Η Αρχή, με αφορμή μπαράζ σχετικών καταγγελιών, εξέδωσε αυστηρές συστάσεις συμμόρφωσης. Παράλληλα, κάλεσε τις μεγάλες ξενοδοχειακές ενώσεις της χώρας να ενημερώσουν άμεσα τα μέλη τους για την άρση αυτών των παράνομων πρακτικών.

Οι παραβάσεις που άναψαν «κόκκινο»

Σύμφωνα με τα στοιχεία της Αρχής, οι καταγγελίες των πολιτών επικεντρώθηκαν σε δύο βασικές πρακτικές που εφαρμόζονται κατά τη διαδικασία του check-in ή της πληρωμής:

Φωτογράφιση ή λήψη φωτοαντιγράφου των δελτίων ταυτότητας ή διαβατηρίων με το πρόσχημα της καταχώρισης στοιχείων ή της έκδοσης φορολογικών παραστατικών.

Φωτογράφιση ή λήψη αντίγραφου των δύο όψεων των πιστωτικών/χρεωστικών καρτών, με τη δικαιολογία της διατήρησής τους για μελλοντική χρήση σε περίπτωση αμφισβήτησης των συναλλαγών.

Η Αρχή ξεκαθαρίζει ότι οι ενέργειες αυτές παραβιάζουν θεμελιώδεις κανόνες του Γενικού Κανονισμού Προστασίας Δεδομένων (ΓΚΠΔ / GDPR). Συγκεκριμένα, προσκρούουν στις αρχές της νομιμότητας, της διαφάνειας και της «ελαχιστοποίησης των δεδομένων» (συλλογή μόνο των απολύτως απαραίτητων στοιχείων).

Ο κίνδυνος για τους πολίτες: Η διατήρηση τέτοιων ευαίσθητων αρχείων από τις επιχειρήσεις αυξάνει κατακόρυφα τον κίνδυνο υποκλοπής, μη εξουσιοδοτημένης πρόσβασης, ψηφιακής απάτης και οικονομικής ζημίας για τους ανυποψίαστους πελάτες.

Οι 5 βασικές υποχρεώσεις για τουριστικά καταλύματα και Airbnb

Κατόπιν αυτών, η Αρχή ζήτησε από την Πανελλήνια Ομοσπονδία Ξενοδόχων, το Ξενοδοχειακό Επιμελητήριο Ελλάδος και τη Συνομοσπονδία Επιχειρηματιών Τουριστικών Καταλυμάτων Ελλάδος να διασφαλίσουν ότι τα μέλη τους θα ευθυγραμμιστούν με τις εξής οδηγίες:

Όχι στα αντίγραφα εγγράφων: Απαγορεύεται η λήψη και διατήρηση φωτοτυπιών ή φωτογραφιών από ταυτότητες και διαβατήρια, καθώς δεν υπάρχει καμία ειδική νομοθετική πρόβλεψη που να υποχρεώνει τα καταλύματα σε κάτι τέτοιο. Η απλή επίδειξη και καταγραφή των απαραίτητων στοιχείων είναι αρκετή.

Απαγορεύεται ρητά η αρχειοθέτηση φωτοτύπηση ή ψηφιακή αποθήκευση των τραπεζικών καρτών των πελατών.

Κάθε επεξεργασία δεδομένων πρέπει να πατάει σε σωστή νομική βάση, αφού πρώτα έχει αξιολογηθεί αν το μέτρο είναι αναγκαίο και ανάλογο του σκοπού.

Τα καταλύματα οφείλουν να παρέχουν στους πελάτες σαφή, εύκολα προσβάσιμη και ανανεωμένη ενημέρωση για το πώς διαχειρίζονται τα προσωπικά τους δεδομένα, τόσο στις ιστοσελίδες τους όσο και στους χώρους υποδοχής.

Οι επιχειρήσεις πρέπει να αλλάξουν τις εσωτερικές τους διαδικασίες στην υποδοχή, στις πληρωμές και στη διαχείριση των κρατήσεων. Παράλληλα, οφείλουν να εκπαιδεύσουν το προσωπικό τους ώστε να ζητά και να κρατά μόνο τα ελάχιστα δυνατά στοιχεία που ορίζει ο νόμος.