Registrul de evidență a rezervărilor clienților pentru terase – o nouă provocare GDPR

Registrul de evidență al rezervărilor clienților pentru terase

Mult-așteptata redeschidere a teraselor, afectate de pandemia generată de virus SARS-CoV 2, a fost reglementată de Ordinul comun al Ministerului Sănătății, Ministerului Economiei si al ANSVSA nr. 966/1.809/105/2020, publicat în Monitorul Oficial al României nr. 461 din 30.05.2020.

Informațiile pe care le vom prezenta în cele ce urmează sunt deopotrivă utile atât deținătorilor de restaurante și cafenele cu terase, cât si clienților acestora. Principala problemă generată de acest Ordin este obligativitatea păstrării de către operatorii economici a unui registru de evidență a rezervărilor clienților, fapt ce dă naștere unui nou set de obligații ce intră sub incidența Regulamentului UE 679/2016 (GDPR).

Ce spune legea

Potrivit art. 4 alin. 1 litera l) din Normele privind stabilirea măsurilor specifice de prevenire a răspândirii virusului SARS-CoV-2 pentru activitățile de preparare, servire și consum al produselor alimentare, băuturilor alcoolice și nealcoolice în spațiile special amenajate din exteriorul clădirilor unităților de alimentație publică aprobate prin Ordinul mai sus menționat, operatorii economici din sectorul alimentației publice trebuie să se îngrijească de existența unui registru de evidență a rezervărilor clienților, astfel încât, în cazul apariției unui caz de îmbolnăvire cu virusul SARS-CoV-2 în rândul clienților unității de alimentație, să existe date concrete pe baza cărora să poată fi efectuată ancheta epidemiologică.

Se prelucrează date cu caracter personal?

Da. Această activitate de ținere a evidenței rezervărilor clienților, împreună cu datele acestora de contact, reprezintă o prelucrare a datelor în sensul art. 4 punctul 2 GDPR care forțează operatorii economici să își îndeplinească toate obligațiile prevăzute de GDPR. Pe scurt, aceste obligații vizează următoarele:

  • îndeplinirea obligației de informare a persoanelor vizate conform art. 13 sau, după caz, al art. 14 GDPR;
  • elaborarea documentației de conformitate cu GDPR (proceduri interne, politici de prelucrare a datelor, acorduri de prelucrare a datelor, etc);
  • în cazurile prevăzute de art. 37 GDPR și de art. 4 din Legea 190/2018, desemnarea unui Responsabil cu Protecția Datelor (DPO) si notificarea desemnării lui către ANSPDCP;
  • implementarea tuturor măsurilor necesare pentru garantarea securității datelor personale prelucrate.

Ce date personale vom prelucra?

Ordinul nu prevede indicații concrete în privința categoriilor de date personale ce de vor colecta, însa instituie obligația operatorilor economici de a solicita și obține datele concrete în baza cărora sa fie efectuată o eventuală anchetă epidemiologică.

Ce înseamnă acest lucru? Operatorii economici sunt cei care vor trebui sa aplice principiul minimizării datelor personale prevăzut de art. 5 alin. 1 litera c) GDPR și, ca urmare, să solicite doar acele date strict necesare pentru a putea fi contactat ulterior clientul. Adică numai numele, prenumele și numărul de telefon sunt relevante în circumstanța în care Direcția de Sănătate Publică va fi nevoită sa contacteze persoana în cauză.

Sunt numeroase discuții pro si contra asupra solicitării, de exemplu, a unei adrese de email în locul numărului de telefon, însă, în situația unei posibile contaminări cu coronavirus, viteza de reacție a autorităților este esențială, la fel cum este esențială și utilizarea celui mai rapid mijloc de comunicare.

Riscurile pentru registrul de evidență a rezervărilor clienților

Principalul risc, aparținând atât operatorului economic, cât și clientului, îl reprezintă obligația ambilor de a se asigura că datele personale prelucrate în scopul păstrării registrului de evidență sunt corecte și actuale – principiul exactității prelucrării datelor consacrat de art. 5 alin. 1 litera d) GDPR. Înseamnă că operatorii economici sunt datori să se asigure ca obțin date reale de la clienți, precum și că aceștia din urmă furnizează, sub sancțiunea aplicabilă falsului în declarații, datele lor personale corecte și complete.

O a doua provocare o reprezintă securitatea datelor personale conținute de aceste registre de evidentă a clienților. Aceasta obligație aparține exclusiv operatorilor economici, aceștia fiind responsabili de a nu permite niciunei persoane neautorizate să aibă acces la aceste date, precum și de a folosi datele obținute numai în scopul prevăzut în Ordinul 966. Operatorii economici sunt cei care aleg modalitatea concretă de tinere a acestui registru, care poate fi în format fizic, în format electronic (de exemplu, un fișier Excel) sau poate fi ținut prin intermediul unei aplicații software a unui furnizor terț. In funcție de modalitatea aleasă de operator, cerințele de securitate și confidențialitate pot fi diferite și pot face obiectul unei analize de impact asupra protecției datelor personale.

Sancțiuni

Multitudinea de acte normative cu incidenta asupra registrului de evidentă a clienților implică sancțiuni diferite pentru operatorii economici și pentru clienții acestora.

Operatorii economici pot fi sancționați astfel:

  • amendă contravențională de pană la 20 milioane EUR sau 4% din cifra totală anuală de afaceri, aplicată de ANSPDCP, pentru lipsa informării clienților cu privire la modul, scopul, temeiul legal și drepturile persoanei vizate conform art. 13 si 14 GDPR, pentru încălcarea principiilor minimizării și/sau al exactității datelor personale prevăzute de art. 5 GDPR sau pentru neasigurarea securității și confidențialității datelor personale, conform art. 32 GDPR;
  • amendă contravențională de pană la 10 milioane EUR sau 2% din cifra totală anuală de afaceri, aplicată de ANSPDCP, pentru lipsa sau neconformitatea acordurilor de prelucrare a datelor ce trebuiesc încheiate, potrivit art. 28 GDPR, cu furnizorii externi de aplicații software pentru rezervări și/sau similare;
  • amendă contravențională de pană la 10.000 lei pentru lipsa registrului de evidență a clienților, aplicată de ITM sau organele de poliție, jandarmerie sau poliție locală conform Legii nr. 55/2020 privind unele măsuri pentru prevenirea și combaterea efectelor pandemiei de COVID-19;
  • atragerea răspunderii penale pentru infracțiunea de zădărnicirea combaterii bolilor prevazută de art. 352 Cod Penal si/sau pentru infracțiunea de omisiune a declarării unor informații, prevazută de art. 352^1 Cod Penal.

Clienții teraselor pot fi sancționați astfel:

  • amendă contravențională de pana la 20 milioane EUR, aplicată de ANSPDCP,  pentru încălcarea principiului exactității datelor personale prevăzut de art. 5 GDPR;
  • atragerea răspunderii penale pentru infracțiunea de fals în declarații prevazută de art. 326 Cod Penal;
  • atragerea răspunderii penale pentru infracțiunea de zădărnicirea combaterii bolilor prevazută de art. 352 Cod Penal.

Pentru informații suplimentare sau pentru analiza situațiilor particulare, folosiți cu încredere pagina noastră de contact.

Lasă un răspuns

Acest sit folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.

Open chat
Bun venit!
Cu ce vă putem ajuta?
%d blogeri au apreciat: