Szálláshely-szolgáltató magánszemélyek adatvédelmi kötelezettségei
A Nemzeti Adatvédelmi és Információszabadság Hatóság május 31-én közleményt adott ki a szálláshely-szolgáltatást nyújtó magánszemélyek adatvédelmi kötelezettségeivel kapcsolatban.
A közlemény kiadására azért került sor, mert több beadvány érkezett a Hatósághoz, ugyanis egy ügyvédi iroda azzal kereste fel a szolgáltatókat, hogy ha nem rendelkeznek a szálláshely-szolgáltatáshoz kapcsolódó adatkezeléssel összefüggő dokumentumokkal, a Hatóság meg fogja őket bírságolni, de hogy ezt elkerüljék, az ügyvédi iroda – többtízezer forintért – elkészíti ezeket a szabályzatokat, hatásvizsgálatot és más dokumentumokat. (Ehhez inkább nem fűzök hozzá semmit.)
A Hatóság közleményében a következőkre hívta fel a figyelmet:
A GDPR személyi hatálya tekintetében annak semmi jelentősége nincs, hogy valaki magánszemélyként, kis- vagy középvállalkozásként, vagy egyéb vállalkozási formában folytat-e adatkezelői (vagy adatfeldolgozói) tevékenységet. Ha a kis- vagy középvállalkozás, egyéni vállalkozó adatkezelési (adatfeldolgozói) tevékenysége a GDPR hatálya alá tartozik, akkor rá is alkalmazni kell a GDPR-t és az általa folytatott adatkezelésnek is meg kell felelnie a GDPR szabályainak.
A GDPR előírásait az ún. magáncélú/háztartási célú adatkezelésekre ugyan nem kell alkalmazni, azonban mivel a szálláshely-szolgáltatás nyújtója – függetlenül attól, hogy ezt adott esetben magánszemélyként teszi – nem magáncélú, hanem üzleti célú adatkezelést folytat, az e tevékenysége során megvalósuló adatkezelésre alkalmazandó a GDPR.
A szálláshely-szolgáltatás nyújtásához kapcsolódó egyes adatkezeléseket csak abban az esetben lehet jogszerűnek tekinteni, ha az adatkezelés megfelel a GDPR rendelkezéseinek – különösen a GDPR 5. cikke szerinti alapelveknek és emellett megfelelő, a GDPR 6. cikk (1) bekezdése szerinti jogalapja van.
Az elszámoltathatóság elvéből fakadóan az adatkezelő felelős az adatvédelmi alapelveknek való megfelelésért, továbbá köteles úgy dokumentálni és nyilvántartani az adatkezelést, hogy annak jogszerűsége utólag bizonyítható legyen.
A szálláshely-szolgáltatókat a szálláshely-szolgáltatást igénybe vevők bejelentkezésével kapcsolatos adatszolgáltatás teljesítésére a turisztikai térségek fejlesztésének állami feladatairól szóló 2016. évi CLVI. törvény valamint annak végrehajtásáról szóló 235/2019. (X. 15.) Korm. rendelet kötelezi. A szálláshely-szolgáltató a bejelentkezéskor a szálláshelykezelő szoftver útján a Kormány rendeletében kijelölt tárhelyszolgáltató által biztosított tárhelyen – azaz a VIZA rendszerbe – rögzíti – többek között – a szálláshely-szolgáltatást igénybe vevő személyazonosításra alkalmas okmányának, illetve útiokmányának azonosító adatait. A szálláshely-szolgáltató az adatokat a szálláshelykezelő szoftverben az okmányolvasón keresztül rögzíti. Azokat az adatokat, amelyek rögzítése az okmányolvasón keresztül nem lehetséges, a szálláshely-szolgáltató manuális adatbevitel útján rögzíti a szálláshelykezelő szoftverben. A szálláshely-szolgáltatónak a vendégek bejelentkezéskor a szálláshelykezelő szoftverben rögzítenie, valamint a tudomására jutást követő első év utolsó napjáig tárolnia is kell a vendégek jogszabályban meghatározott személyes adatait. Ezek a személyes adatok a szálláshelykezelő szoftverből titkosítottan kerülnek át a VIZA rendszerbe.
A hatályos jogszabály szerint amennyiben a vendég a személyazonosításra alkalmas okmányát, illetve útiokmányát nem mutatja be, a szálláshely-szolgáltató a szálláshely-szolgáltatást megtagadja. Amennyiben a vendég nem mutatja be az okmányait a szálláshely-szolgáltatónak, szálláshely-szolgáltatás megtagadása kötelező a szolgáltató részéről, a szálláshely-szolgáltatónak nincs mérlegelési jogköre.
Adatkezelési tájékoztatóval minden szálláshely-szolgáltatónak rendelkeznie kell. Az adatkezelési tájékoztatót az adott szálláshelyre és szálláshely- szolgáltatóra szabva szükséges elkészíteni, és abban minden, a szolgáltatáshoz kapcsolódó adatkezelésre (így pl. a szálláshelyen esetlegesen üzemeltetett kamerarendszerre, a VIZA rendszerbe történő adattovábbításra, vagy hírlevelekre, kedvezményprogramban, nyereményjátékban történő részvételre) kiterjedő tájékoztatást kell nyújtani.
Az adatkezelő akkor jár el helyesen, ha a GDPR-ban előírt, kötelezően nyújtandó információkon túl az adatkezeléssel kapcsolatos valamennyi releváns információt az érintettek rendelkezésére bocsát.
A megfelelő tájékoztatás mellett az érintettek számára biztosítani kell az őket megillető, a GDPR III. fejezete szerinti érintetti jogok gyakorlását is.
Abban az esetben, ha a szálláshely- szolgáltatás nyújtója nem rendelkezik weboldallal – és így a tájékoztatás nem adható meg már a szállásfoglalás pillanatában az érintettnek –, úgy a szolgáltatáshoz kapcsolódó adatkezelési tájékoztatót fizikailag elérhetővé kell tenni a szálláshelyen.
Amennyiben a szálláshely-szolgáltatás nyújtója rendelkezik weboldallal, a weboldalon megvalósuló adatkezelések (beleértve a weboldalon futó ún. sütiket is) kapcsán is kell adatkezelési tájékoztatót készítenie, melyet értelemszerűen elérhetővé kell tenni a weboldalon.
Fontos, hogy a személyes adatok kezelésének a célja és jogalapja a tájékoztatóban egyértelműen kerüljön meghatározásra.
Ha segítségedre lehetek a dokumentumok elkészítése kapcsán, örömmel állok rendelkezésedre: dr.horvath.barbara@hhbconsulting.hu