Kreikan Hellenic Data Protection Authority (HDPA) antoi 89 täytäntöönpanopäätöstä vuonna 2024 — 162 % nousu 34 päätöksestä vuonna 2022. Jyrkkä nousu heijastaa Kreikan laajenevaa digitaalista taloutta, HDPA:n kasvavaa teknistä kapasiteettia ja kahta sektoria, joilla on ainutlaatuisia vaatimustenmukaisuushaasteita: turismi ja meriliikenne.
Turismi: Kausittainen Massatietojenkäsittely
Kreikan matkailusektori käsitteli yli 30 miljoonaa kansainvälistä vierailijaa vuonna 2024 — jokainen tuotti henkilötietoja hotellin sisäänkirjautumisen, maksujen käsittelyn, retkivarausten ja ravintoloiden POS-järjestelmien kautta. Vaatimustenmukaisuushaaste on ajallinen: matkailijatiedot syntyvät massiivisina määrinä huippusesongin aikana (kesä-syyskuu) ja niitä on suojattava huomattavasti pidemmän säilytysajan.
HDPA:n vuoden 2024 täytäntöönpanon keskittyminen hotellivieraiden tietojärjestelmiin paljasti järjestelmällisiä rikkomuksia:
POS-järjestelmän tietojen säilytys: Ravintoloiden ja vähittäiskaupan POS-järjestelmät säilyttivät maksukorttitietoja ja tapahtumahistoriaa paljon pidempään kuin ilmoitetut säilytysajat. HDPA havaitsi, että monilla kreikkalaisilla majoitusliikkeillä ei ollut dokumentoitua säilytysaikataulua — tietoja säilytettiin ikuisesti "kirjanpitotarkoituksiin."
Varausalustojen integraatio: Hotellit, jotka käyttivät kansainvälisiä varausalustoja (jotka siirtävät vierastietoja ulkomaisiin varausjärjestelmiin), puuttuivat usein riittävistä tietojenkäsittelysopimuksista alustatoimittajien kanssa tai eivät olleet suorittaneet siirto-vaikutusarviointeja EU:n ulkopuolelle tapahtuville siirroille.
Henkilöstön pääsy vierastietoihin: Kausityöntekijät, jotka palkattiin huippusesongin ajaksi, saivat pääsyn vieraan PMS-järjestelmiin ilman taustatarkistusta, riittäviä pääsynvalvontakäytäntöjä tai muodollista pääsyn lopettamista kauden päättyessä. HDPA havaitsi useita tapauksia, joissa pääsyvaltuudet pysyivät aktiivisina kuukausia kausityön päättymisen jälkeen.
Matkailusektori kattaa 38 % HDPA:n täytäntöönpanotapauksista — korkein sektorikohtainen keskittyminen kreikkalaisessa GDPR:n täytäntöönpanossa.
Meriliikenteen Vaatimustenmukaisuus: Yli 90 000 Alusmiestä
Kreikka on maailman suurin laivasto valtamerialusten rekisteröidyn tonnin mukaan. Kreikkalaislipun alla purjehtivat alukset työllistävät yli 90 000 merimiestä, ja Ateenassa sijaitsevat laivayhtiöt hallinnoivat miehistötietoja monikansallisille laivastoille.
Merimiestiedot esittävät ainutlaatuisia GDPR:n vaatimustenmukaisuushaasteita:
Rajat ylittävä käsittely: Kreikkalaislipun alla purjehtivat alukset, jotka toimivat kansainvälisesti, käsittelevät miehistötietoja useissa lainkäyttöalueissa. Aluksen lipun valtio (Kreikan laki, joka soveltaa GDPR:ää) koskee henkilötietojen käsittelyä aluksella riippumatta siitä, missä alus sijaitsee.
Monikansalliset miehistöt: Nykyajan laivastot ovat usein täysin ei-kreikkalaisia, ja miehistön jäsenet tulevat Filippiineiltä, Ukrainasta, Intiasta ja Indonesiasta. Heidän henkilötietonsa — passit, merimiessertifikaatit (STCW), lääkärintodistukset — käsitellään Kreikassa hallinnoiduissa miehistöhallintajärjestelmissä.
