КЗЛД отхвърли жалба срещу винарска изба

Комисията за защита на личните данни публикува в бюлетина си за месец юли няколко решения, с които оставя без уважение като неоснователни жалби от различни граждани.

Следващата жалба, отхвърлена от Комисията за защита на личните данни, е подадена от И.М. срещу „С.Т.“ ЕООД – (Винарска изба С.). При посещение на комплекс С. (Винарска изба С.) за регистрация в комплекса са поискани личните карти на жалбоподателката и нейния съпруг. В жалбата е посочено, че трите имена и номера на стаята фигурират в касовия бон, издаден от ресторанта. Госпожа М. сочи, че при резервацията по телефона, не е казвала бащиното си име, както и че при регистрацията на рецепция в хотела не е попълвала каквито и да било документи. В жалбата се излагат твърдения, че за регистрацията в хотела, личните карти на гостите се поставят в „електронен четец“, без тяхното изрично съгласие за това действие. Г-жа М. счита, че не би следвало данните от личните карти на гостите да се копират дигитално, както и че не ѝ е известно кои данни се копират и колко време се съхраняват. Моли за разследване по случая.

От „С.Т.“ ЕООД информират, че дружеството е администратор на лични данни във връзка с извършване на дейност по предоставяне на туристически и хотелиерски услуги в обект „Комплекс за винен и СПА туризъм С.“, находящ се в с. С., община Х., област П. и обработват личните данни на физическите лица за цели, предвидени в политиките и във вътрешните правила на дружеството, които в зависимост на правното основание за обработване, могат да бъдат: цели, свързани със спазване на законови задължения на дружеството при предлагане на туристически и хотелиерски услуги, предмет на основаната дейност; цели свързани с и/или необходими за изпълнението на договорите, сключвани с дружеството, или за предприемане са стъпки по искане на субекта на данните преди сключването на договора; цели на легитимния (законов) интерес на дружеството или на трети лица, цели, за които субектът на данни е дал съгласие за обработването.

По отношение на твърденията на жалбоподателката за извършено дигитално копиране на личната карата е обяснено, че не е извършвано дигитално копиране на личните карти, а посредством четец са снети обемът от лични данни, необходими за администриране на регистрация и завеждане в клиентски регистър при настаняване, като е обяснено, че това е процес на идентифициране и регистриране на клиенти, като начините да се въвеждат данни в клиентския регистър за настаняване на гости в хотела са два: чрез прочитане на данни чрез електронен четец на личния документ и завеждане в клиентски регистър и чрез ръчно въвеждане на данните от хартиен носител в информационната на система на хотелския комплекс. Информират, че информационните системи за обслужване на хотели са проектирани така, че да може бързо да се пренася информация от личния документ, чрез четящото устройство към клиентския регистър и е обект на техническите и организационни мерки за защита на личните данни, с оглед невъзможността на други клиенти да виждат личния документ, докато се чете информацията от него.

По отношение на твърденията на жалбоподателката, че не ѝ е поискано съгласието за обработване на лични данни се аргументират, че дружеството събира и обработва личните данни при изпълнение на законово задължение. Аргументират се и че в практическите насоки, публикувани на страницата на КЗЛД, ясно са посочени случаите, при които не се изисква съгласие за обработване на личните данни.

Комисията е установила, че дружеството е утвърдило следните документи: Политика на „С.Т.” ЕООД за защита на данните относно персонала; Политика за поверителност за защита на личните данни съгласно ОРЗД; Политика на сайт за поверителност за защита на лични данни съгласно ОРЗД; Процедура по подаване на заявления във връзка с лични данни; Правилник-Програма за прилагане на технически и организационни мерки за защита на личните данни в „С.Т.” ЕООД; Мерки за прилагане на технически и организационни мерки в изпълнение на изискванията на ОРЗД; Правилник за прилагане на мерките по ОРЗД; Процедура за условията и реда за даване на съгласия от клиенти- субекти на данни; Процедура за условията и реда за даване на съгласия от кандидати за работа и служители; Процедура за оценка на въздействието върху защита на данните и др.; Информация за клиенти съгласно чл. 13 и чл. 14 от ОРЗД, за предоставяне на лични данни при регистрация на клиенти; Информация за извършване на видеонаблюдение и данни за администратора на лични данни.

