Egy ügyvédi iroda azzal kereste fel őket, hogy ha nem rendelkeznek a szálláshely-szolgáltatáshoz kapcsolódó adatkezeléssel összefüggő dokumentumokkal, a hatóság meg fogja őket bírságolni. De hogy ezt elkerüljék, az ügyvédi iroda - többtízezer forintért - elkészíti ezeket a szabályzatokat, hatásvizsgálatot és más dokumentumokat.
A hozzá érkezett, a helyzet tisztázását kérő beadványok nyomán a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) a honlapján hívja fel a figyelmet a szálláshely-szolgáltatást nyújtó személyekre vonatkozó legfontosabb követelményekre.
Eszerint kiemelt jelentősége van annak, hogy a szálláshely-szolgáltatást nyújtó magánszemély már üzleti célú adatkezelést folytat, így
az e tevékenysége során megvalósuló adatkezelésre alkalmaznia kell a GDPR előírásait,
ez független követelmény attól, hogy azt magánszemélyként, egyéni vállalkozóként vagy gazdasági társaság nevében eljárva végzi.
Ilyen adatkezelésnek kell tekinteni
- a jogszabályi előíráson alapuló, a szálláshely-szolgáltatást igénybe vevők bejelentkezésével kapcsolatos adatszolgáltatás teljesítését (a vendégek személyazonosításra alkalmas okmányának szálláshely-szolgáltató általi szkennelése és VIZA rendszerbe történő továbbítása), és
- a szálláshely-szolgáltató jogos érdekén alapuló adatkezeléseket, például a vagyonvédelmi kamerák üzemeltetését, internetes honlapján keresztül megvalósuló marketinget is, valamint
- a szerződés teljesítéséhez szükséges időpontfoglaló, vagy kedvezményprogramokat is.
Ezen adatkezelési célok kapcsán az érintettek (vendégek, látogatók) számára könnyen hozzáférhető, közérthető tájékoztatást kell adni legalább a GDPR 13. cikke szerinti tartalommal.
Abban az esetben, ha a szálláshely-szolgáltatás nyújtója nem rendelkezik weboldallal - és így a tájékoztatást nem tudja megadni a vendégek számára már a szállásfoglalás pillanatában -, úgy a szolgáltatáshoz kapcsolódó adatkezelési tájékoztatót fizikailag elérhetővé kell tenni a szálláshelyen. Amennyiben a szálláshely-szolgáltatás nyújtója rendelkezik weboldallal, a weboldalon megvalósuló adatkezelésekre is ki kell térni az adatkezelési tájékoztatóban (beleértve a weboldalon futó úgynevezett sütiket, időpontfoglaló vagy hírlevél küldő rendszert is), melyet értelemszerűen elérhetővé kell tenni a weboldalon.
Azonban a feltétlenül szükséges adatkezeléssel kapcsolatos (előzetes) tájékoztatás nem azonos az adatvédelmi szabályzattal.
A GDPR kifejezetten adatvédelmiszabályzat-alkotási kötelezettséget nem ír elő az adatkezelők számára, ilyen követelmény a szálláshely-szolgáltató magánszemélyekre nézve nincs,
mint ahogyan adatvédelmi tisztviselőt sem szükséges kijelölniük, adatvédelmi nyilvántartási számot sem kell igényelniük, és előzetes adatvédelmi hatásvizsgálat lefolytatására is csak rendkívül kivételes esetben lehet szükség.