Εδώ και χρόνια, αρκετά ξενοδοχεία και τουριστικά καταλύματα εφαρμόζουν πρακτικές που δεν συμβαδίζουν με τη νομοθεσία για την προστασία των προσωπικών δεδομένων, προκειμένου να καταγράφουν τους πελάτες τους. Ανάμεσα στις πιο συνηθισμένες είναι η φωτογράφιση ή η διατήρηση αντιγράφων δελτίων ταυτότητας και πιστωτικών καρτών, τα οποία φυλάσσονται ώστε να μπορούν να χρησιμοποιηθούν σε περίπτωση που ο πελάτης αμφισβητήσει μελλοντικά μια χρέωση ή συναλλαγή. Ωστόσο, η διατήρηση τέτοιων ευαίσθητων στοιχείων εγκυμονεί σοβαρούς κινδύνους, καθώς αυξάνει τις πιθανότητες μη εξουσιοδοτημένης πρόσβασης, υποκλοπής προσωπικών δεδομένων, οικονομικής απάτης και άλλων μορφών κακόβουλης χρήσης.
Ύστερα από σχετικές καταγγελίες, η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα προχώρησε σε συστάσεις προς τα τουριστικά καταλύματα και τις ξενοδοχειακές ενώσεις, ζητώντας να ληφθούν άμεσα μέτρα συμμόρφωσης. Παράλληλα, κάλεσε τις ενώσεις να ενημερώσουν τα μέλη τους για τη σωστή εφαρμογή των διατάξεων του Γενικού Κανονισμού Προστασίας Δεδομένων (ΓΚΠΔ), ώστε να τηρούνται οι προβλεπόμενες υποχρεώσεις και να διασφαλίζεται η προστασία των προσωπικών δεδομένων των πελατών.
Αναλυτικά το Δελτίο Τύπου
Με αφορμή καταγγελίες που υποβλήθηκαν σχετικά με ορισμένες πρακτικές συλλογής και επεξεργασίας προσωπικών δεδομένων από ξενοδοχειακές επιχειρήσεις, η Αρχή Προστασίας Δεδομένων απηύθυνε συστάσεις συμμόρφωσης προς τα εμπλεκόμενα τουριστικά καταλύματα και συγχρόνως απευθύνθηκε στις ξενοδοχειακές ενώσεις, καλώντας τις να ενημερώσουν άμεσα τα μέλη τους σχετικά με την ορθή εφαρμογή των αρχών του Γενικού Κανονισμού Προστασίας Δεδομένων (ΓΚΠΔ) και τις σχετικές υποχρεώσεις συμμόρφωσης.
Ειδικότερα, οι καταγγελίες αφορούσαν ιδίως τη φωτογράφιση ή λήψη φωτοαντιγράφου δελτίων ταυτότητας πελατών με σκοπό την καταχώριση στοιχείων ταυτοποίησης ή την έκδοση φορολογικών παραστατικών και τη φωτογράφιση ή λήψη φωτοαντιγράφου των δύο όψεων πιστωτικών καρτών πελατών και τη διατήρηση των αντιγράφων αυτών για μελλοντική χρήση σε περίπτωση αμφισβήτησης συναλλαγών.
Η Αρχή Προστασίας Δεδομένων διαπίστωσε ότι οι παραπάνω πρακτικές παραβιάζουν θεμελιώδεις αρχές του ΓΚΠΔ και συγκεκριμένα την αρχή της νομιμότητας, αντικειμενικότητας και διαφάνειας της επεξεργασίας, την αρχή της ελαχιστοποίησης των δεδομένων, καθώς και, κατά περίπτωση, τις υποχρεώσεις προστασίας δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού. Περαιτέρω, οι εν λόγω πρακτικές αυξάνουν αδικαιολόγητα κινδύνους μη εξουσιοδοτημένης πρόσβασης, απάτης ή οικονομικής ζημίας για τα υποκείμενα των δεδομένων.
Με σκοπό τόσο την προστασία των δικαιωμάτων των επισκεπτών όσο και την αποφυγή παραβάσεων που ενδέχεται να επιφέρουν τις προβλεπόμενες από τη νομοθεσία κυρώσεις, η Αρχή ζήτησε από την Πανελλήνια Ομοσπονδία Ξενοδόχων, το Ξενοδοχειακό Επιμελητήριο Ελλάδος και τη Συνομοσπονδία Επιχειρηματιών Τουριστικών Καταλυμάτων Ελλάδος να ενημερώσουν τα μέλη τους για την ανάγκη συμμόρφωσης με τις ανωτέρω αρχές του ΓΚΠΔ, τηρώντας ιδίως τις ακόλουθες υποχρεώσεις:
1. Να μην λαμβάνουν ούτε να διατηρούν φωτοαντίγραφα ή φωτογραφίες δελτίων ταυτότητας, διαβατηρίων ή άλλων εγγράφων ταυτοποίησης, δεδομένου ότι δεν υφίσταται ειδική και σαφής νομοθετική πρόβλεψη που το επιβάλλει.
2. Να μην φωτογραφίζουν, φωτοτυπούν ή αποθηκεύουν αντίγραφα πιστωτικών ή χρεωστικών καρτών πελατών.
3. Να διασφαλίζουν ότι κάθε επεξεργασία προσωπικών δεδομένων στηρίζεται σε κατάλληλη νομική βάση και ότι έχει προηγηθεί η απαραίτητη αξιολόγηση της αναγκαιότητας και αναλογικότητας των μέτρων που εφαρμόζονται.
4. Να παρέχουν στους πελάτες σαφή, εύκολα προσβάσιμη και επικαιροποιημένη ενημέρωση σχετικά με την επεξεργασία των προσωπικών τους δεδομένων, τόσο μέσω των ιστοσελίδων τους όσο και με κάθε άλλο κατάλληλο μέσο.
5. Να επανεξετάσουν τις εσωτερικές διαδικασίες υποδοχής πελατών (check-in), πληρωμών και διαχείρισης κρατήσεων, ενημερώνοντας σχετικά το προσωπικό τους, ώστε να διασφαλίζεται η εφαρμογή της αρχής της ελαχιστοποίησης των δεδομένων.
