Egy ügyvédi iroda azzal kereste fel őket, hogy ha nem rendelkeznek a szálláshely-szolgáltatáshoz kapcsolódó adatkezeléssel összefüggő dokumentumokkal, a hatóság meg fogja őket bírságolni. De hogy ezt elkerüljék, az ügyvédi iroda - többtízezer forintért - elkészíti ezeket a szabályzatokat, hatásvizsgálatot és más dokumentumokat.

A hozzá érkezett, a helyzet tisztázását kérő beadványok nyomán a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) a honlapján hívja fel a figyelmet a szálláshely-szolgáltatást nyújtó személyekre vonatkozó legfontosabb követelményekre.

Eszerint kiemelt jelentősége van annak, hogy a szálláshely-szolgáltatást nyújtó magánszemély már üzleti célú adatkezelést folytat, így

az e tevékenysége során megvalósuló adatkezelésre alkalmaznia kell a GDPR előírásait,

ez független követelmény attól, hogy azt magánszemélyként, egyéni vállalkozóként vagy gazdasági társaság nevében eljárva végzi.

Ilyen adatkezelésnek kell tekinteni

• a jogszabályi előíráson alapuló, a szálláshely-szolgáltatást igénybe vevők bejelentkezésével kapcsolatos adatszolgáltatás teljesítését (a vendégek személyazonosításra alkalmas okmányának szálláshely-szolgáltató általi szkennelése és VIZA rendszerbe történő továbbítása), és
• a szálláshely-szolgáltató jogos érdekén alapuló adatkezeléseket, például a vagyonvédelmi kamerák üzemeltetését, internetes honlapján keresztül megvalósuló marketinget is, valamint
• a szerződés teljesítéséhez szükséges időpontfoglaló, vagy kedvezményprogramokat is.

Ezen adatkezelési célok kapcsán az érintettek (vendégek, látogatók) számára könnyen hozzáférhető, közérthető tájékoztatást kell adni legalább a GDPR 13. cikke szerinti tartalommal.

Abban az esetben, ha a szálláshely-szolgáltatás nyújtója nem rendelkezik weboldallal - és így a tájékoztatást nem tudja megadni a vendégek számára már a szállásfoglalás pillanatában -, úgy a szolgáltatáshoz kapcsolódó adatkezelési tájékoztatót fizikailag elérhetővé kell tenni a szálláshelyen. Amennyiben a szálláshely-szolgáltatás nyújtója rendelkezik weboldallal, a weboldalon megvalósuló adatkezelésekre is ki kell térni az adatkezelési tájékoztatóban (beleértve a weboldalon futó úgynevezett sütiket, időpontfoglaló vagy hírlevél küldő rendszert is), melyet értelemszerűen elérhetővé kell tenni a weboldalon.

Azonban a feltétlenül szükséges adatkezeléssel kapcsolatos (előzetes) tájékoztatás nem azonos az adatvédelmi szabályzattal.

A GDPR kifejezetten adatvédelmiszabályzat-alkotási kötelezettséget nem ír elő az adatkezelők számára, ilyen követelmény a szálláshely-szolgáltató magánszemélyekre nézve nincs,

mint ahogyan adatvédelmi tisztviselőt sem szükséges kijelölniük, adatvédelmi nyilvántartási számot sem kell igényelniük, és előzetes adatvédelmi hatásvizsgálat lefolytatására is csak rendkívül kivételes esetben lehet szükség.