Registrul de evidenta a rezervarilor clientilor pentru terase – o noua provocare GDPR
Mult-asteptata redeschidere a teraselor, afectate de pandemia generat? de virus SARS-CoV 2, a fost reglementat? de Ordinul comun al Ministerului Sănătății, Ministerului Economiei si al ANSVSA nr. 966/1.809/105/2020, publicat în Monitorul Oficial al României nr. 461 din 30.05.2020.
Informațiile pe care le vom prezenta în cele ce urmeaz? sunt deopotriv? utile atât de?in?torilor de restaurante si cafenele cu terase, cât si clien?ilor acestora. Principala problem? generat? de acest Ordin este obligativitatea p?str?rii de c?tre operatorii economici a unui registru de eviden?? a rezerv?rilor clien?ilor, fapt ce d? nastere unui nou set de obliga?ii ce intr? sub inciden?a Regulamentului UE 679/2016 (GDPR).
Ce spune legea
Potrivit art. 4 alin. 1 litera l) din Normele privind stabilirea m?surilor specifice de prevenire a r?spândirii virusului SARS-CoV-2 pentru activit??ile de preparare, servire si consum al produselor alimentare, b?uturilor alcoolice si nealcoolice în spa?iile special amenajate din exteriorul cl?dirilor unit??ilor de alimenta?ie public? aprobate prin Ordinul mai sus men?ionat, operatorii economici din sectorul alimenta?iei publice trebuie s? se îngrijeasc? de existen?a unui registru de eviden?? a rezerv?rilor clien?ilor, astfel încât, în cazul apari?iei unui caz de îmboln?vire cu virusul SARS-CoV-2 în rândul clien?ilor unit??ii de alimenta?ie, s? existe date concrete pe baza c?rora s? poat? fi efectuat? ancheta epidemiologic?.
Se prelucreaza date cu caracter personal?
Da. Aceast? activitate de ?inere a eviden?ei rezerv?rilor clien?ilor, împreun? cu datele acestora de contact, reprezint? o prelucrare a datelor în sensul art. 4 punctul 2 GDPR care for?eaz? operatorii economici s? îsi îndeplineasc? toate obliga?iile prev?zute de GDPR. Pe scurt, aceste obliga?ii vizeaz? urm?toarele:
- îndeplinirea obliga?iei de informare a persoanelor vizate conform art. 13 sau, dup? caz, al art. 14 GDPR;
- elaborarea documenta?iei de conformitate cu GDPR (proceduri interne, politici de prelucrare a datelor, acorduri de prelucrare a datelor, etc);
- în cazurile prev?zute de art. 37 GDPR si de art. 4 din Legea 190/2018, desemnarea unui Responsabil cu Protec?ia Datelor (DPO) si notificarea desemn?rii lui c?tre ANSPDCP;
- implementarea tuturor m?surilor necesare pentru garantarea securit??ii datelor personale prelucrate.
Ce date personale vom prelucra?
Ordinul nu prevede indica?ii concrete în privin?a categoriilor de date personale ce se vor colecta, însa instituie obliga?ia operatorilor economici de a solicita si ob?ine date concrete în baza c?rora sa fie efectuat? o eventual? anchet? epidemiologic?.
Ce înseamn? acest lucru? Operatorii economici sunt cei care vor trebui sa aplice principiul minimiz?rii datelor personale prev?zut de art. 5 alin. 1 litera c) GDPR si, ca urmare, s? solicite doar acele date strict necesare pentru a putea fi contactat ulterior clientul. Adic? numai numele, prenumele si num?rul de telefon sunt relevante în circumstan?a în care Direc?ia de S?n?tate Public? va fi nevoit? sa contacteze persoana în cauz?.
Sunt numeroase discu?ii pro si contra asupra solicit?rii, de exemplu, a unei adrese de email în locul num?rului de telefon, îns?, în situa?ia unei posibile contamin?ri cu coronavirus, viteza de reac?ie a autorit??ilor este esen?ial?, la fel cum este esen?ial? si utilizarea celui mai rapid mijloc de comunicare.
