L’Autorità per la protezione dei dati personali ha inflitto al direttore dell’hotel (ovvero alla persona giuridica all’interno della quale opera l’hotel in questione) una sanzione amministrativa dell’importo di EUR 15.000,00 (HRK 113.017,50), a causa delle seguenti violazioni dei Dati generali Regolamento sulla protezione:

• Il responsabile del trattamento ha trattato in misura eccessiva i dati personali del convenuto (ospite dell’hotel), vale a dire i dati relativi al numero di sicurezza della carta bancaria (numero CVC), nonché copie di documenti personali al momento della prenotazione dell’alloggio in hotel tramite il modulo online dell’hotel e tramite posta elettronica. Non è stata dimostrata l’esistenza di una base giuridica per il trattamento del numero CVC della carta bancaria e di una copia del documento personale, che viola l’articolo 6, paragrafo 1 del Regolamento generale sulla protezione dei dati. L’hotel non aveva l’obbligo di prelevare il numero CVC dalla carta bancaria delle persone che hanno effettuato la prenotazione dell’alloggio, considerando che la prenotazione dell’alloggio era possibile anche senza fornire i dati in questione.
• Il titolare del trattamento non ha informato gli interessati in modo chiaro/trasparente sul trattamento dei loro dati personali attraverso il documento Termini e Condizioni Generali, disponibile sul sito web dell’hotel, e sulla raccolta dei dati personali in caso di prenotazione di una sistemazione alberghiera tramite un servizio online e tramite posta elettronica, e quanto contrario a quanto previsto dall’articolo 13, commi 1 e 2 del Regolamento Generale sulla Protezione dei Dati. Nel caso specifico, l’hotel non ha fornito adeguata informativa sul trattamento dei dati personali agli ospiti che hanno prenotato il soggiorno presso l’hotel, comprese le informazioni sulla raccolta dei dati relativi al numero CVC e copia del documento di riconoscimento. Tenendo conto delle disposizioni della normativa sulla protezione dei dati personali, l’hotel è obbligato a informare l’ospite su quali tipi di dati personali raccoglie e per quale scopo, la base giuridica per il trattamento dei dati personali, come vengono utilizzati i dati personali, cioè , chi utilizza i dati personali e quali misure di protezione dei dati personali sono adottate. L’hotel era obbligato a fornire tutte le informazioni sul trattamento dei dati personali in forma concisa, comprensibile e facilmente accessibile, utilizzando un linguaggio chiaro e semplice, ed era obbligato a informare il convenuto di tutti i suoi diritti ai sensi del regolamento generale sulla protezione dei dati.
• Allo stesso tempo, il modulo “Consenso all’utilizzo dei dati personali”, che il responsabile del trattamento invia allo scopo di fornire informazioni agli intervistati sul trattamento dei loro dati personali al momento della prenotazione dell’alloggio via e-mail, non contiene informazioni accurate o complete informazioni, il responsabile del trattamento ha quindi agito contrariamente alle disposizioni dell’articolo 13, paragrafi 1 e 2 del regolamento generale sulla protezione dei dati.
• La mancata adozione da parte del responsabile del trattamento di adeguate misure organizzative e tecniche di protezione nel trattamento dei dati personali degli intervistati ha comportato una violazione dell’articolo 32, paragrafo 1, lettere a) e d) e paragrafo 4 del Regolamento generale sulla protezione dei dati. . Il titolare del trattamento non ha adottato misure tecniche e organizzative adeguate, tutte volte a garantire un livello adeguato di sicurezza rispetto al rischio, tra cui, tra le altre cose, la crittografia dei dati personali e l’implementazione di processi per test periodici, valutazione e valutazione dell’efficacia di misure tecniche e organizzative per garantire la sicurezza del trattamento.
• Nominando il direttore dell’albergo quale responsabile della protezione dei dati, il titolare del trattamento ha agito contrariamente a quanto previsto dall’articolo 38, comma 6 del Regolamento generale sulla protezione dei dati. In particolare, il responsabile della protezione dei dati può svolgere altri compiti e obblighi, tuttavia il titolare del trattamento garantisce che tali compiti e obblighi non causino un conflitto di interessi. Quando nomina un responsabile della protezione dei dati, il responsabile del trattamento deve essere consapevole che esiste un conflitto di interessi in relazione ai compiti e ai compiti che svolge. Dalla descrizione delle mansioni del direttore d’albergo risulta evidente che egli è in gran parte responsabile delle decisioni gestionali a livello di trattamento dei dati personali, mentre d’altro canto, in quanto responsabile della protezione dei dati, è obbligato a vigilare sul rispetto delle norme azienda nel trattamento dei dati personali con la normativa in materia di protezione dei dati personali.

L’Agenzia per la Protezione dei Dati Personali ha ricevuto la segnalazione di un cittadino il quale afferma che al momento della prenotazione dell’alloggio nell’albergo in questione viene richiesta la conferma della prenotazione mediante l’invio di una carta di credito CVC (tramite un form) attraverso canali del tutto non protetti (via e-mail). Allo stesso modo, nella domanda ricevuta, si precisava che al potenziale ospite non era stato comunicato chi ha accesso ai suoi dati personali, cioè al documento personale che è tenuto a inviare quando richiede un albergo per poter effettuare l’addebito sulla sua carta di credito.

In particolare, l’hotel in questione aveva tre opzioni per prenotare l’alloggio: tramite il fornitore del servizio, prenotazione online tramite un modulo web sul sito web dell’hotel e tramite e-mail, con la nota che solo la prenotazione è stata effettuata tramite il modulo web ed e-mail. -mail e non il pagamento.

Al momento della prenotazione tramite modulo web è stato necessario inserire i dati personali dell’ospite: nome, cognome, indirizzo e-mail, indirizzo e dati finanziari (numero della carta, data e anno di validità della carta, numero CVC e nome del titolare della carta), mentre per la prenotazione via e-mail è stato necessario fornire i dati specificati e la copia di un documento di identità valido corredato di foto, il tutto affinché non vi sia alcun uso improprio della carta bancaria da parte terzi, come sostenuto dall’hotel.

Nel caso in questione, e tenendo conto delle violazioni accertate, l’Agenzia ha deciso di irrogare una sanzione amministrativa a causa dell’esistenza di un rischio elevato per i diritti e le libertà degli intervistati, di cui il titolare del trattamento era tenuto a tenere conto prima trattamento dei dati personali in questione. Si tratta quindi di un titolare del trattamento la cui attività consiste nel trattare dati personali, e attraverso la suddetta procedura sono stati raccolti dati personali senza l’esistenza di un’idonea base giuridica e sono stati raccolti dati personali non necessari allo scopo per il quale sono stati raccolti dagli intervistati durante la prenotazione della sistemazione in albergo. Inoltre, l’Agenzia ritiene che l’imposizione di un’ammenda porterà il responsabile del trattamento ad adempiere ai propri obblighi nel campo della protezione dei dati personali in modo tempestivo e adeguato.

https://azop.hr/upravna-novcana-kazna-u-iznosu-od-15-000-eura-izrecena-hotelu/