De Spaanse privacytoezichthouder Agencia Española de Protección de Datos (AEPD) heeft een Spaans hotel een boete van 30.000 euro opgelegd voor het opslaan en verspreiden van pasfoto’s van hotelgasten zonder geldige grondslag. Volgens de Spaanse wet zijn hotels verplicht om de hotelgasten te registreren aan de hand van een kopie of scan van een geldig identiteitsbewijs. Het hotel is ook verplicht om de kopie of scan van het identiteitsbewijs in te nemen.
De zaak kwam aan het licht na een klacht van een Nederlandse hotelgast. De hotelgast in kwestie liet na het bestellen van een drankje zijn sleutelkaart scannen om te betalen, waarna hij zag dat de ober een scan van zijn pasfoto afkomstig van zijn paspoort te zien kreeg met naam en andere persoonsgegevens. Het hotel gebruikte de scan van de pasfoto om te controleren of de hotelgast die een bestelling deed, ook daadwerkelijk de hotelgast was, om te voorkomen dat iemand anders op diens rekening eten en drinken zou bestellen. Op het eerste gezicht misschien een slimme controlemethode, ook in het belang van de gasten. Maar het hotel had de hotelgast niet vooraf om toestemming gevraagd om de pasfoto van zijn paspoort op te slaan en te verspreiden. De Nederlandse hotelgast diende daarop een klacht in. De Spaanse toezichthouder concludeert dat het opslaan en verspreiden van een scan van de pasfoto een te zwaar controlemiddel is. Informeren naar een kamernummer van de hotelgast, eventueel in combinatie met naam, is voldoende. Het hotel moet de boete betalen en de werkwijze aanpassen.
Het gevaar van een onrechtmatige verwerking ligt ook bij Nederlandse hotels op de loer. In Nederland is het innemen van een kopie of scan van een paspoort door hotels niet toegestaan. Maar er zijn wel andere registratieverplichtingen. In dit artikel schetsen wij welke gegevens een hotel al dan niet mag registreren en hoe lang deze gegevens mogen worden bewaard.
Wettelijke registratieverplichting
Hotels zijn op grond van artikel 438 van het Wetboek van Strafrecht (Sr) verplicht om hun gasten te registreren in een zogenoemd nachtregister. In de praktijk levert dit de verplichting op voor een hotel om het identiteitsbewijs van de gast in te zien en de volgende gegevens te noteren: type identiteitsbewijs, naam, woonplaats, dag van aankomst en dag van vertrek. Een kopie of scan van het identiteitsbewijs is op grond van dit artikel niet verplicht, evenmin het overschrijven van andere persoonsgegevens uit het identiteitsbewijs. Het nachtregister is primair bedoeld om de opsporing en aanhoudingen van door de politie gezochte personen te vergemakkelijken. Een hotel is dan ook wettelijk verplicht om de politie inzage te geven in het nachtregister. Let op: de registratieverplichting geldt alleen voor de hoofdboeker en niet voor meereizende gasten.
Gemeentelijke APV
In een gemeentelijke Algemene Plaatselijke Verordening (APV) kunnen soortgelijke of zelfs verdergaande regels worden vastgelegd ten aanzien van de registratie van gegevens van hotelgasten. De APV wordt in iedere gemeente vastgesteld op grond van de Gemeentewet en verschilt per gemeente. In de gemeente Amsterdam stelt artikel 2.36 van de APV dat de exploitant van een hotel naast de bovengenoemde gegevens uit artikel 438 Sr ook de volgende gegevens moet registreren: adres, geboortedatum, geboorteplaats, beroep of betrekking en nationaliteit van de hotelgast. Voor de gemeente Den Haag geldt op grond van artikel 2:38 van de APV dat de volgende gegevens mogen worden geregistreerd: naam, adres, woonplaats, geboortedatum, geboorteplaats, betrekking, dag van aankomst en dag van vertrek.
Op grond van de Algemene verordening gegevensbescherming (AVG) en de Uitvoeringswet AVG (UAVG) zijn hotels verplicht om persoonsgegevens op een rechtmatige, behoorlijke en transparante wijze te verwerken. Goed om te bedenken dat de AVG ook van toepassing is als hotels persoonsgegevens van buitenlandse gasten verwerken, ongeacht of zij uit de Europese Unie komen of niet.
