GDPR για Ξενοδοχεία: Τι πρέπει να προσέχουν τα καταλύματα

1. Εισαγωγικές Παρατηρήσεις

Ο ξενοδοχειακός τομέας, εκ της φύσεως της δραστηριότητάς του, επεξεργάζεται σημαντικό όγκο προσωπικών δεδομένων: στοιχεία ταυτοποίησης, στοιχεία επικοινωνίας, δεδομένα κρατήσεων, στοιχεία πληρωμών, προτιμήσεις διαμονής και, σε ορισμένες περιπτώσεις, ειδικότερες πληροφορίες που συνδέονται με την παροχή εξατομικευμένων υπηρεσιών φιλοξενίας.

Η ένταση και η ποικιλία των πράξεων επεξεργασίας καθιστούν τις ξενοδοχειακές επιχειρήσεις και τα λοιπά τουριστικά καταλύματα υπευθύνους επεξεργασίας με αυξημένες υποχρεώσεις συμμόρφωσης υπό τον Γενικό Κανονισμό Προστασίας Δεδομένων (Κανονισμός ΕΕ 2016/679, εφεξής «ΓΚΠΔ»). Οι υποχρεώσεις αυτές δεν περιορίζονται στην ύπαρξη πολιτικής απορρήτου, αλλά εκτείνονται στον σχεδιασμό και στην καθημερινή εφαρμογή διαδικασιών υποδοχής πελατών, πληρωμών, κρατήσεων, τιμολόγησης και διαχείρισης παραπόνων ή αμφισβητήσεων συναλλαγών.

Με αφορμή πρόσφατες καταγγελίες σχετικά με πρακτικές φωτογράφισης ή λήψης φωτοαντιγράφων εγγράφων ταυτοποίησης και καρτών πληρωμής από ξενοδοχειακές επιχειρήσεις, η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα («ΑΠΔΠΧ» ή «Αρχή») απηύθυνε συστάσεις συμμόρφωσης προς εμπλεκόμενα τουριστικά καταλύματα και κάλεσε τους αρμόδιους κλαδικούς φορείς να ενημερώσουν άμεσα τα μέλη τους για την ορθή εφαρμογή των αρχών του ΓΚΠΔ.

Το παρόν άρθρο εξετάζει τις βασικές επισημάνσεις της Αρχής, αναλύει τις κρίσιμες αρχές του ΓΚΠΔ που τίθενται σε εφαρμογή και προτείνει ένα πρακτικό πλαίσιο συμμόρφωσης για τις ξενοδοχειακές επιχειρήσεις..

2. Το Δελτίο Τύπου της ΑΠΔΠΧ Γ/ΕΞ/2885 — Αντικείμενο και Αποδέκτες

Η ΑΠΔΠΧ εξέδωσε στις 24 Ιουνίου 2026 συστάσεις κατόπιν καταγγελιών που αφορούσαν ορισμένες πρακτικές συλλογής και επεξεργασίας προσωπικών δεδομένων από ξενοδοχειακές επιχειρήσεις. Οι καταγγελίες επικεντρώθηκαν ιδίως:

α) στη φωτογράφιση ή λήψη φωτοαντιγράφου δελτίων ταυτότητας πελατών, με σκοπό την καταχώριση στοιχείων ταυτοποίησης ή την έκδοση φορολογικών παραστατικών, και

β) στη φωτογράφιση ή λήψη φωτοαντιγράφου των δύο όψεων πιστωτικών καρτών πελατών, καθώς και στη διατήρηση των αντιγράφων αυτών για μελλοντική χρήση σε περίπτωση αμφισβήτησης συναλλαγών.

Η Αρχή διαπίστωσε ότι οι πρακτικές αυτές παραβιάζουν θεμελιώδεις αρχές του ΓΚΠΔ, και συγκεκριμένα την αρχή της νομιμότητας, αντικειμενικότητας και διαφάνειας, την αρχή της ελαχιστοποίησης των δεδομένων και, κατά περίπτωση, τις υποχρεώσεις προστασίας δεδομένων από τον σχεδιασμό και εξ ορισμο.

Ιδιαίτερη βαρύτητα έχει το γεγονός ότι η ΑΠΔΠΧ δεν περιορίστηκε στην απεύθυνση συστάσεων προς τα εμπλεκόμενα καταλύματα, αλλά κάλεσε την Πανελλήνια Ομοσπονδία Ξενοδόχων, το Ξενοδοχειακό Επιμελητήριο Ελλάδος και τη Συνομοσπονδία Επιχειρηματιών Τουριστικών Καταλυμάτων Ελλάδος να ενημερώσουν άμεσα τα μέλη τους. Η επιλογή αυτή καταδεικνύει ότι οι επίμαχες πρακτικές αντιμετωπίζονται ως ζήτημα ευρύτερης κλαδικής σημασίας και όχι απλώς ως μεμονωμένες αστοχίες συμμόρφωσης.

