Joga van-e a szállásadóknak beolvasni személyes okmányainkat?
Olvasási idő: 8 perc
A közelmúltban a hatóság hivatalból elmarasztalt egy szállásadót, mert nem nyújtott megfelelő tájékoztatást a szálláshely-szolgáltatás igénybe vételével, illetőleg a foglalással kapcsolatos adatkezelésről – beleértve az okmányok beolvasását is. Az ügy ismertetéséből kiderül, hogy a szállásadók beolvashatják az okmányainkat, de rendelkezniük kell megfelelő adatkezelési tájékoztatással.
A szállásadó mulasztásával megsértette a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló (EU) 2016/679 rendelet (a továbbiakban: általános adatvédelmi rendelet) 13. cikk (1)-(2) bekezdését.
A Hatóság hivatalból utasította a szállásadót arra, hogy készítsen megfelelő és átlátható, az általános adatvédelmi rendelet 13. cikk (1)-(2) bekezdése szerinti összes információt tartalmazó adatkezelési tájékoztatót.
A tényállás szerint a Kérelmező a Nemzeti Adatvédelmi és Információszabadság Hatósághoz (a továbbiakban: Hatóság) 2021. november 2. napján érkezett beadványában kifogásolta, hogy 2021. október 29. és október 31. napja közötti szállása alkalmakor azt tapasztalta, hogy - álláspontja szerint szállásadója nem megfelelő gyakorlatot követ a személyazonosító okmányok kezelése tekintetében, azáltal, hogy azok rögzítése céljából a Szállásadó saját telefonja felhasználásával fényképeket készített. A Kérelmező kérte, hogy a Hatóság állapítsa meg a jogsértést, kötelezze a Szállásadót a Kérelmező személyazonosító igazolványáról készített fényképek törlésére a Szállásadó magáneszközén, továbbá, rendelje el ezen gyakorlat megszüntetését.
A Hatóság 2021. december 16. napján kelt NAIH-8159-6/2021 számú tényállás tisztázó végzésében a Szállásadót értesítette az adatvédelmi hatósági eljárás megindulásáról és nyilatkozattételre hívta fel.
A szállásadó érvei
A Szállásadó 2021. december 22. napján a Hatóság részére megküldött végzésre adott válaszában kifejtette, hogy a Kérelmezőt és férjét a szállás elfoglalása előtt a személyazonosító okmányaik átadására kérte adatrögzítés céljából, valamint szóban tájékoztatta őket az okmányok rögzítésének tényéről, melyhez a saját mobiltelefonját használta beolvasás céljából.
A Szállásadó nyilatkozata szerint a turisztikai térségek fejlesztésének állami feladatairól szóló 2016. évi CLVI. törvény (a továbbiakban: Turizmus tv.) kötelezettségként írja elő az okmányok beolvasását a Nemzeti Turisztikai Adatszolgáltató Központ (a továbbiakban: NTAK) részére, azokról fényképet nem készített. A Szállásadó azt nyilatkozta, hogy 2019. november 26. napján a NTAK regisztrációs kötelezettséget írt elő a szállásadók számára, 2021. január 1. napjáig manuálisan, ezt követően, jelenleg is okmányolvasással történik a vendégadatok rögzítése az okmányolvasás céljából telefonjára telepített szoftver segítségével. A Szállásadó állítása szerint, az okmányokról nem készült fénykép, azokat nem tárolják, hanem a szoftver segítségével továbbítják a Vendég Információs Zárt Adatbázis (a továbbiakban: VIZA) rendszerébe.
A Szállásadó megküldött a Hatóság részére egy – a Vendégem szálláshelykezelő szoftver felhasználóinak készült - adatkezelési tájékoztatót, azonban nyilatkozata szerint nem rendelkezik olyan adatkezelési tájékoztatóval, amely tartalmazza a vendégek személyazonosító igazolványának leolvasását, mivel a Turizmus tv. módosítása kötelezően előírja az okmányolvasást. A Szállásadó hivatkozott továbbá a https://vizainfo.hu/ oldalon elérhető információkra, nyilatkozata szerint ezeknek megfelelően járt el. A Szállásadó továbbá hivatkozott a https://info.vendegem.hu/gyakori-kerdesek oldalon elérhető információkra is, melyek szerint: „Az okmányolvasó használata jogszabályi előírás”.
A Hatóság döntésének indoklása
A GDPR rendelet 4. cikk 1. és 2. pontja alapján a Kérelmező okmánya személyes adatnak, az azon végzett bármely művelet pedig adatkezelésnek minősül.
