Dacă angajatorii doresc să supravegheze activitatea angajaților trebuie să-i informeze dinainte despre orice acțiune de monitorizare a resurselor informatice, atrage atenția av. Andreea Vlănțoiu, ofițer DPO (responsabil cu protecția datelor). Acest lucru este valabil atât în privința monitorizării volumului de trafic, cât și a conținutului corespondențelor…

Acest lucru se întâmplă în urma unei decizii a Curții de Justiție a Uniunii Europene (CJUE), din iulie 2020, (decizia Schrems 2), care influențează semnificativ companiile care prelucrează date cu caracter personal.

Care sunt avantajele competitive ale României, conform publicației Politico:

* Situarea printre lideri in clasamentele de viteză a internetului.

* Reputația pentru securitatea cibernetică, obținută prin consolidarea capacităților naționale.

* Scorul bun în clasamentul competențelor digitale și al educației.

* Locul trei în statisticile UE privind femeile angajate în tehnologie.

* Experiența dovedită în crearea companiilor tehnologice de succes.

* Unul dintre cele mai bune locuri din Europa în ceea ce privește capitalul uman din IT.

Dacă la aceste avantaje adăugăm și costul mai redus al resurselor umane fata de UE, dar și nominalizarea României în topul țărilor cu orașe în care este bine să locuiești în pandemie, România pare un tărâm promițător…

Și, când analizăm comparativ aceste două drepturi la care cu toții ținem, oricât de atașați am fi de ideea de proprietate absolută, e posibil să realizăm că nu am dori să fim puși în posturi care să echivaleze cu renunțarea noastră la viața privată. Postura de angajat ar fi una dintre ele dacă s-ar considera că angajatul renunță la viața sa privată când trece pragul biroului. Sau că trebuie să își aducă propriile echipamente de acasă dacă mai vrea sa tină legătura cu lumea în timpul programului de lucru. Și, cum normele legale sunt făcute inclusiv pentru a asigura echilibrul social, de data asta este sacrificat angajatorul, care e pus în situația de a nu putea dispune cum dorește de proprietatea lui. Cam asta a fost gândirea care a generat reglementările pe care le-am menționat aici.
Dacă ești angajator, ai două variante – să fii indignat de apăsarea acestor reglementari limitative pe care nu le poți schimba sau să fii pregătit.

Ești angajator. Ce să faci ca să fii pregătit:

• Să elaborezi o politică de utilizare acceptabilă a resurselor informatice, care să indice cât, cum și în ce mod îi este permis angajatului să le folosească, în loc să institui o interdicție absolută de a folosi echipamentele IT&C;
• Să introduci o procedură de predare-primire a echipamentelor informatice la plecarea angajatului, care să prevadă obligația acestuia de a își prelua si șterge de pe suporturile companiei toate datele personale, inclusiv corespondenta, fotografiile etc, în loc să cauți sute sau chiar mii de mail-uri în arhiva după plecarea angajatului, în răspuns la cererea sa de acces. O notă adiacentă – o instanță din UE a decis recent că cererea de acces la arhiva de email-uri a angajatului poate avea caracter excesiv, dar asta nu înseamnă că lucrurile nu ar putea fi văzute altfel de alte instanțe.
• Să stabilești în regulamentele interne obligația angajatului de a eticheta corespondența privată sau alte date personale cu indicativul „Personal”, fapt care poate facilita identificarea rapidă a datelor personale în procesul de predare-primire;
• Să stabilești în regulamentele interne condițiile în care poți accesa echipamentele angajatului în lipsa lui, pentru a nu fi expus acuzațiilor de încălcare a vieții private. Prin cazul Libert vs Franța s-a stabilit că angajatorul poate accesa fișierele electronice ale salariatului în lipsa lui, având un interes legitim de a verifica dacă acestea sunt folosite conform dispozițiilor contractuale și regulilor companiei. În cazul în care fișierele nu au fost etichetate ca „personale”, prezumția este ca ele sunt profesionale.
• Să informezi angajații legat de orice monitorizare a resurselor informatice pe care dorești să o întreprinzi, înainte de a o face. Că este vorba de monitorizarea volumului de trafic sau a conținutului corespondențelor, monitorizarea este posibilă dacă și în măsura în care angajatorul poate demonstra un interes legitim să o facă și dacă angajatul a fost conștientizat în prealabil de intenția angajatorului. Viziunea este că angajatorii mai degrabă trebuie să încerce să prevină comportamentele neadecvate ale angajaților, mai degrabă decât să își securizeze mijloace mult mai intruzive de a le combate.