Het maken van een kopie of scan van een identiteitsbewijs is op grond van de AVG onderworpen aan een streng regime: het is uitsluitend toegestaan als de organisatie hiertoe wettelijk verplicht is. De reden hiervoor is dat een identiteitsbewijs ‘bijzondere’ persoonsgegevens kan bevatten: dit zijn persoonsgegevens die zo gevoelig zijn dat de verwerking ervan iemands privacy ernstig kan beïnvloeden. Denk aan een pasfoto die informatie over iemands ras, geloof of gezondheid kan prijsgeven. Het verwerken van bijzondere persoonsgegevens is in beginsel verboden op grond van artikel 9 AVG, tenzij een van de uitzonderingen van artikel 25 tot en met 30 UAVG van toepassing is. Voor de registratie van hotelgasten is er geen uitzondering in het leven geroepen.
Ook aan het gebruik van een nationaal identificatienummer – zoals het Burgerservicenummer (BSN) – zijn beperkingen gesteld vanwege de risico’s die het gebruik van een dergelijk nummer met zich kan brengen. Een BSN kan de koppeling van verschillende bestanden en informatie aanzienlijk vergemakkelijken en daarmee een extra bedreiging voor de persoonlijke levenssfeer vormen. Op grond van artikel 46 UAVG mag verwerking van het BSN alleen plaatsvinden in de volgende drie gevallen: (i) ter uitvoering van de wet op grond waarvan het nummer is voorgeschreven, (ii) voor doeleinden bij de wet bepaald, of (iii) voor aanvullende gevallen zoals aangewezen bij algemene maatregel van bestuur. Hotels hebben geen wettelijke grondslag voor de verwerking van het BSN.
Kortom: een hotel is verplicht om de volgende gegevens van de hoofdboeker te noteren: type identiteitsbewijs, naam, woonplaats, dag van aankomst en dag van vertrek. Afhankelijk van de gemeente waar het hotel zich bevindt, kan het verplicht zijn om aanvullende gegevens te registreren. Een kopie of scan maken van het identiteitsbewijs is verboden.
Bewaartermijn
Voor het bewaren en verwijderen van persoonsgegevens, moeten hotels rekening houden met enerzijds wettelijke termijnen en anderzijds met maximum bewaartermijnen van persoonsgegevens. Aan de hand daarvan, kan een hotel uiteindelijk vaststellen wanneer persoonsgegevens moeten worden verwijderd.
Voor persoonsgegevens van hotelgasten geldt dat deze niet langer bewaard mogen worden dan noodzakelijk voor het doeleinde waarvoor de persoonsgegevens worden verwerkt op grond van de AVG. Als een hotel kan onderbouwen dat het voor haar organisatie noodzakelijk is dat persoonsgegevens gedurende een bepaalde termijn mogen worden bewaard om een vooraf bepaald gerechtvaardigd doel te bereiken, dan kan aan de hand van die onderbouwing de maximum bewaartermijn worden vastgesteld. Hotels kunnen en moeten hierin zelf een eigen afweging maken. Voor hotels die het lastig vinden om de bewaartermijnen van de geregistreerde gasten te bepalen bieden de standaard bewaartermijnen voor bezoekersregistraties, vastgesteld onder de voormalige Wet bescherming persoonsgegevens een aanknopingspunt. Op grond van het zogenaamde Vrijstellingsbesluit Wbp gold voor een bezoekersregister een maximum bewaartermijn van zes maanden, tenzij in een concreet geval een wettelijke bewaartermijn van toepassing is (bijv. op grond van een APV).
Over de Auteurs
Auteurs: v.l.n.r. Hester de Vries, Romy van Es en Julia Siskina zijn advocaten in de Praktijkgroep Privacy & Gereguleerde markten bij Kennedy Van der Laan in Amsterdam in samenwerking met Nico Jacobs.
Het team van Kennedy Van der Laan schrijft artikelen voor Hospitality Management op het gebied van Hotel & Recht. Alle artikelen staan in het Dossier Hotel & Recht.
