Registrul de evidenta a rezervarilor clientilor pentru terase – o noua provocare GDPR
Mult-asteptata redeschidere a teraselor, afectate de pandemia generat? de virus SARS-CoV 2, a fost reglementat? de Ordinul comun al Ministerului Sănătății, Ministerului Economiei si al ANSVSA nr. 966/1.809/105/2020, publicat în Monitorul Oficial al României nr. 461 din 30.05.2020.
Informațiile pe care le vom prezenta în cele ce urmeaz? sunt deopotriv? utile atât de?in?torilor de restaurante si cafenele cu terase, cât si clien?ilor acestora. Principala problem? generat? de acest Ordin este obligativitatea p?str?rii de c?tre operatorii economici a unui registru de eviden?? a rezerv?rilor clien?ilor, fapt ce d? nastere unui nou set de obliga?ii ce intr? sub inciden?a Regulamentului UE 679/2016 (GDPR).
Ce spune legea
Potrivit art. 4 alin. 1 litera l) din Normele privind stabilirea m?surilor specifice de prevenire a r?spândirii virusului SARS-CoV-2 pentru activit??ile de preparare, servire si consum al produselor alimentare, b?uturilor alcoolice si nealcoolice în spa?iile special amenajate din exteriorul cl?dirilor unit??ilor de alimenta?ie public? aprobate prin Ordinul mai sus men?ionat, operatorii economici din sectorul alimenta?iei publice trebuie s? se îngrijeasc? de existen?a unui registru de eviden?? a rezerv?rilor clien?ilor, astfel încât, în cazul apari?iei unui caz de îmboln?vire cu virusul SARS-CoV-2 în rândul clien?ilor unit??ii de alimenta?ie, s? existe date concrete pe baza c?rora s? poat? fi efectuat? ancheta epidemiologic?.
Se prelucreaza date cu caracter personal?
Da. Aceast? activitate de ?inere a eviden?ei rezerv?rilor clien?ilor, împreun? cu datele acestora de contact, reprezint? o prelucrare a datelor în sensul art. 4 punctul 2 GDPR care for?eaz? operatorii economici s? îsi îndeplineasc? toate obliga?iile prev?zute de GDPR. Pe scurt, aceste obliga?ii vizeaz? urm?toarele:
- îndeplinirea obliga?iei de informare a persoanelor vizate conform art. 13 sau, dup? caz, al art. 14 GDPR;
- elaborarea documenta?iei de conformitate cu GDPR (proceduri interne, politici de prelucrare a datelor, acorduri de prelucrare a datelor, etc);
- în cazurile prev?zute de art. 37 GDPR si de art. 4 din Legea 190/2018, desemnarea unui Responsabil cu Protec?ia Datelor (DPO) si notificarea desemn?rii lui c?tre ANSPDCP;
- implementarea tuturor m?surilor necesare pentru garantarea securit??ii datelor personale prelucrate.
Ce date personale vom prelucra?
Ordinul nu prevede indica?ii concrete în privin?a categoriilor de date personale ce se vor colecta, însa instituie obliga?ia operatorilor economici de a solicita si ob?ine date concrete în baza c?rora sa fie efectuat? o eventual? anchet? epidemiologic?.
Ce înseamn? acest lucru? Operatorii economici sunt cei care vor trebui sa aplice principiul minimiz?rii datelor personale prev?zut de art. 5 alin. 1 litera c) GDPR si, ca urmare, s? solicite doar acele date strict necesare pentru a putea fi contactat ulterior clientul. Adic? numai numele, prenumele si num?rul de telefon sunt relevante în circumstan?a în care Direc?ia de S?n?tate Public? va fi nevoit? sa contacteze persoana în cauz?.
Sunt numeroase discu?ii pro si contra asupra solicit?rii, de exemplu, a unei adrese de email în locul num?rului de telefon, îns?, în situa?ia unei posibile contamin?ri cu coronavirus, viteza de reac?ie a autorit??ilor este esen?ial?, la fel cum este esen?ial? si utilizarea celui mai rapid mijloc de comunicare.
Riscurile pentru registrul de eviden?? a rezerv?rilor clien?ilor
Principalul risc, apar?inând atât operatorului economic, cât ?i clientului, îl reprezint? obliga?ia ambilor de a se asigura c? datele personale prelucrate în scopul p?str?rii registrului de eviden?? sunt corecte ?i actuale – principiul exactit??ii prelucr?rii datelor consacrat de art. 5 alin. 1 litera d) GDPR. Înseamn? c? operatorii economici sunt datori s? se asigure ca ob?in date reale de la clien?i, precum ?i c? ace?tia din urm? furnizeaz?, sub sanc?iunea aplicabil? falsului în declara?ii, datele lor personale corecte ?i complete.
O a doua provocare o reprezint? securitatea datelor personale con?inute de aceste registre de evident? a clien?ilor. Aceasta obliga?ie apar?ine exclusiv operatorilor economici, ace?tia fiind responsabili de a nu permite niciunei persoane neautorizate s? aib? acces la aceste date, precum ?i de a folosi datele ob?inute numai în scopul prev?zut în Ordinul 966. Operatorii economici sunt cei care aleg modalitatea concret? de tinere a acestui registru, care poate fi în format fizic, în format electronic (de exemplu, un fi?ier Excel) sau poate fi ?inut prin intermediul unei aplica?ii software a unui furnizor ter?. In func?ie de modalitatea aleas? de operator, cerin?ele de securitate ?i confiden?ialitate pot fi diferite ?i pot face obiectul unei analize de impact asupra protec?iei datelor personale.