3. Οι Παραβιαζόμενες Αρχές του ΓΚΠΔ

3.1. Αρχή Νομιμότητας, Αντικειμενικότητας και Διαφάνειας (άρθρο 5 παρ. 1 στοιχ. α ́ ΓΚΠΔ)

Η θεμελιώδης προϋπόθεση κάθε επεξεργασίας προσωπικών δεδομένων υπό τον ΓΚΠΔ είναι η ύπαρξη κατάλληλης νομικής βάσης, σε συνδυασμό με την τήρηση των αρχών της αντικειμενικότητας και της διαφάνειας. Στο πλαίσιο των ξενοδοχειακών υπηρεσιών, η επίδειξη εγγράφου ταυτοποίησης μπορεί να είναι αναγκαία για σκοπούς ταυτοποίησης του πελάτη ή εκπλήρωσης συγκεκριμένων νόμιμων υποχρεώσεων. Ωστόσο, η φωτογράφιση ή η λήψη και διατήρηση αντιγράφου του εγγράφου συνιστά διακριτή και εντονότερη πράξη επεξεργασίας, η οποία απαιτεί ειδική τεκμηρίωση ως προς τη νομιμότητα, την αναγκαιότητα και την αναλογικότητά της. Η προσέγγιση αυτή είναι συνεπής με την εποπτική πρακτική της ΑΠΔΠΧ. Ενδεικτικά, με την υπ’ αριθμ. 2/2023 Απόφασή της, η Αρχή έκρινε ότι η καταχώριση και αποθήκευση δεδομένων σχετικών με πιστοποιητικό εμβολιασμού πελάτη ξενοδοχείου, ακόμη και για περιορισμένο χρονικό διάστημα, παραβίασε τις αρχές της νομιμότητας, της αντικειμενικότητας και της διαφάνειας, σε συνδυασμό με την υποχρέωση ενημέρωσης του υποκειμένου των δεδομένων. Η απόφαση αυτή αναδεικνύει ότι η πρακτική ευκολία μιας ξενοδοχειακής διαδικασίας δεν αρκεί, από μόνη της, για να καταστήσει νόμιμη τη συλλογή ή διατήρηση πρόσθετων δεδομένων.

3.2. Αρχή Ελαχιστοποίησης Δεδομένων (άρθρο 5 παρ. 1 στοιχ. γ ́ ΓΚΠΔ)

Σύμφωνα με την αρχή της ελαχιστοποίησης, τα προσωπικά δεδομένα πρέπει να είναι κατάλληλα, συναφή και περιορισμένα σε ό,τι είναι αναγκαίο για τους σκοπούς της επεξεργασίας. Στο πλαίσιο του check-in ή της έκδοσης φορολογικών παραστατικών, η λήψη πλήρους φωτογραφίας ή φωτοαντιγράφου δελτίου ταυτότητας, διαβατηρίου ή άλλου εγγράφου ταυτοποίησης υπερβαίνει, κατά κανόνα, τα απολύτως αναγκαία στοιχεία που απαιτούνται για την επίτευξη των σχετικών σκοπών.

Αντίστοιχα, η φωτογράφιση ή λήψη αντιγράφου των δύο όψεων πιστωτικής ή χρεωστικής κάρτας αποτελεί ιδιαιτέρως παρεμβατική πρακτική, καθώς οδηγεί στη συλλογή και διατήρηση δεδομένων που δεν είναι αναγκαία για τη διεκπεραίωση της πληρωμής ή για τη διαχείριση ενδεχόμενης αμφισβήτησης συναλλαγής.

Η ελαχιστοποίηση δεν επιβάλλει απλώς να μη συλλέγονται υπερβολικά δεδομένα. Επιβάλλει επίσης οι επιχειρήσεις να σχεδιάζουν τις διαδικασίες τους κατά τρόπο ώστε το προσωπικό να συλλέγει μόνο τα στοιχεία που είναι απαραίτητα, να τα καταχωρίζει με ασφαλή τρόπο και να αποφεύγει πρακτικές «προληπτικής» διατήρησης εγγράφων ή αντιγράφων καρτών για λόγους ευκολίας.