Lääkärintiedot: Merityö vaatii säännöllistä lääkärintodistusta. Miehistön terveysrekisterit ovat erityisiä tietokategorioita GDPR:n artiklan 9 mukaan, ja ne vaativat nimenomaista suostumusta tai erityistä oikeudellista perustaa, tiukennettua teknistä turvallisuutta ja rajoitettua pääsyä.
Merimiessertifikaatin numerot: STCW (Standards of Training, Certification and Watchkeeping) -sertifikaateilla ja merimieskirjoilla on ainutlaatuiset numeromuodot myöntävän maan mukaan. Nämä tunnisteet esiintyvät koko miehistöhallintajärjestelmässä ja vaativat havaitsemista riittävän PII-suojan varmistamiseksi.
Kreikan Kansalliset Tunnisteet: AFM ja AMKA
ΑΦΜ (Αριθμός Φορολογικού Μητρώου): 9-numeroista verotunnistetta, jonka tarkistusnumero vahvistetaan painotetun summan algoritmilla. AFM on Kreikan ensisijainen kaupallinen tunniste — esiintyy kaikissa liiketoimissa, työsuhteissa ja valtion palveluissa.
HDPA:n vuoden 2024 tekninen arviointi havaitsi, että AFM havaittiin vain 52 % tarkkuudella yleisillä NLP-työkaluilla. Pääasiallinen epäonnistumismuoto: AFM:n 9-numeroista muotoa vastaavat päivämäärämerkit ja viitenumerot, mikä tuottaa korkeita vääriä positiivisia ilman tarkistussumman vahvistusta; ja työkalut ohittavat AFM-numerot, jotka on muotoiltu ilman välejä tai epätavallisilla erotinmerkeillä kreikkalaisissa asiakirjoissa.
ΑΜΚΑ (Αριθμός Μητρώου Κοινωνικής Ασφάλισης): 11-numeroista sosiaaliturvatunnusta. Koodaus sisältää syntymäajan, sukupuolen ja sekvenssin. AMKA esiintyy kaikissa kreikkalaisissa terveys- ja sosiaaliturvaasiakirjoissa — työsopimuksissa, reseptitiedoissa ja sairaalaanottolomakkeissa.
Kreikan kansallinen henkilökortti (Αστυνομική Ταυτότητα): Muoto, jossa on yksi kirjain ja 6-7 numeroa, ainutlaatuisilla myöntämiskonventioilla.
Kreikan passi: Standardin EU-passimuoto, jossa on Kreikka-spesifiset myöntämiskonventiot.
Kreikan Kielen NER-vaatimukset
Kreikka käyttää täysin erilaista aakkostoa (kreikkalainen kirjoitus) kuin latinalaiseen perustuvat NLP-mallit, joihin useimmat kaupalliset työkalut on koulutettu. Tämä luo perustavanlaatuisen havaitsemishaasteen: työkalut, jotka on koulutettu latinalaista tekstiä varten, eivät voi suorittaa nimielementtien tunnistamista kreikkalaisissa asiakirjoissa.
Kreikan kielen NER vaatii:
- spaCy el_core_news -mallin tai vastaavan kreikkalaisen kielen NLP:n
- Kreikan aakkosten tokenisoinnin (erilaiset merkkijoukot latinalaisista)
- Kreikka-spesifisiä nimimalleja (kreikkalaiset nimet poikkeavat merkittävästi englannin/saksan malleista)
- Kreikan osoitemuotojen tunnistamisen ("Οδός," "Πλατεία," "Λεωφόρος")
Kreikan toiminnoissa toimiville organisaatioille — erityisesti matkailu- ja meriliikennealoilla — HDPA:n vaatimustenmukainen PII-havainto vaatii AFM- ja AMKA-havainnot tarkistussumman vahvistuksella sekä kreikan kielen NER-tuen.
Lähteet: