Szálláshelyszolgálatást nyújtó magánszemélyek és a GDPR
A Nemzeti Adatvédelmi és Információszabadság Hatósághoz (NAIH) az utóbbi időben számos konzultációs beadvány érkezett szálláshely-szolgáltatást nyújtó magánszemélyektől azzal kapcsolatban, hogy rájuk is vonatkozik-e az általános adatvédelmi rendelet (GDPR), és ha igen, akkor milyen kötelezettségeik vannak, ezért a NAIH részletes tájékoztató közleményben foglalta össze az ezzel kapcsolatos tudnivalókat.
A Hatóság a mindenekelőtt leszögezi, hogy a hozzá fordulók szinte mindegyike megemlítette, hogy egy ügyvédi iroda kereste fel őket azzal, hogy ha nem rendelkeznek a szálláshely-szolgáltatáshoz kapcsolódó adatkezeléssel összefüggő dokumentumokkal, a Hatóság meg fogja őket bírságolni, de hogy ezt elkerüljék, az ügyvédi iroda – többtízezer forintért – elkészíti ezeket a szabályzatokat, hatásvizsgálatot és más dokumentumokat.
A NAIH közleménye az alábbiakra hívja fel a szálláshely-szolgáltatást nyújtó magánszemélyek figyelmét:
1. A GDPR 4. cikk 1. pontja határozza meg a személyes adat, 2. pontja az adatkezelés, 7. pontja az adatkezelő fogalmát.
A GDPR személyi hatálya tekintetében annak semmi jelentősége nincs, hogy valaki magánszemélyként, kis- vagy középvállalkozásként, vagy egyéb vállalkozási formában folytat-e adatkezelői (vagy adatfeldolgozói) tevékenységet. Ha a kis- vagy középvállalkozás, egyéni vállalkozó adatkezelési (adatfeldolgozói) tevékenysége a GDPR hatálya alá tartozik, akkor rá is alkalmazni kell a GDPR-t és az általa folytatott adatkezelésnek is meg kell felelnie a GDPR szabályainak.
A GDPR előírásait az ún. magáncélú / háztartási célú adatkezelésekre ugyan nem kell alkalmazni, azonban mivel a szálláshely-szolgáltatás nyújtója – függetlenül attól, hogy ezt adott esetben magánszemélyként teszi – nem magáncélú, hanem üzleti célú adatkezelést folytat, az e tevékenysége során megvalósuló adatkezelésre alkalmazandó a GDPR. Következésképpen a szálláshely-szolgáltatás nyújtásához kapcsolódó egyes adatkezeléseket csak abban az esetben lehet jogszerűnek tekinteni, ha az adatkezelés megfelel a GDPR rendelkezéseinek – különösen a GDPR 5. cikke szerinti alapelveknek és emellett megfelelő, a GDPR 6. cikk (1) bekezdése szerinti jogalapja van.
A célhoz kötöttség elve értelmében személyes adatot kezelni csak pontosan meghatározott és jogszerű célból lehet, az adattakarékosság elvéből fakadóan pedig csak olyan személyes adat kezelhető, amely feltétlenül szükséges és alkalmas az adott cél eléréséhez. Ezen alapelv figyelembevétele szavatolja, hogy az adatkezelés céljára tekintettel csupán a legszűkebb, indokolt adatkör kezelésére kerül sor, továbbá kizárja a készletezésre történő adatkezelést is, vagyis azt, hogy olyan adatok felvételére kerüljön sor, amelyeket egy később meghatározott célra gyűjtenek. A korlátozott tárolhatóság elve értelmében a kezelt személyes adatok megőrzésének időtartama nem lehet korlátlan, a feltétlenül szükséges időtartamra kell szűkíteni azok megőrzését, a bizalmasság és integritás alapelvének értelmében pedig a személyes adatok tárolása kapcsán biztosítani kell, hogy az adatokhoz jogosulatlan személy ne férhessen hozzá.
Az elszámoltathatóság elvéből fakadóan az adatkezelő felelős az adatvédelmi alapelveknek való megfelelésért, továbbá köteles úgy dokumentálni és nyilvántartani az adatkezelést, hogy annak jogszerűsége utólag bizonyítható legyen.
