκριμένα μέσω αλλαγής της τιμής του Χ στο τέλος της διεύθυνσης URL

[8] Παραβίαση του άρθρου 5 (1) (ε) (περιορισμός περιόδου αποθήκευσης) του GDPR

[9] Παραβίαση του άρθρου 5 (2) του GDPR

[10] Διαθέσιμη σε:

https://www.datatilsynet.dk/tilsyn-og-afgoerelser/afgoerelser/2019/jun/tilsyn-med-iddesigns-behandling-af-personoplysninger/

[11] Άρθρο για πρόστιμο διαθέσιμο σε:

https://www.gamingtechlaw.com/2019/04/first-gdpr-fine-italy.html

[12] και επομένως παραβίαση του άρθρου 32 του Κανονισμού (GDPR)

Αρχείο δραστηριοτήτων και GDPR: έχουν οι μικρομεσαίες επιχειρήσεις λιανικού εμπορίου υποχρέωση να τηρούν αρχείο και για ποιές δραστηριότητες;

Όταν επιχείρηση λιανικού εμπορίου απασχολεί λιγότερο από 250 άτομα ως εργαζομένους σύμφωνα με το άρθρο 30 (5) [1] του Γενικού Κανονισμού Προστασίας Δεδομένων δεν έχει υποχρέωση τήρησης αρχείου δραστηριοτήτων εκτός αν εμπίπτει στις περιπτώσεις που απαριθμούνται διαζευκτικά στη ίδια διάταξη και είναι:

  1. η επεξεργασία ενδέχεται να προκαλέσει κίνδυνο (όχι απαραίτητα υψηλό[2]) για τα δικαιώματα και ελευθερίες του υποκειμένου των δεδομένων

ή

  1. η επεξεργασία δεν είναι περιστασιακή

ή

  1. η επεξεργασία περιλαμβάνει ειδικές κατηγορίες δεδομένων, ήτοι ευαίσθητα δεδομένα του άρθρου 9 (1), όπως π.χ. υγείας ή η επεξεργασία αφορά ποινικές καταδίκες και αδικήματα του άρθρου 10.

Συνεπώς, όταν πρόκειται για επεξεργασία που είτε δεν είναι περιστασιακή ή μπορεί να επιφέρει κίνδυνο είτε αφορά ευαίσθητα ή ποινικά δεδομένα, τότε ο υπεύθυνος ή ο εκτελών επεξεργασία υποχρεούται να τηρεί αρχείο δραστηριοτήτων, έστω και αν πρόκειται για μικρομεσαία επιχείρηση με λιγότερους από 250 υπαλλήλους. Αρκεί μάλιστα μία από τις πιο πάνω περιπτώσεις να συντρέχει για να ισχύει η υποχρέωση τήρησης αρχείου, όπως προκύπτει από την διατύπωση της διάταξης με χρήση του διαζευκτικού «ή» και από την ερμηνεία που δίνεται σε Εγχειρίδιο σχετικά με την Ευρωπαϊκή νομοθεσία για την προστασία προσωπικών δεδομένων[3] και το έγγραφο θέσεων της Ομάδας Εργασίας του άρθρου 29 για το άρθρο 30 (5) [4]. Στο έγγραφο θέσεων της άνω Ομάδας αναφέρεται ότι σε περίπτωση που η επεξεργασία εμπίπτει στις εξαιρέσεις όπου εφαρμόζεται η υποχρέωση τήρησης αρχείου, τότε μπορεί να κρατείται αρχείο δραστηριοτήτων μόνο για την συγκεκριμένη επεξεργασία και όχι για τις υπόλοιπες επεξεργασίες. Διευκρινίζεται επίσης ότι η επεξεργασία για παράδειγμα δεδομένων των εργαζομένων σε μια μικρομεσαία επιχείρηση δεν είναι «περιστασιακή» και άρα θα προκύπτει υποχρέωση τήρησης αρχείου για αυτή.

