»Ali sobodajalce zavezuje Splošna uredba (GDPR), saj slednji vsakega gosta vpišejo v AJPES oz. v sistem eTurizem. Podatki se za ta namen prepišejo iz osebnega dokumenta, vendar jih sobodajalci ne hranijo, kopirajo ali drugače obdelujejo.«
»Obdelava« osebnih podatkov pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje (drugi odstavek 4. člena Splošne uredbe, podobno tretji odstavek 6. člena ZVOP-1). »Upravljavec« pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave; kadar namene in sredstva obdelave določa pravo Unije ali pravo države članice, se lahko upravljavec ali posebna merila za njegovo imenovanje določijo s pravom Unije ali pravom države članice (sedmi odstavek 4. člena Splošne uredbe). »Obdelovalec« pa pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki obdeluje osebne podatke v imenu upravljavca (osmi odstavek 4. člena Splošne uredbe). »Skupni upravljavci« pomenijo dva ali več upravljavcev, ki skupaj določijo namene in načine obdelave, so skupni upravljavci.
Tudi v primeru, da se osebne podatke zbere le z namenom, da se jih nato vpiše v sistem eTurizem, to že predstavlja obdelavo osebnih podatkov in Splošna uredba nedvomno velja. Sobodajalec je v konkretnem primeru upravljavec teh osebnih podatkov z zahtevami, v okviru in z omejitvami, ki jih Splošna uredba sama predvideva. Več o dolžnostih upravljavcev osebnih podatkov si lahko preberete na prvi strani: https://upravljavec.si/.
Za zakonito zbiranje osebnih podatkov gostov s strani sobodajalca je potrebno zagotoviti ustrezno pravno podlago. Obdelava osebnih podatkov je namreč zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev po prvem odstavku člena 6 Splošne uredbe:
Za zakonitost obdelave je dovolj, da je izpolnjena zgolj ena od samostojnih pravnih podlag, ki jih določa člen 6 Splošne uredbe. To pomeni, da če pravno podlago za obdelavo teh osebnih podatkov določa zakon, upravljavec privolitev za obdelavo teh podatkov ni dolžan pridobivati. Vsebina podatkov iz knjige gostov, ki jih gostitelji poročajo prek spletnega portala AJPES, je opredeljena v Zakonu o prijavi prebivališča (v nadaljevanju ZPPreb-1), način posredovanja podatkov pa v Pravilniku o prijavi in odjavi gostov. Obveznost posredovanja podatkov v situaciji lahko izhaja iz 40. člena ZPPreb-1, kar v skladu s točko c prvega odstavka člena 6 Splošne uredbe predstavlja pravno podlago za obdelavo osebnih podatkov.