GDPR za najemodajalce 2026: kaj smete in česa ne smete s podatki gostov

Španska agencija za varstvo osebnih podatkov je leta 2022 z 75.000 evri kaznovala podjetje, ki se ukvarja z nastanitvami. Razlog: od gostov so pri spletni prijavi zahtevali, da pošljejo fotografije osebnih dokumentov zase in za vse goste v rezervaciji.

Avgusta 2025 je ista agencija kaznovala World 2 Meet, ki je del skupine Iberostar, s 70.000 evri za isto prakso preko njihove spletne prijavne platforme. To ni naključje in ni izjema.

Ko gost rezervira vašo nastanitev, zbirate njegove podatke. Ko mu pošljete navodila za prihod, uporabljate njegov e-naslov. Pri check-inu vnašate podatke iz osebnega dokumenta. Med bivanjem ga morda snemate s kamero. Njegove podatke pošiljate v eTurizem (sistem AJPES za prijavo gostov v Sloveniji), ki je pri vaših hrvaških kolegih ekvivalent sistema eVisitor. Vsak od teh korakov ureja GDPR in nacionalni Zakon o izvajanju Splošne uredbe o varstvu podatkov.

Preberite blog in izvedite, kaj smete in česa ne smete početi s podatki gostov.

To besedilo ni pravni nasvet. Je praktičen vodnik skozi vseh šest faz bivanja gosta, s konkretnimi pravili in tehnološkimi rešitvami. Za podrobno pravno svetovanje se obrnite na svojo nacionalno agencijo za varstvo osebnih podatkov, na hrvaški strani na AZOP (Agencija za varstvo osebnih podatkov), ali na odvetnika.

V nadaljevanju pojasnjujemo, kaj smete početi s podatki v vseh 6 fazah bivanja gosta v vašem objektu.

Faza 1: Rezervacija nastanitve

Vse se začne z rezervacijo. Gost rezervira preko vaše spletne strani, preko Booking.com-a, Airbnbja ali katere druge platforme. Že v tem trenutku obdelujete njegove osebne podatke. Pravna podlaga za vse podatke, ki so nujni za rezervacijo, je pogodba (člen 6(1)(b) GDPR-ja), ne privolitev. Brez teh podatkov rezervacija ne bi bila mogoča, zato privolitev gosta ni potrebna in ni primerljiva.

To smete od gosta zahtevati v trenutku rezervacije:

• Osnovne kontaktne podatke in podatke o bivanju: ime, priimek, e-naslov, telefonsko številko, datume bivanja, število gostov.
• Predavtorizacijo kartice: dovoljena, vendar izključno preko varnega sistema za plačila (Worldline, Monri, Stripe, WSPay, M2Pay ali podoben).
• Naslov za fakturo: če gost zahteva račun na pravno osebo, smete zahtevati podatke, ki so za to potrebni.

Tega ne smete delati v trenutku rezervacije:

• Zahtevati fotografijo kartice po e-pošti: nevaren kanal in čezmerno zbiranje, še posebej če vključuje CVV številko na zadnji strani.
• Zahtevati kopijo ali fotografijo osebnega dokumenta vnaprej: za rezervacijo to ni nujno, dovolj je, da gost ob prihodu pokaže dokument.
• Sklicevati se na zakoniti interes za marketinške piškotke: za analitiko, oglaševanje in remarketing potrebujete izrecno privolitev gosta, ne zakonitega interesa.

Ko gost rezervira preko Booking.com-a ali Airbnbja, oni prav tako obdelujejo njegove podatke. V pravnem smislu sta vi in platforma skupaj odgovorna za podatke gosta. Booking.com ima svojo politiko zasebnosti, vi imate svojo, gostu se prikažeta obe. Ko rezervacija prispe do vas preko Channel Managerja, ste že v določeni obliki obdelave podatkov.

Za obdelavo podatkov je v procesu rezervacije odgovornih več strani.

Največje tveganje pri rezervaciji ni varnost strežnika, ampak običajen e-mail, v katerem nekdo zahteva fotografijo kartice ali osebnega dokumenta.

Faza 2: Komunikacija pred prihodom gosta

Med rezervacijo in prihodom gostu pošiljate informacije. Naslov, lokacije, navodila za parkiranje, hišni red, način odklepanja. Če uporabljate self check-in, zahtevanje podatkov za eTurizem se začne že tukaj.

