Κατευθυντήρια Οδηγία προς την Αεροδρομιακή Κοινότητα ΟΔΗΓΙΑ: Όροι Συμμόρφωσης των Φορέων Επίγειας Εξυπηρέτησης & Αυτοεξυπηρετούμενων Χρηστών με το κανονιστικό πλαίσιο για την επεξεργασία δεδομένων προσωπικού χαρακτήρα Ημ/νια Έκδοσης: Μάιος 2018 GUIDELINE-GCD001-R0
ΠΕΡΙΕΧΟΜΕΝΑ 1. Σκοπός και Πεδίο Εφαρμογής... 3 2. Ορισμοί και Συντομογραφίες... 3 3. Κατευθυντήριες οδηγίες... 4 3.1 Γενικές υποχρεώσεις... 4 3.2 Διαχείριση Απορρήτου ΔΠΧ... 5 4. Σχετικά Έγγραφα... 7 GUIDELINE-GCD001-R0 Σελ. 2
1. Σκοπός και Πεδίο Εφαρμογής Η παρούσα κατευθυντήρια οδηγία αφορά τους αδειοδοτημένους Φορείς Επίγειας Εξυπηρέτησης και Αυτοεξυπηρετούμενους Χρήστες που δραστηριοποιούνται στον Διεθνής Αερολιμένα Αθηνών «Ελευθέριος Βενιζέλος» καθώς και το προσωπικό τους και περιγράφει τους απαιτητούς όρους συμμόρφωσής τους με το κανονιστικό πλαίσιο για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Ο ΔΑΑ συμμορφώνεται πλήρως με τις διατάξεις του Γενικού Κανονισμού για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα (ΕΕ 2016/679) και έχει ήδη θεσπίσει Σύστημα Διαχείρισης & Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, με εταιρική Πολιτική, σχετικό Εγχειρίδιο (Manual), καθώς και επιμέρους Διαδικασίες. 2. Ορισμοί και Συντομογραφίες Οι παρακάτω όροι και συντομογραφίες χρησιμοποιούνται σε αυτή την κατευθυντήρια οδηγία: Όροι/ Συντομογραφίες Γενικός Κανονισμός για την Προστασία Δεδομένων Προσωπικού Χαρακτήρα» ή «GDPR ΔΑΑ ΔΠΧ Επεξεργασία Ημερομηνία Εφαρμογής Επεξήγηση Όρων/ Συντομογραφιών Ο Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών. Διεθνής Αερολιμένας Αθηνών Α.Ε Δεδομένα Προσωπικού Χαρακτήρα: κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»). Το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου. Κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή, η 25η Μαΐου 2018, η ημερομηνία κατά την οποία οι διατάξεις του GDPR θα καταστούν εκτελεστές. GUIDELINE-GCD001-R0 Σελ. 3
Όροι/ Συντομογραφίες Υπεύθυνος επεξεργασίας Εκτελών την επεξεργασία Σύμβαση GDPR Επεξήγηση Όρων/ Συντομογραφιών Tο φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνος ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Όταν οι σκοποί και ο τρόπος της επεξεργασίας αυτής καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια για τον διορισμό του μπορούν να προβλέπονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους. Στην παρούσα Κατευθυντήρια Οδηγία ο ρόλος αυτός αποδίδεται στον «Φορέα Επίγειας Εξυπηρέτησης/ Αυτοεξυπηρετούμενο Χρήστη» Tο φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας. Στην