Zbog nepropisnog uzimanja podataka s kartice i osobne, Hrvatski hotel kažnjen s 15 tisuća eura
Osobi koja je poslala prijavu bilo je sporno to što su u hotelu tražili nepotrebne podatke, poput CVC broja, kao i to da se ti isti podaci šalju nezaštićenim kanalima - elektroničkom poštom, ali i da potencijalni gost nije uopće informiran tko sve ustvari ima pristup njegovim osobnim podacima.
Agencija za zaštitu osobnih podataka objavila je da je kaznila jedan hotel, bez navođenja naziva o kojem se točno hotelu radi, kaznom od 15 tisuća eura, zbog kopiranja osobnog dokumenta i traženja suvišnog podatka s kreditne kartice, prenosi N1.
Agencija je utvrdila da je hotel “u prekomjernom opsegu obrađivao osobne podatke” gostiju tako što ih je prilikom rezervacije smještaja putem online obrasca tražio kopiju osobnog dokumenta, ali i CVC broja s bankovne kartice. Radi se o broju s poleđine kartice koji se koristi za potvrdu transakcije kod internetskih plaćanja.
Hotel je tražio broj s bankovne kartice, iako je nepotreban za rezervaciju
“Za obradu CVC broja bankovne kartice i preslike osobnog dokumenta nije dokazano postojanje pravne osnove, čime je povrijeđen članak 6. stavak 1. Opće uredbe o zaštiti podataka. Hotel nije imao obvezu prikupljati CVC broj s bankovne kartice osoba koje su izvršile rezervaciju smještajne jedince, s obzirom na to da je rezervacija smještaja bila moguća i bez dostavljanja predmetnog podatka”, navodi se u objavi Agencije.
Osim toga, utvrdili su da hotel nije na transparentan način informirao goste on obradi njihovih osobnih podataka.
- Imajući u vidu odredbe propisa kojima je regulirana zaštita osobnih podataka, hotel je bio dužan informirati gosta koje vrste osobnih podataka u koju svrhu prikuplja, pravnu osnovu obrade osobnih podataka, na koji način se koriste osobni podaci, odnosno tko koristi osobne podatke te koje su mjere zaštite osobnih podataka poduzete. Sve informacije o obradi osobnih podataka, hotel je bio dužan pružiti u sažetom, razumljivom i lako dostupnom obliku, upotrebom jasnog i jednostavnog jezika te je bio dužan upoznati ispitanika sa svim njegovim pravima koja mu pripadaju sukladno Općoj uredbi o zaštiti podataka - navodi se.
Hotel koji se našao na udaru Agencije za zaštitu podataka, a kojeg je prijavio građanin, imao je više mogućnosti rezervacije smještaja. Moglo se rezervirati putem internetskog obrasca ili elektroničke pošte, uz napomenu da se tim putem vrši samo rezervacija, ali ne i naplata.
Kako navode iz Agencije, prilikom rezervacije putem internetskog obrasca bilo je potrebno upisati osobne podatke gosta, odnosno ime, prezime, adresu elektroničke pošte i adresu te financijske podatke (broj kartice, datum i godina do kada vrijedi kartica, CVC broj te ime vlasnika kartice.
I.B.