Υπογραμμίζεται παράλληλα ότι το αρχείο δραστηριοτήτων είναι πολύ χρήσιμο μέσο ανάλυσης των κινδύνων που υπάρχουν σε πράξεις επεξεργασίας και λήψης αντίστοιχων μέτρων ασφαλείας, απαραίτητο για την συμμόρφωση με την αρχή λογοδοσίας του Κανονισμού. Ωστόσο, αναγνωρίζοντας η Ομάδα Εργασίας του άρθρου 29 το διοικητικό βάρος που προκαλεί μια τέτοια υποχρέωση σε μικρομεσαίες επιχειρήσεις παροτρύνονται οι Εθνικές Αρχές να διαθέτουν εργαλεία ή απλοποιημένα μοντέλα τήρησης αρχείου δραστηριοτήτων στις ιστοσελίδες τους[5], ενώ και στο Προοίμιο του ΓΚΠΔ (13)[6] αναφέρεται η παρέκκλιση από την υποχρέωση τήρησης αρχείου για μικρομεσαίες επιχειρήσεις με λιγότερους από 250 εργαζομένους και η λήψη υπόψη των ειδικών αναγκών των επιχειρήσεων αυτών κατά την εφαρμογή του Κανονισμού από τις Εποπτικές Αρχές και άλλα εθνικά ή Ευρωπαϊκά όργανα.

Με βάση όσα αναφέρθηκαν, προκύπτει ότι επιχείρηση λιανικού εμπορίου έχει υποχρέωση να τηρεί αρχείο δραστηριοτήτων τουλάχιστον για τις ακόλουθες επεξεργασίες:

  1. Δεδομένα υγείας εργαζομένων της ως επεξεργασία ευαίσθητων δεδομένων
  2. Δεδομένα εργαζομένων γενικά, όπως μισθοδοσία ως τακτική επεξεργασία
  3. Δεδομένα πελατών, όπως παραστατικά παραγγελιών, πωλήσεων, παραδόσεων προϊόντων ως τακτική επεξεργασία
  4. Δεδομένα από GPS και κάμερες ασφαλείας ως τακτική και υψηλού κινδύνου επεξεργασία
  5. Δεδομένα επισκεψιμότητας ιστοσελίδων επιχείρησης ως τακτική επεξεργασία

 

Ειδικά για την επεξεργασία δεδομένων πελατών όπως παραστατικά παραγγελιών, πωλήσεων, παραδόσεων που πρέπει να τηρούνται από τις εταιρίες για φορολογικούς σκοπούς στο πλαίσιο της επιχειρηματικής δραστηριότητας πωλήσεων και συμμόρφωσης με νόμιμες υποχρεώσεις, επειδή ο όρος «περιστασιακή» επεξεργασία στο άρθρο 30 (5) δεν έχει αποσαφηνιστεί και αφορά την πλειονότητα των ΜΜΕ αναμένεται [7]από το 2018 γνωμοδότηση του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων (European Data Protection Board (EDPB) πρώην Ομάδα Εργασίας του άρθρου 29) επί του όρου.

Εν τω μεταξύ, έχουν υποστηριχτεί αντίθετες απόψεις στην αρθρογραφία, με την πρώτη άποψη να ακολουθεί την γραμματική και κυριολεκτική ερμηνεία του όρου[8] και την δεύτερη άποψη να τείνει σε μια προσέγγιση του σκοπού της διάταξης που είναι η εξαίρεση από τήρηση αρχείου για καθημερινές δραστηριότητες των ΜΜΕ[9].

Επιχειρήματα υπέρ της πρώτης άποψης[10] μπορεί να βρεθούν  στις κατευθυντήριες γραμμές της Ομάδας Εργασίας του άρθρου 29 (WP29) σχετικά με το άρθρο 49 του GDPR που αφορά την μεταφορά δεδομένων εκτός ΕΕ, όπου ερμηνεύοντας την «περιστασιακή» διαβίβαση δεδομένων του Προοιμίου (111) του Κανονισμού καταλήγει ότι για να κατηγοριοποιηθεί μια επεξεργασία δεδομένων ως περιστασιακή θα πρέπει να είναι πράγματι αυτό, δηλαδή περιστασιακή και όχι μια τακτική διαδικασία, που πολύ πιθανόν να μην εμπίπτει στις συνηθισμένες δραστηριότητες και να συμβαίνει υπό τυχαίες, απρόβλεπτες περιστάσεις[11].