Običajen e-mail ni varen kanal. Sporočila gredo skozi neznane strežnike ali pa lahko končajo v napačnem inboxu zaradi tipkarske napake v naslovu. Za običajno komunikacijo (hišni red, navodila za prihod) je e-mail v redu, ker ne vsebuje občutljivih podatkov. Težava nastane, ko e-mail uporabljate za izmenjavo osebnih podatkov, konkretno za fotografijo osebnega dokumenta, številko kreditne kartice ali za seznam podatkov več gostov v enem dokumentu.

Če morate kaj takšnega poslati po e-pošti (npr. partnerju, ki izstavlja račune v vašem imenu), zaščitite dokument z geslom in geslo pošljite preko drugega kanala, najbolje preko SMS ali WhatsApp sporočila. Geslo in dokument, ki ga ščiti, ne smeta biti v istem sporočilu.

Self check-in, ki je zakonit, deluje takole:

• Gost dobi povezavo do varnega obrazca pred prihodom: uporabite platformo, ki uporablja enkripcijo pri prenosu podatkov, ne navadne Google obrazce, ustvarjene iz osebnega Gmail računa.
• Gost sam vnese podatke iz svojega dokumenta: ime, priimek, datum rojstva, vrsto in številko dokumenta. Brez fotografije, brez kopije.
• Ob prihodu vi samo preverite originalni dokument: vidite sliko, vidite ime, potrdite, da podatki v obrazcu ustrezajo. Dokument ostane v gostovih rokah.

Ta razlika med vnosom in fotografiranjem je v dveh španskih kaznih stala 70.000 in 75.000 evrov. Zahtevati fotografijo osebnega dokumenta je čezmerno zbiranje. Zahtevati, da gost vnese podatke, je dovolj za vse zakonske obveznosti, vključno z eTurizmom in eVisitorjem.

Nekateri gosti ne želijo vnašati podatkov v spletni obrazec. To je njihova pravica. V tem primeru se dogovorite, da podatke vnesete vi ob prihodu gosta. Majhna izguba pri hitrosti, vendar brez težav. Če gost zavrne pokazati dokument tudi ob prihodu, imate pravico (in obveznost po Zakonu o gostinstvu in Zakonu o prijavi prebivališča) odkloniti storitev, ker brez teh podatkov ne morete narediti prijave gosta v eTurizem.

Self check-in zakonito pomeni eno stvar: gost vnaša podatke, ne pošilja fotografij.

Faza 3: Check-in gosta

To je faza z največjim tveganjem za denarno kazen. Vse kazni, omenjene v uvodu, so se zgodile prav tukaj. Vse se začne z napačno predpostavko: moram imeti kopijo osebnega dokumenta zaradi varnosti. Ne morate. Še več, ne smete.

To smete delati pri check-inu:

• Zahtevati vpogled v osebni dokument ali potni list: imate pravico preveriti identiteto osebe, ki se prijavlja, z vpogledom v dokument.
• Prepisati podatke, ki so potrebni za eTurizem: ime, priimek, datum rojstva, državljanstvo, vrsta in številka dokumenta, prebivališče.
• Uporabiti skener dokumentov: pod pogojem, da naprava ne shranjuje slike dokumenta, ampak samo izvleče besedilo, ki je potrebno za prijavo.
• Odkloniti storitev, če gost noče pokazati dokumenta: brez teh podatkov ne morete narediti zakonske prijave v eTurizem, kar je vaša obveznost.

Tega ne smete delati pri check-inu:

• Fotografirati osebnega dokumenta z mobilnim telefonom: niti za interno evidenco, niti zato, da bi gost hitreje prišel skozi. Čezmerno zbiranje v smislu člena 5 GDPR.
• Hraniti kopijo dokumenta: niti v digitalni obliki na prenosniku, niti kot fotokopijo v mapi, niti kot skan v e-mail predalu.
• Shraniti kopijo s sklicevanjem na privolitev: privolitev ne spremeni dejstva, da je obdelava čezmerna. Privolitev po GDPR mora biti prostovoljna in izrecna, gost v poziciji "samo, da hitreje pridem skozi" pa je ne more svobodno zavrniti.

To je napaka, ki jo ponudniki nastanitev pogosto naredijo.

Za prijavo v eTurizem ne potrebujete privolitve gosta. Prijava je zakonska obveznost po slovenskem Zakonu o gostinstvu in pravilih AJPES, pravna podlaga za obdelavo pa je člen 6(1)(c) GDPR (zakonska obveznost). Privolitev tukaj ni potrebna in ne primerljiva.