Sanc?iuni
Multitudinea de acte normative cu incidenta asupra registrului de evident? a clien?ilor implic? sanc?iuni diferite pentru operatorii economici ?i pentru clien?ii acestora.
Operatorii economici pot fi sanc?iona?i astfel:
- amend? contraven?ional? de pan? la 20 milioane EUR sau 4% din cifra total? anual? de afaceri, aplicat? de ANSPDCP, pentru lipsa inform?rii clien?ilor cu privire la modul, scopul, temeiul legal ?i drepturile persoanei vizate conform art. 13 si 14 GDPR, pentru înc?lcarea principiilor minimiz?rii ?i/sau al exactit??ii datelor personale prev?zute de art. 5 GDPR sau pentru neasigurarea securit??ii ?i confiden?ialit??ii datelor personale, conform art. 32 GDPR;
- amend? contraven?ional? de pan? la 10 milioane EUR sau 2% din cifra total? anual? de afaceri, aplicat? de ANSPDCP, pentru lipsa sau neconformitatea acordurilor de prelucrare a datelor ce trebuiesc încheiate, potrivit art. 28 GDPR, cu furnizorii externi de aplica?ii software pentru rezerv?ri ?i/sau similare;
- amend? contraven?ional? de pan? la 10.000 lei pentru lipsa registrului de eviden?? a clien?ilor, aplicat? de ITM sau organele de poli?ie, jandarmerie sau poli?ie local? conform Legii nr. 55/2020 privind unele m?suri pentru prevenirea ?i combaterea efectelor pandemiei de COVID-19;
- atragerea r?spunderii penale pentru infrac?iunea de z?d?rnicirea combaterii bolilor prevazut? de art. 352 Cod Penal si/sau pentru infrac?iunea de omisiune a declar?rii unor informa?ii, prevazut? de art. 352^1 Cod Penal.
Clien?ii teraselor pot fi sanc?iona?i astfel:
- amend? contraven?ional? de pana la 20 milioane EUR, aplicat? de ANSPDCP, pentru înc?lcarea principiului exactit??ii datelor personale prev?zut de art. 5 GDPR;
- atragerea r?spunderii penale pentru infrac?iunea de fals în declara?ii prevazut? de art. 326 Cod Penal;
- atragerea r?spunderii penale pentru infrac?iunea de z?d?rnicirea combaterii bolilor prevazut? de art. 352 Cod Penal.
Pentru informa?ii suplimentare sau pentru analiza situa?iilor particulare, folosi?i cu încredere pagina noastr? de contact.
Uniunea Europeana se preg?te?te pentru modificarea GDPR
Comisia Europeana a stabilit, la 19 februarie 2020, prin intermediul Strategiei privind datele ?i Strategiei privind inteligen?a artificial?, liniile directoare ale ac?iunilor legislativului european pentru o transformare digital? fundamental?.
Pre?edinta Comisiei Europene, Ursula von der Leyen, a declarat: „Ast?zi prezent?m tuturor viziunea noastr? ambi?ioas? cu privire la viitorul digital al Europei. Este o viziune care abordeaz? toate aspectele, de la securitatea cibernetic? la infrastructurile critice, de la educa?ie digital? la competen?e, de la democra?ie la mass-media. Îmi doresc ca Europa digital? s? reflecte valorile noastre cele mai de pre?, care ne definesc ca europeni – deschiderea, echitatea, diversitatea, democra?ia ?i încrederea.”
Principalele modific?ri propuse de CE vizeaz? urm?toarele ac?iuni:
- crearea unui spa?iu european al datelor, o pia?? unic? pentru date, pentru a debloca poten?ialul datelor neutilizate, permi?ând fluxul liber al acestor date în Uniunea European? ?i între diferitele sectoare, în beneficiul întreprinderilor, al cercet?torilor ?i al administra?iilor publice;
- stabilirea unui cadru normativ adecvat cu privire la guvernan?a datelor, la accesarea ?i reutilizarea acestor date între întreprinderi, în rela?ia întreprinderi–administra?ii centrale ?i între diferitele administra?ii;
- modificarea Regulamentului UE 679/2016 (GDPR), în special pentru îmbun?t??irea securit??ii datelor digitale ?i facilitarea exercit?rii drepturilor persoanelor fizice vizate;
- reglementarea transferurilor de date personale intre companii (business-to-business – B2B – data-sharing);
- reglementarea transferurilor de date publice de la autorit??ile publice c?tre companii private (government-to-business – G2B – data sharing);
- reglementarea utiliz?rii de date personale transmise de companiile private c?tre autorit??ile publice (business-to-government – B2G – data sharing)
- Elaborarea unui nou act normativ, pana in anul 2021, pentru reglementarea fluxurilor de date in Uniunea Europeana, cu accent pe utilizarea noilor tehnologii de tipul internet of things (IoT) si inteligenta artificiala (AI) – Data Act 2021.
Click aici pentru textul complet al Strategiei Europene privind datele (versiunea originala in limba engleza)
Toate detaliile privind planul de ac?iune al Uniunii Europene în domeniul datelor sunt disponibile pe website-ul Comisiei Europene:
https://ec.europa.eu/commission/presscorner/detail/ro/ip_20_273
Sursa informa?iilor: Comisia Europeana, www.ec.europa.eu/commission/