Διατήρηση αντιγράφου ταυτότητας ή διαβατηρίου από ξενοδοχεία και καταλύματα
Παραβίαση των αρχών νομιμότητας και ελαχιστοποίησης του ΓΚΠΔ διαπιστώνει η κυπριακή αρχή σε οδηγία της
Οδηγία για τη δυνατότητα διατήρησης αντιγράφων δελτίων ταυτότητας και διαβατηρίων από ξενοδοχεία και τουριστικά καταλύματα εξέδωσε η Επίτροπος Προστασίας Δεδομένων Προσωπικού Χαρακτήρα της Κύπρου.
Η κυπριακή αρχή προχώρησε στην έκδοση της οδηγίας, καθώς δεχόταν πολλά ερωτήματα, αλλά και παράπονα, σχετικά με την πρακτική της συλλογής και διατήρησης των εγγράφων ταυτοποίησης πολιτών που διαμένουν στα καταλύματα αυτά.
Αφού επανέλαβε τις απαιτήσεις του άρθρου 5 ΓΚΠΔ για τις αρχές επεξεργασίας δεδομένων και εξέτασε τις προβλέψεις της νομοθεσίας που διέπει τη λειτουργία ξενοδοχείων και τουριστικών καταλυμάτων, η Επίτροπος αποφάνθηκε πως η πρακτική αυτή δεν είναι νόμιμη.
Όπως παρατήρησε, η νομοθεσία θεσπίζει την υποχρέωση των μονάδων αυτών να συλλέγουν και να τηρούν στοιχεία των πελατών τους στα οικεία δελτία αφίξεως, δεν προβλέπει όμως οτιδήποτε σχετικά με τη συλλογή και διατήρηση αντιγράφων από τα δελτία ταυτότητας ή τα διαβατήρια των πολιτών.
Κατά συνέπεια, η λήψη και διατήρηση των αντιγράφων αυτών παραβιάζει αφενός την αρχή της νομιμότητας του άρθρου 5 παρ.1α’ ΓΚΠΔ, αφετέρου την αρχή της ελαχιστοποίησης των δεδομένων του άρθρου 5 παρ.1γ’ ΓΚΠΔ, αφού «τα εν λόγω αντίγραφα περιέχουν δεδομένα (π.χ. φωτογραφία, ονοματεπώνυμο πατρός), τα οποία δεν είναι απαραίτητα, ούτε για την εύρυθμη λειτουργία των ξενοδοχειακών μονάδων και τουριστικών καταλυμάτων, ούτε για τις υπηρεσίες που παρέχονται».
Διαβάστε επίσης: Η συλλογή προσωπικών δεδομένων σε κοινό έντυπο
Το πλήρες κείμενο της οδηγίας της κυπριακής αρχής έχει ως εξής:
Οδηγία για τη διατήρηση των αντιγράφων δελτίων ταυτότητας ή διαβατηρίου από ξενοδοχειακές μονάδες και τουριστικά καταλύματα
1. Εισαγωγή
Το Γραφείο μου γίνεται δέκτης ερωτημάτων και παραπόνων για την πολιτική που ακολουθείται, από ξενοδοχειακές μονάδες και τουριστικά καταλύματα, αναφορικά με τα προσωπικά δεδομένα των πελατών που συλλέγουν αρχικά, κατά την άφιξη (check-in) και στη συνέχεια, διατηρούν κατά τη διαμονή τους. Έχει παρατηρηθεί δε ότι, δεν εφαρμόζεται μία ενιαία πολιτική, από τις μονάδες/ καταλύματα.
Συγκεκριμένα, κάποιες ξενοδοχειακές μονάδες/ τουριστικά καταλύματα ζητούν και λαμβάνουν, όχι μόνο στοιχεία ταυτοποίησης των πελατών, τα οποία καταχωρίζουν σε αρχεία τους, αλλά και αντίγραφα των δελτίων ταυτότητας ή διαβατηρίου τους, τα οποία διατηρούν μέχρι και την αναχώρηση των πελατών ή ακόμη και για περισσότερο χρονικό διάστημα, λ.χ. μέχρι και τη διευθέτηση οποιωνδήποτε οικονομικών εκκρεμοτήτων.
