Domaći hotel tražio CVC brojeve s kartica gostiju, kažnjeni s 15.000 eura

Jedan je domaći hotel od gostiju tražio podatke s kreditnih kartica, nije ispunjavao brojne uvjete propisane GDPR-om te je prikupljao i obrađivao podatke koji mu nisu bili nužni za poslovanje

Sandro Vrbanus četvrtak, 28. rujna 2023. u 10:09
📷 Marco Verch / ccnull.de
Marco Verch / ccnull.de

Europska Opća uredba o zaštiti podataka (GDPR) na snazi je već više od pet godina, a neki i dalje nisu naučili kako s njom živjeti, tj. uskladiti poslovne prakse u upravljanju s osobnim podacima svojih klijenata. Pokazuje to još jedan primjer upravne novčane kazne, koju je ovoga tjedna izrekla Agencija za zaštitu osobnih podataka (AZOP), nadležna za provedbu Uredbe u Hrvatskoj. Ovoga puta iznos kazne od 15.000 eura morat će platiti jedan hrvatski hotel, zbog više kršenja odredbi GDPR-a.

Prekomjerno prikupljanje podataka

AZOP je u ovom slučaju postupao po prijavi građanina, koji je naveo kako se prilikom rezervacije smještaja u tom hotelu traži potvrda rezervacije slanjem CVC kreditne kartice (putem obrasca) i to potpuno nezaštićenim kanalima (putem elektroničke pošte). Isto tako, u zaprimljenoj prijavi navedeno je kako potencijalni gost nije informiran tko ima pristup njegovim osobnim podacima, tj. osobnom dokumentu koji je na traženje hotela dužan poslati kako bi se mogla teretiti kreditna kartica.

Hotel je, kažu, imao tri mogućnosti rezervacije smještaja – putem pružatelja usluge, online rezervacija putem web obrasca na internetskoj stranici hotela te putem e-pošte, uz napomenu kako se putem web obrasca i e-pošte vršila samo rezervacija, a ne i naplata. Prilikom rezervacije putem web obrasca bilo je potrebno upisati osobne podatke gosta: ime, prezime, adresu e-pošte, adresu te financijske podatke (broj kartice, datum i godina do kada vrijedi kartica, CVC broj te ime vlasnika kartice), dok je za rezervaciju putem e-pošte bilo potrebno dostaviti navedene podatke te presliku valjanog identifikacijskog dokumenta s fotografijom, a sve iz razloga kako ne bi došlo do zlouporabe bankovne kartice od strane trećih osoba, kako je tvrdio hotel.

Popis prekršaja

AZOP je utvrdio da je hotel obrađivao osobne podatke ispitanika (gostiju hotela) u prekomjernom opsegu i to podatke o sigurnosnom broju bankovne kartice (CVC broj), kao i preslike osobnih dokumenata prilikom rezervacije smještaja u hotelu putem online obrasca hotela i putem e-pošte. Za obradu CVC broja bankovne kartice i preslike osobnog dokumenta nije dokazano postojanje pravne osnove, tj. rezervaciju smještaja mogli su odraditi i bez CVC broja s kartice.

Nadalje, voditelj obrade nije na jasan/transparentan način informirao ispitanike o obradi njihovih osobnih podataka putem svojeg dokumenta Opći uvjeti poslovanja. Gostima tim putem nije bila pružena obavijest o prikupljanju osobnih podataka (CVC brojeva i preslika osobnih dokumenata). Hotel je, naime, bio dužan informirati gosta koje vrste osobnih podataka u koju svrhu prikuplja, pravnu osnovu obrade osobnih podataka, na koji način se koriste osobni podaci, odnosno tko koristi osobne podatke te koje su mjere zaštite osobnih podataka poduzete. Sve informacije o obradi osobnih podataka, hotel je bio dužan pružiti u sažetom, razumljivom i lako dostupnom obliku, upotrebom jasnog i jednostavnog jezika.

Hotel je imao i obrazac "Privola na korištenje osobnih podataka", ali on nije sadržavao točne i cjelovite informacije. Također nisu niti poduzimali odgovarajuće tehničke i organizacijske mjere zaštite podataka, a za voditelja obrade podataka imenovali su bili voditelja hotela. "Iz opisa poslova voditelja hotela vidljivo je kako je isti velikom mjerom odgovaran za donošenje upravljačkih odluka na razini obrade osobnih podataka, dok je s druge strane kao službenik za zaštitu podataka dužan pratiti usklađenost poslovanja u obradi osobnih podataka s propisima" – pa je time osoba bila u sukobu interesa.

Kazna

Agencija se zbog svega navedenoga odlučila za izricanje upravne novčane kazne iz razloga postojanja visokog rizika za prava i slobode ispitanika, a koji je voditelj obrade bio dužan uzeti u obzir prije predmetne obrade osobnih podataka. Opisanim postupanjem došlo je do prikupljanja osobnih podataka bez postojanja odgovarajuće pravne osnove, a prikupljani su osobni podaci koji nisu nužni za svrhu u koju su se isti prikupljali od ispitanika prilikom rezervacije smještaja hotela. Također, u AZOP-u smatraju da će izricanje kazne dovesti do toga da voditelj obrade pravovremeno i odgovarajuće ispunjava svoje obveze u području zaštite osobnih podataka.