Η φωτογράφιση ταυτοτήτων, διαβατηρίων και τραπεζικών καρτών χαρακτηρίζεται παράνομη, ενώ οι επιχειρήσεις καλούνται να αλλάξουν άμεσα τις διαδικασίες τους

Σημαντικές αλλαγές στον τρόπο λειτουργίας των ξενοδοχείων και των καταλυμάτων βραχυχρόνιας μίσθωσης φέρνει η νέα παρέμβαση της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, η οποία βάζει τέλος σε μία πρακτική που εφαρμόζεται εδώ και χρόνια κατά τη διαδικασία του check in.

Η Αρχή ξεκαθαρίζει ότι τα ξενοδοχεία, οι ξενώνες, τα ενοικιαζόμενα δωμάτια και τα καταλύματα τύπου Airbnb δεν επιτρέπεται να φωτογραφίζουν ή να κρατούν αντίγραφα δελτίων ταυτότητας, διαβατηρίων και τραπεζικών καρτών των πελατών τους, καθώς κάτι τέτοιο παραβιάζει τις διατάξεις του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR).

Η παρέμβαση ήρθε μετά από σειρά καταγγελιών πολιτών, οι οποίοι διαπίστωσαν ότι κατά την άφιξή τους σε τουριστικά καταλύματα ζητούνταν είτε φωτογραφία της ταυτότητάς τους είτε φωτοτυπία των προσωπικών τους εγγράφων, ενώ σε αρκετές περιπτώσεις οι επιχειρήσεις διατηρούσαν ακόμη και αντίγραφα των πιστωτικών ή χρεωστικών καρτών τους.

Οι πρακτικές που κρίθηκαν παράνομες

Σύμφωνα με την Αρχή Προστασίας Δεδομένων, δύο είναι οι πρακτικές που εντοπίστηκαν συχνότερα και κρίθηκαν αντίθετες με την ευρωπαϊκή και ελληνική νομοθεσία.

Η πρώτη αφορά τη φωτογράφιση ή φωτοτυπία των δελτίων ταυτότητας και των διαβατηρίων με σκοπό την καταγραφή των στοιχείων ή την έκδοση των απαραίτητων φορολογικών παραστατικών.

Η δεύτερη αφορά τη λήψη φωτογραφιών ή αντιγράφων των δύο όψεων πιστωτικών και χρεωστικών καρτών, με το επιχείρημα ότι τα στοιχεία θα χρησιμοποιηθούν σε περίπτωση αμφισβήτησης κάποιας οικονομικής συναλλαγής.

Όπως επισημαίνεται, καμία από τις δύο πρακτικές δεν προβλέπεται από ειδική νομοθετική διάταξη και συνεπώς δεν μπορεί να εφαρμοστεί ως πάγια διαδικασία από τις επιχειρήσεις φιλοξενίας.

Παραβίαση βασικών αρχών του GDPR

Η Αρχή υπενθυμίζει ότι κάθε επεξεργασία προσωπικών δεδομένων πρέπει να στηρίζεται σε συγκεκριμένη νομική βάση και να περιορίζεται αποκλειστικά στα απολύτως αναγκαία στοιχεία.

Η αποθήκευση φωτογραφιών ή αντιγράφων εγγράφων ταυτοποίησης θεωρείται ότι παραβιάζει θεμελιώδεις αρχές του GDPR, όπως:

  • την αρχή της νομιμότητας,
  • την αρχή της διαφάνειας,
  • την αρχή της ελαχιστοποίησης των δεδομένων,
  • την αρχή της αναλογικότητας κατά την επεξεργασία προσωπικών πληροφοριών.

Η Αρχή υπογραμμίζει ότι για τις ανάγκες της καταχώρισης των στοιχείων ενός επισκέπτη αρκεί η επίδειξη της ταυτότητας ή του διαβατηρίου και η καταγραφή μόνο όσων στοιχείων απαιτούνται από τη νομοθεσία.

Αυξάνεται ο κίνδυνος απάτης

Ιδιαίτερη αναφορά γίνεται και στους κινδύνους που δημιουργούνται από τη διατήρηση φωτογραφιών προσωπικών εγγράφων.

Σε περίπτωση παραβίασης των πληροφοριακών συστημάτων μιας επιχείρησης ή μη εξουσιοδοτημένης πρόσβασης στα αρχεία της, οι πολίτες μπορεί να βρεθούν αντιμέτωποι με σοβαρές συνέπειες, όπως:

  • κλοπή ταυτότητας,
  • οικονομική απάτη,
  • παράνομη χρήση προσωπικών στοιχείων,
  • υποκλοπή ευαίσθητων δεδομένων,
  • μη εξουσιοδοτημένες τραπεζικές συναλλαγές.

Η διατήρηση πλήρων αντιγράφων ταυτοτήτων και τραπεζικών καρτών αυξάνει σημαντικά την έκθεση των πολιτών σε τέτοιους κινδύνους.

Οι νέες υποχρεώσεις για ξενοδοχεία και καταλύματα

Η Αρχή Προστασίας Δεδομένων απέστειλε σχετικές οδηγίες προς τους σημαντικότερους φορείς του τουριστικού κλάδου, ζητώντας να ενημερωθούν άμεσα όλα τα μέλη τους για την εφαρμογή των νέων κανόνων.

Μεταξύ άλλων, οι επιχειρήσεις καλούνται να συμμορφωθούν με τις ακόλουθες υποχρεώσεις:

  • να σταματήσουν τη φωτογράφιση και την αποθήκευση αντιγράφων ταυτοτήτων και διαβατηρίων,
  • να μην κρατούν αντίγραφα ή φωτογραφίες πιστωτικών και χρεωστικών καρτών,
  • να επεξεργάζονται προσωπικά δεδομένα μόνο όταν υπάρχει σαφής και νόμιμη βάση,
  • να ενημερώνουν με διαφάνεια τους πελάτες για τον τρόπο διαχείρισης των προσωπικών τους δεδομένων,
  • να αναθεωρήσουν τις διαδικασίες check in, κρατήσεων και πληρωμών,
  • να εκπαιδεύσουν το προσωπικό τους ώστε να συλλέγει αποκλειστικά τα απολύτως απαραίτητα στοιχεία.

Μήνυμα συμμόρφωσης σε ολόκληρο τον τουριστικό κλάδο

Η νέα παρέμβαση της Αρχής αποτελεί ουσιαστικά προειδοποίηση προς όλες τις επιχειρήσεις φιλοξενίας ότι η προστασία των προσωπικών δεδομένων δεν αποτελεί τυπική διαδικασία αλλά θεμελιώδη υποχρέωση.

Οι ξενοδοχειακές επιχειρήσεις και οι ιδιοκτήτες καταλυμάτων καλούνται πλέον να προσαρμόσουν τις εσωτερικές τους διαδικασίες σύμφωνα με τις απαιτήσεις του GDPR, εγκαταλείποντας πρακτικές που εφαρμόζονταν επί σειρά ετών αλλά δεν στηρίζονταν σε νόμιμη βάση.

Η εξέλιξη αυτή αναμένεται να αλλάξει σημαντικά την καθημερινότητα στις υποδοχές ξενοδοχείων και καταλυμάτων, ενισχύοντας την προστασία των προσωπικών δεδομένων εκατομμυρίων επισκεπτών που διαμένουν κάθε χρόνο στην Ελλάδα.

Από Newsroom