Preverjanje identitete pomeni naslednje: vidite sliko na dokumentu, vidite ime, vidite datum rojstva, primerjate z osebo pred sabo. Če se vse ujema, je identiteta preverjena. Za to ne potrebujete kopije dokumenta.

Podrobnosti o sami prijavi v eTurizem, rokih in avtomatizaciji najdete v popolnem vodniku za eTurizem prijavo gostov. Za skener, ki bere podatke iz dokumenta brez shranjevanja slike, obstaja Rentlio DocScan. Za popolno avtomatizacijo spletnega check-in procesa z zakonito prijavo uporabite Rentlio One.

Privolitev gosta ne izniči obveznosti sorazmernosti. Če fotografirate osebni dokument, je čezmerno s privolitvijo in brez nje.

Faza 4: Bivanje gosta

Gost je v nastanitvi. Morda ga snemate s kamero v skupnih delih. Morda mu dajete dostop do WiFi-ja. Morda mu pošiljate sporočilo, kako mu je. Vse to ureja GDPR. Največji del pozornosti tukaj gre na videonadzor, ker je to področje, kjer najemodajalci najpogosteje prečkajo mejo, ne da bi vedeli.

Kje smete postaviti kamero:

• Vhodi v zgradbo in parkirišče, ki je v vašem lasništvu: pravna podlaga je zakoniti interes (zaščita ljudi in premoženja).
• Skupni hodniki med enotami: da, z obvezno obvestilom pred perimetrom snemanja.
• Zunanji prostori v vašem lasništvu: dvorišče, vhod.

Kje ne smete postaviti kamere:

• Znotraj posameznih enot: sobe, dnevna soba, kopalnica, kuhinja. Nikoli.
• Toaleti, bazeni, wellness vsebine: prostori z razumnim pričakovanjem zasebnosti.
• Dvigala: težko je upravičiti, izogibajte se temu, razen če ne obstaja resen varnostni razlog.
• Javne površine in nepremičnine sosedov: ceste, parkirišča, ki niso vaša, sosednja dvorišča.

Obvestilo o videonadzoru je obvezno in mora biti postavljeno pred perimetrom snemanja, kar pomeni, preden oseba vstopi v prostor pod nadzorom kamere. Obvestilo mora vsebovati ime in kontakt upravljavca obdelave (vaše ime in podjetje), namen obdelave, pravno podlago (zakoniti interes), pravice posameznikov in povezavo do podrobne politike zasebnosti. V praksi je to nalepka ali tabla na vhodu v perimeter.

Posnetki se lahko hranijo toliko časa, kolikor je upravičeno z namenom. V praksi je to 1 do 3 mesece, dlje od 3 mesecev je težko upravičiti. Po tem se morajo posnetki samodejno brisati. Če kamera snema v zanki (overwriting), to že rešuje težavo.

Gost lahko od vas zahteva kopijo posnetka, na katerem se nahaja. Imate zakonsko obveznost odgovoriti v roku enega meseca. Kopijo morate izročiti, vendar ste dolžni zaščititi identiteto drugih oseb na istem posnetku, običajno z zameglitvijo obrazov. Pravica se skoraj nikoli ne uveljavlja, a ko se, mora biti izpolnjena.

Dostop do podatkov gostov imajo samo osebe, ki so pooblaščene, kar vključuje vas in morebiti vaše zaposlene. Če uporabljate eno ime za prijavo ali Excel, ki ga vidijo vsi, to ni dobro postavljen sistem. Kakovosten PMS sistem daje različne ravni dostopa po uporabniku in vodi evidenco, kdo je kdaj dostopal do katerega podatka, kar je velika prednost v primerjavi z vodenjem evidence v Excelu.

Videonadzor ni vprašanje, kam pride kamera. Je vprašanje, kam pride obvestilo pred perimetrom.

Faza 5: plačila in dodatne storitve

Ko gost plačuje, ko rezervira izlet preko vas, ko organizirate transfer ali kaj podobnega, spet upravljate z osebnimi podatki. Pravila so podobna kot pri rezervaciji, vendar obstajajo posebnosti.

Bodite previdni pri podatkih o bančni kartici gostov.

Če sprejemate plačilo s kartico, uporabite licenciranega procesorja plačil (Rentlio Pay, Worldline, Monri, Stripe, WSPay, M2Pay). Oni so upravljavci obdelave za podatke kartice. Vi vidite zadnje štiri številke in datum transakcije, kar je dovolj za fakturo in nadzor. Celotne številke kartice in CVV niso v vašem sistemu, in to je dobro.