2. A szálláshely-szolgáltatókat a szálláshely-szolgáltatást igénybe vevők bejelentkezésével kapcsolatos adatszolgáltatás teljesítésére a turisztikai térségek fejlesztésének állami feladatairól szóló 2016. évi CLVI. törvény (Turtv.), valamint a Turtv. végrehajtásáról szóló 235/2019. (X. 15.) Korm. rendelet (Vhr.) kötelezi.
A Turtv. 9/H. § (1) bekezdés b) pontja szerint a szálláshely-szolgáltató – az érintett és mások jogainak, biztonságának és tulajdonának védelme érdekében, továbbá harmadik országbeli állampolgárok és a szabad mozgás és tartózkodás jogával rendelkező személyek tartózkodására vonatkozó rendelkezések betartásának ellenőrzése céljából – a bejelentkezéskor a szálláshelykezelő szoftver útján a Kormány rendeletében kijelölt tárhelyszolgáltató által biztosított tárhelyen – azaz a VIZA rendszerbe – rögzíti – többek között – a szálláshely-szolgáltatást igénybe vevő személyazonosításra alkalmas okmányának, illetve útiokmányának azonosító adatait. Azaz a Turtv.tv. 9/H. § (1) bekezdése határozza meg az adatkezelés célját: az érintett és mások jogainak, biztonságának és tulajdonának védelme, továbbá harmadik országbeli állampolgárok és a szabad mozgás és tartózkodás jogával rendelkező személyek tartózkodására vonatkozó rendelkezések betartásának ellenőrzése…. További részletek a közleményben
A vendégek személyazonosításra alkalmas okmányának szálláshely-szolgáltató általi beszkennelése és VIZA rendszerbe történő továbbítása a GDPR 6. cikk (1) bekezdés c) pontja szerinti, a Turtv. által meghatározott jogi kötelezettség teljesítéséhez szükséges.
A hatályos jogszabály szerint amennyiben a vendég a személyazonosításra alkalmas okmányát, illetve útiokmányát nem mutatja be, a szálláshely-szolgáltató a szálláshely-szolgáltatást megtagadja. Amennyiben a vendég nem mutatja be az okmányait a szálláshely-szolgáltatónak, szálláshely-szolgáltatás megtagadása kötelező a szolgáltató részéről, a szálláshely-szolgáltatónak nincs mérlegelési jogköre.
Fentiekhez kapcsolódva a közlemény röviden kitér a Magyar Turisztikai Ügynökség (MTÜ) által üzemeltetett Nemzeti Turisztikai Adatszolgáltató Központba (NTAK) történő statisztikai adatszolgáltatásra is. Az NTAK-ba történő adatszolgáltatás szintén a szálláshelykezelő szoftveren keresztül valósul meg, a szoftverbe rögzített személyes adatokat nem tartalmazó statisztikai adatok automatikusan kerülnek át az NTAK-ba. Az NTAK-ban tehát csak összesített statisztikai adatok szerepelnek. Az MTÜ nem ismerheti meg a vendégek adatait (azokat a rendszer automatikusan kódolja), de a szálláshely-szolgáltató az adatokhoz szükség esetén hozzáférhet.
(A szállásadó általi okmányolvasás kapcsán a NAIH felhívja a figyelmet a NAIH-279-7/2022 számon 2022. március 11-én hozott határozatra.)
3. A GDPR (60) preambulumbekezdése értelmében az átlátható és tisztességes adatkezelés elve megköveteli, hogy az érintett tájékoztatást kapjon az adatkezelés tényéről és céljairól, továbbá minden olyan információról, amelyek a tisztességes és átlátható adatkezelés biztosításához szükségesek.
Mivel egy adatkezelés jogszerűségének elengedhetetlen feltétele az érintettek részére az őket érintő adatkezelések lényeges körülményeit bemutató, valamennyi adatkezelési célra kiterjedően összeállított, közérthető nyelvezetű és teljes körű tájékoztatás nyújtása, legalább a GDPR 13. vagy 14. cikke szerinti tartalommal, adatkezelési tájékoztatóval minden szálláshely-szolgáltatónak rendelkeznie kell. Az adatkezelési tájékoztatót az adott szálláshelyre és szálláshely-szolgáltatóra szabva szükséges elkészíteni, és abban minden, a szolgáltatáshoz kapcsolódó adatkezelésre (így pl. a szálláshelyen esetlegesen üzemeltetett kamerarendszerre, a VIZA rendszerbe történő adattovábbításra, vagy hírlevelekre, kedvezményprogramban, nyereményjátékban történő részvételre) kiterjedő tájékoztatást kell nyújtani.