Și dacă suntem angajat, și dacă suntem angajator, în epoca in care trăim ne unește un numitor comun – Valorăm cât valorează datele noastre. Așa că să le gestionăm înțelept.

Ce importanță are o recenzie pozitivă și cum poate face rău o recenzie negativă

Comerțul online s-a dovedit unul dintre marii câștigători ai pandemiei. Pentru că nu am mai putut merge la magazin să ne facem cumpărăturile pentru săptămână, punga cu frunze verzi de la aprozarul bio și pijamalele fleece (căci telemunca a schimbat și moda), au ajuns la noi în casă din câteva click-uri.

Probabil și noi, precum 93% dintre consumatori, folosim internetul pentru a căuta o afacere locală. Ca 87% dintre consumatori, și noi citim review-urile pentru a evalua o afacere și este posibil să ne încadrăm în procentul de 48% de clienți care nu cumpără de la o afacere care are sub 4 stele. 

Procentele de mai sus, stabilite în urma unui studiu efectuat în SUA, cel mai probabil se mențin, cu mici variații, și pentru restul lumii conectate la internet. Cifrele sunt amețitoare și, oricât de conservator ai fi, nu ai cum să nu îți dai seama că viitorul comerțului e în online. Viitorul e un fel de a spune, căci magnatul Amazon Jeff Bezos se situează de mulți ani, off and on, pe primul loc în Hall of Fame-ul mondial al miliardarilor, nu ca urmare a vreunei inovații care a revoluționat lumea, ci datorită acestui simplu, old-fashioned, comerț – pus online. Drumul Mătăsii, așadar, își poartă de mult caravanele prin câmpiile fertile ale online-ului, iar numai cine n-a vrut să vadă n-a văzut. În pandemie practica a arătat și celor care nu știau încă ce să creadă că cine s-a mutat în online nu doar că a supraviețuit, ci a și prosperat și că online-ul va înghiți încet-încet ce se întâmpla până de curând prin târguri, magazine, piețe și alte relicve ale secolului 20.

În timp ce o creștere de o stea la rating-ul din review-uri e corelată cu o creștere de 5-9% a veniturilor pentru anumite industrii, conform unei cercetări Harvard Business School, faptul de a primi recenzii negative poate avea un impact semnificativ asupra comportamentului consumatorilor, determinând 92% dintre aceștia să fie mai puțin înclinați să apeleze la o afacere, conform studiilor.

Așa că întrebarea ce importanță are o recenzie pozitivă și cum poate face rău o recenzie negativă rămâne una retorică, cu cei aproximativ 90% din consumatori care cumpără online și citesc înainte de asta review-urile, dintre care cam jumătate nici nu se mai uită ce are de oferit o afacere care are un rating mai mic de 4 stele.

Recenzia, la fel de valoroasă ca recomandarea din partea unui prieten

72% dintre cei care au comandat online au ales să posteze o recenzie pentru o afacere locală în 2020, un salt considerabil față de doar 66% în 2019. 

Foarte interesant, studiile au aflat că 78% din consumatori au la fel de multă încredere într-o recenzie online cum au într-o recomandare de la un prieten, coleg sau membru al familiei.

Dorința din ce în ce mai mare a consumatorilor de a îi ajuta și pe alții împărtășind din experiența lor, pe de o parte, și faptul că publicul se bazează într-o proporție covârșitoare pe recenzii sunt doi factori ce nu mai pot fi ignorați de afaceri, care ajung să fie din ce în ce mai atente ce postează clienții lor pe Facebook și Google. Cu atât mai mult cu cât publicul nu pare în majoritatea lui să aibă activat detectorul de fake reviews și e înclinat să creadă orice scrie pe net.

De ce nu ajută să dezactivezi review-urile

Până acum, când o afacere încasa un review negativ, de regulă cineva de la un departament care avea ghinionul să fie prins la lucru noaptea, căuta repede pe Google „dezactivare recenzii Google” sau „dezactivare recenzii Facebook”.

Dar, pentru că o piatră aruncată în apă necesita un număr relativ ridicat de înțelepți să o scoată, lucrurile nu sunt atât de simple. Căci, dacă ne luăm după pagina de suport Google My Business (și ne luăm, căci Google este și jocul și jucătorul în această pildă modernă) review-urile, împreună cu răspunsul proprietarului la ele, contribuie la gradul de încredere pe care consumatorii pot să îl aibă într-o afacere, arătând cât de mult îi pasă acesteia de client.