Tega ne smete delati s podatki kartice:

• Hraniti celotne številke kartice in CVV kjerkoli v vašem sistemu: niti v Excelu, niti v CRM-ju, niti v e-mail predalu.
• Pošiljati ali zahtevati CVV po e-pošti: CVV je informacija, ki je ne sme hraniti niti procesor plačil, kaj šele vi.
• Shranjevati pdf račune iz banke s podatki kartice v nezaščiteni mapi: na prenosniku, v Google Drive brez nadzora dostopa, na USB ključku v predalu.

Če poleg nastanitve ponujate izlete, transfer, najem koles, organizacijo dogodkov, najpogosteje delate z zunanjimi partnerji. Če je storitev vključena v paket (npr. zajtrk v sosednji pekarni po dogovoru), je pravna podlaga za deljenje podatkov s partnerjem pogodba. Ne potrebujete dodatne privolitve gosta, vendar mora partner imeti pogodbo z vami kot pogodbenim obdelovalcem. Če je storitev opcijska (npr. izlet, ki se posebej plačuje), je pravna podlaga privolitev gosta. Gost mora vedeti, da njegove podatke delite z drugim subjektom, in mora soglašati.

V obeh primerih se podatki ne izmenjujejo z navadnim e-mailom v nezaščitenem dokumentu. Če pošiljate partnerju seznam petih gostov z imeni, telefonskimi številkami in datumi bivanja, zaščitite dokument z geslom in geslo pošljite preko drugega kanala.

Računovodstvo je vaš pogodbeni obdelovalec. Z zunanjim računovodskim servisom morate skleniti pogodbo po členu 28 GDPR (pogodba o obdelavi osebnih podatkov). To je kratka pogodba, ki določa, kaj partner sme delati s podatki, kako dolgo jih hrani in kako jih hrani. Brez te pogodbe deljenje podatkov gostov z računovodstvom ni skladno.

Za varno plačevanje s kartico znotraj iste platforme, iz katere vodite rezervacije, Rentlio Pay rešuje težavo brez ročnega prepisovanja podatkov. Za nove obveznosti fiskalizacije od leta 2026 podrobnosti najdete v besedilu o računih za najemodajalce.

Kartica nikoli v vašem sistemu, geslo nikoli v istem e-mailu kot dokument, ki ga ščiti.

Faza 6: po odhodu

Gost je odšel. Vprašanje je, kaj s podatki. Pravilo je preprosto: podatkov ne smete hraniti večno, vsaka vrsta ima rok, ki izhaja iz zakonskega namena. Po preteku roka morate podatke ali anonimizirati ali varno izbrisati.

Roki hrambe po vrstah podatkov:

• eTurizem podatki: 10 let pri vas (Zakon o gostinstvu in pravila AJPES).
• Računovodski dokumenti: 10 let (Zakon o davčnem postopku).
• Pogodbe in podatki iz rezervacij: do izteka zastaranja terjatev, kar je običajno 5 let.
• Marketinška baza (newsletter): dokler se gost ne odjavi.
• Posnetki videonadzora: 1 do 3 mesece, samodejno brisanje.

Brisanje pomeni dejansko brisanje, ne "izbrisal sem iz vidnega seznama, ampak datoteka še obstaja v backupu". Backup, ki hrani osebne podatke dlje od predpisanega roka, je tudi težava za GDPR skladnost.

Smete pošiljati newsletter obstoječim gostom na podlagi zakonitega interesa. Da se lahko zakoniti interes uporablja, morate narediti test sorazmernosti in ga dokumentirati (preprost dokument, ki obrazloži, zakaj menite, da je vaš interes upravičen in kako ne škoduje pravicam gosta). Gost mora v vsakem newsletterju imeti lahko viden link za odjavo. Ne smete pošiljati promocijskih sporočil novim kontaktom, katerih e-naslove ste zbrali z vizitk, brez privolitve. Za nove kontakte je potrebna privolitev v trenutku zbiranja.

Če gost pusti pisno oceno, jo smete objaviti pod imenom, ki ga je gost izbral (ime, začetnice, psevdonim). Če objavljate fotografije gostov (npr. na Instagramu), potrebujete njihovo privolitev. Ko objavljate na Meta platformah (Facebook, Instagram), je Meta v pravnem smislu sodgovorna za podatke, česar mora biti gost zavestan v trenutku privolitve.

