Et hotell i Cantabria har fått en bot på 1 500 euro for å ha avvist en gjest som nektet å kopiere legitimasjon. Dommen ble avsagt av det spanske datatilsynet (AEPD) etter at en gjest nektet å la hotellet skanne og kopiere identitetsdokumentet sitt.

Kunden hadde reservert rommet gjennom booking.com og forsøkte å sjekke inn på nettet, men stoppet opp da de ble bedt om et bilde av begge sider av legitimasjonen sin. Da de ankom, ba hotellet om en fotokopi og skanning av dokumentet, noe gjesten nektet med henvisning til at det var et overdrevent tiltak.

I stedet tilbød de seg å skrive ned opplysningene deres og gi dem til resepsjonen, slik at de kunne sjekke bestillingen. Hotellet nektet, og bookingen ble deretter kansellert.

Etterpå klaget kunden til det kantabriske turistdepartementet og AEPD, som ga dem medhold. De mente at det er «overdrevet» å be om en kopi av ID-kortet, og at hotellet ikke har behov for noen av opplysningene som er oppført på kortet, for eksempel et bilde av kunden.

I henhold til artikkel 5.1c i personvernforordningen (GDPR) skal personopplysninger være «adekvate, hensiktsmessige og begrenset til det som er nødvendig for de angitte formålene».

Hotellet hevdet at ID-fotokopien var nødvendig for å sjekke kundens opplysninger, men AEPD konkluderte med at bare noen opplysninger var nødvendige. Disse omfatter navn, etternavn, ID-nummer, dokumentnummer, type dokument, nasjonalitet og fødselsdato.

Hotellet betalte boten, som ble redusert med 20 %, og innbetalte til sammen 1 200 euro.