Αφενός, μέσω της διατήρησης των αντιγράφων δελτίων ταυτότητας ή διαβατηρίου, οι μονάδες/ τα καταλύματα αποσκοπούν στη διασφάλιση των συμφερόντων τους, αφετέρου, μία τέτοια επεξεργασία θα πρέπει να υπακούει στις Αρχές που προνοεί το Άρθρο 5 του Γενικού Κανονισμού για την Προστασία των Δεδομένων (ΕΕ) 2016/679 (στο εξής, «ο Κανονισμός»).
2. Νομική βάση
Το Άρθρο 5(1) του Κανονισμού καθορίζει τις βασικές αρχές που πρέπει να διέπουν κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα. Με βάση το εν λόγω Άρθρο, τα προσωπικά δεδομένα των υποκειμένων των δεδομένων πρέπει να:
«α) υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων («νομιμότητα, αντικειμενικότητα και διαφάνεια»),
β) συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και δεν υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς· η περαιτέρω επεξεργασία για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον ή σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς δεν θεωρείται ασύμβατη με τους αρχικούς σκοπούς σύμφωνα με το άρθρο 89 παράγραφος 1 («περιορισμός του σκοπού»),
γ) είναι κατάλληλα, συναφή και περιορίζονται στο αναγκαίο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία («ελαχιστοποίηση των δεδομένων»), […]
ε) διατηρούνται υπό μορφή που επιτρέπει την ταυτοποίηση των υποκειμένων των δεδομένων μόνο για το διάστημα που απαιτείται για τους σκοπούς της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα· τα δεδομένα προσωπικού χαρακτήρα μπορούν να αποθηκεύονται για μεγαλύτερα διαστήματα, εφόσον τα δεδομένα προσωπικού χαρακτήρα θα υποβάλλονται σε επεξεργασία μόνο για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς, σύμφωνα με το άρθρο 89 παράγραφος 1 και εφόσον εφαρμόζονται τα κατάλληλα τεχνικά και οργανωτικά μέτρα που απαιτεί ο παρών κανονισμός για τη διασφάλιση των δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων («περιορισμός της περιόδου αποθήκευσης») […]»
Διαβάστε επίσης: Ο Γενικός Κανονισμός για την Προστασία των Δεδομένων στις ξενοδοχειακές επιχειρήσεις
Σύμφωνα με το Άρθρο 10 των περί Ξενοδοχείων και Τουριστικών Καταλυμάτων Κανονισμών του 1985:
«(1) Έκαστος διευθυντής ξενοδοχείου ή ο διευθύνων τούτο κύριος της επιχειρήσεως υποχρεούται όπως τηρή ειδικόν έντυπον ή βιβλίον συμφώνως προς τον υπό του Υπουργού καθοριζόμενον, δυνάμει της παραγράφου (2) τύπον και όπως καταχωρή εν αυτώ λεπτομέρειας εν σχέσει προς το όνομα, την διεύθυνσιν, την εθνικότητα, το επάγγελμα, την ημέραν αφίξεως και αναχωρήσεως, ως και πάσαν άλλην λεπτομέρειαν ην ήθελεν ορίσει ο Υπουργός δυνάμει της παραγράφου (2), παντός καταλύοντος εν τω ξενοδοχείω αυτού πελάτου, και όπως παρουσιάζη τούτο προς έλεγχον εις οιανδήποτε αρμοδίαν αρχήν.
(2) Ο Υπουργός διά γνωστοποιήσεως δημοσιευομένης εν τη επισήμω εφημερίδι της Δημοκρατίας, δύναται να καθορίζη το σχήμα, τα τμήματα, την αρίθμησιν, το περιεχόμενον, την θεώρησιν και πάσας τας λεπτομερείας του ως είρηται ειδικού εντύπου ή βιβλίου, ως και την συρραφήν αυτού.».