Αντίστοιχο υλικό έχει εντοπιστεί από εποπτικές αρχές από κράτη μέλη της Ε.Ε.: Η Ισπανική Αρχή Προστασίας Δεδομένων (AEPD) σε υπόθεση ξενοδοχείου που προέβη σε σάρωση δελτίων ταυτότητας κατά το check-inέκρινε ότι η πράξη αυτή δεν επιβάλλεται από καμία νομοθετική υποχρέωση και συνιστά υπερβολική επεξεργασία αντίθετη προς το άρθρο 5 παρ. 1 στοιχ. γ’ ΓΚΠΔ[1]. Σε έτερη απόφαση δε, η AEPD επέβαλε πρόστιμο €25.000 για παραβίαση της αρχής ελαχιστοποίησης (άρθρο 5 παρ. 1 στοιχ. γ’ ΓΚΠΔ) λόγω ζήτησης φωτογραφιών και των δύο όψεων δελτίων ταυτότητας σε τουριστικό κατάλυμα, και €50.000 για ταυτόχρονη παραβίαση της υποχρέωσης ενημέρωσης κατά το άρθρο 13 ΓΚΠΔ.[2]

3.3. Προστασία Δεδομένων από τον Σχεδιασμό και εξ Ορισμού (άρθρο 25 ΓΚΠΔ)

Πέραν της παραβίασης ειδικών αρχών, η ΑΠΔΠΧ επισήμανε ότι οι επίμαχες πρακτικές αντίκεινται στην υποχρέωση του άρθρου 25 ΓΚΠΔ, δηλαδή στην ενσωμάτωση της προστασίας δεδομένων ήδη κατά τη φάση σχεδιασμού των λειτουργικών διαδικασιών. Ο υπεύθυνος επεξεργασίας οφείλει να διασφαλίζει ότι εκ προεπιλογής συλλέγονται μόνο τα δεδομένα που είναι απολύτως αναγκαία για κάθε επιμέρους σκοπό.

3.4. Κίνδυνοι για τα Υποκείμενα

Η ΑΠΔΠΧ ανέδειξε και τη διάσταση του κινδύνου για τα υποκείμενα των δεδομένων. Η διατήρηση αντιγράφων εγγράφων ταυτοποίησης ή καρτών πληρωμής αυξάνει αδικαιολόγητα την πιθανότητα μη εξουσιοδοτημένης πρόσβασης, απάτης, υποκλοπής ταυτότητας ή οικονομικής ζημίας.

Η παρατήρηση αυτή είναι ιδιαίτερα κρίσιμη ως προς τις κάρτες πληρωμής. Η συλλογή ή διατήρηση στοιχείων που εμφανίζονται στις δύο όψεις μιας κάρτας μπορεί να δημιουργήσει σοβαρούς κινδύνους για τον πελάτη, ιδίως όταν περιλαμβάνεται ο αριθμός κάρτας, η ημερομηνία λήξης και ο κωδικός ασφαλείας. Για τον λόγο αυτό, οι ξενοδοχειακές επιχειρήσεις πρέπει να αξιοποιούν ασφαλείς λύσεις πληρωμών, όπως τερματικά POS, tokenization, προεγκρίσεις μέσω τραπεζικών συστημάτων και πιστοποιημένες πλατφόρμες ηλεκτρονικών πληρωμών, αντί να διατηρούν αντίγραφα καρτών.

4. Τι Απαγορεύεται και τι Επιτρέπεται

4.1. Έγγραφα Ταυτοποίησης

Τα τουριστικά καταλύματα δεν πρέπει να φωτογραφίζουν, φωτοτυπούν, σαρώνουν ή διατηρούν αντίγραφα δελτίων ταυτότητας, διαβατηρίων ή άλλων εγγράφων ταυτοποίησης πελατών, εφόσον δεν υφίσταται ειδική και σαφής νομοθετική πρόβλεψη που να επιβάλλει τέτοια πρακτική.

Νόμιμη και αναλογική πρακτική αποτελεί η επίδειξη του εγγράφου από τον πελάτη και η καταχώριση μόνο των αναγκαίων στοιχείων για τον συγκεκριμένο σκοπό επεξεργασίας. Τα στοιχεία αυτά πρέπει να προσδιορίζονται εκ των προτέρων, να τεκμηριώνονται στο Αρχείο Δραστηριοτήτων Επεξεργασίας και να γνωστοποιούνται στον πελάτη μέσω κατάλληλης ενημέρωσης.

