Κατευθυντήρια Οδηγία προς την Αεροδρομιακή Κοινότητα ΟΔΗΓΙΑ: Όροι Συμμόρφωσης των Αεροπορικών Εταιρειών με το κανονιστικό πλαίσιο για την επεξεργασία δεδομένων προσωπικού χαρακτήρα Ημ/νια Έκδοσης: Μάιος 2018 GUIDELINE-AFS003-R0
ΠΕΡΙΕΧΟΜΕΝΑ 1. Σκοπός και Πεδίο Εφαρμογής... 3 2. Ορισμοί και Συντομογραφίες... 3 3. Κατευθυντήριες οδηγίες... 4 3.1 Γενικές υποχρεώσεις... 4 3.2 Διαχείριση Απορρήτου ΔΠΧ... 4 4. Σχετικά έγγραφα... 6 GUIDELINE-AFS003-R0 Σελ. 2
1. Σκοπός και Πεδίο Εφαρμογής Η παρούσα κατευθυντήρια οδηγία αφορά τις αδειοδοτημένες Αεροπορικές Εταιρείες που δραστηριοποιούνται στον Διεθνής Αερολιμένα Αθηνών «Ελευθέριος Βενιζέλος» καθώς και το προσωπικό τους και περιγράφει τους απαιτητούς όρους συμμόρφωσής τους με το κανονιστικό πλαίσιο για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Ο ΔΑΑ συμμορφώνεται πλήρως με τις διατάξεις του Γενικού Κανονισμού για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα (ΕΕ 2016/679) και έχει ήδη θεσπίσει Σύστημα Διαχείρισης Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, με εταιρική Πολιτική, σχετικό Εγχειρίδιο (Manual), καθώς και επιμέρους Διαδικασίες. 2. Ορισμοί και Συντομογραφίες Οι παρακάτω όροι και συντομογραφίες χρησιμοποιούνται σε αυτή την κατευθυντήρια οδηγία: Όροι/ Συντομογραφίες Γενικός Κανονισμός για την Προστασία Δεδομένων Προσωπικού Χαρακτήρα» ή «GDPR ΔΑΑ ΔΠΧ Επεξεργασία Ημερομηνία Εφαρμογής Υπεύθυνος επεξεργασίας Επεξήγηση Όρων/ Συντομογραφιών Ο Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών. Διεθνής Αερολιμένας Αθηνών Α.Ε Δεδομένα Προσωπικού Χαρακτήρα: κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»). Το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου. Κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή. H 25η Μαΐου 2018, η ημερομηνία κατά την οποία οι διατάξεις του GDPR θα καταστούν εκτελεστές. Tο φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνος ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Όταν οι σκοποί και ο τρόπος της επεξεργασίας αυτής καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια για τον διορισμό του μπορούν να προβλέπονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους. Στην παρούσα Κατευθυντήρια Οδηγία ο ρόλος αυτός αποδίδεται στην «Αεροπορική Εταιρεία» GUIDELINE-AFS003-R0 Σελ. 3