Da, oprirea unui val de review-uri negative false de la competitori sau de la un agent malițios, poate fi o soluție temporară pentru a evita dărâmarea ranking-ului unei afaceri de la 5 la 3 în câteva ore, după cum am mai auzit că s-a întâmplat, în condițiile în care achiziția de recenzii negative este posibilă în ziua de azi la prețuri mici.

Ce opțiuni are o afacere în fața unui review negativ cu un anumit grad de veridicitate, care indică o conexiune credibilă între autor și afacere 

Studiile arată că destui consumatori nu pot repera o recenzie falsă. Millenialii par mai competenți la asta, poate pentru că ține de supraviețuirea în jungla online în care au crescut. Dar daca recenzia nu provine de la un profil suspect sau anonim și autorul review-ului oferă suficiente detalii despre interacțiunea lui cu afacerea, mulți consumatori vor fi tentați să o creadă.

Afacerea poate solicita eliminarea recenziei. După lecturarea cu răbdare a categoriilor, punctelor și subpunctelor politicilor Facebook și Google pentru a afla ce înseamnă o recenzie neadecvată din punctul lor de vedere, vei constata că și dacă o recenzie este rău-intenționată sau pur și simplu neadevărată, eliminarea recenziei este departe de a fi garantată. Google, de exemplu „nu se implică în neînțelegerile dintre companii și clienți, deoarece nu există nicio metodă sigură de a stabili cine are dreptate in privința unei anumite experiențe a clientului”. 

Dacă nici varianta de a elimina recenzia, nici celelalte tool-uri recomandate de platformele care găzduiesc recenzia (raportează abuz, dezactivează recenziile, postează un răspuns) nu conduc la niciun rezultat, afacerea are posibilitatea de a îl notifica pe autorul recenziei negative să o elimine și poate inclusiv să îl dea în judecată în caz de refuz. Trebuie însă avut vedere că trăim într-o societate democratică, în care libertatea de exprimare este foarte prețuită, și nu ar trebui făcut abuz de notificări decât dacă recenzia este în mod clar deplasată sau, pur și simplu, neadevărată.

Instanțele acordă despăgubiri importante pentru review-uri negative în ultimul timp

• O instanță din Australia a obligat o femeie să plătească daune de peste 500.000 de dolari și cheltuieli de judecată în urma unei recenzii negative pe care a postat-o pe Google. Probele administrate în proces au demonstrat că era vorba de o recenzie falsă, care a dăunat clientelei medicului plastician ce fusese acuzat în recenzie de efectuarea unei proceduri nereușite de îndepărtare a grăsimii faciale;
• Un cuplu din Florida a fost obligat să plătească 350.000 de dolari pentru o suită de recenzii defăimătoare pe care le-au lăsat unui avocat de divorț pe site-urile de profil Avvo și advocates.com. Toate recenziile afirmau că avocatul și-a mințit clienții cu privire la onorariu, iar una din recenzii preciza explicit că avocatul a falsificat un contract. Afirmațiile cuplului reprezentau acuzații factuale, iar dovezile au arătat că erau false, a reținut tribunalul cu trei judecători din Florida în decizia sa;
• Curtea Supremă din Australia de Sud a acordat în 2020 despăgubiri de 750.000 de dolari unui avocat a cărui afacere a fost defăimată prin recenzii negative false. În cazul Cheng v Lok [2020] SASC 14, d-na Lok a postat multiple review-uri defăimatoare la adresa avocatului Cheng, avertizându-i pe clienții acestuia să stea departe de cabinetul lui de avocat, din cauza practicilor greșite ale acestuia. Deși d-na Lok nu fusese niciodată clienta avocatului, de fapt nici nu îl cunoștea, a continuat să posteze recenzii negative despre acesta, în ciuda notificărilor avocatului și a sesizărilor acestuia către Google. Review-urile au fost vizualizate de peste 1500 de persoane în decurs de 2 luni, iar dl. Cheng a demonstrat ca a pierdut 80 % din clientelă și bani și a început să sufere de anxietate și depresie;
• Judecătoria Sectorului 6 din București, printr-o hotărâre din 2019 rămasă definitivă a obligat clienta unui magazin online sa elimine un review negativ pe care îl postase, constatând că ”aceasta a acționat cu rea-credință, depășind astfel limitele dreptului său la liberă exprimare și încălcând dreptul reclamantei la bună reputație întrucât a făcut afirmații despre pârâtă de natură a-i afecta buna reputația, fără a avea dovezi în acest sens.” 