Επιπλέον η ίδια ομάδα του άρθρου 29 δίδει, στις κατευθυντήριες γραμμές για Υπεύθυνο Προστασίας Δεδομένων – DPO[12], στο επίθετο «τακτική» μία ή περισσότερες από τις ακόλουθες ερμηνείες:

  • συνεχής ή ανά συγκεκριμένα χρονικά διαστήματα για συγκεκριμένη χρονική περίοδο,
  • λαμβάνουσα χώρα τακτικά ή κατ’ επανάληψη σε σταθερές χρονικές στιγμές,
  • λαμβάνουσα χώρα αδιαλείπτως ή περιοδικά.

Η αντίθετη άποψη[13] με κύριο εκπρόσωπο της και επιχείρημα την ερμηνεία της έννοιας «περιστασιακή» επεξεργασία στην οδηγία επί αυτού της Βελγικής Αρχής Προστασίας Δεδομένων[14] υποστηρίζει ότι η διαχείριση δεδομένων πελατών, εργαζομένων, προμηθευτών, δηλαδή όλα τα δεδομένα που υπόκεινται σε επεξεργασία καθημερινά, θα μπορούσε να αποκλειστεί από τον ορισμό της «επεξεργασίας» για τον σκοπό της εξαίρεσης του άρθρου 30 (5), σε μια τελολογική προσέγγιση του άνω άρθρου και του πλαισίου της επεξεργασίας στην οποία αναφέρεται, ώστε να έχει ουσιαστικό αντίκρυσμα για τις ΜΜΕ.  Ωστόσο δεν διευκρινίζεται ο όρος «διαχείριση» στην άνω οδηγία της Βελγικής Αρχής, με τον συγγραφέα του σχετικού άρθρου να περιλαμβάνει στην «διαχείριση» των παραπάνω δεδομένων τα αρχεία εργαζομένων, πελατών και προμηθευτών, τις παραγγελίες με προμηθευτές, την έκδοση τιμολογίων πελατών και ενημέρωση τους σχετικά με πρόοδο εργασίας, χωρίς ωστόσο να φτάνει μέχρι την αποστολή μηνυμάτων ηλεκτρονικού εμπορίου ή επεξεργασία δεδομένων προσωπικού χαρακτήρα με τρόπο που δεν θα θεωρούνταν συνηθισμένος για την καθημερινή λειτουργία της επιχείρησης[15].

Από τα παραπάνω προκύπτει το συμπέρασμα ότι εφόσον το θέμα δεν έχει αποσαφηνιστεί επισήμως από το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (European Data Protection Board (EDPB) πρώην Ομάδα Εργασίας του άρθρου 29) και ενόψει του κινδύνου επιβολής υψηλών προστίμων για μη συμμόρφωση με τον  GDPR είναι προτιμότερο να τηρείται αρχείο και για την συγκεκριμένη επεξεργασία δεδομένων πελατών ή προμηθευτών (τιμολόγηση, παραλαβής προϊόντων), καθώς με την κυριολεκτική έννοια και ως κατηγορία/φύση επεξεργασίας αποτελεί “τακτική ή μη περιστασιακή” επεξεργασία που εμπίπτει στις συνηθισμένες δραστηριότητες μιας μικρομεσαίας επιχείρησης.

Περαιτέρω, όταν υπάρχει υποχρέωση τήρησης αρχείου για αρκετές δραστηριότητες επεξεργασίας και αντίστοιχα Τμήματα που χειρίζονται τα δεδομένα αυτά, όπως ενδεικτικά Τμήμα Λογιστηρίου, Τμήμα Ανθρώπινου Δυναμικού, Τμήμα Logistics, Τμήμα Πωλήσεων κ.α. τότε ασφαλέστερη επιλογή λόγω συνοχής και καλύτερου ελέγχου και συμμόρφωσης με GDPR (ΓΚΠΔ) φαίνεται να είναι να τηρείται αρχείο δραστηριοτήτων για όλες τις επεξεργασίες της επιχείρησης και όχι μόνο για όσες απαιτούνται.