4.2. Κάρτες Πληρωμής

Απαγορεύεται η φωτογράφιση, φωτοτύπηση, σάρωση ή αποθήκευση αντιγράφων πιστωτικών ή χρεωστικών καρτών πελατών. Η ανάγκη διαχείρισης πιθανών αμφισβητήσεων συναλλαγών δεν δικαιολογεί τη διατήρηση αντιγράφων των δύο όψεων κάρτας.

Αντί τέτοιων πρακτικών, τα καταλύματα πρέπει να χρησιμοποιούν ασφαλείς και πιστοποιημένες μεθόδους πληρωμών, όπως POS, προεγκρίσεις μέσω τραπεζικού τερματικού, tokenization και αναγνωρισμένες πλατφόρμες ηλεκτρονικών πληρωμών. Οι σχετικές διαδικασίες πρέπει να περιορίζουν την πρόσβαση του προσωπικού στα απολύτως αναγκαία δεδομένα και να αποτρέπουν τη χειροκίνητη ή ανεπίσημη αποθήκευση στοιχείων καρτών.

5. Συγκεκριμένες Υποχρεώσεις Συμμόρφωσης

Οι συστάσεις της ΑΠΔΠΧ μεταφράζονται στις ακόλουθες πρακτικές υποχρεώσεις για τα τουριστικά καταλύματα:

α) Χαρτογράφηση των πράξεων επεξεργασίας

Κάθε κατάλυμα πρέπει να καταγράψει ποιες κατηγορίες προσωπικών δεδομένων συλλέγονται κατά το check-in, την κράτηση, την πληρωμή, την τιμολόγηση και τη διαχείριση παραπόνων ή αμφισβητήσεων. Για κάθε κατηγορία δεδομένων πρέπει να προσδιορίζεται ο σκοπός επεξεργασίας, η νομική βάση, οι αποδέκτες, ο χρόνος τήρησης και τα εφαρμοζόμενα τεχνικά και οργανωτικά μέτρα.

β) Επανεξέταση της νομικής βάσης

Η επεξεργασία προσωπικών δεδομένων πρέπει να στηρίζεται σε κατάλληλη νομική βάση του άρθρου 6 ΓΚΠΔ. Η ύπαρξη επιχειρησιακής ευκολίας ή συνήθους πρακτικής στον κλάδο δεν αρκεί για τη νομιμοποίηση της συλλογής πρόσθετων δεδομένων. Ιδίως ως προς αντίγραφα εγγράφων ταυτοποίησης ή καρτών πληρωμής, πρέπει να τεκμηριώνεται ειδικά εάν υπάρχει σαφής νόμιμη υποχρέωση ή άλλος επιτρεπτός λόγος επεξεργασίας.

γ) Εφαρμογή της αρχής της ελαχιστοποίησης

Τα καταλύματα πρέπει να διασφαλίζουν ότι συλλέγονται μόνο τα απολύτως αναγκαία στοιχεία για κάθε επιμέρους σκοπό. Η διαδικασία check-in πρέπει να σχεδιαστεί ώστε να αποφεύγεται η λήψη αντιγράφων εγγράφων ταυτοποίησης, ενώ η διαδικασία πληρωμών πρέπει να αποκλείει τη φωτογράφιση ή αποθήκευση καρτών.

δ) Επικαιροποίηση ενημερώσεων απορρήτου

Οι πελάτες πρέπει να λαμβάνουν σαφή, εύκολα προσβάσιμη και επικαιροποιημένη ενημέρωση σχετικά με την επεξεργασία των προσωπικών τους δεδομένων. Η ενημέρωση αυτή πρέπει να είναι διαθέσιμη τόσο στην ιστοσελίδα του καταλύματος όσο και με κατάλληλο τρόπο κατά το στάδιο της κράτησης ή της άφιξης.

ε) Αναθεώρηση εσωτερικών διαδικασιών και εκπαίδευση προσωπικού

Οι διαδικασίες υποδοχής, πληρωμών και διαχείρισης κρατήσεων πρέπει να αναθεωρηθούν ώστε να ενσωματώνουν την προστασία δεδομένων από τον σχεδιασμό και εξ ορισμού. Το προσωπικό πρέπει να ενημερωθεί ειδικά ότι δεν επιτρέπεται η φωτογράφιση, φωτοτύπηση ή αποθήκευση εγγράφων ταυτοποίησης και καρτών πληρωμής, εκτός εάν υπάρχει σαφής και τεκμηριωμένη νομική βάση.