Autoarea recenziei nu a fost obligată la plata de daune doar pentru că magazinul online nu a reușit să facă dovada cuantumului în care vânzările au avut de suferit ca urmare a recenziei. „Deși producerea prejudiciului este evidentă, nefiind necesar să se facă proba existenței lui, deoarece rezultă implicit din săvârșirea faptei ilicite de către pârâtă, cu toate acestea reclamanta nu a adus niciun fel de dovezi în sensul cuantificării prejudiciului suferit de către aceasta”, a reținut instanța. Pentru că în dreptul român nu există instituția de daune-interese punitive, a căror plată să fie atrasă prin simplul fapt al constatării existenței unui prejudiciu, instanțele pot respinge cererile de daune chiar și în condițiile în care prejudiciul este evident, dacă acesta nu poate fi cuantificat.

Ce trebuie să înțelegem din practica instanțelor de judecată

În practica sa, Curtea Europeană a Drepturilor Omului face distincţia între fapte şi judecăţi de valoare. Dacă concreteţea primelor se poate dovedi, următoarele nu-şi pot demonstra exactitatea, așa cum s-a reținut în Hotărârea din 14 octombrie 2008 în Cauza Liviu Petrina împotriva României  (Cererea nr. 78060/01).

Așadar, recenzia bazată pe afirmații de fapt trebuie să fie adevărată și să poată fi probată. Deci nu e suficient să ai dreptate, trebuie să poți și proba. Afirmații de tipul „magazinul online nu a făcut” sau „a făcut x, y, z” sunt afirmații factuale, care pot fi și trebuie demonstrate dacă este necesar.

Recenziile bazate pe judecăți de valoare, cum sunt cele în care spui cum te-ai simțit în relația cu afacerea online, părerea ta despre serviciile primite, nu necesită, în principiu, să fie probate. Instanțele considerau tradițional că astfel de afirmații nu pot fi cenzurate pentru că s-ar aduce atingere libertăţii de opinie (cf. cauza Lingens contra Austria din 8 iulie 1986, paragraful 46 şi Ivanciuc împotriva României, (decizie), nr. 18624/03, 8 septembrie 2005).

DAR, nu e mai puţin adevărat că faptul de a acuza anumite persoane implică obligaţia de a furniza o bază reală suficientă şi că inclusiv o judecată de valoare se poate dovedi excesivă dacă este lipsită total de o bază reală (cf. cauzei Ivanciuc citată anterior, Cumpănă și Mazăre împotriva României (Cererea nr. 33.348/96) din 17.12.2004 (paragrafele 98-101) sau „dacă este lipsită de orice fundament de fapt” (cf. cauzei Jerusalem împotriva Austriei (Cererea nr. 26958/95 din 27 februarie 2001).

Până unde pot merge consecințele unui review „inofensiv” reprezentat de o judecată de valoare, o demonstrează cazul unui cetățean german acționat în judecată de un hotel de patru stele din Austria pentru că a afirmat într-o recenzie online că un portret cu două personaje care decora holul hotelului reprezenta un „bunic nazist”, din moment ce acesta etala o uniformă împodobită cu o zvastică.

Pentru a se apăra, germanul a fost nevoit să facă cercetări legat de identitatea celor doi bărbați din fotografiile de la Arhivele Naționale Germane din Berlin, reușind într-un final să demonstreze că ambii bărbați fuseseră membri ai partidului nazist.

Ce să ai în vedere când decizi să pui un review negativ ca să nu ajungi să fii dat în judecată