A Hatóság megállapította, hogy a Szállásadó az adatkezelés során a Turizmus tv., valamint annak végrehajtási rendeletében előírtaknak megfelelően járt el a Kérelmező esetében, amikor okmányolvasó használatával beolvasta és a VIZA rendszerbe rögzítette a Szállásadó személyazonosításra alkalmas okmánya, illetve útiokmánya azonosító adatait. Mivel a Szállásadó saját telefonját csupán a személyazonosító okmányok beolvasására, illetve a központi VIZA rendszerbe történő rögzítésére használta, azokról képeket se nem készített, se nem tárolt.
A Hatóság a Kérelmezőnek a Szállásadó adatkezelési gyakorlatának megszüntetésére irányuló indítványát azzal az indoklással utasította el, hogy bár a Kérelmező érintettnek minősül és így jogában áll az általános adatvédelmi rendelet 77. cikk (1) bekezdése alapján panaszt tenni egy felügyeleti hatóságnál, ha az érintett megítélése szerint a rá vonatkozó személyes adatok kezelése megsérti az általános adatvédelmi rendeletet, azonban az Ákr. és az Infotv. szabályainak együttes alkalmazásából következően általános adatkezelési gyakorlat vizsgálatára, megszüntetésére adatvédelmi hatósági eljárást nem kezdeményezhet. Az adatkezelő általános gyakorlatának vizsgálatára, megszüntetésére vonatkozó eljárást a Hatóság hivatalból folytathatja le, viszont a Hatóság ezzel a jogával nem kívánt élni.
A Hatóság a Szállásadó által megküldött adatkezelési tájékoztató vizsgálatát követően arra az álláspontra jutott, hogy „az részben tartalmaz információkat a szálláshely-szolgáltatás igénybe vételével, illetőleg a foglalással kapcsolatos adatkezelésről, azonban az adatkezelés célját és a Turizmus tv., valamint annak végrehajtási rendelete szerinti jogalapját nem tartalmazza megfelelően, az okmányolvasásról, az okmányon rögzített személyes adatok kezeléséről és a VIZA- rendszerbe történő adatrögzítésről pedig egyáltalán nem rendelkezik.
Tekintettel arra, hogy a Szállásadó az adatkezelésre vonatkozó információkról, így például az okmányok beolvasásáról és a VIZA-rendszerbe történő adattovábbításról nem nyújtott az általános adatvédelmi rendeletnek megfelelő tájékoztatást, sem a Kérelmezőnek, sem más érintettnek, a Hatóság arra a következtetésre jutott, hogy a Szállásadó megsértette az általános adatvédelmi rendelet 13. cikk (1)-(2) bekezdését. Az általános adatvédelmi rendelet 58. cikk (2) bekezdés b) pontja alapján hivatalból marasztalta el a Szállásadót, valamint „az általános adatvédelmi rendelet 58. cikk (2) bekezdés d) pontja alapján hivatalból utasította arra, hogy készítsen megfelelő és átlátható, az általános adatvédelmi rendelet 13. cikk (1)-(2) bekezdése szerinti összes információt tartalmazó adatkezelési tájékoztatót.
Javaslatok adatkezelést végző, különösen szállásadó cégek számára
A Hatóság döntése alapján megállapítható, hogy az adatkezelés jogszerűségéhez még abban az esetben is elengedhetetlen követelmény az általános adatvédelmi rendelet 13. cikk (1)-(2) bekezdésében meghatározott, teljes körű - minden előírt tartalmi elemre kiterjedő - tájékoztatási kötelezettség teljesítése, ha az adatrögzítést, annak módját törvény írja elő. A 13. cikk (1)-(2) bekezdése ad iránymutatást a tájékoztatási kötelezettség minimális tartalmi követelményeire vonatkozóan, azaz, hogy mely adatkezelési körülményekről kell az adatkezelőnek tájékoztatást adni. Természetesen az ennél pontosabb, részletesebb tájékoztatást a GDPR nem zárja ki.
Az adatkezelőknek emellett minden körülmények között be kell tartaniuk a személyes adatok kezelése során a GDPR rendelet 5. cikkében felsorolt alapelveket. Ilyen alapelv a célhoz kötött adatkezelés elve, mely szerint az adatkezelőnek tudnia kell igazolni azt, hogy a személyes adatokat milyen célból kezeli, valamint, hogy az adott cél, miért mellőzhetetlen.
Az elszámoltathatóság elvéből következik, hogy az adatkezelő felelős az adatvédelmi alapelveknek való megfelelésért, egyben képesnek kell lennie e megfelelés igazolására is. Végül a GDPR rendelet 6. cikke rögzíti, hogy az adatkezelőnek megfelelő jogalappal kell rendelkeznie az adatkezeléshez, illetve tudnia kell igazolni, hogy az adott jogalap alapján kezeli (jogszerűen) a személyes adatokat, továbbá, hogy az adatkezelés szükséges és arányosan korlátozza az érintett személyes adatok védelméhez fűződő jogát.