Csak így olvashatják be okmányainkat a szállásadók

A jogszabálysértő szállásadó a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló (EU) 2016/679 rendelet (a továbbiakban: általános adatvédelmi rendelet) 13. cikk (1)-(2) bekezdését sértette meg. Az eljárás során a Hatóság hivatalból utasította arra is a szállásadót, hogy készítsen megfelelő és átlátható, az általános adatvédelmi rendelet 13. cikk (1)-(2) bekezdése szerinti összes információt tartalmazó adatkezelési tájékoztatót.

Az eset körülményei

A Kérelmező a Nemzeti Adatvédelmi és Információszabadság Hatósághoz (a továbbiakban: Ható-ság) 2021. november 2. napján érkezett beadványában kifogásolta, hogy 2021. október 29. és október 31. napja közötti szállása alkalmakor azt tapasztalta, hogy – álláspontja szerint – szállásadója nem megfelelő gyakorlatot követ a személyazonosító okmányok kezelése tekintetében azáltal, hogy azok rögzítése céljából a Szállásadó saját telefonja felhasználásával fényképeket készített. A Kérelmező kérte, hogy a Hatóság állapítsa meg a jogsértést, kötelezze a Szállásadót a Kérelmező személyazonosító igazolványáról készített fényképek törlésére a Szállásadó magáneszközén, továb-bá, rendelje el ezen gyakorlat megszüntetését.

A szállásadó érvei

A Hatóság 2021. december 16. napján kelt NAIH-8159-6/2021 számú tényállás tisztázó végzésében a Szállásadót értesítette az adatvédelmi hatósági eljárás megindulásáról és nyilatkozattételre hívta fel. A Szállásadó 2021. december 22. napján a Hatóság részére megküldött végzésre adott válaszá-ban kifejtette, hogy a Kérelmezőt és férjét a szállás elfoglalása előtt a személyazonosító okmá-nyaik átadására kérte adatrögzítés céljából, valamint szóban tájékoztatta őket az okmányok rögzítésének tényéről, melyhez a saját mobiltelefonját használta beolvasás céljából. 

A Szállásadó nyilatkozata szerint a turisztikai térségek fejlesztésének állami feladatairól szóló 2016. évi CLVI. törvény (a továbbiakban: Turizmus tv.) kötelezettségként írja elő az okmányok beolvasá-sát a Nemzeti Turisztikai Adatszolgáltató Központ (a továbbiakban: NTAK) részére, azokról fény-képet nem készített. A Szállásadó azt nyilatkozta, hogy 2019. november 26. napján a NTAK regiszt-rációs kötelezettséget írt elő a szállásadók számára, 2021. január 1. napjáig manuálisan, ezt követően, jelenleg is okmányolvasással történik a vendégadatok rögzítése az okmányolvasás céljából telefonjá-ra telepített szoftver segítségével. A Szállásadó állítása szerint az okmányokról nem készült fénykép, azokat nem tárolják, hanem a szoftver segítségével továbbítják a Vendég Információs Zárt Adatbá-zis (a továbbiakban: VIZA) rendszerébe.
A Szállásadó megküldött a Hatóság részére egy – a Vendégem szálláshelykezelő szoftver felhasználóinak készült – adatkezelési tájékoztatót, azonban nyilatkozata szerint nem rendelkezik olyan adat-kezelési tájékoztatóval, amely tartalmazza a vendégek személyazonosító igazolványának leolvasását, mivel a Turizmus tv. módosítása kötelezően előírja az okmányolvasást. A Szállásadó hivatkozott továbbá a https://vizainfo.hu/ oldalon elérhető információkra, nyilatkozata szerint ezeknek megfelelően járt el. A Szállásadó továbbá hivatkozott a https://info.vendegem.hu/gyakori-kerdesek oldalon elérhető információkra is, melyek szerint: „Az okmányolvasó használata jogszabályi előírás”. 

