Ενώπιον της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα υποβλήθηκε καταγγελία πολίτη για τη δημιουργία αντιγράφου του πιστοποιητικού εμβολιασμού του από ξενοδοχείο. Σύμφωνα με την καταγγελία, η υπάλληλος υποδοχής του ξενοδοχείου ζήτησε από τον καταγγέλλοντα, κατά την άφιξή του σε αυτό, όπως επιδείξει το πιστοποιητικό εμβολιασμού του κατά του Covid-19, ενώ μετά τη λήψη του προχώρησε και στη δημιουργία φωτοτυπικού αντιγράφου.
Ο καταγγέλλων ισχυρίστηκε πως επεσήμανε στην υπάλληλο πως μια τέτοια φωτοτυπική αντιγραφή δεν ήταν νόμιμη, χωρίς ωστόσο να καταφέρει να αποτρέψει τη διατήρηση του αντιγράφου. Ο καταγγέλλων έθεσε ενώπιον της Αρχής το ερώτημα αν η καταγγελλόμενη εταιρία είχε το δικαίωμα να διατηρήσει το αντίγραφο του πιστοποιητικού εμβολιασμού του, καθώς και ερώτημα αναφορικά με το χρονικό διάστημα που θα διατηρούταν το αντίγραφο τα πρόσωπα που θα είχαν πρόσβαση σε αυτό και τον τρόπο με τον οποίο θα λάμβανε χώρα καταστροφή του αντιγράφου.
Καλούμενη από την Αρχή όπως υποβάλει τις απόψεις της επί των καταγγελλομένων, η εταιρεία που διαχειρίζεται το ξενοδοχείο ισχυρίστηκε, μεταξύ άλλων, ότι:
α) σύμφωνα με ειδικά πρωτόκολλα υγειονομικού περιεχομένου βάσει των οποίων λειτουργούν οι τουριστικές επιχειρήσεις στο πλαίσιο της λήψης μέτρων έναντι του Covid-19, τηρεί αρχείο για λόγους δημόσιας υγείας, με εξαίρεση των ιατρικών δεδομένων, γεγονός για το οποίο, κατά τους ισχυρισμούς του, ενημερώθηκε ο καταγγέλλων, κατά την άφιξή του,
β) το αντίγραφο του πιστοποιητικού εμβολιασμού του καταγγέλλοντος, δημιουργήθηκε κατ’ εξαίρεση και με αποκλειστικό σκοπό την ενημέρωση του επικεφαλής της υποδοχής του ξενοδοχείου, ο οποίος απουσίαζε κατά τη στιγμή της άφιξης του καταγγέλλοντος στο ξενοδοχείο,
γ) το ως άνω αντίγραφο τηρήθηκε στο αρχείο της μόνο για το απολύτως αναγκαίο χρονικό διάστημα, και κατόπιν της προσέλευσης του επικεφαλής της υποδοχής καταστράφηκε, ενώ τα δεδομένα του καταγγέλλοντος δεν γνωστοποιήθηκαν σε οιονδήποτε τρίτο,
δ) αποτελεί έκπληξη ο ισχυρισμός του καταγγέλλοντος ότι ζήτησε την καταστροφή του αντιγράφου και το καταγγελλόμενο αρνήθηκε σχετικώς,
ε) ο καταγγέλλων δεν επανήλθε κατά τη διαμονή του ή κατά την αναχώρησή του αναφορικά με το συγκεκριμένο θέμα, ενώ η καταγγελλόμενη εταιρία λόγω φόρτου εργασίας, παρέλειψε να παράσχει στον καταγγέλλοντα ενημέρωση ότι προέβη σε καταστροφή του αντιγράφου εντός 12 ωρών, και ζητά «συγγνώμη» σχετικά με την παράλειψη αυτή,
● Η κρίση της Αρχής (απόσπασμα)
7. Επειδή, από τη γενική επισκόπηση των διατάξεων που περιέχονται στις ως άνω Κ.Υ.Α., και ιδίως των μέτρων που περιέχονται στο «Ειδικό πρωτόκολλο υγειονομικού περιεχομένου λειτουργία των τουριστικών καταλυμάτων πλην των οργανωμένων τουριστικών κατασκηνώσεων» το οποίο περιέχεται στο Παράρτημα Ι της υπ’ αρ. 6632/2021 Κ.Υ.Α. (ΦΕΚ Β’ 1632), δεν πηγάζει υποχρέωση των τουριστικών καταλυμάτων για τήρηση αρχείου δεδομένων εμβολιασμού/ νόσησης/ διενέργειας διαγνωστικού ελέγχου κατά της covid-19 των πελατών των ξενοδοχείων, για την είσοδο και τη διαμονή τους στους χώρους του ξενοδοχείου.
8. Επειδή ωστόσο εν προκειμένω, όπως συνομολογείται από τα μέρη, έλαβε χώρα καταχώριση/αποθήκευση δεδομένων εμβολιασμού του καταγγέλλοντος σε σύστημα αρχειοθέτησης, έστω για περιορισμένο χρονικό διάστημα, η νομιμότητα της οποίας εξετάζεται υπό το πρίσμα των αρχών που κατοχυρώνονται από τα άρθρα 5 και 6 ΓΚΠΔ.
