Διαφήμιση

Πρόστιμο 180.000 ευρώ στην Emirates για τη διαφάνεια και τη διατήρηση δεδομένων υγείας επιβατών

Η Garante έκρινε ότι η συλλογή δεδομένων μέσω του εντύπου MEDIF ήταν νόμιμη για λόγους ασφάλειας των πτήσεων, διαπίστωσε όμως παραβιάσεις των υποχρεώσεων ενημέρωσης και της αρχής περιορισμού της περιόδου αποθήκευσης των δεδομένων

prostimo-180000-euro-sten-emirates-gia-te-diaphaneia-kai-te-diaterese-dedomenon-ugeias-epibaton

Διοικητικό πρόστιμο 180.000 ευρώ επέβαλε η ιταλική Αρχή Προστασίας Δεδομένων Garante στην αεροπορική εταιρεία Emirates για παραβάσεις του Γενικού Κανονισμού Προστασίας Δεδομένων κατά την επεξεργασία δεδομένων υγείας επιβατών μέσω του εντύπου MEDIF (Medical Information for Fitness to Travel or Special Assistance). Η ιταλική αρχή έκρινε ότι, μολονότι η συλλογή των συγκεκριμένων δεδομένων μπορούσε να δικαιολογηθεί για λόγους ασφάλειας των αερομεταφορών, η εταιρεία δεν παρείχε στους επιβάτες επαρκή ενημέρωση σχετικά με την επεξεργασία των δεδομένων τους, ενώ παράλληλα διατηρούσε τις πληροφορίες αυτές για χρονικό διάστημα σαφώς μεγαλύτερο από το αναγκαίο.

Το ιστορικό της υπόθεσης

Η έρευνα της ιταλικής αρχής πραγματοποιήθηκε μετά από καταγγελία επιβάτιδας, η οποία υποστήριξε ότι, παρότι δεν ανήκε στις κατηγορίες επιβατών για τις οποίες απαιτείται η συμπλήρωση του εντύπου MEDIF, η Emirates τής ζήτησε να το συμπληρώσει και να αποστείλει αναλυτικές πληροφορίες για την κατάσταση της υγείας της. Κατά την καταγγέλλουσα, η συλλογή των στοιχείων πραγματοποιήθηκε χωρίς προηγούμενη ενημέρωση σχετικά με την επεξεργασία των προσωπικών δεδομένων της και χωρίς να της παρασχεθούν οι προβλεπόμενες από το άρθρο 13 ΓΚΠΔ πληροφορίες.

Η εταιρεία υποστήριξε ότι η επεξεργασία των δεδομένων στηρίζεται στις υποχρεώσεις ασφαλείας που διέπουν τις αερομεταφορές σε εθνικό, ενωσιακό και διεθνές επίπεδο. Επισήμανε ότι το έντυπο MEDIF αποτελεί διεθνώς αναγνωρισμένο εργαλείο για την αξιολόγηση της καταλληλότητας προς πτήση επιβατών με προβλήματα υγείας ή μειωμένη κινητικότητα και χρησιμοποιείται μόνο στις περιπτώσεις όπου απαιτείται ιατρική αξιολόγηση ή ειδική υποστήριξη κατά τη διάρκεια του ταξιδιού.

Η κρίση για τη νομιμότητα της επεξεργασίας

Στο πλαίσιο της έρευνας, η Garante ζήτησε τη γνώμη της ιταλικής Υπηρεσίας Πολιτικής Αεροπορίας (ENAC) σχετικά με το κατά πόσον η συλλογή δεδομένων υγείας μέσω του MEDIF είναι αναγκαία για την ασφαλή πραγματοποίηση των αεροπορικών μεταφορών.