Δεν πρέπει να παραβλέπεται ότι τήρηση αρχείου δραστηριοτήτων αποτελεί μεν υποχρέωση αλλά και ταυτόχρονα χρήσιμο εργαλείο απεικόνισης χειρισμού των προσωπικών δεδομένων σε μια επιχείρηση και ως τέτοια πρέπει να αντιμετωπίζεται.

Το παρόν δεν συνιστά σε καμιά περίπτωση νομική  συμβουλή αλλά είναι μόνο για ενημερωτικούς σκοπούς.

 

Ελένη Ζαφείρη, LL.M., Δικηγόρος Ελλάδας

 Πηγές:

 

[1] Γενικός Κανονισμός Προστασίας Δεδομένων (ΕΕ) 2016/679 άρθρο 30 (5):

«Οι υποχρεώσεις που αναφέρονται στις παραγράφους 1 και 2 δεν ισχύουν για επιχείρηση ή οργανισμό που απασχολεί λιγότερα από 250 άτομα, εκτός εάν η διενεργούμενη επεξεργασία ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων, η επεξεργασία δεν είναι περιστασιακή ή η επεξεργασία περιλαμβάνει ειδικές κατηγορίες δεδομένων κατά το άρθρο 9 παράγραφος 1 ή επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα που αναφέρονται στο άρθρο 10.».

[2] Πληροφορίες Επιτρόπου Δεδομένων Προσωπικού Χαρακτήρα Κύπρου για Αρχείο δραστηριοτήτων σε ιστοσελίδα: http://www.dataprotection.gov.cy/dataprotection/dataprotection.nsf/page2h_gr/page2h_gr?opendocument, (πρόσβαση 14/06/2019).

[3] FRA (European Union Agency for Fundamental Rights and Council of Europe), Handbook on European data protection law, 2018, page 179.

[4] DPWP29 POSITION PAPER on the derogations from the obligation to maintain records of processing activities pursuant to Article 30(5) GDPR.

[5] Βλ. ανωτέρω υποσημείωση (4) DPWP29 POSITION PAPER.

[6] Προοίμιο Γενικού Κανονισμού Προστασίας Δεδομένων (13):

«Για να διασφαλιστεί συνεκτικό επίπεδο προστασίας των φυσικών προσώπων σε ολόκληρη την Ένωση και προς αποφυγή αποκλίσεων που εμποδίζουν την ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα στην εσωτερική αγορά, απαιτείται κανονισμός ο οποίος θα κατοχυρώνει την ασφάλεια δικαίου και τη διαφάνεια για τους οικονομικούς παράγοντες, περιλαμβανομένων των πολύ μικρών, των μικρών και των μεσαίων επιχειρήσεων, και θα προβλέπει για τα φυσικά πρόσωπα σε όλα τα κράτη μέλη το ίδιο επίπεδο νομικά εκτελεστών δικαιωμάτων και υποχρεώσεων, καθώς και ευθυνών για τους υπευθύνους επεξεργασίας και τους εκτελούντες την επεξεργασία, ώστε να διασφαλιστεί η συνεκτική παρακολούθηση της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, καθώς και οι ισοδύναμες κυρώσεις σε όλα τα κράτη μέλη και η αποτελεσματική συνεργασία μεταξύ των εποπτικών αρχών των διάφορων κρατών μελών. Για την ομαλή λειτουργία της εσωτερικής αγοράς, η ελεύθερη κυκλοφορία δεδομένων προσωπικού χαρακτήρα εντός της Ένωσης δεν πρέπει να περιορίζεται, ούτε να απαγορεύεται για λόγους που σχετίζονται με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Για να ληφθεί υπόψη η ειδική κατάσταση των πολύ μικρών, των μικρών και των μεσαίων επιχειρήσεων, ο παρών κανονισμός περιλαμβάνει παρέκκλιση για οργανισμούς που απασχολούν λιγότερα από 250 άτομα όσον αφορά την τήρηση αρχείων. Επιπλέον, τα θεσμικά όργανα και οι οργανισμοί της Ένωσης, καθώς και τα κράτη μέλη και οι εποπτικές αρχές τους, παροτρύνονται να λαμβάνουν υπόψη τις ειδικές ανάγκες των πολύ μικρών, των μικρών και των μεσαίων επιχειρήσεων κατά την εφαρμογή του παρόντος κανονισμού. Η έννοια των πολύ μικρών, των μικρών και των μεσαίων επιχειρήσεων θα πρέπει να βασίζεται στο άρθρο 2 του παραρτήματος στη σύσταση 2003/361/ΕΚ της Επιτροπής (5).».