παρούσα Κατευθυντήρια Οδηγία ο ρόλος αυτός αποδίδεται στον ΔΑΑ, ή στον Φορέα Επίγειας Εξυπηρέτησης, η στον Αυτοεξυπηρετούμενο Χρήστη κατά περίπτωση. Κάθε σύμβαση επίγειας εξυπηρέτησης ή αυτοεξυπηρέτησης που συνάπτεται μεταξύ του ΔΑΑ και των Φορέων Επίγειας Εξυπηρέτησης/ Αυτοεξυπηρετούμενων Χρηστών General Data Protection Regulation: Γενικός Κανονισμός Προστασίας Προσωπικών Δεδομένων 3. Κατευθυντήριες οδηγίες 3.1 Γενικές υποχρεώσεις 1. Στο πλαίσιο της Σύμβασης, ο Φορέας Επίγειας Εξυπηρέτησης/ Αυτοεξυπηρετούμενος Χρήστης υποχρεούται να τηρεί και να συμμορφώνεται προς το σύνολο των διατάξεων του Κανονισμού (ΕΕ) 2016/679 σχετικά με την επεξεργασία ΔΠΧ φυσικών προσώπων. 2. Αναφορικά με τα ΔΠΧ των επιβατών που επεξεργάζεται ο Φορέας Επίγειας Εξυπηρέτησης/ Αυτοεξυπηρετούμενος Χρήστης για λογαριασμό της εκάστοτε εξυπηρετούμενης από αυτόν αεροπορικής εταιρείας, ο ΔΑΑ παρέχει τη βασική υποδομή και τα σχετικά συστήματα του αεροδρομίου στον Φορέα Επίγειας Εξυπηρέτησης/ Αυτοεξυπηρετούμενο Χρήστη, και ως αποτέλεσμα αυτού μπορεί να καθίσταται, εξ αντικειμένου, ο Εκτελών την Επεξεργασία ως προς αυτά. Η απόδοση αυτού του ρόλου στο ΔΑΑ, εξαρτάται κυρίως από τη δυνατότητά του να αποκτά πρόσβαση στα στοιχεία και στα προσωπικά δεδομένα των συστημάτων και υποδομών που παρέχονται προς χρήση στους Φορείς, είτε για ενημέρωση είτε για προώθηση των εν λόγω στοιχείων σε εφαρμογή Κανονιστικών ή νομικών προβλέψεων. 3. Ο Φορέας Επίγειας Εξυπηρέτησης/ Αυτοεξυπηρετούμενος Χρήστης αποδέχεται ρητά και ανεπιφύλακτα ότι ο ΔΑΑ δύναται να προβάλει αξίωση αποζημίωσης από αυτόν, στο πλαίσιο οποιουδήποτε διοικητικού προστίμου που τυχόν επιβληθεί, ή δικαστικής προσφυγής εγειρόμενης σε βάρος του ΔΑΑ, λόγω δεόντως τεκμηριωμένης παράβασης των διατάξεων του GDPR που θα οφείλεται σε πράξη ή παράλειψη του Φορέα Επίγειας GUIDELINE-GCD001-R0 Σελ. 4
Εξυπηρέτησης/ Αυτοεξυπηρετούμενου Χρήστη, δυνάμει των αντίστοιχων συμβατικών υποχρεώσεων αυτού καθώς και των ειδικών υποχρεώσεων που ανακύπτουν απ την εφαρμογή των διατάξεων του GDPR, για τις οποίες δεν θα δύναται να επικαλεσθεί άγνοια. 3.2 Διαχείριση Απορρήτου ΔΠΧ Φορέας Επίγειας Εξυπηρέτησης/ Αυτοεξυπηρετούμενος Χρήστης ως Υπεύθυνος Επεξεργασίας Ο Φορέας Επίγειας Εξυπηρέτησης/ Αυτοεξυπηρετούμενος Χρήστης φέρει την ευθύνη για την συμμόρφωση του με τις διατάξεις του GDPR ως Υπεύθυνος Επεξεργασίας Δεδομένων επιβατών, πληρωμάτων ή προσωπικού για λογαριασμό της εκάστοτε εξυπηρετούμενης από αυτόν αεροπορικής εταιρείας, ή χρήστη του αεροδρομίου. Δεν