Gost lahko od vas zahteva brisanje podatkov. Pravica do izbrisa (člen 17 GDPR) ni absolutna, lahko jo zavrnete, če imate zakonsko obveznost hrambe podatkov (eTurizem 10 let, računovodstvo 10 let). Morate odgovoriti v roku enega meseca, obrazložiti svoj odgovor in izbrisati tiste podatke, ki jih dejansko smete izbrisati.

Manjši najemodajalci v Sloveniji niso obvezni imeti pooblaščene osebe za varstvo osebnih podatkov (DPO). Obveznost nastane, ko je obdelava osebnih podatkov glavna dejavnost v velikem obsegu, kar za nastanitve z manj kot 10 enotami običajno ni primer. Priporočilo je drugačno od obveznosti: tudi če niste obvezni, imenujte kontaktno osebo za varstvo osebnih podatkov (lahko ste to vi sami), kontakt dajte na spletno stran in v politiko zasebnosti. S tem dajete gostu kanal za uveljavljanje pravic in pokažete, da ste organizirani.

Centralizirano upravljanje podatkov gostov skozi PMS sistem rešuje tudi težavo rokov hrambe, ker so samodejne politike za brisanje in anonimizacijo del sistema, vi pa ne morate ročno paziti, kdaj kateri podatek poteče.

Brisanje pomeni dejansko brisanje, ne "izbrisal sem iz vidnega seznama, ampak datoteka še obstaja v backupu".

Pogosto zastavljena vprašanja (FAQ)

Smem fotografirati osebni dokument gosta?

Ne. Fotografiranje osebnih dokumentov je čezmerno zbiranje osebnih podatkov. Za prijavo v eTurizem je potreben samo vpogled v dokument in prepis podatkov, ne pa kopija. Španska agencija za varstvo osebnih podatkov kaznuje to prakso (75.000 evrov v 2022, 70.000 evrov v 2025).

Kako narediti self check-in zakonito brez fotografiranja osebnega dokumenta?

Pošljite gostu povezavo do varnega obrazca pred prihodom iz Rentlio One. Gost sam vnese podatke iz svojega dokumenta (ime, priimek, datum rojstva, številka dokumenta). Ob prihodu preverite originalni dokument s podatki v obrazcu. Brez fotografije, brez kopije.

Potrebujem privolitev gosta za prijavo v eTurizem?

Ne. Prijava v eTurizem je zakonska obveznost po Zakonu o gostinstvu in pravilih AJPES. Pravna podlaga za obdelavo je zakonska obveznost (člen 6(1)(c) GDPR). Privolitev tukaj ni potrebna in ne primerljiva.

Koliko časa smem hraniti podatke gostov?

Odvisno od vrste podatkov. eTurizem podatki 10 let, računovodstvo 10 let, pogodbe in rezervacije do 5 let (zastaranje terjatev), newsletter baza, dokler se gost ne odjavi, posnetki videonadzora 1 do 3 mesece. Po preteku roka morate podatke anonimizirati ali varno izbrisati.

Smem uporabiti zakoniti interes za marketinške piškotke?

Ne. Za vse piškotke, ki niso strogo tehnično potrebni (analitika, oglaševanje, remarketing), potrebujete izrecno privolitev gosta. Zakoniti interes ni veljavna pravna podlaga za marketinške piškotke.

Sme me gost zaprositi za kopijo videoposnetka?

Da. Gost ima pravico do dostopa do posnetka, na katerem se nahaja. Morate odgovoriti v roku enega meseca in izročiti kopijo, z zaščito identitete drugih oseb na posnetku (običajno z zameglitvijo obrazov).

Potrebujem pooblaščeno osebo za varstvo podatkov kot najemodajalec?

Verjetno ne. Obveznost imenovanja pooblaščene osebe za varstvo podatkov (DPO) obstaja, ko je obdelava osebnih podatkov glavna dejavnost v velikem obsegu, kar za manjše nastanitve ni primer. Priporočilo je imenovati kontaktno osebo za varstvo podatkov, tudi če ste to vi sami.

Daniel Herman

Author

Drugi članki

Daniel Herman je navdušenec nad growth marketingom z 10 leti marketinških izkušenj, ki rad razmišlja strateško in vidi širšo sliko. Piše o vsem, kar je povezano z razvojem marketinških aktivnosti in KPI-jev, blagovno znamko ter dolgoročnim pristopom k uspehu – vedno z namenom deliti uporabne ideje in spodbuditi k dejanjem.