στ) Τεκμηρίωση συμμόρφωσης

Η συμμόρφωση δεν πρέπει να παραμένει σε επίπεδο προφορικών οδηγιών. Τα μέτρα που λαμβάνονται πρέπει να αποτυπώνονται στο Αρχείο Δραστηριοτήτων Επεξεργασίας, στις πολιτικές απορρήτου, στις εσωτερικές οδηγίες προς το προσωπικό και, όπου απαιτείται, στις συμβάσεις με εκτελούντες την επεξεργασία, όπως παρόχους PMS, channel managers, payment processors και λοιπούς τεχνολογικούς συνεργάτες..

6. Κυρωτικό Πλαίσιο

Η μη συμμόρφωση με τις ανωτέρω υποχρεώσεις μπορεί να επιφέρει σημαντικές διοικητικές και λοιπές συνέπειες.

Κατά το άρθρο 83 ΓΚΠΔ, οι παραβάσεις των βασικών αρχών επεξεργασίας, περιλαμβανομένων των αρχών του άρθρου 5 και των προϋποθέσεων νομιμότητας του άρθρου 6, υπάγονται στο ανώτερο επίπεδο διοικητικών προστίμων, ήτοι έως 20.000.000 ευρώ ή, σε περίπτωση επιχείρησης, έως 4% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιο ποσό είναι υψηλότερο.

Στο ίδιο ανώτερο επίπεδο υπάγονται και παραβάσεις των δικαιωμάτων των υποκειμένων των δεδομένων κατά τα άρθρα 12 έως 22 ΓΚΠΔ, στις οποίες εντάσσονται και οι υποχρεώσεις διαφανούς ενημέρωσης των πελατών.

Αντιθέτως, παραβάσεις ορισμένων υποχρεώσεων του υπευθύνου επεξεργασίας, όπως οι υποχρεώσεις προστασίας δεδομένων από τον σχεδιασμό και εξ ορισμού του άρθρου 25 ή τήρησης αρχείου δραστηριοτήτων επεξεργασίας κατά το άρθρο 30, υπάγονται στο επίπεδο προστίμων έως 10.000.000 ευρώ ή έως 2% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών, ανάλογα με το ποιο ποσό είναι υψηλότερο.

Πέραν των διοικητικών προστίμων, η Αρχή μπορεί να επιβάλει και άλλα διορθωτικά μέτρα, όπως συστάσεις, εντολές συμμόρφωσης, περιορισμούς επεξεργασίας ή δημόσια επίπληξη. Ιδίως στον ξενοδοχειακό τομέα, οι επιπτώσεις μιας δημοσιευμένης απόφασης ή σύστασης δεν περιορίζονται στο κανονιστικό επίπεδο, αλλά μπορούν να επηρεάσουν ουσιωδώς τη φήμη και την εμπιστοσύνη των πελατών.

Τέλος, δεν πρέπει να παραγνωρίζεται η πιθανότητα αστικής ευθύνης αποζημίωσης κατά το άρθρο 82 ΓΚΠΔ, καθώς και η εφαρμογή των σχετικών διατάξεων του ν. 4624/2019 σε σοβαρότερες περιπτώσεις παράνομης επεξεργασίας.

7. Συμπέρασμα

Οι συστάσεις της ΑΠΔΠΧ προς τον ξενοδοχειακό κλάδο επιβεβαιώνουν ότι η προστασία προσωπικών δεδομένων δεν αποτελεί τυπική ή δευτερεύουσα υποχρέωση, αλλά κρίσιμο στοιχείο της καθημερινής λειτουργίας των τουριστικών καταλυμάτων.

Η φωτογράφιση ή διατήρηση αντιγράφων εγγράφων ταυτοποίησης και καρτών πληρωμής, ακόμη και όταν εφαρμόζεται για λόγους ταχύτητας, ασφάλειας ή διαχείρισης πιθανών αμφισβητήσεων, ενδέχεται να παραβιάζει τις βασικές αρχές του ΓΚΠΔ, εφόσον δεν στηρίζεται σε σαφή νομική βάση και δεν πληροί τις απαιτήσεις αναγκαιότητας και αναλογικότητας.

Για τις ξενοδοχειακές επιχειρήσεις, η συμμόρφωση δεν εξαντλείται στην αποφυγή προστίμων. Συνδέεται άμεσα με την εμπιστοσύνη των επισκεπτών, την ασφάλεια των συναλλαγών, την ποιότητα των εσωτερικών διαδικασιών και τη φήμη της επιχείρησης. Η άμεση επανεξέταση των διαδικασιών check-in, πληρωμών και ενημέρωσης πελατών αποτελεί πλέον αναγκαία ενέργεια κανονιστικής και επιχειρησιακής θωράκισης.