Kelionių metu, nesvarbu ar atostogaujant, ar komandiruotėse, dažnai tenka apsistoti viešbučiuose arba pasinaudoti kitų apgyvendinimo paslaugų teikėjų (trumpalaikės nuomos per interneto platformas ir kt.) paslaugomis ir susidurti su situacija, kai viešbučio ar kitos apgyvendinimo įstaigos administracija pasidaro asmens dokumentų kopiją, nufotografuoja dokumentą mobiliuoju telefonu arba dar blogiau – viešnagės metu pasilieka paimtus asmens dokumentus kaip užstatą (kas Lietuvoje laikoma administraciniu nusižengimu, už kurį baudžiama nuo 14 EUR iki 30 EUR dydžio bauda). Tokia praktika yra nepriimtina ir prieštarauja Bendrajame duomenų apsaugos reglamente (BDAR) įtvirtintam duomenų kiekio mažinimo principui, kuris nustato, jog asmens duomenys turi būti adekvatūs, tinkami ir tik tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi.
Valstybinė asmens duomenų apsaugos inspekcija savo 2019 m. rugsėjo 26 d. apibendrinime, kurį paskelbė po atlikto viešbučių patikrinimo, nurodė, jog tvarkomi asmens duomenys turi būti ne pernelyg didelės apimties, atsižvelgiant į nustatytus tikslus. Visi asmens duomenys, kurie nėra reikalingi tam tikram tikslui pasiekti, neturi būti renkami ir (arba) toliau tvarkomi. Duomenų valdytojai (viešbučiai ar kiti apgyvendinimo paslaugų teikėjai) turėtų rinkti kuo mažiau duomenų apie kiekvieną asmenį ir tik tuos, kurių reikia, kad būtų tinkamai įgyvendinti jų tvarkymo tikslai.
Viešbučiai ir kiti apgyvendinimo paslaugų teikėjai rinkdami ir tvarkydami svečių asmens duomenis gali turėti įvairių tikslų, pvz., siekiant užtikrinti paprastesnį ir greitesnį kliento padarytos žalos kompensavimą ar tinkamą suteiktų paslaugų apmokėjimą dažnai renkami kredito kortelių duomenys, statistikos rinkimo ir viešbučio veiklos optimizavimo tikslu gali būti renkami duomenys apie svečio pasirinktą kambario tipą, kartu apsistojančių asmenų skaičių, jų priskyrimą suaugusių ar vaikų kategorijai ir kt. Tačiau, kai kuriuos asmens duomenis apgyvendinimo paslaugų teikėjus įpareigoja rinkti teisės aktai. Lietuvos Respublikos turizmo įstatymas (toliau – LRTĮ) 31 straipsnio 1 dalies 2–4 punktai numato, jog apgyvendinimo paslaugų teikėjas privalo registruoti išankstinius apgyvendinimo paslaugų užsakymus (rezervavimą); užtikrinti, kad apgyvendinami valstybių narių ir trečiųjų valstybių piliečiai, išskyrus kartu su jais atvykusius jų sutuoktinius ar nepilnamečius vaikus, asmeniškai užpildytų ir pasirašytų registracijos korteles ir patvirtintų savo tapatybę – pateiktų galiojantį asmens tapatybę patvirtinantį dokumentą; saugoti registracijos kortelėse pateiktus duomenis 5 metus.
Šias LRTĮ nuostatas įgyvendinančio Apgyvendinamų valstybių narių ir kitų valstybių piliečių registravimo tvarkos aprašo 5 punkte, nurodoma, jog registracijos kortelėje privalo būti pateikiama ši informacija: vardas, pavardė, gimimo data, asmens tapatybę patvirtinančio dokumento numeris, apgyvendinamo asmens pilietybė bei valstybė, išdavusi asmens tapatybę patvirtinantį dokumentą, gyvenamosios vietos adresas, atvykimo į apgyvendinimo įstaigą data, išvykimo iš apgyvendinimo įstaigos data, kartu atvykusio sutuoktinio ir (ar) nepilnamečio vaiko (-ų) vardai ir pavardės.
Viešbučiai ir kiti apgyvendinimo paslaugų teikėjai yra įpareigoti rinkti ir tvarkyti ir dar jautresnius asmens duomenis. Pvz., Vilniaus miesto savivaldybė įpareigoja jos ribose veikiančius apgyvendinimo paslaugų teikėjus surinkti vietinę rinkliavą už naudojimąsi Vilniaus miesto savivaldybės viešąja turizmo ir poilsio infrastruktūra. Nuo šios rinkliavos yra atleidžiamos kelios asmenų grupės, kurių viena yra nedarbingi asmenys, kurių darbingumo lygis yra 0-40 proc. Tokiu atveju, apgyvendinimo įstaigos administracija, siekdama pagrįsti rinkliavos iš tokių svečių nerinkimą, yra įpareigojama tvarkyti duomenis apie apsistojančio asmens darbingumo lygį.
Apibendrinant patariame, esant įtarimui, jog apgyvendinimo paslaugų teikėjas renka akivaizdžiai perteklinius jūsų asmens duomenis, kreiptis į administraciją, jog ji pateiktų išsamią ir motyvuotą informaciją (privatumo pranešimą ar duomenų tvarkymo politiką), kurioje būtų nurodyta, kokie asmens duomenys tvarkomi ir kokiu tikslu, kiek laiko saugomi, kam perduodami ir kt. Tokią informaciją jums pateikti dar prieš pradedant rinkti jūsų asmens duomenis apgyvendinimo paslaugų teikėją įpareigoja BDAR 13 straipsnis. Tačiau, tai nereiškia, jog viešbučio ar kito apgyvendinimo paslaugų teikėjo administracija turi teisę daryti asmens dokumento kopijas (ko pasekmėje būtų tvarkomi ir kiti, pertekliniai asmens duomens, pvz., asmens atvaizdas, asmens kodas ir kt.). Tokius duomenis, kurių tvarkymas yra pagrįstas, galima rinkti administracijos darbuotojui nurašant juos nuo asmens dokumento į svečio kortelę ar kitą pildomą formą arba svečiui pačiam užpildant duomenų rinkimo formą, o administracijos darbuotojui patikrinant, ar duomenys yra teisingi.
Jeigu pastebėjote, jog viešbutis ar apgyvendinimo paslaugų teikėjas galimai renka perteklinius duomenis arba administracijai atsisakius tinkamai jus informuoti apie duomenų tvarkymą, galite kreiptis į Valstybinę duomenų apsaugos inspekciją.
Pažymime, jog BDAR yra privalomas visiems Europos Sąjungos ribose, Norvegijoje, Islandijoje ir Lichtenšteine veikiantiems apgyvendinimo paslaugų teikėjams todėl duomenų kiekio mažinimo ir informavimo apie duomenų tvarkymą reikalavimai jiems taip pat yra taikomi, tačiau renkamų asmens duomenų kiekis gali skirtis dėl vietinio teisinio reguliavimo ypatybių.