1. Gândește-te bine dacă faptele pe care ai de gând să le expui critic sunt reale, demonstrabile sau reprezintă doar efectul unei zile proaste.
2. Dacă vrei să exprimi o părere negativă despre cum ai interacționat cu afacerea online, poți să o faci, dar asigură-te că ai totuși o bază reală suficientă pe care să o poți furniza dacă e nevoie.
3. Recenziile de tip Google și Facebook sunt considerate afirmații efectuate în spațiu public, așa că ar fi recomandat să le exprimi civilizat, indiferent cât de mare ti-ar fi nemulțumirea.
4. Nu te baza pe faptul că nu se va putea demonstra prejudiciul suferit de afacere în urma acțiunilor tale. Este suficient ca alți useri să spună că nu au mai comandat produsul x după ce au citit recenzia ta, ca tu să ajungi să ajungi să îl plătești cu titlul de daune. La fel ar fi ca statisticile de accesare sau cumpărările să scadă într-un mod care să poată fi asociat cu recenzia ta.
5. Gândește-te dacă tu nu ai greșit niciodată când altcineva aștepta profesionalism din partea ta și cum ar fi trebuit să fii tratat atunci ca să devii mai bun: să fii făcut de râs în public sau să ți se arate deschidere și înțelegere; înainte de a pune o recenzie acidă, ia în calcul că și existența ta poate ajunge să depindă la un moment dat de ce spun alții despre tine în online. Analizează dacă nu ai putea obține un efect mai bun vorbind direct cu proprietarii afacerii.
6. Evită să folosești date personale în recenzie. Deși GDPR nu se aplică, în principiu, prelucrării datelor cu caracter personal de către persoanele fizice, condiția este ca prelucrările să fie efectuate în cadrul activității lor „exclusiv personale sau domestice și care, prin urmare, nu are legătură cu o activitate profesională sau comercială”. Formularea vagă a regulamentului lasă loc de interpretări și e posibil să vrei să eviți să aperi într-un proces prevalența dreptului tău la libera exprimare vs. dreptul la protecția vieții private a celui expus – e un conflict care nici până în ziua de azi nu are o soluție previzibilă în fața instanțelor.
7. Inspiră și expiră conștient pe durata lecturării punctelor 1-6. Dacă după ce ai citit tot mai vrei să scrii recenzia, blindează-te. Cu rezistență și dovezi, cum ar fi print-screen-uri și arhive de corespondență care să prindă data, expeditorul și conținutul conversației, oferte, contracte, facturi, dovezi de primire și dovezi de livrare, fără alte lucruri străine de situație (părți din alte documente, poze, site-uri etc). 

Dacă consideri sincer că afacerea cu care ai interacționat nu poate fi îndreptată sau oprită să facă altora rău altfel decât prin blamul public, fii pregătit să faci față cu capul sus oricărei provocări. Până la urma, lumea a fost schimbată de oameni care au luptat pentru lucrurile în care au crezut, indiferent de riscuri.

1. Ce este Registrul de evidență a rezervărilor clienților pe care trebuie să îl țină restaurantele din 3 iunie?

Vorbim despre „spaţiile special amenajate din exteriorul clădirilor unităţilor de alimentaţie publică”, deci despre restaurante cu terasă. Este vorba despre registrul obișnuit de rezervări al unui restaurant. Singura diferență este că acum ținerea registrului nu mai rămâne la latitudinea restaurantului, instituirea lui devenind obligatorie ca urmare a Ordinului comun al Ministerul Sănătăţii, Ministerului Economiei și ANSVSA.

2. Specialiștii spun că nu există sancțiune în Ordin pentru patronii de terase care nu țin registrul. Asta nu înseamnă ca ținerea lui este, în realitate, opțională?

Inexistența unei sancțiuni exprese în Ordin nu înseamnă că nu există nicio sancțiune. Ordinul a fost adoptat în baza actelor normative prin care s-au instituit starea de alertă și măsurile aferente pentru combaterea pandemiei. Deși este corectă observația că Ordinul nu prevede în conținutul său nicio sancțiune pentru nerespectarea obligației de a ține registrul, este previzibilă incidența art. 352 Cod penal, care prevede pedeapsa cu închisoare de la unu la 5 ani pentru „nerespectarea măsurilor privitoare la prevenirea sau combaterea bolilor infectocontagioase, dacă fapta a avut ca urmare răspândirea unei asemenea boli”.

Ținerea registrului este o astfel de măsură și, atât timp cât prevederile legale care o impun si o sancționează nu sunt afectate de emiterea unei decizii de neconstituționalitate, măsura este obligatorie.

3. În Ordin se specifică că registrul e obligatoriu pentru evitarea aglomerării. Dacă terasa nu e aglomerată, proprietarul poate să nu țină registrul?

Nu. În Ordin se specifică ca rezervarea se face pentru a se evita aglomerările la intrarea în unitate. Scopul registrului este, în schimb, altul: să existe date concrete pe baza cărora să poată fi efectuată ancheta epidemiologică  în cazul apariţiei unui caz de îmbolnăvire cu virusul SARS-CoV-2 în rândul clienţilor. Deci existența sau inexistența aglomerației este irelevantă raportat la obligația de ținere a registrului.

