Συστάσεις προς ξενοδοχεία, ενοικιαζόμενα καταλύματα και γενικότερα επιχειρήσεις φιλοξενίας απηύθυνε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, καλώντας τις να εγκαταλείψουν πρακτικές που κρίνονται ασύμβατες με τη νομοθεσία περί προστασίας προσωπικών δεδομένων.
Η παρέμβαση της Αρχής έγινε έπειτα από καταγγελίες που αφορούσαν τη συλλογή και επεξεργασία στοιχείων πελατών από τουριστικές επιχειρήσεις, όπως η φωτογράφιση ή η λήψη φωτοαντιγράφων δελτίων ταυτότητας, διαβατηρίων και πιστωτικών καρτών.
Στο πλαίσιο αυτό, η Αρχή απηύθυνε συστάσεις συμμόρφωσης στα εμπλεκόμενα καταλύματα, ενώ παράλληλα κάλεσε τις αρμόδιες ξενοδοχειακές ενώσεις να ενημερώσουν άμεσα τα μέλη τους για την ορθή εφαρμογή του Γενικού Κανονισμού Προστασίας Δεδομένων (ΓΚΠΔ) και τις υποχρεώσεις που απορρέουν από αυτόν.
Οι αναφορές που εξετάστηκαν αφορούσαν κυρίως περιπτώσεις κατά τις οποίες επιχειρήσεις φιλοξενίας κρατούσαν φωτοαντίγραφα ή φωτογραφίες εγγράφων ταυτοποίησης πελατών για την καταχώριση στοιχείων ή την έκδοση φορολογικών παραστατικών. Παράλληλα, καταγγέλθηκαν πρακτικές φωτογράφησης και αποθήκευσης των δύο όψεων πιστωτικών καρτών, με σκοπό τη μελλοντική χρήση τους σε ενδεχόμενες αμφισβητήσεις συναλλαγών.
Σύμφωνα με την Αρχή Προστασίας Δεδομένων, οι συγκεκριμένες πρακτικές αντίκεινται σε βασικές αρχές του ΓΚΠΔ, όπως η νομιμότητα, η διαφάνεια και η ελαχιστοποίηση των δεδομένων. Επιπλέον, επισημαίνεται ότι η διατήρηση τέτοιων αντιγράφων μπορεί να αυξήσει σημαντικά τον κίνδυνο μη εξουσιοδοτημένης πρόσβασης σε προσωπικά στοιχεία, αλλά και περιστατικών απάτης ή οικονομικής ζημίας για τους πολίτες.
Για τον λόγο αυτό ζητήθηκε από την Πανελλήνια Ομοσπονδία Ξενοδόχων, το Ξενοδοχειακό Επιμελητήριο Ελλάδος και τη Συνομοσπονδία Επιχειρηματιών Τουριστικών Καταλυμάτων Ελλάδος να ενημερώσουν τα μέλη τους για τις υποχρεώσεις συμμόρφωσης με το ισχύον πλαίσιο προστασίας προσωπικών δεδομένων.
Μεταξύ άλλων, η Αρχή τονίζει ότι οι επιχειρήσεις δεν θα πρέπει να λαμβάνουν ούτε να διατηρούν φωτογραφίες ή φωτοαντίγραφα δελτίων ταυτότητας, διαβατηρίων και άλλων εγγράφων ταυτοποίησης, καθώς δεν υπάρχει ειδική νομοθετική διάταξη που να επιβάλλει μια τέτοια πρακτική.
Παράλληλα, καλούνται να σταματήσουν τη φωτογράφιση, φωτοτύπηση ή αποθήκευση αντιγράφων πιστωτικών και χρεωστικών καρτών πελατών, ενώ οφείλουν να διασφαλίζουν ότι κάθε επεξεργασία προσωπικών δεδομένων βασίζεται σε νόμιμη αιτία και συνοδεύεται από την απαραίτητη αξιολόγηση αναγκαιότητας και αναλογικότητας.
Η Αρχή επισημαίνει επίσης την ανάγκη παροχής σαφούς και εύκολα προσβάσιμης ενημέρωσης προς τους πελάτες σχετικά με τον τρόπο διαχείρισης των προσωπικών τους δεδομένων, τόσο μέσω των ιστοσελίδων των επιχειρήσεων όσο και με κάθε άλλο πρόσφορο μέσο.
Τέλος, ζητείται από τα τουριστικά καταλύματα να επανεξετάσουν τις διαδικασίες που ακολουθούν κατά το check-in, τις πληρωμές και τη διαχείριση κρατήσεων, εκπαιδεύοντας κατάλληλα το προσωπικό τους ώστε να εφαρμόζεται στην πράξη η αρχή της ελαχιστοποίησης των δεδομένων και να διασφαλίζεται η προστασία της ιδιωτικότητας των πελατών.