Agencia Espanola Proteccion Datos (AEPD) har utfärdat en sanktionsavgift på 75 000 euro mot Marketing Accomodation Solutions FZ, L.L.C. för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att den registrerade bokat en lägenhet hos Marketing Accomodation Solutions för en semesterperiod i Katalonien. För att checka in var den registrerade tvungen att fylla i ett onlineformulär och lämna personuppgifter om alla gäster, inklusive e-postadresser, telefonnummer och adresser, samt foton av båda sidor av varje gästs identitetskort.
Den registrerade lämnade in ett klagomål till AEPD och hävdade att de begärda uppgifterna var alltför omfattande. Som svar hävdade Marketing Accomodation Solutions att de enligt lag var skyldiga att registrera sina gäster och överföra deras uppgifter till den katalanska polisen. Den registrerade var inte nöjd med svaret och lämnade in ett klagomål till AEPD, som undersökte fakta.
AEPD betonade att Marketing Accomodation Solutions måste begränsa behandlingen av uppgifter till vad som är absolut nödvändigt för det specifika syfte som företaget avser att uppnå. I det aktuella fallet noterade AEPD att alla uppgifter som behandlats inte varit nödvändiga för att tillhandahålla tjänsten att hyra ut semesterlägenheter eller för att uppfylla skyldigheten att registrera gäster enligt nationell lagstiftning. Nationell lagstiftning kräver endast att identitetshandlingens nummer, typ av handling, datum för utfärdande av den (om det anges), efternamn, förnamn, kön, nationalitet, datum för inresa, adress, telefon och förväntade vistelsedagar samlas in. Av denna anledning konstaterade AEPD att Marketing Accomodation Solutions brutit mot artikel 5.1 (c) GDPR, särskilt för att ha begärt en bild av båda sidor av gästernas identitetshandlingar.
Dessutom erinrade AEPD om att Marketing Accomodation Solutions enligt artikel 13 GDPR måste ge den registrerade en rad uppgifter vid tidpunkten för insamlingen av deras personuppgifter. I det aktuella fallet kontrollerade AEPD att den information som gästerna fått inte var fullständig. I synnerhet saknades den personuppgiftsansvariges identitet och kontaktuppgifter, kontaktuppgifter till dataskyddsombudet, den rättsliga grunden för behandlingen av personuppgifter, mottagarna eller kategorierna av mottagare och lagringsperioden. Marketing Accomodation Solutions integritetspolicy var inte heller förenlig med bestämmelserna i artikel 13 GDPR.
Mot bakgrund av ovanstående har AEPD utfärdat en sanktionsavgift mot Marketing Accomodation Solutions med 25 000 euro för överträdelse av artikel 5.1 (c) GDPR och 50 000 euro för överträdelse av artikel 13 GDPR.
TechLaw bistår verksamheter i frågor som rör dataskydd, uppgiftsminimering och informationsskyldighet vid hantering av gästuppgifter. Läs mer om vår expertis inom dataskydd och integritet.
Har ni frågor är ni välkomna att kontakta Carina Berg, partner och jurist specialiserad inom dataskydd och affärsjuridik i teknikintensiva verksamheter.
Källa: AEPD.