《西班牙有关进行住宿和机动车租赁等活动的自然人或法人提供证明文件和相关信息义务的皇家法令(第933/2021号)》的生效,使得旅游业的数据保护成为人们关注的焦点。该法令关于收集旅客敏感信息和三年保留义务的规定,引起业内专家的担忧,警告这一规定可能存在隐私风险并面临处罚。
不合理义务?
依该法令规定,要求收集的数据包括:个人信息,财务信息和合同相关信息,包括身份证号码、住址、银行卡号和电子邮件,等等。收集如此大量的信息数据,再加上保留三年的义务要求,更增加了数据泄露和滥用的风险。此外,其中一些数据(如银行卡号)是高度敏感数据,这会增加发生安全漏洞时身份被盗用的风险。
在缺少强有力的保护措施时,丧失对个人数据控制的风险会非常高。该法令还有可能违反了《欧盟通用数据保护条例(GDPR)》的基本原则,如最小收集原则——要求将数据收集限制在为满足预期目标所需的最小必要限度之内。
企业的行政负担和法律风险
数据保护并非只是旅客担忧的问题,同时也是企业面临的挑战。该法令为相关企业带来沉重的行政负担,特别是中小企业和自由职业者,因为按要求,他们必须采取复杂的技术系统以确保正确注册、存储和保护相关数据。
除了投资成本增加外,在资源有限的企业中实施这些技术措施也很困难,可能导致无意识的不合规行为,并因此被制裁。
违反数据保护规定的罚金金额可能会非常可观。因数据泄露、安全漏洞或信息滥用等问题而违反《欧盟通用数据保护条例》规定的,最高可能被处以2,000万欧元或公司年营业额4%的罚款,以较高者为准。
此外,该法令还规定违反旅客登记相关规定的,依情节轻重,可被处以10
不合理义务?
依该法令规定,要求收集的数据包括:个人信息,财务信息和合同相关信息,包括身份证号码、住址、银行卡号和电子邮件,等等。收集如此大量的信息数据,再加上保留三年的义务要求,更增加了数据泄露和滥用的风险。此外,其中一些数据(如银行卡号)是高度敏感数据,这会增加发生安全漏洞时身份被盗用的风险。
在缺少强有力的保护措施时,丧失对个人数据控制的风险会非常高。该法令还有可能违反了《欧盟通用数据保护条例(GDPR)》的基本原则,如最小收集原则——要求将数据收集限制在为满足预期目标所需的最小必要限度之内。
企业的行政负担和法律风险
数据保护并非只是旅客担忧的问题,同时也是企业面临的挑战。该法令为相关企业带来沉重的行政负担,特别是中小企业和自由职业者,因为按要求,他们必须采取复杂的技术系统以确保正确注册、存储和保护相关数据。
除了投资成本增加外,在资源有限的企业中实施这些技术措施也很困难,可能导致无意识的不合规行为,并因此被制裁。
违反数据保护规定的罚金金额可能会非常可观。因数据泄露、安全漏洞或信息滥用等问题而违反《欧盟通用数据保护条例》规定的,最高可能被处以2,000万欧元或公司年营业额4%的罚款,以较高者为准。
此外,该法令还规定违反旅客登记相关规定的,依情节轻重,可被处以10