Όροι/ Συντομογραφίες Εκτελών την επεξεργασία GDPR Επεξήγηση Όρων/ Συντομογραφιών Tο φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας. Στην παρούσα Κατευθυντήρια Οδηγία ο ρόλος αυτός αποδίδεται στον ΔΑΑ, ή στην Αεροπορική Εταιρεία κατά περίπτωση. General Data Protection Regulation: Γενικός Κανονισμός Προστασίας Προσωπικών Δεδομένων 3. Κατευθυντήριες οδηγίες 3.1 Γενικές υποχρεώσεις 1. Στο πλαίσιο συνεργασίας με τον ΔΑΑ, η Αεροπορική Εταιρεία υποχρεούται να τηρεί και να συμμορφώνεται προς το σύνολο των διατάξεων του Κανονισμού (ΕΕ) 2016/679 σχετικά με την επεξεργασία ΔΠΧ. 2. Αναφορικά με τα ΔΠΧ των επιβατών που επεξεργάζεται η Αεροπορική Εταιρεία, ο ΔΑΑ παρέχει τη βασική υποδομή και τα σχετικά συστήματα του αεροδρομίου στην Αεροπορική Εταιρεία, και ως αποτέλεσμα αυτού μπορεί να καθίσταται, εξ αντικειμένου, ο Εκτελών την Επεξεργασία ως προς αυτά. Η απόδοση αυτού του ρόλου στο ΔΑΑ, εξαρτάται κυρίως από τη δυνατότητά του να αποκτά πρόσβαση στα στοιχεία και στα προσωπικά δεδομένα των συστημάτων και υποδομών που παρέχονται προς χρήση στην Αεροπορική Εταιρεία, είτε για ενημέρωση είτε για προώθηση των εν λόγω στοιχείων σε εφαρμογή Κανονιστικών ή νομικών προβλέψεων. 3. Η Αεροπορική Εταιρεία αποδέχεται ρητά και ανεπιφύλακτα ότι ο ΔΑΑ δύναται να προβάλει αξίωση αποζημίωσης από αυτόν, στο πλαίσιο οποιουδήποτε διοικητικού προστίμου που τυχόν επιβληθεί, ή δικαστικής προσφυγής εγειρόμενης σε βάρος του ΔΑΑ, λόγω δεόντως τεκμηριωμένης παράβασης των διατάξεων του GDPR που θα οφείλεται σε πράξη ή παράλειψη της Αεροπορικής Εταιρείας, δυνάμει των αντίστοιχων υποχρεώσεων που ανακύπτουν απ την εφαρμογή των διατάξεων του GDPR, για τις οποίες δεν θα δύναται να επικαλεσθεί άγνοια. 3.2 Διαχείριση Απορρήτου ΔΠΧ Αεροπορική Εταιρεία ως Υπεύθυνος Επεξεργασίας Η Αεροπορική Εταιρεία φέρει την ευθύνη για την συμμόρφωση της με τις διατάξεις του GDPR ως Υπεύθυνος Επεξεργασίας Δεδομένων επιβατών, πληρωμάτων ή προσωπικού. Δεν επιτρέπεται στην Αεροπορική Εταιρεία η μερική ή ολική αποθήκευση, χρήση, κοινοποίηση ή κάθε άλλη μορφή επεξεργασίας ή διάθεσης των ΔΠΧ, με συστηματικό ή μη συστηματικό τρόπο, σε οποιονδήποτε τρίτο ή για οποιονδήποτε άλλο σκοπό. ΔΑΑ ως Εκτελών την Επεξεργασία των ΔΠΧ Τα ΔΠΧ τα οποία εισάγονται από την Αεροπορική Εταιρεία στις υποδομές και συστήματα του ΔΑΑ, μπορεί να υποβάλλονται σε επεξεργασία από τον ΔΑΑ σε περιπτώσεις που αυτό απαιτείται για τη διευκόλυνση του GUIDELINE-AFS003-R0 Σελ. 4
αεροπορικού έργου, ή σε εφαρμογή Κανονιστικών ή νομικώς προβλεπόμενων υποχρεώσεών του. Στις περιπτώσεις αυτές ο ΔΑΑ ενεργεί σύμφωνα με τις προβλέψεις του GDPR και εφαρμόζει τις διαδικασίες του Συστήματος Διαχείρισης & Προστασίας Δεδομένων Προσωπικού Χαρακτήρα του ΔΑΑ. Αρχείο Δραστηριοτήτων Επεξεργασίας ΔΠΧ Η Αεροπορική Εταιρεία οφείλει να τηρεί πλήρες αρχείο όλων των δραστηριοτήτων επεξεργασίας ΔΠΧ, με χρονική σειρά και λεπτομέρειες που θα καθιστούν εφικτή την διαπίστωση της συμμόρφωσης από τα εξουσιοδοτημένα ελεγκτικά όργανα. Εξουσιοδοτημένα Πρόσωπα Η Αεροπορική Εταιρεία φέρει