Σύσταση από την Αρχή Προστασίας Δεδομένων σε ξενοδοχεία και Airbnb: Τέλος στα φωτοαντίγραφα ταυτοτήτων και πιστωτικών καρτών

Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα απηύθυνε συστάσεις συμμόρφωσης προς τουριστικά καταλύματα, κ.λπ. για πρακτικές που ακολουθούν έναντι των πελατών του που παραβιάζουν τους νομοθετικούς κανόνες προστασίας των προσωπικών τους δεδομένων όπως είναι η φωτογράφιση ή λήψη φωτοαντιγράφου δελτίων ταυτότητας, λήψη φωτοαντίγραφων των πιστωτικών καρτών, κ.λπ.

Ειδικότερα, με αφορμή καταγγελίες που υποβλήθηκαν σχετικά με ορισμένες πρακτικές συλλογής και επεξεργασίας προσωπικών δεδομένων από ξενοδοχειακές επιχειρήσεις, η Αρχή Προστασίας Δεδομένων απηύθυνε συστάσεις συμμόρφωσης προς τα εμπλεκόμενα τουριστικά καταλύματα και συγχρόνως απευθύνθηκε στις ξενοδοχειακές ενώσεις, καλώντας τις να ενημερώσουν άμεσα τα μέλη τους σχετικά με την ορθή εφαρμογή των αρχών του Γενικού Κανονισμού Προστασίας Δεδομένων (ΓΚΠΔ) και τις σχετικές υποχρεώσεις συμμόρφωσης.

Οι καταγγελίες αφορούσαν ιδίως τη φωτογράφιση ή λήψη φωτοαντιγράφου δελτίων ταυτότητας πελατών με σκοπό την καταχώριση στοιχείων ταυτοποίησης ή την έκδοση φορολογικών παραστατικών και τη φωτογράφιση ή λήψη φωτοαντιγράφου των δύο όψεων πιστωτικών καρτών πελατών και τη διατήρηση των αντιγράφων αυτών για μελλοντική χρήση σε περίπτωση αμφισβήτησης συναλλαγών.

Σύμφωνα με την Αρχή οι πρακτικές αυτές παραβιάζουν θεμελιώδεις αρχές του ΓΚΠΔ και συγκεκριμένα την αρχή της νομιμότητας, αντικειμενικότητας και διαφάνειας της επεξεργασίας, την αρχή της ελαχιστοποίησης των δεδομένων, καθώς και, κατά περίπτωση, τις υποχρεώσεις προστασίας δεδομένων ήδη από τον σχεδιασμό και εξ΄ ορισμού. Περαιτέρω, οι πρακτικές αυτές σύμφωνα με την Αρχή, αυξάνουν αδικαιολόγητα κινδύνους μη εξουσιοδοτημένης πρόσβασης, απάτης ή οικονομικής ζημίας για τα υποκείμενα των δεδομένων.

Έτσι, η Αρχή ζήτησε από την Πανελλήνια Ομοσπονδία Ξενοδόχων, το Ξενοδοχειακό Επιμελητήριο Ελλάδος και τη Συνομοσπονδία Επιχειρηματιών Τουριστικών Καταλυμάτων Ελλάδος να ενημερώσουν τα μέλη τους για την ανάγκη συμμόρφωσης με τις αρχές του ΓΚΠΔ, τηρώντας ιδίως τις ακόλουθες υποχρεώσεις:

1. Να μην λαμβάνουν ούτε να διατηρούν φωτοαντίγραφα ή φωτογραφίες δελτίων ταυτότητας, διαβατηρίων ή άλλων εγγράφων ταυτοποίησης, δεδομένου ότι δεν υφίσταται ειδική και σαφής νομοθετική πρόβλεψη που το επιβάλλει.

2. Να μην φωτογραφίζουν, φωτοτυπούν ή αποθηκεύουν αντίγραφα πιστωτικών ή χρεωστικών καρτών πελατών.

3. Να διασφαλίζουν ότι κάθε επεξεργασία προσωπικών δεδομένων στηρίζεται σε κατάλληλη νομική βάση και ότι έχει προηγηθεί η απαραίτητη αξιολόγηση της αναγκαιότητας και αναλογικότητας των μέτρων που εφαρμόζονται.

4. Να παρέχουν στους πελάτες σαφή, εύκολα προσβάσιμη και επικαιροποιημένη ενημέρωση σχετικά με την επεξεργασία των προσωπικών τους δεδομένων, τόσο μέσω των ιστοσελίδων τους όσο και με κάθε άλλο κατάλληλο μέσο.

5. Να επανεξετάσουν τις εσωτερικές διαδικασίες υποδοχής πελατών (check-in), πληρωμών και διαχείρισης κρατήσεων, ενημερώνοντας σχετικά το προσωπικό τους, ώστε να διασφαλίζεται η εφαρμογή της αρχής της ελαχιστοποίησης των δεδομένων.