De Europese Commissie (EC) heeft een inbreukdossier geopend tegen Spanje voor de registratie van reizigers, waarmee hij dwingt toeristische accommodatiebedrijf en van autoverhuur om een lijst samen te stellen met diepgaande gegevens over de klanten die verblijven.
Deze gegevens worden in realtime geregistreerd (ze moeten bij elke nieuwe klant onmiddellijk worden bijgewerkt). naar het ministerie van Binnenlandse Zaken worden gestuurd en informatie bevatten zoals betalingsgegevens, de gebruikelijke verblijfplaats van de gast, het aantal reizigers in de reservering en de in- en uitstaptijden.
Nu heeft het supranationale orgaan verduidelijkt dat de Spaanse regelgeving, die in december 2024 van kracht werd, is in strijd met de gegevensbescherming in het Europese kader. Hiermee sluit de commissie zich aan bij de representatieve organisaties van de sector, die al sinds de inwerkingtreding van de norm afgelopen december 2024 voor dit probleem waarschuwden.
- De Europese Commissie wijst erop dat de opgeslagen gegevens excessief zijn
- Representatieve organisaties uit de sector vragen om aanpassing van het systeem om gegevens te verzamelen
- De straffen voor het niet naleven van de gegevensbescherming zijn groter dan voor het niet naleven van de registratie
De Europese Commissie wijst erop dat de opgeslagen gegevens excessief zijn
Onder de door de EC genoemde argumenten om de procedure te openen, verduidelijkt de entiteit dat de categorieën persoonlijke gegevens worden verzameld en opgeslagen “zijn buitensporig vanwege de verscheidenheid aan datasets, waaronder betalings- en GPS-gegevens.”
Regelgeving inzake gegevensbescherming vereist dat gegevens op een proportionele manier en voor een specifiek, expliciet en legitiem doel worden verzameld. Maar de commissie merkt dat ook op Ook de toegang van de politie tot deze gegevens voldoet niet aan dit beginsel.
Daarnaast bewaart de overheid de opgeslagen gegevens voor een periode van drie jaar, nog een aspect waar de Europese autoriteiten het ook niet mee eens zijn, aangezien dit wel het geval is “een onevenredige tijdsduur.”
Dit alles is in strijd met de Europese richtlijn gegevensbescherming (Richtlijn (EU) 2016/680), wat heeft geleid tot het sturen van een aanmaningsbrief naar Spanje, waarin de opening van het inbreukdossier wordt aangegeven. Door het te verzenden, geeft u aan Spanje een periode van twee maanden om te reageren en de aspecten die verandering behoeven te corrigeren.
Het niet naleven van deze EU-vereiste kan ertoe leiden dat de commissie een met redenen omkleed advies uitbrengt. Dit zou een tweede fase in de inbreukprocedure inluiden waarin Spanje moet voldoen aan wat de richtlijn vereist. alvorens de zaak voor te leggen aan het Hooggerechtshof van de EU (HvJ-EU).
Representatieve organisaties uit de sector vragen om aanpassing van het systeem om gegevens te verzamelen
Naar aanleiding van de aankondiging uit Brussel vraagt de Spaanse Confederatie van Hotels en Toeristische Accommodaties (CEHAT). de onmiddellijke intrekking van Koninklijk Besluit 933/2021 dat de registratie regelt en de opening van een dialoogtafel met de uitvoerende macht om de situatie aan te pakken.
Zoals Ramón Estatella, algemeen secretaris van CEHAT, aan dit medium, de sector, uitlegde Hij probeert al enige tijd met het ministerie de kwestie te bespreken, maar zonder succes. nadat de regelgeving ‘achter de rug van de sector’ was goedgekeurd.
De nieuwe verplichting verhoogt niet alleen de werkdruk voor bedrijven in de sector, maar zorgt er feitelijk ook voor dat is in strijd met de regelgeving inzake gegevensbescherming, zoals zij al lange tijd aan de kaak stellen.
Bovendien oordeelde het HvJ-EU ook dat de overdracht van privé-informatie strikt beperkt moet blijven tot wat noodzakelijk is beperkt blijven tot “specifieke, concrete en gerechtvaardigde” gevallen waarbij sprake is van een reële verdenking van ernstige criminaliteit. “Het zonder onderscheid doorsturen van gegevens naar de autoriteiten is illegaal in de EU. Er is geen land in de unie waar de autoriteiten, door de nacht in een hotel door te brengen, ervan op de hoogte worden gebracht dat die persoon daar is. Dat is illegaal in de EU, behalve in het geval van een ernstige terroristische waarschuwing”, benadrukt Estatella.
Om schendingen van de gegevensbescherming te voorkomen, hebben de werkgevers in de sector op zijn minst gevraagd: een procedurewijziging om te voldoen aan de overdracht van informatie aan het ministerie.
Concreet vereist CEHAT de installatie van apparaten om identiteitskaarten of paspoorten te lezen, die rechtstreeks verbonden waren met het ministerie van Binnenlandse Zaken, zodat ze de gegevens niet hoefden op te slaan. Op deze manier ze zouden elk cyberveiligheidsrisico kunnen vermijden.
Op dezelfde manier hebben de huisvestingswerkgevers in het koninklijk besluit andere “ernstige structurele tekortkomingen” aan de kaak gesteld. Onder hen beweren zij een toename van de administratieve lasten voor bedrijven in de “onevenredige” sector bestraft het concurrentievermogen van de kleintjes, en een groot gebrek aan kennis van de werking bij het ministerie. “Het is ontwikkeld zonder rekening te houden met de dagelijkse managementsystemen van hotel- en accommodatiebedrijven.”
De straffen voor het niet naleven van de gegevensbescherming zijn groter dan voor het niet naleven van de registratie
Paradoxaal genoeg zijn de straffen voor het overtreden van de gegevensbeschermingsregels hoger dan de straffen die het ministerie heeft vastgesteld voor het niet registreren van reizigers. die op hun maximale niveau 30.000 euro bereiken.
Echter, de Algemene Verordening Gegevensbescherming (AVG) boetes 40.000 euro bereiken, in zijn milde mate; de 300.000 euro, in zijn ernstige mate, en de 20 miljoen euro (of 4% van het jaarlijkse bedrijfsvolume), als ze zeer ernstig zijn.
