Bryssel avslutar den obligatoriska resenärregistreringen för små och medelstora turistföretag för brott mot dataskyddet

Europeiska kommissionen (EG) har öppnat en intrångsakt mot Spanien för registrering av resenärer, med vilket han tvingar turistboendeverksamhet och från biluthyrning för att sammanställa en lista med djupgående data om de kunder som stannar.

Denna data registreras i realtid (den måste uppdateras omedelbart med varje ny klient) till skickas till inrikesministeriet och inkludera information som t.ex betalningsinformation, gästens vanliga bostad, antalet resenärer i bokningen och in- och utpasseringstiderna.

Nu har det överstatliga organet klargjort att de spanska reglerna, som trädde i kraft i december 2024, bryter mot dataskyddet i den europeiska ramen. Med detta håller kommissionen med de representativa organisationerna för sektorn, som hade varnat för detta problem sedan standarden trädde i kraft i december 2024.

  1. EU-kommissionen påpekar att de lagrade uppgifterna är överdrivna
  2. Representativa organisationer inom sektorn begär att systemet för insamling av data ändras
  3. Påföljderna för att inte följa dataskyddet är större än för att inte följa registreringen

EU-kommissionen påpekar att de lagrade uppgifterna är överdrivna

Bland de argument som EG nämner för att inleda förfarandet klargör enheten att kategorierna av personuppgifter som samlas in och lagras ”är överdrivna, på grund av mängden datauppsättningar, inklusive betalnings- och GPS-data.”

Dataskyddsbestämmelser kräver att uppgifter samlas in på ett proportionerligt sätt och för ett specifikt, uttryckligt och legitimt syfte. Det konstaterar dock kommissionen också Polismyndigheternas tillgång till dessa uppgifter följer inte heller denna princip.

Dessutom kommer regeringen att behålla de lagrade uppgifterna under en period av tre år, en annan aspekt som de europeiska myndigheterna inte heller håller med om, med tanke på att det är det ”en oproportionerlig tidsperiod.”

Allt detta bryter mot det europeiska dataskyddsdirektivet (direktivet (EU) 2016/680), vilket leder till att ett formell underrättelse skickas till Spanien som anger öppnandet av intrångsfilen. Genom att skicka det ger du till Spanien en period på två månader för att svara och korrigera de aspekter som behöver ändras.

Underlåtenhet att följa detta EU-krav kan leda till att kommissionen avger ett motiverat yttrande. Detta skulle inleda en andra fas i överträdelseförfarandet för Spanien för att följa vad direktivet kräver, innan fallet togs till EU:s högsta domstol (EU-domstolen).

Bryssel lämnar in ett mål mot Spanien för registrering av resenärer för turistinkvarteringsföretag.

Representativa organisationer inom sektorn begär att systemet för insamling av data ändras

Efter tillkännagivandet från Bryssel frågar den spanska federationen för hotell och turistboenden (CEHAT) det omedelbara upphävandet av kunglig förordning 933/2021 som reglerar registreringen och öppnandet av ett dialogbord med ledningen för att ta itu med situationen.

Vill du hålla dig uppdaterad med sådana här nyheter?

Prenumerera på vårt nyhetsbrev för att bli informerad om allt som påverkar ditt företag.

Som Ramón Estatella, generalsekreterare för CEHAT, förklarade för detta medium, sektorn Han har försökt träffa ministeriet för att diskutera frågan under en tid utan framgång, efter att reglerna godkändes ”bakom ryggen på sektorn.”

Den nya skyldigheten ökar inte bara arbetsbelastningen för företag inom sektorn, utan också bryter mot dataskyddsbestämmelser, som de har fördömt under lång tid.

Vidare slog EU-domstolen fast att överföringen av privat information strikt måste begränsas till vad som är nödvändigt och begränsas till ”specifika, konkreta och motiverade” fall under verklig misstanke om grov brottslighet. ”Att skicka data urskillningslöst till myndigheterna är olagligt i EU. Det finns inget land i unionen där myndigheterna, genom att övernatta på ett hotell, informeras om att den personen är där. Det är olagligt i EU, förutom i fallet med en allvarlig terroristlarm”, framhöll Estatella.

För att undvika brott mot dataskyddet har sektorns arbetsgivare frågat åtminstone, en förändring av förfarandet att följa informationsöverföringen till departementet.

Specifikt kräver CEHAT installation av enheter för att läsa ID-kort eller pass, som var direkt kopplade till inrikesministeriet för att inte behöva lagra uppgifterna. På detta sätt, de skulle kunna undvika cybersäkerhetsrisker.

På samma sätt har boendearbetsgivarna fördömt andra ”allvarliga strukturella misslyckanden” i det kungliga dekretet. Bland dem hävdar de en ökning av den administrativa bördan för företag i den ”oproportionerliga” sektorn, vilket straffar de smås konkurrenskraft, och stor bristande kunskap om verksamheten från departementets sida. ”Den utvecklades utan att ignorera de dagliga ledningssystemen för hotell- och logianläggningar.”

Påföljderna för att inte följa dataskyddet är större än för att inte följa registreringen

Paradoxalt nog är straffen för brott mot dataskyddsbestämmelserna högre än de som fastställts av ministeriet för att inte registrera resenärer, som når 30 000 euro på sin högsta nivå.

Däremot böter General Data Protection Regulation (GDPR) böter nå 40 000 euro, i sin milda grad; de 300 000 euro, i sin allvarliga grad, och de 20 miljoner euro (eller 4 % av den årliga affärsvolymen), om de är mycket allvarliga.

Freja
Freja

Jag heter Freja och är redaktör på Dagoja, där jag specialiserar mig på sysselsättningsnyheter och innovation. Med tio års erfarenhet inom journalistik erbjuder jag ingående analyser av arbetsmarknadstrender och påverkan av framväxande teknologier. Passionerad av professionell empowerment, strävar jag efter att ge strategisk information för att hjälpa våra läsare att lyckas i sina karriärer.