Boete aan Spaans hotel voor gebruik pasfoto’s
Overtreedt een Spaans hotel de regels van de Algemene verordening gegevensbescherming (AVG) door pasfoto’s van hotelgasten op te slaan en te verspreiden? De Spaanse toezichthouder Agencia Española de Protección de Datos (AEPD) vond van niet, maar de Nederlandse Autoriteit persoonsgegevens (AP) oordeelde anders.
Klacht van Nederlandse hotelgast
Om haar bezoekers te kunnen registreren vroeg Hotel Marins Playa in Mallorca hotelgasten om een scan van hun paspoort. Een Nederlandse hotelgast die daardoor zijn paspoort moest afgeven om te laten scannen protesteerde al direct. Toen deze gast op een later moment wilde betalen en zijn sleutelkaart liet scannen, merkte hij ook nog op dat de ober op zijn tablet een scan van de pasfoto op zijn paspoort te zien kreeg, inclusief naam en andere persoonsgegevens. Omdat de gast nooit toestemming had gegeven voor het opslaan en verspreiden van zijn pasfoto en het hotel überhaupt nooit om toestemming had gevraagd, diende hij een klacht in bij de Spaanse toezichthouder AEPD.
De Spaanse versus de Nederlandse toezichthouder
Aanvankelijk oordeelde de Spaanse toezichthouder AEPD dat het hotel wel het recht had om pasfoto’s op te slaan en te verspreiden. Het hotel gebruikte de scan namelijk om te controleren of de gast die een bestelling plaatste, daadwerkelijk die gast was en niet op naam van een ander eten en drinken bestelde. De AEPD legde het voorlopige besluit vervolgens voor aan de Nederlandse AP, die het niet eens was met dit besluit omdat er wel degelijk sprake was van schending van de AVG door de werkwijze van het hotel.
Naast het feit dat de hotelgast namelijk nooit toestemming had gegeven voor het opslaan en verspreiden van zijn pasfoto, is het een te zwaar middel om te controleren of een hotelgast de juiste persoon is. Het vragen naar het kamernummer van de gast, al dan niet in combinatie met de naam, is daarvoor al voldoende. De AEPD past daarom na overleg met de AP haar besluit aan en legt een boete van 30.000 euro op aan het Spaanse hotel. Ook moet het hotel haar werkwijze aanpassen om de overtreding te stoppen.
Conclusie
Doel van de AVG is om mensen zelf controle te laten houden over hun persoonsgegevens. Daarom mogen mensen, uitzonderingen daargelaten, zelf weten waar de gegevens voor worden gebruikt. Elke keer dat je persoonsgegevens van werknemers of klanten verwerkt is het dus van belang dat je hier een goede reden (oftewel: grondslag) voor hebt. Vraag bijvoorbeeld eerst om toestemming aan de persoon om wie het gaat, of zorg ervoor dat je de gegevens alleen verwerkt omdat je dit wettelijk verplicht bent. Daarnaast is het aan te raden om deze grondslag te vermelden in bijvoorbeeld uw privacyverklaring of verwerkingsregister. Zo werk je in overeenstemming met de AVG en kunnen hoge boetes van de AP voorkomen worden.
Heb je verdere vragen over dit onderwerp of hulp nodig bij het opstellen van goede documenten, neem dan contact op met jullie accountjurist of bel naar 088-1331133.