При ползвани от клиентите услуги, предоставени им в комплекса, като хранения в ресторантите, консумация на баровете, ползване на SPA услуги и други се попълва „Сметка за стая – служебен бон“ – документ, който удостоверява, че конкретен клиент с наета от него конкретна стая е ползвал цитираните по-горе услуги и е пожелал да бъдат прехвърлени задълженията (отложени плащания) към общата сметка за спане (пребиваване). Нареждането е персонално и се удостоверява с подпис на клиента, който се подписва под името си. По тази причина на посочения документ се изписват трите имената на клиента за идентификация (прочетени от личната карта) на това кой ползва и какво ползва, като това се верифицира с подпис. Въпросният документ  „Сметка за стая – служебен бон“ се издава в два екземпляра, като единият се дава на клиента, като потвърждение за прехвърляне на задължението му към сметката за пребиваване, а другият подписан екземпляр се депозира на Рецепцията като основание при калкулиране на крайната сума за плащане при напускане на хотела, след което се унищожава съгласно правилника за прилагане на Политиката за поверителност и Вътрешните правила. След въвеждане на данните в електронната система, документът за самоличност се връща на клиента/госта без да се снема копие от него на хартиен и/или електронен носител.

По време на проверката проверяващия екип не установява наличие на копия на документи за самоличност.

На видно място на рецепцията на хотела са поставени информационни табели с необходимото съдържание, съгласно изискванията за предоставяне на информация на субекта на данни в момента на получаване на лични данни по чл. 13 от Общия Регламент за защита на личните данни (ОРЗД).

Текстовете са съобразени с изискванията на ОРЗД и дават подробна информация за целите и необходимостта от обработване на лични данни и сроковете за съхранение, в изпълнение на законовите задължения на дружеството при осъществяване на основната си дейност.

Констатирано е, че за целите на превантивна охранителна дейност, „С.Т.” ЕООД е изградило система за видеонаблюдение. Проверяващият екип установи, че на видни за всички посетители на търговския обект места има поставени информационни табели, предупреждаващи за осъществяваното видеонаблюдение.

Установи се, че за администратора „С.Т.“ ЕООД е налице нормативно установено задължение за водене на регистър и съгласно разпоредбата на чл. 116 от Закона за туризма, „лицата, извършващи хотелиерство, водят регистър за настанените туристи със съдържание на данните, утвърдени от министъра на туризма и публикувани на интернет страницата на Министерството на туризма“. Извършена е служебна справка в сайта на министерство на туризма, при която са установени необходимите реквизити за водене на регистъра.

Предвид изложеното следва, че за администратора „С.Т.“ ЕООД е налице нормативно установено задължение за обработването на личните данни на жалбоподателката, на основание разпоредбата на чл. 6, пар. 1, б. „в“ от Регламент (ЕС) 2016/679, във връзка с чл. 116, ал. 2 от ЗТ, във връзка с чл. 23, ал. 3 и 4 от Закона за чужденците в Република България. Предвид предоставените като доказателства от администратора, политика за защита на личните данни, както и вътрешни правила, свързани с процеса на работа на администратора, следва, че обработването се извършва в съответствие с принципите за обработване на лични данни, регламентирани с разпоредбата на чл. 5, пар.1 от Регламента.

Предвид горното, на основание чл. 10, ал. 1 от Закона за защита на личните данни във връзка с чл. 57, § 1, б. „е“ от Регламента и чл. 38, ал. 3 от Закона за защита на личните данни, Комисията се произнесе със следното

РЕШЕНИЕ:

Оставя без уважение, като неоснователна жалба с рег. № ПП Н-01-608/23.07.2018 г., подадена от И.М. срещу „С.Т.“ ЕООД.

Решението подлежи на обжалване в 14-дневен срок от връчването му, чрез Комисията за защита на личните данни пред административния съд по смисъла на чл. 133, ал. 1 и ал. 2 от АПК.

Можете да споделите: