Szálláshely-szolgáltató magánszemélyek adatvédelmi kötelezettségei

Written By Hajnerné dr. Horváth Barbara

A Nemzeti Adatvédelmi és Információszabadság Hatóság május 31-én közleményt adott ki a szálláshely-szolgáltatást nyújtó magánszemélyek adatvédelmi kötelezettségeivel kapcsolatban.

A közlemény kiadására azért került sor, mert több beadvány érkezett a Hatósághoz, ugyanis egy ügyvédi iroda azzal kereste fel a szolgáltatókat, hogy ha nem rendelkeznek a szálláshely-szolgáltatáshoz kapcsolódó adatkezeléssel összefüggő dokumentumokkal, a Hatóság meg fogja őket bírságolni, de hogy ezt elkerüljék, az ügyvédi iroda – többtízezer forintért – elkészíti ezeket a szabályzatokat, hatásvizsgálatot és más dokumentumokat. (Ehhez inkább nem fűzök hozzá semmit.)

A Hatóság közleményében a következőkre hívta fel a figyelmet:

  • A GDPR személyi hatálya tekintetében annak semmi jelentősége nincs, hogy valaki magánszemélyként, kis- vagy középvállalkozásként, vagy egyéb vállalkozási formában folytat-e adatkezelői (vagy adatfeldolgozói) tevékenységet. Ha a kis- vagy középvállalkozás, egyéni vállalkozó adatkezelési (adatfeldolgozói) tevékenysége a GDPR hatálya alá tartozik, akkor rá is alkalmazni kell a GDPR-t és az általa folytatott adatkezelésnek is meg kell felelnie a GDPR szabályainak.

  • A GDPR előírásait az ún. magáncélú/háztartási célú adatkezelésekre ugyan nem kell alkalmazni, azonban mivel a szálláshely-szolgáltatás nyújtója – függetlenül attól, hogy ezt adott esetben magánszemélyként teszi – nem magáncélú, hanem üzleti célú adatkezelést folytat, az e tevékenysége során megvalósuló adatkezelésre alkalmazandó a GDPR.

  • A szálláshely-szolgáltatás nyújtásához kapcsolódó egyes adatkezeléseket csak abban az esetben lehet jogszerűnek tekinteni, ha az adatkezelés megfelel a GDPR rendelkezéseinek – különösen a GDPR 5. cikke szerinti alapelveknek és emellett megfelelő, a GDPR 6. cikk (1) bekezdése szerinti jogalapja van.

  • Az elszámoltathatóság elvéből fakadóan az adatkezelő felelős az adatvédelmi alapelveknek való megfelelésért, továbbá köteles úgy dokumentálni és nyilvántartani az adatkezelést, hogy annak jogszerűsége utólag bizonyítható legyen.

  • A szálláshely-szolgáltatókat a szálláshely-szolgáltatást igénybe vevők bejelentkezésével kapcsolatos adatszolgáltatás teljesítésére a turisztikai térségek fejlesztésének állami feladatairól szóló 2016. évi CLVI. törvény valamint annak végrehajtásáról szóló 235/2019. (X. 15.) Korm. rendelet kötelezi. A szálláshely-szolgáltató a bejelentkezéskor a szálláshelykezelő szoftver útján a Kormány rendeletében kijelölt tárhelyszolgáltató által biztosított tárhelyen – azaz a VIZA rendszerbe – rögzíti – többek között – a szálláshely-szolgáltatást igénybe vevő személyazonosításra alkalmas okmányának, illetve útiokmányának azonosító adatait. A szálláshely-szolgáltató az adatokat a szálláshelykezelő szoftverben az okmányolvasón keresztül rögzíti. Azokat az adatokat, amelyek rögzítése az okmányolvasón keresztül nem lehetséges, a szálláshely-szolgáltató manuális adatbevitel útján rögzíti a szálláshelykezelő szoftverben. A szálláshely-szolgáltatónak a vendégek bejelentkezéskor a szálláshelykezelő szoftverben rögzítenie, valamint a tudomására jutást követő első év utolsó napjáig tárolnia is kell a vendégek jogszabályban meghatározott személyes adatait. Ezek a személyes adatok a szálláshelykezelő szoftverből titkosítottan kerülnek át a VIZA rendszerbe.

  • A hatályos jogszabály szerint amennyiben a vendég a személyazonosításra alkalmas okmányát, illetve útiokmányát nem mutatja be, a szálláshely-szolgáltató a szálláshely-szolgáltatást megtagadja. Amennyiben a vendég nem mutatja be az okmányait a szálláshely-szolgáltatónak, szálláshely-szolgáltatás megtagadása kötelező a szolgáltató részéről, a szálláshely-szolgáltatónak nincs mérlegelési jogköre.

  • Adatkezelési tájékoztatóval minden szálláshely-szolgáltatónak rendelkeznie kell. Az adatkezelési tájékoztatót az adott szálláshelyre és szálláshely- szolgáltatóra szabva szükséges elkészíteni, és abban minden, a szolgáltatáshoz kapcsolódó adatkezelésre (így pl. a szálláshelyen esetlegesen üzemeltetett kamerarendszerre, a VIZA rendszerbe történő adattovábbításra, vagy hírlevelekre, kedvezményprogramban, nyereményjátékban történő részvételre) kiterjedő tájékoztatást kell nyújtani.

  • Az adatkezelő akkor jár el helyesen, ha a GDPR-ban előírt, kötelezően nyújtandó információkon túl az adatkezeléssel kapcsolatos valamennyi releváns információt az érintettek rendelkezésére bocsát.

  • A megfelelő tájékoztatás mellett az érintettek számára biztosítani kell az őket megillető, a GDPR III. fejezete szerinti érintetti jogok gyakorlását is.

  • Abban az esetben, ha a szálláshely- szolgáltatás nyújtója nem rendelkezik weboldallal – és így a tájékoztatás nem adható meg már a szállásfoglalás pillanatában az érintettnek –, úgy a szolgáltatáshoz kapcsolódó adatkezelési tájékoztatót fizikailag elérhetővé kell tenni a szálláshelyen.

  • Amennyiben a szálláshely-szolgáltatás nyújtója rendelkezik weboldallal, a weboldalon megvalósuló adatkezelések (beleértve a weboldalon futó ún. sütiket is) kapcsán is kell adatkezelési tájékoztatót készítenie, melyet értelemszerűen elérhetővé kell tenni a weboldalon.

  • Fontos, hogy a személyes adatok kezelésének a célja és jogalapja a tájékoztatóban egyértelműen kerüljön meghatározásra.

Ha segítségedre lehetek a dokumentumok elkészítése kapcsán, örömmel állok rendelkezésedre: dr.horvath.barbara@hhbconsulting.hu

Hajnerné dr. Horváth Barbara https://www.hhbconsulting.hu
Previous

Kiket érint a Panasztörvény és a visszaélés-bejelentési rendszer?
Next

Népszámlálás kontra adatvédelem - megtagadható-e az adatszolgáltatás?