Η ENAC επισήμανε ότι, ιδίως για επιβάτες με χρόνιες ή εκφυλιστικές παθήσεις, η συλλογή επικαιροποιημένων πληροφοριών για την κατάσταση της υγείας τους αποτελεί το μοναδικό μέσο που επιτρέπει στην αεροπορική εταιρεία να λάβει τα αναγκαία μέτρα ασφαλείας και να προλάβει ενδεχόμενα ιατρικά περιστατικά κατά τη διάρκεια της πτήσης. Υπό το πρίσμα αυτό, η ιταλική εποπτική αρχή έκρινε ότι η συλλογή και επεξεργασία των δεδομένων υγείας μέσω του εντύπου MEDIF ήταν κατ' αρχήν νόμιμη και δεν είχε τελεστεί παραβίαση των διατάξεων του ΓΚΠΔ σχετικά με τη νομιμότητα της επεξεργασίας και τις νομικές βάσεις αυτής.

Οι παραβάσεις που διαπιστώθηκαν

Παρά τη διαπίστωση ότι η συλλογή των δεδομένων ήταν θεμιτή για λόγους ασφάλειας των αερομεταφορών, η Garante έκρινε ότι η Emirates δεν είχε συμμορφωθεί με τις υποχρεώσεις διαφάνειας που επιβάλλει ο ΓΚΠΔ.

Ειδικότερα, διαπιστώθηκε ότι ούτε η ιστοσελίδα που αφορούσε τη συμπλήρωση του εντύπου MEDIF ούτε η γενική πολιτική προστασίας δεδομένων παρείχαν σαφείς και εύκολα προσβάσιμες πληροφορίες για τη συγκεκριμένη επεξεργασία. Η ενημέρωση δεν εξηγούσε επαρκώς τις κατηγορίες επιβατών που υποβάλλονται στη διαδικασία, τις νομικές βάσεις και τους σκοπούς της επεξεργασίας, ενώ δεν περιείχε σαφή αναφορά στον χρόνο διατήρησης των δεδομένων. Επιπλέον, κατά την εξέταση της συγκεκριμένης καταγγελίας δεν προέκυψε ότι η ενδιαφερόμενη είχε λάβει κατάλληλη ενημέρωση από το προσωπικό της εταιρείας, πριν από τη συλλογή των στοιχείων της.

Η εποπτική αρχή διαπίστωσε επίσης ότι η Emirates διατηρούσε τα έντυπα MEDIF επί επτά έτη μετά την ολοκλήρωση του ταξιδιού, γεγονός που κρίθηκε προβληματικό. Κατά την κρίση της Garante, ο χρόνος αυτός υπερέβαινε το αναγκαίο σε σχέση με τον σκοπό για τον οποίο συλλέγονταν τα δεδομένα, δηλαδή την αξιολόγηση της καταλληλότητας του επιβάτη να ταξιδέψει και την ασφαλή εκτέλεση της πτήσης. Η επίκληση ενδεχόμενων μελλοντικών δικαστικών διαφορών δεν κρίθηκε επαρκής για να δικαιολογήσει τη διατήρηση δεδομένων υγείας για τόσο μεγάλο χρονικό διάστημα.

Η απόφαση της ιταλικής αρχής

Η Garante διαπίστωσε παραβίαση των άρθρων 5 παρ. 1 στοιχ. α ́ και ε ́, καθώς και των άρθρων 12 και 13 του ΓΚΠΔ, επέβαλε στην Emirates διοικητικό πρόστιμο ύψους 180.000 ευρώ και διέταξε την εταιρεία να αναθεωρήσει τις διαδικασίες ενημέρωσης των επιβατών σχετικά με την επεξεργασία των δεδομένων μέσω του εντύπου MEDIF. Παράλληλα, υποχρέωσε την εταιρεία να προσδιορίσει με μεγαλύτερη ακρίβεια τις κατηγορίες επιβατών που υποχρεούνται να συμπληρώνουν το έντυπο και τα πεδία που είναι αναγκαία για την εκπλήρωση των σκοπών της επεξεργασίας, να καθορίσει νέο χρόνο διατήρησης των δεδομένων σύμφωνα με την αρχή του περιορισμού της περιόδου αποθήκευσης και να διαγράψει τα δεδομένα που υπερβαίνουν το νέο χρονικό όριο διατήρησης.

Πηγή: Garante per la protezione dei dati personali