ΑΠΔΠΧ: Παράνομη η φωτογράφιση ταυτοτήτων και πιστωτικών καρτών πελατών από τουριστικά καταλύματα

Συστάσεις συμμόρφωσης προς ξενοδοχεία και λοιπά τουριστικά καταλύματα απηύθυνε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, έπειτα από καταγγελίες που αφορούσαν πρακτικές συλλογής και διατήρησης προσωπικών δεδομένων πελατών κατά τη διαδικασία κράτησης, άφιξης και πληρωμής.

Οι καταγγελίες αφορούσαν κυρίως τη φωτογράφιση ή λήψη φωτοαντιγράφων δελτίων ταυτότητας πελατών, με σκοπό την καταχώριση στοιχείων ταυτοποίησης ή την έκδοση φορολογικών παραστατικών, καθώς και τη φωτογράφιση ή αντιγραφή των δύο όψεων πιστωτικών καρτών και τη διατήρηση των αντιγράφων αυτών για μελλοντική χρήση σε περίπτωση αμφισβήτησης συναλλαγών.

Η Αρχή διαπίστωσε ότι οι πρακτικές αυτές παραβιάζουν θεμελιώδεις αρχές του Γενικού Κανονισμού για την Προστασία Δεδομένων. Ειδικότερα, κρίθηκε ότι αντίκεινται στην αρχή της νομιμότητας, αντικειμενικότητας και διαφάνειας της επεξεργασίας, καθώς και στην αρχή της ελαχιστοποίησης των δεδομένων. Παράλληλα, επισημάνθηκε ότι, κατά περίπτωση, ενδέχεται να παραβιάζονται και οι υποχρεώσεις προστασίας δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού.

Κατά την Αρχή, η διατήρηση αντιγράφων εγγράφων ταυτοποίησης και τραπεζικών καρτών συνεπάγεται τη συλλογή περισσότερων δεδομένων από όσα είναι αναγκαία για τους επιδιωκόμενους σκοπούς και αυξάνει αδικαιολόγητα τον κίνδυνο μη εξουσιοδοτημένης πρόσβασης, απάτης ή οικονομικής ζημίας για τους πελάτες.

Με αφορμή τα ευρήματα αυτά, η Αρχή απευθύνθηκε στην Πανελλήνια Ομοσπονδία Ξενοδόχων, στο Ξενοδοχειακό Επιμελητήριο Ελλάδος και στη Συνομοσπονδία Επιχειρηματιών Τουριστικών Καταλυμάτων Ελλάδος, ζητώντας να ενημερώσουν τα μέλη τους για τις υποχρεώσεις που απορρέουν από τον ΓΚΠΔ.

Στο πλαίσιο αυτό, υπογραμμίζεται ότι τα τουριστικά καταλύματα δεν θα πρέπει να λαμβάνουν ή να διατηρούν φωτογραφίες και φωτοαντίγραφα δελτίων ταυτότητας, διαβατηρίων ή άλλων εγγράφων ταυτοποίησης, ελλείψει ειδικής νομοθετικής πρόβλεψης, ούτε να φωτογραφίζουν ή να αποθηκεύουν αντίγραφα πιστωτικών και χρεωστικών καρτών πελατών. Παράλληλα, καλούνται να επανεξετάσουν τις διαδικασίες check-in, πληρωμών και διαχείρισης κρατήσεων, να διασφαλίζουν κατάλληλη νομική βάση για κάθε επεξεργασία προσωπικών δεδομένων και να παρέχουν σαφή και επικαιροποιημένη ενημέρωση στους πελάτες σχετικά με την επεξεργασία των δεδομένων τους.

Το πλήρες δελτίο τύπου της ΑΠΔΠΧ αναφέρει ότι:

Συστάσεις της Αρχής Προστασίας Δεδομένων για την επεξεργασία προσωπικών δεδομένων πελατών από τουριστικά καταλύματα

Με αφορμή καταγγελίες που υποβλήθηκαν σχετικά με ορισμένες πρακτικές συλλογής και επεξεργασίας προσωπικών δεδομένων από ξενοδοχειακές επιχειρήσεις, η Αρχή Προστασίας Δεδομένων απηύθυνε συστάσεις συμμόρφωσης προς τα εμπλεκόμενα τουριστικά καταλύματα και συγχρόνως απευθύνθηκε στις ξενοδοχειακές ενώσεις, καλώντας τις να ενημερώσουν άμεσα τα μέλη τους σχετικά με την ορθή εφαρμογή των αρχών του Γενικού Κανονισμού Προστασίας Δεδομένων (ΓΚΠΔ) και τις σχετικές υποχρεώσεις συμμόρφωσης.

Ειδικότερα, οι καταγγελίες αφορούσαν ιδίως τη φωτογράφιση ή λήψη φωτοαντιγράφου δελτίων ταυτότητας πελατών με σκοπό την καταχώριση στοιχείων ταυτοποίησης ή την έκδοση φορολογικών παραστατικών και τη φωτογράφιση ή λήψη φωτοαντιγράφου των δύο όψεων πιστωτικών καρτών πελατών και τη διατήρηση των αντιγράφων αυτών για μελλοντική χρήση σε περίπτωση αμφισβήτησης συναλλαγών.

Η Αρχή Προστασίας Δεδομένων διαπίστωσε ότι οι παραπάνω πρακτικές παραβιάζουν θεμελιώδεις αρχές του ΓΚΠΔ και συγκεκριμένα την αρχή της νομιμότητας, αντικειμενικότητας και διαφάνειας της επεξεργασίας, την αρχή της ελαχιστοποίησης των δεδομένων, καθώς και, κατά περίπτωση, τις υποχρεώσεις προστασίας δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού. Περαιτέρω, οι εν λόγω πρακτικές αυξάνουν αδικαιολόγητα κινδύνους μη εξουσιοδοτημένης πρόσβασης, απάτης ή οικονομικής ζημίας για τα υποκείμενα των δεδομένων.

Με σκοπό τόσο την προστασία των δικαιωμάτων των επισκεπτών όσο και την αποφυγή παραβάσεων που ενδέχεται να επιφέρουν τις προβλεπόμενες από τη νομοθεσία κυρώσεις, η Αρχή ζήτησε από την Πανελλήνια Ομοσπονδία Ξενοδόχων, το Ξενοδοχειακό Επιμελητήριο Ελλάδος και τη Συνομοσπονδία Επιχειρηματιών Τουριστικών Καταλυμάτων Ελλάδος να ενημερώσουν τα μέλη τους για την ανάγκη συμμόρφωσης με τις ανωτέρω αρχές του ΓΚΠΔ, τηρώντας ιδίως τις ακόλουθες υποχρεώσεις:

1. Να μην λαμβάνουν ούτε να διατηρούν φωτοαντίγραφα ή φωτογραφίες δελτίων ταυτότητας, διαβατηρίων ή άλλων εγγράφων ταυτοποίησης, δεδομένου ότι δεν υφίσταται ειδική και σαφής νομοθετική πρόβλεψη που το επιβάλλει.

2. Να μην φωτογραφίζουν, φωτοτυπούν ή αποθηκεύουν αντίγραφα πιστωτικών ή χρεωστικών καρτών πελατών.

3. Να διασφαλίζουν ότι κάθε επεξεργασία προσωπικών δεδομένων στηρίζεται σε κατάλληλη νομική βάση και ότι έχει προηγηθεί η απαραίτητη αξιολόγηση της αναγκαιότητας και αναλογικότητας των μέτρων που εφαρμόζονται.

4. Να παρέχουν στους πελάτες σαφή, εύκολα προσβάσιμη και επικαιροποιημένη ενημέρωση σχετικά με την επεξεργασία των προσωπικών τους δεδομένων, τόσο μέσω των ιστοσελίδων τους όσο και με κάθε άλλο κατάλληλο μέσο.

5. Να επανεξετάσουν τις εσωτερικές διαδικασίες υποδοχής πελατών (check-in), πληρωμών και διαχείρισης κρατήσεων, ενημερώνοντας σχετικά το προσωπικό τους, ώστε να διασφαλίζεται η εφαρμογή της αρχής της ελαχιστοποίησης των δεδομένων.