Σύμφωνα με το Άρθρο 64 των περί Ξενοδοχείων και Τουριστικών Καταλυμάτων Κανονισμών του 1985:
«(1) Ο πελάτης υποχρεούται όπως- (α) συμπλήρωση και υπογράψη άμα τη εισόδω του εις το ξενοδοχείον, τα υπό των αρχών διατεταγμένα δελτία αφίξεως πελατών (β) παραδίδη το διαβατήριον του εφ' όσον τούτο ζητηθή υπό του ξενοδόχου (γ) παραδίδη εις το θυρωρείον το κλείθρον του δωματίου του καθ' εκάστην έξοδον του εκ του ξενοδοχείου (δ) μη δέχηται επισκέπτας εις τα υπνοδωμάτια εκτός εάν ούτος ενημέρωση σχετικά την υπηρεσίαν υποδοχής του ξενοδοχείου.
(2) Ο ξενοδόχος υποχρεούται όπως μη δέχηται εν τω ξενοδοχείω του πελάτας αρνούμενους την συμπλήρωσιν και υπογραφήν των ως άνω δελτίων αφίξεως, ή την παραχώρησιν του διαβατηρίου, άλλως είναι ένοχος αδικήματος και υπόκειται εις τας υπό των παρόντων Κανονισμών προνοουμένας ποινάς.».
3. Αξιολόγηση της ανάγκης λήψης και διατήρησης αντιγράφων δελτίων ταυτότητας ή διαβατηρίου
Για να αξιολογηθεί το σύννομο της επεξεργασίας που διενεργείται, μέσω της λήψης και διατήρησης αντιγράφων δελτίων ταυτότητας ή διαβατηρίου των πελατών, θα πρέπει να ληφθεί υπόψιν η κείμενη νομοθεσία.
Ανατρέχοντας στο σχετικό νομοθετικό πλαίσιο, οι ξενοδοχειακές μονάδες/ τα τουριστικά καταλύματα υποχρεούνται να καταχωρίζουν και να διατηρούν στοιχεία των πελατών τους, στα «υπό των αρχών διατεταγμένα δελτία αφίξεως πελατών», για χρονική περίοδο που συμφωνεί με τις διατάξεις της νομοθεσίας.
Ωστόσο, η νομοθεσία δεν προβλέπει οτιδήποτε για τη συλλογή και διατήρηση αντιγράφων δελτίων ταυτότητας ή διαβατηρίου των πελατών. Στην απουσία κατάλληλης νομικής βάσης, οι ξενοδοχειακές μονάδες / τουριστικά καταλύματα δεν δύνανται να προβαίνουν σε μία τέτοια λήψη και διατήρηση.
Η λήψη και διατήρηση των αντιγράφων δελτίου ταυτότητας/ διαβατηρίου, όχι μόνο δεν πληροί την Αρχή της νομιμότητας (άρθρο 5(1)(α) του Κανονισμού), αλλά υπερβαίνει και τα όρια της Αρχής της ελαχιστοποίησης των δεδομένων (άρθρο 5(1)(γ) του Κανονισμού). Και τούτο, διότι τα εν λόγω αντίγραφα περιέχουν δεδομένα (π.χ. φωτογραφία, ονοματεπώνυμο πατρός), τα οποία δεν είναι απαραίτητα, ούτε για την εύρυθμη λειτουργία των ξενοδοχειακών μονάδων και τουριστικών καταλυμάτων, ούτε για τις υπηρεσίες που παρέχονται.
Εν κατακλείδι, η νομιμότητα της επεξεργασίας πληρούται με αυτή καθ’ εαυτή την υπόδειξη του αναγνωριστικού της ταυτότητας και επιβεβαίωσης των προσωπικών δεδομένων.
Η συλλογή και διατήρηση του αντιγράφου του δελτίου ταυτότητας/ διαβατηρίου θα παρέβαινε τις αρχές της νομιμότητας και ελαχιστοποίησης των δεδομένων.
Ειρήνη Λοϊζίδου Νικολαΐδου
Επίτροπος Προστασίας Δεδομένων Προσωπικού Χαρακτήρα
