GDPR and gastregistratie in EU

Spanje is wel EU, dat maakt het al een stuk makkelijker.
Registreren van ID, naam, en land van herkomst is normaal, maar je mag bij die ID geen BSN registreren (die heb je nergens voor nodig).

In de basis geldt AVG/GDRP-technisch dat je moet kunnen verantwoorden waarom je persoonsgegevens nodig hebt, het feit dat 'jouw' overheid het verplicht is een goede verantwoording. Bijzondere persoonsgegevens (zoals politieke/religieuze/seksuele voorkeur) mag dan weer niet, en een BSN mag eigenlijk niemand opslaan behalve organisaties die voor een Nederlander zaken doen met de Nederlandse overheid, maar de basis persoonsgegevens kun je prima onderbouwen.

In het kort is GDPR:

• je mag persoonsgegevens verzamelen als je daarvoor een gerechtvaardigd belang hebt.

De vraag is heb jij dit belang? Als jij die gegevens verplicht moet delen met een overheidsinstantie lijkt mij dat wel.

Ik ben in grote delen van Europa bijna geen land tegengekomen waar een hotel géén onafgeschermden kopie van je ID/rijbewijs/paspoort wil maken. Alleen Portugal zal het een rotzorg wezen wie je bent.

En ja, dat zijn belachelijke praktijken die de deur openzetten voor identiteitsfraude.

[ Voor 3% gewijzigd door CodeCaster op 05-02-2024 09:44 ]

True schreef op maandag 5 februari 2024 @ 09:38:
In het kort is GDPR:

• je mag persoonsgegevens verzamelen als je daarvoor een gerechtvaardigd belang hebt.

Dat is slechts 1 van de 6 mogelijke grondslagen. In dit geval is de grondslag 'wettelijke verplichting' waarschijnlijk veel relevanter.

Uiteindelijk hangt het af van wat er precies in de Spaanse wetgeving staat. Als daar inderdaad in staat dat je deze gegevens moet verzamelen en moet afstaan, dan zul je daarmee een grondslag hebben onder de AVG.

Op veel plekken ben je verplicht een registratie van "bezoekers" door te geven. In Spanje lijkt dat de Ley Orgánica 4/2015, de 30 de marzo, de protección de la seguridad ciudadana te zijn.

Je moet dus datgene verwerken wat je nodig hebt om aan lokale wet- en regelgeving te voldoen (artikel 6.1c GDPR, grondslag wettelijke verplichting). Volgens het principe van dataminimalisatie moet je er wel voor zorgen dat je niet méér verwerkt dan dat: een Spaans hotel heeft onlangs een boete van €20k gehad voor het onrechtmatig scannen van volledige paspoorten.

Of je het nationale ID mag gebruiken, ligt aan de lokale wetgeving (zie artikel 87 AVG).

TMDC schreef op maandag 5 februari 2024 @ 09:49:
Op veel plekken ben je verplicht een registratie van "bezoekers" door te geven. In Spanje lijkt dat de Ley Orgánica 4/2015, de 30 de marzo, de protección de la seguridad ciudadana te zijn.

Je moet dus datgene verwerken wat je nodig hebt om aan lokale wet- en regelgeving te voldoen (artikel 6.1c GDPR, grondslag wettelijke verplichting). Volgens het principe van dataminimalisatie moet je er wel voor zorgen dat je niet méér verwerkt dan dat: een Spaans hotel heeft onlangs een boete van €20k gehad voor het onrechtmatig scannen van volledige paspoorten.

Of je het nationale ID mag gebruiken, ligt aan de lokale wetgeving (zie artikel 87 AVG).

In dat geval gaat het om een hotel dat vervolgens zelfs die scans behield en verder bleef gebruiken en deze doorgaf aan hun personeel om de klanten te herkennen... dat mag dan dus niet.

als de lokale regels voorschrijven dat de eigenaar van het hotel wel bv deze gegevens van de klant moet vragen en registreren in een bepaald systeem van de overheid moeten ze dat doen, maar moet de hoteleigenaar vervolgens zelf de betreffende documenten verwijderen en mag deze er niet verder gebruik van maken...

Het is dus geen grond een gehaat systeem te gaan boycotteren maar tevens maakt een hoteluitbater zich strafbaar als het bv op zijn lokale computer de gevraagde documenten zelf ook laat staan en deze niet verwijderd nadat ze ingevoerd zijn n dat externe systeem

RM-rf schreef op maandag 5 februari 2024 @ 09:55:
[...]

Het is dus geen grond een gehaat systeem te gaan boycotteren maar tevens maakt een hoteluitbater zich strafbaar als het bv op zijn lokale computer de gevraagde documenten zelf ook laat staan en deze niet verwijderd nadat ze ingevoerd zijn n dat externe systeem

Het is belangrijk inderdaad heel precies te lezen.

