GDPR Arad

Registrul de evidenta rezervari clienti

Ordinul de Ministru comun al Ministerului sanatatii nr. 966 si al Ministerului economiei, energiei si mediului de afaceri nr. 1809 din 29 mai 2020 aduce o serie de reglementari privind normele de functionare a teraselor incepand cu data de 01.06.2020, in contextul prevenirii raspandirii virusului SARS-CoV-2.

Una dintre noutati este introducerea obligativitatii completarii unui registru de evidenta a rezervarilor clientilor, astfel incat, in cazul aparitiei unui caz de imbolnavire cu virusul SARS-CoV-2 in randul clientilor unitatii de alimentatie, sa existe date concrete pe baza carora sa poata fi efectuata ancheta epidemiologica.

Sunt restaurantele si barurile operatori de date cu caracter personal?

In presa sau pe retelele de socializare a aparut teoria ca unitatile alimentare de tip restaurante/baruri/chioscuri nu sunt operatori de date sau ca nu au autorizatie de prelucrare de date, deci nu pot prelucra date.

Regulamentul GDPR, intrat in vigoare in anul 2018, lamureste aceasta problema: este operator de date orice persoana fizica sau juridica care, singura sau impreuna cu altele, stabileste scopurile si mijloacele de prelucrare a datelor cu caracter personal.

Asadar, nu este nevoie de nici o autorizatie pentru a intra in categoria operatorilor de date. De regula, un restaurant/bar prelucreaza datele angajatilor (contracte de munca/colaborare), datele persoanelor care intra in contact cu spatiul monitorizat de sisteme CCTV video sau datele clientilor, in masura in care acestia si le dau pentru rezervari sau comenzi, pentru livrari de mancare la domiciliu si, in consecinta, este operator de date.

Fiecare restaurant/bar are obligatia legala de a respecta regulamentul GDPR, chiar si fara aceste prelucrari de date suplimentare impuse prin recentul Ordin de Ministru.

Cum se poate intocmi registrul de evidenta a rezervarilor clientilor respectand si regulamentul GDPR?

Orice prelucrare de date trebuie sa fie legala, echitabila si transparenta. Operatorul va trebui sa identifice temeiul legal al prelucrarii datelor, scopul si mijloacele prelucrarii, normele adecvate de securizare a datelor, durata de pastrare a acestora, destinatarii datelor si modul de informare a clientilor.

Care este temeiul legal pentru prelucrarea datelor?

Regulamentul GDPR permite prelucrarea datelor conform temeiurilor mentionate in Art. 6, alin 1. In cazul de fata, temeiul de prelucrare este cel dat de Ordinul de Ministru, astfel incat prelucrarea datelor devine obligatie legala.

Care este scopul prelucrarii datelor?

Asa cum este mentionat si in Ordinul de Ministru, scopul prelucrarii datelor este acela de a aduce suficiente informatii pentru a permite desfasurarea unei anchete epidemiologice, in cazul identificarii unor clienti care au frecventat unitatea operatorului si care sunt purtatori ai virusului SARS-CoV-2. Este evident ca autoritatile publice urmaresc interesul public in domeniul sanatatii publice si protejarea populatiei de expunerea la boala COVID 19.

Care sunt mijloacele prelucrarii datelor?

Ordinul de ministru nu contine elementele obligatorii care urmeaza sa fie prelucrate si nici nu impune anumite mijloace de prelucrare. Dar, in urma identificarii scopului prelucrarii si ca o conditie de conformare la cerintele GDPR, operatorii vor trebui sa colecteze datele de contact minime ale clientilor, respectiv numele (prenumele) si numarul de telefon.

Ordinul de Ministru nu impune o forma a acestui registru - poate sa fie scrisa de tip caiet, poate sa fie un set de fise de rezervari grupate pe zile si ore sau poate sa fie in format electronic de tip Word/Excel.

O alta cerinta a regulamentului GDPR este ca datele prelucrate sa fie corecte si exacte, dar operatorul nu are abilitati de a legitima clientii, ceea ce oricum ar fi o masura excesiva. Se recomanda identificarea unei masuri prin care clientul sa isi completeze singur datele, fiind direct raspunzator de ele - de pilda, prin trimiterea unui SMS pe numarul operatorului pentru confirmarea unei rezervari sau, cand aceasta este facuta direct la terasa, prin completarea personala a datelor pe o fisa de contact.