[7] Σύμφωνα με επικοινωνία ICO με Gemma Briance & Geoffrey Sturgess, συγγραφείς άρθρου «Article 30 GDPR: What Does the Paragraph 5 Exemption Really Mean for Smaller Organisations?» (accessed 14/06/2019 at https://www.scl.org/articles/10114-article-30-gdpr-what-does-the-paragraph-5-exemption-really-mean-for-smaller-organisations»).

[8] Gill Payne Partnership LTD, «GDPR Article 30 – Maintaining Record of Processing Activities

GDPR – We Employee Less than 250, we’re Exempt from Keeping Records of Data Processing Activities, right? » (accessed 14/06/2019 at https://www.gillpayne.com/2018/10/gdpr-article-30-maintaining-record-of-processing-activities/).

[9] SCL -Tech Law for everyone, Gemma Briance and Geoffrey Sturgess «Article 30 GDPR: What Does the Paragraph 5 Exemption Really Mean for Smaller Organisations? » (accessed 14/06/2019 at https://www.scl.org/articles/10114-article-30-gdpr-what-does-the-paragraph-5-exemption-really-mean-for-smaller-organisations).

[10] Βλ. ανωτέρω υποσημείωση (8) Gill Payne Partnership LTD.

[11] DPWP29 (WP262) Guidelines on Article 49 of Regulation 2016/679, adopted on 6 February 2018, page 4.

[12] DPWP29 (WP243rev.01) Guidelines on Data Protection Officers (‘DPOs’), page 11,12,29.

[13] Βλ. Ανωτέρω υποσημείωση (9) SCL -Tech Law for everyone, Gemma Briance and Geoffrey Sturgess.

[14] Guidance of Belgian Privacy Commission (DPA) accessed 14/06/2019 at https://www.privacycommission.be/sites/privacycommission/files/documents/recommandation_06_2017_0.pdf , Opinion only published in French and Flemish.

[15] Βλ. Ανωτέρω υποσημείωση (9) SCL -Tech Law for everyone, Gemma Briance and Geoffrey Sturgess.

Είστε σωματείο ή σύνδεσμος; Έχετε συμμορφωθεί με τις διατάξεις της νέας νομοθεσίας; Υπάρχει προθεσμία

Η νομοθεσία που διέπει την ίδρυση και λειτουργία των σωματείων (ή των συνδέσμων, όπως αποκαλούνται συνηθέστερα) άλλαξε με αποτέλεσμα να απαιτούνται ριζικές αλλαγές στο καταστατικό των συνδέσμων, μεταξύ άλλων. Παρά τη παράταση που δόθηκε (μέχρι τις 30/6/2019), οι εφημερίδες σήμερα δημοσιεύουν ότι ένας πολύ μικρός αριθμός σωματείων συμμορφώθηκε με τις νέες διατάξεις με αποτέλεσμα να είναι η πιθανό η Βουλή να ψηφίσει νέα παράταση μέχρι τον Δεκέμβριο του 2019. Το γραφείο μας έχει διεκπαιρεώσει τη διαδικασία συμμόρφωσης με τη νέα νομοθεσία αριθμό πελατών μας που αποτελούν συνδέσμους ή σωματεία εντός της αρχικώς τασσόμενης προθεσμίας. Για περισσότερες πληροφορίες, αποταθείτε στη δικηγόρο του γραφείου μας, Γεωργία Ζαντήρα (g.zantira@jurisprudentes.com)

1 2 3 7