Španska Agencija za zaštitu podataka (AEPD) izrekla je novčanu kaznu kompaniji World 2 Meet zbog zahtijevanja kopija identifikacionih dokumenata gostiju tokom procesa rezervacije i online prijave smještaja. Regulator je zaključio da je takva praksa predstavljala prekomjernu obradu ličnih podataka i povredu principa minimizacije podataka iz GDPR-a.
U konkretnom slučaju, od gostiju je zahtijevano dostavljanje kopija pasoša ili ličnih karata radi registracije smještaja. AEPD je ocijenio da identifikacioni dokumenti sadrže znatno više podataka nego što je potrebno za identifikaciju gosta i ispunjavanje zakonskih obaveza smještajnog objekta. Pored osnovnih identifikacionih podataka, dokumenti sadrže i fotografiju, datum isteka dokumenta, jedinstvene identifikatore i druge informacije koje nijesu neophodne za svrhu registracije gosta.
Stav španske Agencije za zaštitu podataka
AEPD je tokom 2025. godine dodatno pojasnila da hoteli, turistički smještaj i drugi pružaoci usluga smještaja ne smiju zahtijevati niti čuvati kopije pasoša ili ličnih karata radi ispunjavanja obaveza prijave gostiju. Prema stavu Agencije, dovoljno je prikupiti samo one podatke koji su propisani relevantnim propisima, bez zadržavanja kopije identifikacionog dokumenta.
Agencija posebno naglašava da kopiranje ili skeniranje pasoša i ličnih karata predstavlja povredu principa minimizacije podataka iz člana 5 GDPR-a, jer se obrađuje više podataka nego što je neophodno za ostvarenje svrhe obrade. Takođe je ukazano da čuvanje kopija identifikacionih dokumenata povećava rizik od krađe identiteta i drugih zloupotreba ličnih podataka.
Pouke za hotele i turistički sektor
Hoteli i drugi pružaoci smještaja trebalo bi da preispitaju svoje procedure prijave gostiju i online check-in procese kako bi osigurali da:
- prikupljaju isključivo podatke koji su neophodni za registraciju gosta;
- ne zahtijevaju kopije pasoša ili ličnih karata bez jasnog pravnog osnova;
- primjenjuju princip minimizacije podataka u svim procesima obrade;
- redovno procjenjuju rizike povezane sa obradom identifikacionih podataka gostiju;
- obučavaju zaposlene o pravilima zaštite ličnih podataka.
Ova odluka potvrđuje da usklađenost sa GDPR-om ne podrazumijeva samo zaštitu prikupljenih podataka, već i ograničavanje njihovog prikupljanja na ono što je zaista potrebno za ostvarenje konkretne svrhe obrade.
Izvori
🔗 Španska Agencija za zaštitu podataka (AEPD) – Obavještenje o zabrani zahtijevanja kopija pasoša i ličnih karata u smještajnim objektima
AEPD saopštenje
🔗 Odluka protiv World 2 Meet zbog prekomjerne obrade podataka gostiju
Pregled slučaja World 2 Meet