Nu se recomanda prelucrarea datelor din buletin sau fotografierea acestora. De asemenea, daca datele au fost trimise electronic, se recomanda stergerea lor din memoria dispozitivelor electronice si folosirea exclusiva a registrului de evidenta.

Ce masuri de securizare se pot folosi?

Fara indoiala, intr-o perioada relativ scurta de timp, registrul va contine un set destul de mare de date personale, iar operatorul va trebui sa aplice propriile masuri pentru ca aceste date sa nu fie folosite in mod ilegal sau de catre persoane neautorizate.

Spre exemplu, in anul 2019, o unitate de cazare din Romania a fost amendata cu 15 000 de euro, dupa ce a permis unei persoane neautorizate sa faca fotografii la lista persoanelor cazate care au fost ulterior publicate pe Facebook.

Luand in considerare aceste lucruri, operatorul trebuie sa ia masuri organizatorice (sa intocmeasca o procedura privind prelucrarea datelor), sa desemneze persoane cu responsabilitati clare si sa ia masuri de securizare fizica a datelor (de exemplu, pastrarea registrului intr-un loc separat de privirile indiscrete, cu acces restrans doar la persoanele autorizate sau pastrarea acestuia in format electronic, sub forma criptata si accesibil doar pe baza de nume de utilizator/parola).

Cat timp trebuie stocate datele?

Regulamentul GDPR ne cere sa prelucram datele dar pe o durata limitata, necesara indeplinirii scopului. Scopul fiind triajul epidemiologic putem considera ca este nevoie de obicei de 14 zile pentru confirmarea unei infectari. 

Recomandarile Comisiei Europene privind durata de stocare a datelor persoanelor in cazul dezvoltarii de aplicatii mobile care sa permita identificarea contactilor sunt ca aceste date sa fie stocate  14-16 zile. Acest termen poate fi considerat oportun si in aceasta situatie.

Operatorul va trebui sa intocmeasca o procedura prin care persoana autorizata sa elimine din registrul de evidenta a rezervarilor clientilor toate informatiile care depasesc acest termen limita.

Cine sunt destinatarii acestor date?

In conformitate cu scopul prelucrarii acestor date, operatorii vor trebui sa le transmita, la cerere, doar autoritatilor abilitate sa faca anchete epidemiologice (DSP) si doar in situatii justificate (in cazul unor cazuri confirmate de infectari cu SARS-CoV-2).

Cum se face informarea persoanelor?

In cazul prelucrarilor de date, operatorii sunt obligati sa informeze intr-o forma inteligibila si usor accesibila, utilizand un limbaj clar si simplu:

- cine face prelucrarea (datele de contact ale operatorului si ale Responsabilului cu protectia datelor, daca este cazul);

- ce fel de date sunt prelucrate (de exemplu, prenumele si numarul de telefon);

- timpul de stocare (de exemplu 16 zile);

- destinatarii posibili (de exemplu, persoane imputernicite, alti operatori, DSP etc);

- care sunt drepturile persoanelor vizate conform Regulamentului GDPR si cum pot fi acestea exercitate.

Pot fi folosite datele in alte scopuri?

Operatorii ar putea dori sa foloseasca toate aceste informatii si in alte scopuri - de exemplu pentru a trimite clientilor informatii despre evenimente sau oferte deosebite. Totusi, datele sunt colectate intr-un scop foarte clar: un potential triaj epidemiologic. Prin urmare, orice folosire a datelor in alte scopuri este o prelucrare ilegala. 

In concluzie, administratorii restaurantelor si teraselor nu trebuie sa se sperie de aceasta obligatie legala, ea doar se adauga obligatiilor existente. Punerea in practica nu ar trebui sa fie formala, ci responsabila, avand in vedere ca se prelucreaza oricum multe date cu caracter personal, iar operatorii au cel putin obligatia morala de a avea grija de datele clientior lor.

Paul Stoica, Responsabil cu protecția datelor
Str. Calimanesti, nr. 14
Arad, Romania
0748-309-925
0742-022-586
office@gdprarad.ro
24 X 7 online suport
TOP