επιτρέπεται στον Φορέα Επίγειας Εξυπηρέτησης/ Αυτοεξυπηρετούμενο Χρήστη η μερική ή ολική αποθήκευση, χρήση, κοινοποίηση ή κάθε άλλη μορφή επεξεργασίας ή διάθεσης των ΔΠΧ, με συστηματικό ή μη συστηματικό τρόπο, σε οποιονδήποτε τρίτο ή για οποιονδήποτε άλλο σκοπό, εμπορικό ή μη, παρά μόνο εντός των συμβατικώς ορισμένων καθηκόντων του. ΔΑΑ ως Εκτελών την Επεξεργασία των ΔΠΧ Τα ΔΠΧ τα οποία εισάγονται από τον Φορέα Επίγειας Εξυπηρέτησης/ Αυτοεξυπηρετούμενο Χρήστη στις υποδομές και συστήματα του ΔΑΑ, μπορεί να υποβάλλονται σε επεξεργασία από τον ΔΑΑ σε περιπτώσεις που αυτό απαιτείται για τη διευκόλυνση του αεροπορικού έργου, ή σε εφαρμογή Κανονιστικών ή νομικώς προβλεπόμενων υποχρεώσεών του. Στις περιπτώσεις αυτές ο ΔΑΑ ενεργεί σύμφωνα με τις προβλέψεις του GDPR και εφαρμόζει τις διαδικασίες του Συστήματος Διαχείρισης & Προστασίας Δεδομένων Προσωπικού Χαρακτήρα του ΔΑΑ. Διενέργεια Εκτιμήσεων Αντικτύπου της Επεξεργασίας ΔΠΧ (DPIA) Ο Φορέας Επίγειας Εξυπηρέτησης/ Αυτοεξυπηρετούμενος Χρήστης είναι υποχρεωμένος να διενεργεί Εκτιμήσεις πιθανών Επιπτώσεων κατά την επεξεργασία ΔΠΧ, στο πλαίσιο του αντικειμένου των δραστηριοτήτων του όπως αυτές περιγράφονται στη σχετική Σύμβασή του με τον ΔΑΑ ή και στις Συμβάσεις παροχής Υπηρεσιών που συνάπτει με τις εταιρείες πελάτες του. Ο ΔΑΑ συνδράμει τον Φορέα Επίγειας Εξυπηρέτησης/ Αυτοεξυπηρετούμενο Χρήστη στην άσκηση αυτού του ρόλου με τη παροχή αιτούμενης συνδρομής ή τη διάθεση συστημάτων όπου αυτό προβλέπεται, ώστε να διασφαλίζεται η συμμόρφωση του τελευταίου στις εκ του GDPR υποχρεώσεις του. Αρχείο Δραστηριοτήτων Επεξεργασίας ΔΠΧ Ο Φορέας Επίγειας Εξυπηρέτησης/ Αυτοεξυπηρετούμενος Χρήστης οφείλει να τηρεί πλήρες αρχείο όλων των δραστηριοτήτων επεξεργασίας ΔΠΧ, με χρονική σειρά και λεπτομέρειες που θα καθιστούν εφικτή την διαπίστωση της συμμόρφωσης από τα εξουσιοδοτημένα ελεγκτικά όργανα. GUIDELINE-GCD001-R0 Σελ. 5
Εξουσιοδοτημένα Πρόσωπα Ο Φορέας Επίγειας Εξυπηρέτησης/ Αυτοεξυπηρετούμενος Χρήστης φέρει την ευθύνη να ορίζει τα εξουσιοδοτημένα πρόσωπα, που είναι υπεύθυνα να επεξεργαστούν τα ΔΠX για λογαριασμό του. Επιπρόσθετα, οφείλει να εγγυάται και να αποδεικνύει ότι τα εν λόγω πρόσωπα έχουν λάβει τη σχετική με τον GDPR εκπαίδευση, γνωρίζουν και αντιλαμβάνονται τις προκύπτουσες υποχρεώσεις τους και δεσμεύονται με Ατομική Δήλωση Συμμόρφωσης και Σεβασμού της Ιδιωτικότητας. Ακεραιότητα, Διαθεσιμότητα και Εμπιστευτικότητα της Επεξεργασίας ΔΠΧ Ο Φορέας Επίγειας Εξυπηρέτησης/ Αυτοεξυπηρετούμενος Χρήστης οφείλει να εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα ασφάλειας, σε συμμόρφωση με τον GDPR, ώστε να διασφαλίζεται η ακεραιότητα, η διαθεσιμότητα και η εμπιστευτικότητα της επεξεργασίας των ΔΠΧ, καθώς και η προστασία των ΔΠΧ από τυχαία απώλεια, μη εξουσιοδοτημένη πρόσβαση ή κατάχρηση, όπως προβλέπεται στο Άρθρο 32 του GDPR. Χρόνος Διατήρησης ΔΠΧ Ο Φορέας Επίγειας Εξυπηρέτησης/ Αυτοεξυπηρετούμενος Χρήστης οφείλει να ορίσει την περίοδο διατήρησης ΔΠΧ που επεξεργάζεται, σύμφωνα με την ισχύουσα ευρωπαϊκή και εθνική νομοθεσία. Η εν λόγω περίοδος διατήρησης θα πρέπει να γνωστοποιείται στον ΔΑΑ στις περιπτώσεις που απαιτείται να προσαρμόζει ανάλογα τη διαθεσιμότητα των σχετικών δεδομένων στα συστήματά του. Μετά το πέρας της περιόδου διατήρησης, τα τηρούμενα ΔΠΧ θα πρέπει να καταστρέφονται με ασφάλεια, εκτός εάν επιβάλλεται διαφορετικά από τις κανονιστικές απαιτήσεις. Για το λόγο αυτό ο Φορέας Επίγειας Εξυπηρέτησης/ Αυτοεξυπηρετούμενος Χρήστης θα πρέπει είτε να παρέχει πάγια διαδικασία και χρονική απαίτηση καταστροφής των στοιχείων στο ΔΑΑ, είτε με κατά περίπτωση αίτημά του να ζητά την καταστροφή των στοιχείων. Δικαιώματα των Υποκειμένων των ΔΠΧ Ο Φορέας Επίγειας Εξυπηρέτησης/ Αυτοεξυπηρετούμενος Χρήστης οφείλει να λαμβάνει κάθε κατάλληλο μέτρο για τη διευκόλυνση της άσκησης των δικαιωμάτων των υποκειμένων των ΔΠΧ, όπως προβλέπεται στα Άρθρα 12-22 του GDPR, ήτοι του δικαιώματος πρόσβασης, διόρθωσης ανακριβών δεδομένων, διαγραφής και υπό συγκεκριμένες προϋποθέσεις, του δικαιώματος αίτησης μεταφοράς δεδομένων. Η άσκηση των δικαιωμάτων δύναται να περιορίζεται από το υφιστάμενο κανονιστικό πλαίσιο. Ο ΔΑΑ οφείλει να παρέχει συνδρομή στον Φορέα Επίγειας Εξυπηρέτησης/ Αυτοεξυπηρετούμενο Χρήστη για την εκπλήρωση κάθε σχετικού αιτήματος, στο μέτρο που η επεξεργασία αυτή αφορά στον ΔΑΑ. Τα αιτήματα πρέπει να αποστέλλονται στον εκ της Συμβάσεως ορισμένο εκπρόσωπο της Εταιρείας Αεροδρομίου, άλλως στον Υπεύθυνο Προστασίας Δεδομένων του ΔΑΑ (DPO). Συνεργασία με την Αρμόδια Αρχή Προστασίας ΔΠΧ Ο Φορέας Επίγειας Εξυπηρέτησης/ Αυτοεξυπηρετούμενος Χρήστης οφείλει να συνεργάζεται με την αρμόδια Αρχή Προστασίας ΔΠΧ για όλα τα θέματα που σχετίζονται με την επεξεργασία των ΔΠΧ και να διασφαλίζει την GUIDELINE-GCD001-R0 Σελ. 6
έγκαιρη γνωστοποίηση προς τον ΔΑΑ και την Αρχή οποιασδήποτε παραβίασης δεδομένων σύμφωνα με τον GDPR, σε περίπτωση που η τελευταία αφορά ΔΠΧ που διαχειρίστηκε ο Φορέας ένεκα της άσκησης των εκ του ΔΑΑ εκχωρημένων δικαιωμάτων του. 4. Σχετικά Έγγραφα Κανένα. GUIDELINE-GCD001-R0 Σελ. 7