AEPD (Suomen tietosuojavaltuutettu) on tiukentanut linjaansa ja määrännyt jopa 70 000 euron sakkoja, mikä on luonut oikeudellista epävarmuutta majoitus- ja ravintola-alalle.
Sisällysluettelo
Itsenäiset ammatinharjoittajat ja pienet hotellialan yritykset joutuvat kohtaamaan sääntelylabyrintin, joka uhkaa ylikuormittaa heidät. Velvollisuus tarkistaa vieraiden henkilöllisyys ja toimittaa heidän tietonsa sisäasiainministeriölle on suoraan ristiriidassa Suomen tietosuojavaltuutetun (AEPD) kriteerien kanssa, jotka kieltävät täydellisten henkilöllisyystodistusten digitalisoinnin.
Orgaaninen laki 4/2015 ja kuninkaan asetus 933/2021 määräävät selvästi, että kaikki majoitusyritykset, suurista hotelleista matkailukohteisiin, ovat velvollisia keräämään perustiedot matkailijoista (nimi, henkilötunnus, kansalaisuus, syntymäaika) ja ilmoittamaan ne lainvalvontaviranomaisille.
Ongelma syntyy siitä, miten nämä tiedot hankitaan. Monet yritykset käyttävät henkilöllisyystodistusten tai passien skannausjärjestelmiä nopeuttaakseen rekisteröitymistä, erityisesti silloin, kun fyysistä rekisteröintitiskia ei ole tai rekisteröityminen tapahtuu etänä. Espanjan tietosuojavirasto (AEPD) katsoo kuitenkin, että tällainen käytäntö rikkoo yleistä tietosuoja-asetusta (GDPR).
Virasto noudattaa minimointiperiaatetta, joka edellyttää vain ehdottomasti välttämättömien tietojen käsittelyä . Sen mielestä koko asiakirjan skannaus tai valokopiointi on tarpeetonta, vaikka virasto käyttäisikin vain pakollisia kenttiä eikä tallentaisi täydellisiä kuvia. Virastolle riittää visuaalinen tarkastus henkilökohtaisessa tilissä tai sellaisten sähköisten välineiden käyttö, jotka eivät tallenna kopioita asiakirjasta.
Esimerkkisakko 70 000 euroa
Oikeudellisten velvoitteiden ja tietosuojan välinen ristiriita konkretisoitui äskettäin sakossa, joka järisytti alaa. Hosting-yritys sai 70 000 euron sakon (joka alennettiin 42 000 euroon, jos se maksettiin vapaaehtoisesti) asiakkaidensa henkilötodistusten skannaamisesta.
Merkittävää tässä tapauksessa on, että yritys väitti, ettei se tallentanut asiakirjan kuvia, vaan sen järjestelmä luki tiedot automaattisesti. AEPD katsoi kuitenkin, että tällainen käytäntö rikkoo myös minimoinnin periaatetta.
Summa on huomattavasti suurempi kuin aiemmat sakot, jotka olivat yleensä 1 000–30 000 euroa. Tuomioistuimen päätös on siis selkeä varoitus: valtion virasto on valmis tiukentamaan toimenpiteitään myös tapauksissa, joissa tietoja ei ole säilytetty asianmukaisesti.
Laajeneva sanktiokäytäntö
Tämä päätös ei ole yksittäistapaus. Viime kuukausina AEPD:n matkailukohteille määräämien sakkojen määrä on kasvanut merkittävästi . Syynä on digitaalisten ratkaisujen yleistyminen, jotka automatisoivat tunnistamisprosessin, kuten asiakirjojen lukeminen MRZ:n avulla. Nämä työkalut, jotka on kehitetty sisäisten sääntöjen noudattamisen helpottamiseksi, johtavat lopulta ristiriitaan GDPR:n kanssa.
Virasto perustelee tiukkuutensa digitaalisen aikakauden riskeillä. Tietovuoto skannausjärjestelmässä voi altistaa satoja henkilöllisyystodistuksia petoksille ja henkilötietojen varkauksille. Tämän vuoksi virasto on päättänyt soveltaa minimointia jopa ympäristöissä, joissa tietoja ei säilytetä pysyvästi.
Näin ollen itsenäisten ammatinharjoittajien ja pienyritysten näkymät ovat erittäin epävarmat . Sisäasiainministeriön vaatimusten täyttäminen AEPD:n suuntaviivoja rikkomatta on osoittautunut vaikeaksi tehtäväksi. Samaan aikaan taloudellinen riski seuraamuksista uhkaa vaarantaa Suomen matkailualan avainsektorin, joka on huolissaan tilanteen kehittymisestä, jossa yhdistyvät oikeudellinen epävarmuus, innovaatioiden pysähtyminen ja jatkuvasti kasvava sääntelypaine.