Mivel az érintettre vonatkozó személyes adatokat a szálláshely-szolgáltatók közvetlenül az érintettől gyűjtik, a személyes adatok megszerzésének időpontjában, a tisztességes és átlátható adatkezelés érdekében, a GDPR 13. cikk (1) és (2) bekezdésének megfelelő tartalmú tájékoztatást kell nyújtani az érintettek részére.
Az előzetes tájékoztatás körében az adatkezelőnek arra kell törekednie, hogy az érintett minél teljesebb és átfogóbb képet kapjon személyes adatai kezeléséről, mivel az érintettnek kizárólag így van lehetősége felmérni azt, hogy egy adott adatkezelés milyen hatással van a magánszférájára. A GDPR azt írja elő, hogy az adatkezelőknek minimálisan mely adatkezelési körülményekről kell tájékoztatniuk az érintetteket, ez azonban természetesen nem jelenti korlátját annak, hogy az adatkezelő ennél pontosabb tájékoztatást adjon.
Az adatkezelőt nem terheli tájékoztatási kötelezettség, ha az érintett az információk egy részével, vagy azok összességével már rendelkezik. A gyakorlatban igen nehéz azt eldönteni, hogy az érintett rendelkezik-e, és ha igen, akkor milyen mértékben a felsorolt információkkal, ezért az adatkezelő akkor jár el helyesen, ha a GDPR-ban előírt, kötelezően nyújtandó információkon túl az adatkezeléssel kapcsolatos valamennyi releváns információt az érintettek rendelkezésére bocsát. A megfelelő tájékoztatás mellett az érintettek számára biztosítani kell az őket megillető, a GDPR III. fejezete szerinti érintetti jogok gyakorlását is.
A tájékoztatóval kapcsolatos elvárásokat a GDPR (58), (60)-(62) preambulumbekezdései rögzítik, az érintettek jogairól és jogorvoslati lehetőségeiről pedig a GDPR 15-23., valamint 77. és 79-80. cikkei tartalmaznak információt, melyekről szintén tájékoztatást kell nyújtani.
A GDPR előírja, hogy az adatkezelésre vonatkozó tájékoztatásnak átláthatónak kell lennie, melyet megfelelő módon elérhetővé kell tenni az érintettek számára. Abban az esetben, ha a szálláshely-szolgáltatás nyújtója nem rendelkezik weboldallal – és így a tájékoztatás nem adható meg már a szállásfoglalás pillanatában az érintettnek –, úgy a szolgáltatáshoz kapcsolódó adatkezelési tájékoztatót fizikailag elérhetővé kell tenni a szálláshelyen. Amennyiben a szálláshely-szolgáltatás nyújtója rendelkezik weboldallal, a weboldalon megvalósuló adatkezelések (beleértve a weboldalon futó ún. sütiket is) kapcsán is kell adatkezelési tájékoztatót készítenie, melyet értelemszerűen elérhetővé kell tenni a weboldalon. Bővebben lásd a közleményben
4. A Hatóság leszögezi, hogy az adatkezeléssel kapcsolatos (előzetes) tájékoztatás nem azonos az adatvédelmi szabályzattal. A GDPR kifejezetten adatvédelmi szabályzat alkotási kötelezettséget nem ír elő az adatkezelők számára, a 24. cikk (2) bekezdés alapján az adatkezelőnek akkor kell belső adatvédelmi szabályokat alkalmaznia – a személyes adatok védelmének biztosítása céljából megvalósított technikai és szervezési intézkedések részeként – ha ez az adatkezelési tevékenység vonatkozásában arányos. Ennek a rendelkezésének az értelmezését a (78) preambulumbekezdés segíti. Ez alapján azt kell tehát az adatkezelőnek mérlegelnie, hogy a kezelt adatok mennyisége és köre alapján „arányosnak” mutatkozik-e adatvédelmi szabályzat vagy más szabályrendszer (például utasítás, folyamatleírás, biztonsági szabályzat, titoktartási nyilatkozat) elkészítése.
A Hatóság arra is felhívja a figyelmet, hogy közlemény kiadása nem mentesíti az adatkezelőket saját jogi álláspontjuk kialakításának szükségessége, illetve az adatkezelésért fennálló felelősség alól.
A közlemény letölthető a NAIH honlapjáról.