Riscurile pentru registrul de eviden?? a rezerv?rilor clien?ilor
Principalul risc, apar?inând atât operatorului economic, cât ?i clientului, îl reprezint? obliga?ia ambilor de a se asigura c? datele personale prelucrate în scopul p?str?rii registrului de eviden?? sunt corecte ?i actuale – principiul exactit??ii prelucr?rii datelor consacrat de art. 5 alin. 1 litera d) GDPR. Înseamn? c? operatorii economici sunt datori s? se asigure ca ob?in date reale de la clien?i, precum ?i c? ace?tia din urm? furnizeaz?, sub sanc?iunea aplicabil? falsului în declara?ii, datele lor personale corecte ?i complete.
O a doua provocare o reprezint? securitatea datelor personale con?inute de aceste registre de evident? a clien?ilor. Aceasta obliga?ie apar?ine exclusiv operatorilor economici, ace?tia fiind responsabili de a nu permite niciunei persoane neautorizate s? aib? acces la aceste date, precum ?i de a folosi datele ob?inute numai în scopul prev?zut în Ordinul 966. Operatorii economici sunt cei care aleg modalitatea concret? de tinere a acestui registru, care poate fi în format fizic, în format electronic (de exemplu, un fi?ier Excel) sau poate fi ?inut prin intermediul unei aplica?ii software a unui furnizor ter?. In func?ie de modalitatea aleas? de operator, cerin?ele de securitate ?i confiden?ialitate pot fi diferite ?i pot face obiectul unei analize de impact asupra protec?iei datelor personale.
Sanc?iuni
Multitudinea de acte normative cu incidenta asupra registrului de evident? a clien?ilor implic? sanc?iuni diferite pentru operatorii economici ?i pentru clien?ii acestora.
Operatorii economici pot fi sanc?iona?i astfel:
- amend? contraven?ional? de pan? la 20 milioane EUR sau 4% din cifra total? anual? de afaceri, aplicat? de ANSPDCP, pentru lipsa inform?rii clien?ilor cu privire la modul, scopul, temeiul legal ?i drepturile persoanei vizate conform art. 13 si 14 GDPR, pentru înc?lcarea principiilor minimiz?rii ?i/sau al exactit??ii datelor personale prev?zute de art. 5 GDPR sau pentru neasigurarea securit??ii ?i confiden?ialit??ii datelor personale, conform art. 32 GDPR;
- amend? contraven?ional? de pan? la 10 milioane EUR sau 2% din cifra total? anual? de afaceri, aplicat? de ANSPDCP, pentru lipsa sau neconformitatea acordurilor de prelucrare a datelor ce trebuiesc încheiate, potrivit art. 28 GDPR, cu furnizorii externi de aplica?ii software pentru rezerv?ri ?i/sau similare;
- amend? contraven?ional? de pan? la 10.000 lei pentru lipsa registrului de eviden?? a clien?ilor, aplicat? de ITM sau organele de poli?ie, jandarmerie sau poli?ie local? conform Legii nr. 55/2020 privind unele m?suri pentru prevenirea ?i combaterea efectelor pandemiei de COVID-19;
- atragerea r?spunderii penale pentru infrac?iunea de z?d?rnicirea combaterii bolilor prevazut? de art. 352 Cod Penal si/sau pentru infrac?iunea de omisiune a declar?rii unor informa?ii, prevazut? de art. 352^1 Cod Penal.
Clien?ii teraselor pot fi sanc?iona?i astfel:
- amend? contraven?ional? de pana la 20 milioane EUR, aplicat? de ANSPDCP, pentru înc?lcarea principiului exactit??ii datelor personale prev?zut de art. 5 GDPR;
- atragerea r?spunderii penale pentru infrac?iunea de fals în declara?ii prevazut? de art. 326 Cod Penal;
- atragerea r?spunderii penale pentru infrac?iunea de z?d?rnicirea combaterii bolilor prevazut? de art. 352 Cod Penal.
Pentru informa?ii suplimentare sau pentru analiza situa?iilor particulare, folosi?i cu încredere pagina noastr? de contact.