A Hatóság döntésének indoklása 

A GDPR rendelet 4. cikk 1. és 2.  pontja alapján a Kérelmező okmánya személyes adatnak, az azon végzett bármely művelet pedig adatkezelésnek minősül.
A Hatóság megállapította, hogy a Szállásadó az adatkezelés során a Turizmus tv., valamint annak végrehajtási rendeletében előírtaknak megfelelően járt el a Kérelmező esetében, amikor okmányolva-só használatával beolvasta és a VIZA rendszerbe rögzítette a Szállásadó személyazonosításra alkal-mas okmánya, illetve útiokmánya azonosító adatait. Mivel a Szállásadó saját telefonját csupán a személyazonosító okmányok beolvasására, illetve a központi VIZA rendszerbe történő rögzítésére használta, azokról képeket se nem készített, se nem tárolt. 
A Hatóság a Kérelmezőnek a Szállásadó adatkezelési gyakorlatának megszüntetésére irányuló indít-ványát azzal az indoklással utasította el, hogy bár a Kérelmező érintettnek minősül és így jogában áll az általános adatvédelmi rendelet 77. cikk (1) bekezdése alapján panaszt tenni egy felügyeleti ható-ságnál, ha az érintett megítélése szerint a rá vonatkozó személyes adatok kezelése megsérti az általá-nos adatvédelmi rendeletet, azonban az Ákr. és az Infotv. szabályainak együttes alkalmazásából következően általános adatkezelési gyakorlat vizsgálatára, megszüntetésére adatvédelmi hatósági eljárást nem kezdeményezhet. Az adatkezelő általános gyakorlatának vizsgálatára, megszüntetésére vonatkozó eljárást a Hatóság hivatalból folytathatja le, viszont a Hatóság ezzel a jogával nem kívánt élni. 

A Hatóság a Szállásadó által megküldött adatkezelési tájékoztató vizsgálatát követően arra az álláspontra jutott, hogy „az részben tartalmaz információkat a szálláshely-szolgáltatás igénybevételével, illetőleg a foglalással kapcsolatos adatkezelésről, azonban az adatkezelés célját és a Turizmus tv., valamint  annak végrehajtási rendelete szerinti jogalapját nem tartalmazza megfelelően, az okmá-nyolvasásról, az okmányon rögzített személyes adatok kezeléséről és a VIZA- rendszerbe történő adatrögzítésről pedig egyáltalán nem rendelkezik. 

Tekintettel arra, hogy a Szállásadó az adatkezelésre vonatkozó információkról, így például az okmányok beolvasásáról és a VIZA-rendszerbe történő adattovábbításról nem nyújtott az általános adat-védelmi rendeletnek megfelelő tájékoztatást sem a Kérelmezőnek, sem más érintettnek, a Hatóság arra a következtetésre jutott, hogy a Szállásadó megsértette az általános adatvédelmi rendelet 13. cikk (1)-(2) bekezdését. Az általános adatvédelmi rendelet 58. cikk (2) bekezdés b) pontja alapján hivatalból marasztalta el a Szállásadót, valamint „az általános adatvédelmi rendelet 58. cikk (2) be-kezdés d) pontja alapján hivatalból utasította arra, hogy készítsen megfelelő és átlátható, az általános adatvédelmi rendelet 13. cikk (1)-(2) bekezdése szerinti összes információt tartalmazó adatkezelési tájékoztatót.

Javaslatok más adatkezelést végző, különösen szállásadó cégek számára 

A Hatóság döntése alapján megállapítható, hogy az adatkezelés jogszerűségéhez még abban az eset-ben is elengedhetetlen követelmény az általános adatvédelmi rendelet 13. cikk (1)-(2) bekezdésében meghatározott, teljes körű – minden előírt tartalmi elemre kiterjedő – tájékoztatási kötelezettség tel-jesítése, ha az adatrögzítést, annak módját törvény írja elő. A 13. cikk (1)-(2) bekezdése ad iránymu-tatást a tájékoztatási kötelezettség minimális tartalmi követelményeire vonatkozóan, azaz, hogy mely adatkezelési körülményekről kell az adatkezelőnek tájékoztatást adni. Természetesen az ennél pontosabb, részletesebb tájékoztatást a GDPR nem zárja ki. 

Az adatkezelőknek emellett minden körülmény között be kell tartaniuk a szemé-lyes adatok kezelése során a GDPR rendelet 5. cikkében felsorolt alapelveket. 

Ilyen alapelv a célhoz kötött adatkezelés elve, mely szerint az adatkezelőnek tudnia kell igazolni azt, hogy a személyes adatokat milyen célból kezeli, valamint, hogy az adott cél, miért mellőzhetetlen. Az elszámoltathatóság elvéből következik, hogy az adatkezelő felelős az adatvédelmi alapelveknek való megfelelésért, egyben képesnek kell lennie e megfelelés igazolására is. Végül a GDPR rendelet 6. cikke rögzíti, hogy az adatkezelőnek megfelelő jogalappal kell rendelkeznie az adatkezeléshez, illetve tudnia kell igazolni, hogy az adott jogalap alapján kezeli (jogszerűen) a személyes adatokat, továbbá, hogy az adatkezelés szükséges és arányosan korlátozza az érintett személyes adatok védelméhez fűződő jogát.