Hotel chce zeskanować Twój dowód. Masz prawo odmówić.
Share
Praktyka powszechna nie oznacza praktyki legalnej. Skanowanie dowodu osobistego przez hotel to jeden z najczęstszych przykładów przetwarzania danych które odbywa się bo "zawsze tak robiliśmy" – nie dlatego że prawo na to pozwala.
Znasz ten moment.
Przyjeżdżasz do hotelu. Recepcjonista wyciąga rękę po dowód. Ty podajesz. On lub ona kładzie go na skanerze. Słyszysz charakterystyczny dźwięk. Dokument wraca do Ciebie.
Nikt nie pyta o zgodę. Nikt nie tłumaczy po co. Ty nie pytasz bo wszyscy tak robią i nie chcesz robić sceny po długiej podróży.
Właśnie oddałeś kopię dokumentu który zawiera Twoje imię, nazwisko, adres, datę urodzenia, numer PESEL, numer dokumentu i wizerunek – do bazy danych hotelu. Bez podstawy prawnej. Bez informacji co się z tym dalej dzieje. Bez wiedzy jak długo będzie przechowywane.
I to się dzieje w setkach hoteli każdego dnia - nie tylko w Polsce bo u nas zaczęliśmy być wyczuleni.
Co hotel faktycznie musi zebrać – i dlaczego skan to za dużo
Polskie prawo nakłada na hotele obowiązek meldunkowy wynikający z ustawy o ewidencji ludności. To jest realna podstawa prawna do przetwarzania części Twoich danych.
Część – nie wszystkich.
Do wypełnienia obowiązku meldunkowego hotel potrzebuje: imienia, nazwiska, adresu zamieszkania i numeru PESEL. Może też zbierać dane kontaktowe jak email czy telefon – do celów rezerwacji i obsługi pobytu. Jeśli chce chronić swoje roszczenia na wypadek szkód – numer dokumentu tożsamości jako element identyfikacji.
To wszystko.
Skan dowodu osobistego zawiera znacznie więcej. Zawiera Twój wizerunek. Zawiera serię i numer dokumentu. Zawiera miejsce wydania. Zawiera kod MRZ na odwrocie który w jednej linii koduje Twoje podstawowe dane w formacie który systemy mogą automatycznie odczytywać.
Żaden z tych dodatkowych elementów nie jest potrzebny do zameldowania gościa w hotelu. Żaden nie ma podstawy prawnej w ustawie o ewidencji ludności. Żaden nie przechodzi testu minimalizacji danych z art. 5 RODO.
Hotel który skanuje dowód zbiera więcej niż potrzebuje. To jest naruszenie zasady minimalizacji danych. Kropka.
"Ale wszyscy tak robią"
Tak. I to jest dokładnie ten argument który pada gdy ktoś próbuje uzasadnić praktykę która nie ma podstaw prawnych.
Powszechność praktyki nie tworzy jej legalności. Gdyby tak było to UODO nie miałby czego karać – a karze regularnie właśnie za "powszechne praktyki" które okazują się niezgodne z RODO.
Skanowanie dowodów osobistych w hotelach to relikt czasów gdy nikt jeszcze nie rozumiał co RODO oznacza w praktyce. Recepcja dostała skaner bo "będzie szybciej." IT podłączyło go do systemu bo "tak kazał manager." Manager kazał bo "konkurencja też tak robi." Nikt nie zapytał prawnego. Prawny nie był pytany.
Osiem lat po wejściu RODO w życie ta procedura nadal działa w większości polskich hoteli. Nie dlatego że jest legalna. Dlatego że nikt jej nie zakwestionował wystarczająco głośno.
Co konkretnie grozi hotelowi
Przetwarzanie danych bez podstawy prawnej lub w zakresie przekraczającym cel przetwarzania to naruszenie art. 5 i 6 RODO. Za takie naruszenia UODO może nałożyć karę do 20 milionów euro lub 4% globalnego rocznego obrotu – w zależności które jest wyższe.
Wątpię by w praktyce skończyło się tak wysoką karą, raczej pouczeniem i nakazem usunięcia wszystkich skanów - ale większe hotele o sporym obrocie się tak łatwo nie wybronią.
Do tego dochodzi ryzyko wycieku. Baza skanów dowodów osobistych to dla cyberprzestępców złoto. Zawiera kompletne dane do kradzieży tożsamości – imię, nazwisko, PESEL, numer dokumentu, wizerunek. Jeden skuteczny atak ransomware na serwer hotelu i te dane są w dark webie.
Hotel który je przechowuje bez podstawy prawnej jest za nie odpowiedzialny podwójnie – raz za nielegalne zebranie, drugi raz za niedostateczne zabezpieczenie.
Jak zachować się w recepcji – praktycznie
Masz prawo zapytać o podstawę prawną przetwarzania danych. To nie jest prowokacja ani roszczeniowość – to uprawnienie z art. 13 RODO które hotel ma obowiązek zrealizować.
Wystarczy jedno zdanie: "Na jakiej podstawie prawnej skanujecie mój dowód?"
Jeśli recepcjonista nie zna odpowiedzi – to już jest informacja. Jeśli odpowiada "bo zawsze tak robimy" albo "takie są procedury" – to nie jest podstawa prawna.
Masz prawo odmówić skanowania i zaproponować alternatywę: okazanie dokumentu do wglądu i ręczne wpisanie niezbędnych danych. Hotel ma obowiązek tę alternatywę przyjąć – bo nie ma podstawy prawnej żeby wymagać od Ciebie czegoś więcej.
Jeśli hotel odmawia zameldowania bez skanu – możesz złożyć skargę do UODO. To nie jest skomplikowane: formularz online na stronie urzędu, opis sytuacji i dane hotelu. UODO prowadzi postępowania w takich sprawach.
Dla właścicieli i managerów hoteli
Jeśli Twój hotel skanuje dowody osobistego gości – to jest dobry moment żeby sprawdzić czy procedura ma podstawę prawną i czy jest udokumentowana w rejestrze czynności przetwarzania.
Pytania które warto sobie zadać: na jakiej podstawie prawnej zbieramy skan a nie tylko wgląd w dokument, jak długo przechowujemy skany i czy mamy określony okres retencji, kto ma dostęp do tych danych i czy jest zabezpieczona baza na wypadek ataku, czy mamy umowę powierzenia z systemem do którego trafiają skany.
Jeśli na żadne z tych pytań nie znasz odpowiedzi – procedura działa na zasadzie "zawsze tak robiliśmy" i jest tylko kwestią czasu zanim ktoś to zakwestionuje.
Lepiej zakwestionować to samemu zanim zrobi to gość z prawniczym wykształceniem albo inspektor UODO z legitymacją.
Podsumowanie
Hotele mają obowiązek meldunkowy. Nie mają prawa do skanowania Twojego dowodu osobistego.
Okazanie dokumentu do wglądu jest wystarczające. Kopia – zarówno papierowa jak i elektroniczna – wymaga podstawy prawnej której w standardowej procedurze meldunkowej po prostu nie ma.
Następnym razem gdy recepcja wyciągnie rękę po Twój dowód i skieruje go w stronę skanera – wiesz co powiedzieć.
I wiesz że masz rację.
Artykuł powstał przy wsparciu AI. Weryfikacja merytoryczna i redakcja: Damian Bielecki, Typ od RODO. Jest to odnowiona wersja 2.0 starego artykułu.