1. De GDPR maakt uitdrukkelijk uitzonderingen voor dit soort situaties, waarbij je wel persoonsinfo mag opslaan. Dit geld voor allerhande contracten, dus ook toeristische (een overnachting boeken is een contract afsluiten).
2. De persoonlijke data staan precies omschreven. Ja, veel ervan staan op een paspoort dus die kopieren kan praktisch gezien de snelste manier zijn om eraan te komen, maar ongetwijfeld staat 'scan van paspoort' er niet tussen. Dus inderdaad, die mag je niet bewaren, iig niet langer dan dat het je duurt de info eruit te halen.
3. Bewaarduur: die is doorgaans ook precies omgeschreven. Daar moet je je dus precies aan houden.

Niemand wordt vrolijk van administratie, maar that's the cost of doing business. Moeilijk is het niet, je moet het gewoon even precies uitzoeken en je er dan precies aan houden/je eigen systeempje voor opzetten, dat als het even kan de impact van menselijke fouten minimaliseert.

Brent schreef op maandag 5 februari 2024 @ 10:34:
[...]

Het is belangrijk inderdaad heel precies te lezen.

1. De GDPR maakt uitdrukkelijk uitzonderingen voor dit soort situaties, waarbij je wel persoonsinfo mag opslaan. Dit geld voor allerhande contracten, dus ook toeristische (een overnachting boeken is een contract afsluiten).

Nee, in dit geval niet. De grondslag voor verwerking is een wettelijke verplichting, zoals hierboven al vastgesteld. Voor het uitvoeren van een contract zijn deze persoonsgegevens (zoals ID-nummer, etc) helemaal niet noodzakelijk.

TMDC schreef op maandag 5 februari 2024 @ 11:29:
[...]


Nee, in dit geval niet. De grondslag voor verwerking is een wettelijke verplichting, zoals hierboven al vastgesteld. Voor het uitvoeren van een contract zijn deze persoonsgegevens (zoals ID-nummer, etc) helemaal niet noodzakelijk.

Dat hangt van de jurisdictie af, maar vaak staan contracten gewoon te naam, en heb je dus een grondslag voor het verzamelen van die gegevens.

Maar idd, ook per jurisdictie zijn er weer eventuele extra verplichtingen, etc. etc.

De GDPR betekent iig niet: nooit persoonlijke gegevens uitvragen. Zeker wanneer je commerciële transacties gaat doen, is er al snel grondslag (en hier zelfs verplichting) voor bepaalde specifieke info.

Pinin schreef op maandag 5 februari 2024 @ 11:12:
Klopt, er staat inderdaad nergens dat ik een scan van ID of paspoort moet maken

Wat bedoel je daarmee... initieel claimde je dat dat _wel_ moest van het spaanse ministerie:

Wij hebben een B&B/hotel in Spanje en we moeten elke gast registreren in een (..) systeem van de Spaanse ministerie binnenlandse zaken. (...)
we moeten heel veel persoonlijke data verzamelen van gasten zoals ID, naam, land van herkomst etc. etc.

dan is het gewoon heel simpel, als je dat moet van het ministerie en dat moet opslaan in hun systeem is dat gewon een wettelijke plicht en moet je daaraan voldoen...

je mag echter de betreffende gegevens niet zomaar altijd voor andere zaken bewaren en verder verwerken (zeker bv scans van paspoorten en/of specifiek de pasfoto's... waar dus een spaanse hotel recentelijk een boete voor gekregen heeft)

CodeCaster schreef op maandag 5 februari 2024 @ 09:43:
Ik ben in grote delen van Europa bijna geen land tegengekomen waar een hotel géén onafgeschermden kopie van je ID/rijbewijs/paspoort wil maken. Alleen Portugal zal het een rotzorg wezen wie je bent.

En ja, dat zijn belachelijke praktijken die de deur openzetten voor identiteitsfraude.

Ik ken eerlijk gezegd maar weinig landen waar uberhaupt een kopie van je paspoort wordt gemaakt in een hotel. Ik laat mijn paspoort alleen maar zien zodat ik mijn achternaam niet hoef te spellen en als ze me gevonden hebben in het systeem krijg ik gelijk weer terug.

Frame164 schreef op dinsdag 6 februari 2024 @ 19:01:
[...]


Ik ken eerlijk gezegd maar weinig landen waar uberhaupt een kopie van je paspoort wordt gemaakt in een hotel. Ik laat mijn paspoort alleen maar zien zodat ik mijn achternaam niet hoef te spellen en als ze me gevonden hebben in het systeem krijg ik gelijk weer terug.

Dat kan. Maar ik kwam hotels niet in in onder andere Frankrijk, Italië, Oostenrijk zonder bij het inchecken m'n paspoort af te geven. En ik heb met eigen ogen gezien dat het op een kopieerapparaat werd gelegd, of dat men terugkwam met een kopietje.