A Nemzeti Adatvédelmi és Információszabadság Hatóság részben elutasító, részben pedig elmarasztaló határozatot hozott egy szálláshely-szolgáltatás igénybe vételével összefüggő adatkezelés ügyében.

A Kérelmező amiatt fordult a Hatósághoz, hogy őt és férjét a szállás elfoglalása előtt személyazonosító okmányok átadására kérte fel a szálláshely-adója adatrögzítés céljából, melyhez a saját mobiltelefonját használta. A Kérelmező arra kérte a Hatóságot, hogy kötelezze a szálláshely- adót a személyazonosító igazolványaikról készült fotók törlésére.

A szálláshely-adó nyilatkozata alapján fotót nem készített az igazolványokról, csupán okmányolvasás történt, hiszen ezt a kötelezettséget írja elő számára a Nemzeti Turisztikai Adatszolgáltató Központ.

A Hatóság felhívta a Kérelmező figyelmét, hogy 2021. január 1-jétől hatályba lépett a turisztikai térségek fejlesztésének állami feladatairól szóló 2016. évi CLVI. törvény módosítása, amely kötelezi a szálláshely-szolgálatót, hogy a szálláshely-szolgáltatást igénybe vevők törvényben meghatározott adatait a Kormány által kijelölt tárhelyszolgáltató által biztosított tárhelyen rögzítse a törvényben meghatározott célból. Ez egy többszörös, aszimmetrikus titkosítással védett informatikai rendszer, amelyben 2021. szeptember 1-jétől a magyarországi szálláshelyen megszálló minden vendég törvényben meghatározott személyes adatait titkosított módon tárolják.

virtualjog ászf generátor

Mivel nem készült fotó a személyazonosító okmányokról, így azokat törölni sem tudja a szálláshely- adó, azokat nem tárolja magáneszközén. Ugyanakkor a Hatóság megállapította, hogy nem nyújtott megfelelő tájékoztatást a szálláshely-szolgáltatás igénybe vételével, illetőleg a foglalással kapcsolatos adatkezelésről. Ezért utasította, hogy készítsen megfelelő és átlátható az általános adatvédelmi rendelet szerint meghatározott összes információt tartalmazó adatkezelési tájékoztatót.

Az általános adatvédelmi rendelet 5. cikke tartalmazza azon fő alapelveket, amelyeket a személyes adatok kezelése során figyelembe kell venni, ebben az esetben a célhoz kötött adatkezelés elve az irányadó.

Ennek megfelelően az adatkezelőnek tudni kell igazolnia azt, hogy a személyes adatokat milyen célból kezeli, illetve azt is, hogy ezen adatkezelési célból miért tekinthető elengedhetetlenül szükségesnek a személyes adatok kezelése, továbbá köteles úgy dokumentálni és nyilvántartani az adatkezelést, hogy annak jogszerűsége utólag is bizonyítható legyen.

Szükséges továbbá megfelelő jogalappal rendelkeznie az adatkezeléshez, amely ebben az esetben a jogi kötelezettség jogalap, melyet a Turizmus törvény és annak végrehajtási rendelete ír elő a szálláshely-szolgáltatók számára az érintett és mások jogainak, biztonságának és tulajdonának védelme érdekében.

Fontos, hogy csak szükséges és arányos mértékben korlátozza az érintett személyes adatok védelméhez fűződő jogát.

Bár a Hatóság megállapította, hogy a szálláshely-szolgáltató ebben az esetben a Turizmus tv.-ben és annak végrehajtási rendeletében előírtaknak megfelelően járt el, hiszen nem készített fényképet saját telefonjával a személyazonosító okmányokról, ugyanakkor ahhoz, hogy az adatkezelés jogszerű legyen további feltétel,

hogy arról az adatkezelő megfelelő, átlátható tájékoztatást nyújtson.

Az érintett csak úgy kaphat minél teljesebb és átfogóbb képet személyes adatai kezeléséről, ha mindenre kiterjedő (az adatkezelés célja, jogalapja, szálláshely-szolgáltatás igénybe vételével, foglalással kapcsolatos adatkezelés) tájékoztatást kap az adatkezelésről, mivel az érintettnek kizárólag így van lehetősége felmérni azt, hogy egy adott adatkezelés milyen hatással van a magánszférájára.

Feleljen meg a GDPR rendelkezéseinek! Adatvédelmi, GDPR csomagjaink a szabályzatok elkészítését szolgálják, továbbá ügyvédeink adatvédelmi, adatbiztonsági szakjogászok, így akár a teljes megfeleltetésben, akár DPO tisztség betöltésében is tudunk segíteni.

A Webes GDPR csomagot azon ügyfeleinknek ajánljuk, akik nem értékesítenek a weboldalukon, nem üzemeltetnek webshopot, nem lehet előfizetni a weboldalukon semmilyen szolgáltatásra; de ezek ellenére bekérnek személyes adatokat a weboldalon (pl. kapcsolati, ajánlatkérő űrlapon, hírlevél-feliratkoztatást alkalmaznak, cookie-kat használnak).

Előfizetek a naprakész GDPR-t biztosító Webes GDPR csomagra

A webshop csomagot a klasszikus webáruházak részére ajánljuk, azon ügyfeleinknek, akik egy csomagban szeretnék a webshop üzemeltetéshez szükséges jogi teendőket elvégeztetni. Ebben a csomagban a webshophoz szükséges ÁSZF-et, adatkezelési tájékoztatót (GDPR) készítünk a VirtualJog rendszerén keresztül.

Előfizetek a naprakész ÁSZF-et és GDPR-t biztosító Webshop csomagra

A kamerás GDPR csomagot azon ügyfeleinknek ajánljuk, akik kamerás megfigyelést végeznek például az üzlethelyiségükben, ipari létesítményeinkben, vagy akár elektronikus megfigyelést alkalmaznak a munkahelyen.

Előfizetek a naprakész kamerás GDPR-t biztosító Kamerás GDPR csomagra