την ευθύνη να ορίζει τα εξουσιοδοτημένα πρόσωπα, που είναι υπεύθυνα να επεξεργαστούν τα ΔΠX για λογαριασμό της. Επιπρόσθετα, οφείλει να εγγυάται και να αποδεικνύει ότι τα εν λόγω πρόσωπα έχουν λάβει τη σχετική με τον GDPR εκπαίδευση, γνωρίζουν και αντιλαμβάνονται τις προκύπτουσες υποχρεώσεις τους και δεσμεύονται με Ατομική Δήλωση Συμμόρφωσης και Σεβασμού της Ιδιωτικότητας. Ακεραιότητα, Διαθεσιμότητα και Εμπιστευτικότητα της Επεξεργασίας ΔΠΧ Η Αεροπορική Εταιρεία οφείλει να εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα ασφάλειας, σε συμμόρφωση με τον GDPR, ώστε να διασφαλίζεται η ακεραιότητα, η διαθεσιμότητα και η εμπιστευτικότητα της επεξεργασίας των ΔΠΧ, καθώς και η προστασία των ΔΠΧ από τυχαία απώλεια, μη εξουσιοδοτημένη πρόσβαση ή κατάχρηση, όπως προβλέπεται στο Άρθρο 32 του GDPR. Χρόνος Διατήρησης ΔΠΧ Η Αεροπορική Εταιρεία οφείλει να ορίσει την περίοδο διατήρησης ΔΠΧ που επεξεργάζεται, σύμφωνα με την ισχύουσα ευρωπαϊκή και εθνική νομοθεσία. Η εν λόγω περίοδος διατήρησης θα πρέπει να γνωστοποιείται στον ΔΑΑ στις περιπτώσεις που απαιτείται να προσαρμόζει ανάλογα τη διαθεσιμότητα των σχετικών δεδομένων στα συστήματά του. Μετά το πέρας της περιόδου διατήρησης, τα τηρούμενα ΔΠΧ θα πρέπει να καταστρέφονται με ασφάλεια, εκτός εάν επιβάλλεται διαφορετικά από τις κανονιστικές απαιτήσεις. Για το λόγο αυτό η Αεροπορική Εταιρεία θα πρέπει είτε να παρέχει πάγια διαδικασία και χρονική απαίτηση καταστροφής των στοιχείων στο ΔΑΑ, είτε με κατά περίπτωση αίτημά του να ζητά την καταστροφή των στοιχείων. Δικαιώματα των Υποκειμένων των ΔΠΧ Η Αεροπορική Εταιρεία οφείλει να λαμβάνει κάθε κατάλληλο μέτρο για τη διευκόλυνση της άσκησης των δικαιωμάτων των υποκειμένων των ΔΠΧ, όπως προβλέπεται στα Άρθρα 12-22 του GDPR, ήτοι του δικαιώματος πρόσβασης, διόρθωσης ανακριβών δεδομένων, διαγραφής και υπό συγκεκριμένες προϋποθέσεις, του δικαιώματος αίτησης μεταφοράς δεδομένων. Η άσκηση των δικαιωμάτων δύναται να περιορίζεται από το υφιστάμενο κανονιστικό πλαίσιο. Ο ΔΑΑ οφείλει να παρέχει συνδρομή στην Αεροπορική Εταιρεία για την εκπλήρωση κάθε σχετικού αιτήματος, στο μέτρο που η επεξεργασία αυτή αφορά στον ΔΑΑ. GUIDELINE-AFS003-R0 Σελ. 5
Τα αιτήματα για συνδρομή πρέπει να αποστέλλονται στον ορισμένο Υπεύθυνο Προστασίας Δεδομένων του ΔΑΑ (DPO). Συνεργασία με την Αρμόδια Αρχή Προστασίας ΔΠΧ Η Αεροπορική Εταιρεία οφείλει να συνεργάζεται με την αρμόδια Αρχή Προστασίας ΔΠΧ για όλα τα θέματα που σχετίζονται με την επεξεργασία των ΔΠΧ και να διασφαλίζει την έγκαιρη γνωστοποίηση προς τον ΔΑΑ και την Αρχή οποιασδήποτε παραβίασης δεδομένων σύμφωνα με τον GDPR. 4. Σχετικά έγγραφα Κανένα. GUIDELINE-AFS003-R0 Σελ. 6