9. Επειδή, όπως προκύπτει από την καταγγελία και συνομολογείται από την καταγγελλόμενη, δεν έλαβε χώρα ενημέρωση του καταγγέλλοντος συμφώνως προς τους όρους του άρθρου 13 ΓΚΠΔ, αναφορικά με την καταχώριση/αποθήκευση των δεδομένων εμβολιασμού του και την επακόλουθη καταστροφή του αντιγράφου του πιστοποιητικού εμβολιασμού του.
10. Επειδή, όπως προαναφέρθηκε (σκ. 5-6) η παροχή ενημέρωσης προς τον καταγγέλλοντα αναφορικά με την εν λόγω επεξεργασία αποτελεί δικαίωμα του υποκειμένου των δεδομένων και ταυτοχρόνως υποχρέωση του υπευθύνου επεξεργασίας, ενώ παράλληλα αποτελεί συστατικό στοιχείο για την τήρηση των αρχών της νομιμότητας, της αντικειμενικότητας και της διαφάνειας της επεξεργασίας.
11. Επειδή, η Αρχή, από το σύνολο των στοιχείων του φακέλου και των όσων προέκυψαν από την ακροαματική διαδικασία και το κατατεθέν υπόμνημα, διαπιστώνει ότι η καταχώριση/αποθήκευση των δεδομένων εμβολιασμού του καταγγέλλοντος αποτελεί μη νόμιμη επεξεργασία, η οποία έλαβε χώρα κατά παράβαση των αρχών της νομιμότητας, της αντικειμενικότητας και της διαφάνειας της επεξεργασίας, όπως αυτές κατοχυρώνονται από το άρθρο 5 παρ. 1 στοιχ. α) ΓΚΠΔ, σε συνδυασμό με το άρθρο 13 ΓΚΠΔ.
12. Επειδή, εφόσον διαπιστώνεται έλλειψη συμμόρφωσης προς τις προβλεπόμενες από το άρθρο 5 παρ. 1 στοιχ. α) ΓΚΠΔ αρχές και δεδομένου ότι, σύμφωνα με όσα εκτίθενται στη σκέψη 3, απαιτείται σωρευτικώς η πλήρωση των προϋποθέσεων εφαρμογής και τήρησης των αρχών του άρθρου 5 παρ. 1 ΓΚΠΔ, προκειμένου τα δεδομένα προσωπικού χαρακτήρα να τύχουν νόμιμης επεξεργασίας, παρέλκει η εξέταση της πλήρωσης των λοιπών αρχών νόμιμης επεξεργασίας των δεδομένων βάσει του άρθρου 5, καθώς και η εξέταση των προϋποθέσεων εφαρμογής των νομικών βάσεων του άρθρου 6 ΓΚΠΔ.
13. Επειδή, κατά το μέρος που η ως άνω καταγγελία αφορά στη διαλαμβανόμενη με αυτήν παραβίαση δικαιωμάτων πρόσβασης και διαγραφής των δεδομένων του καταγγέλλοντος, διαπιστώνεται ότι δεν έχουν προσκομιστεί από τον καταγγέλλοντα στοιχεία που να τεκμηριώνουν την υποβολή σχετικού αιτήματος προς την υπεύθυνη επεξεργασίας, ώστε να προκύπτει ο χρόνος και το αντικείμενο του σχετικού αιτήματος, επομένως η καταγγελία κρίνεται αόριστη και δεν εξετάζεται κατά το μέρος αυτό.
14. Επειδή η Αρχή κρίνει ότι, σε σχέση με την διαπιστωθείσα παραβίαση των διατάξεων των άρθρων 5 παρ. 1 στοιχ. α) και 13 ΓΚΠΔ συντρέχει περίπτωση να ασκήσει τις εκ του άρθρου 58 παρ. 2 ΓΚΠΔ διορθωτικές εξουσίες της σε συνδυασμό με τις απορρέουσες από το άρθρο 4 παρ. 3 στοιχ. δ) του Κανονισμού Λειτουργίας της Αρχής (ΦΕΚ Β΄879/25.02.2022) αρμοδιότητες του Προέδρου, και ειδικότερα να απευθύνει επίπληξη κατ’ άρθρο 58 παρ. 2 στοιχ. β) του ΓΚΠΔ στην καταγγελλόμενη εταιρία για την ως άνω παραβίαση
ΓΙΑ ΤΟΥΣ ΛΟΓΟΥΣ ΑΥΤΟΥΣ
Η Αρχή
α) διαπιστώνει ότι η καταχώριση/αποθήκευση δεδομένων εμβολιασμού του καταγγέλλοντος σε σύστημα αρχειοθέτησης, συνιστά παραβίαση των αρχών της νομιμότητας, της αντικειμενικότητας και της διαφάνειας της επεξεργασίας, όπως κατοχυρώνονται από το άρθρο 5 παρ. 1 στοιχ. α) ΓΚΠΔ, σε συνδυασμό με το άρθρο 13 ΓΚΠΔ και
β) απευθύνει επίπληξη, κατ’ άρθρον 58 παρ. 2 β) ΓΚΠΔ, στην καταγγελλόμενη εταιρία για ως άνω παραβίαση, για τους λόγους που εκτενώς αναλύονται στο σκεπτικό της παρούσης.
Το πλήρες κείμενο της απόφασης Πρ.ΑΠΔΠΧ 2/2023 είναι διαθέσιμο εδώ.
Πηγή: lawspot.gr