4. Au existat opinii ca un astfel de registru contravine GDPR. Este adevărat?

Acest registru nu este cu nimic deosebit de registrul obișnuit de rezervări, care nici înainte de acest Ordin nu era ilegal. Asta înseamnă ca proprietarii de restaurante puteau și înainte să solicite date in vederea efectuării rezervării, doar că făceau acest lucru în baza unui temei legal diferit decât cel incident acum, și anume contractul cu clientul.

Acum „prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului” și, indubitabil, prelucrarea datelor necesare rezervării are fundament legal din punct de vedere al GDPR.

5. Ce date trebuie preluate de la clienți?

Președinte ANSVSA a declarat unui post de televiziune că „Cei care merg la terasă trebuie să-și facă rezervare și să lase numele și numărul de telefon, pentru a putea fi contactați în cazul apariției unor cazuri de coronavirus”.

Proprietarii de terase trebuie să vadă însă această declarație ca nefiind făcută dintr-o perspectivă de protecție a datelor, ci din perspectiva măsurilor considerate necesare contra Covid.

Ei trebuie să aibă in vedere că GDPR funcționează pe baza câtorva principii fundamentale, unul dintre ele fiind cel privitor la reducerea la minim a datelor. Ca atare, pentru ca respectarea Ordinului să nu atragă o neconformare față de GDPR,  trebuie preluate datele minime care pot asigura contactarea clientului în caz de nevoie. Un email de pe care a provenit rezervarea poate fi suficient, la fel ca și un număr de telefon. Preluarea numelui și prenumelui poate fi văzută ca excesivă prin prisma principiului minimizării.

Cu toate acestea, deși Ordinul nu are prevederi în acest sens, pentru ca atingerea scopului acestuia să fie posibilă, restaurantele vor trebui să aibă în vedere coroborarea și a altor date în registru, cum ar fi data vizitei și masa ocupată, date care oricum sunt preluate în mod obișnuit la efectuarea rezervărilor.

6. Clienții pot fi verificați cu buletinul la intrarea în locație?

Nu recomand acest lucru, pentru că verificarea cărții de identitate reprezintă în sine o prelucrare suplimentară de date – da, din punct de vedere GDPR, consultarea unor date însemnă prelucrare, chiar dacă nu ai făcut și o copie, prelucrare pentru care Ordinul nu conferă însă acoperire legală. Ar trebui să fie suficientă furnizarea de către client a telefonului sau a mail-ului de pe care a fost făcută rezervarea.

7. Pot fi folosite aceste date și în alte scopuri? Pentru a trimite oferte promoționale, de exemplu?

Depinde de scopurile care au fost declarate de restaurant cu ocazia informării persoanei vizate, a clientului. Conform GDPR, datele trebuie colectate în scopuri determinate și nu trebuie prelucrate ulterior într-un mod incompatibil cu aceste scopuri. Dacă restaurantul intenționează să prelucreze datele în scop de marketing direct, atunci fie va trebui să ceara clientului consimțământul explicit în acest scop, fie va trebui să documenteze un interes legitim care îi permite prelucrarea în lipsa consimțământului. Deci, deși prelucrarea datelor în alte scopuri este posibilă în principiu, aceste scopuri nu pot fi urmărite de operator (de restaurant) decât dacă îndeplinește și alte condiții ale GDPR, care sunt stabilite de regulă în etapa de implementare a prevederilor GDPR în companie.

8. Cât timp trebuie ținute aceste date?

Cel puțin pe perioada de valabilitate a Ordinului, care se întinde pe durata stării de alertă. Dacă starea de alertă se va prelungi, se va prelungi și perioada de aplicabilitate a Ordinului. Nu există obligația de ținere a acestor date pentru orice perioade ulterioare în scopul prevăzut în Ordin, adică al prevenirii şi combaterii efectelor pandemiei de COVID-19.

Spuneam însă că acest registru nu este cu nimic deosebit de registrul obișnuit de rezervări. Asta înseamnă ca proprietarii de restaurante puteau și înainte să solicite aceleași date, pe care le prelucrau pe perioada cuprinsă în termenul de retenție al restaurantului, care poate fi diferită de cea de valabilitate a Ordinului.

Asta înseamnă ca datele referitoare la rezervare pot fi prelucrate pe perioada de retenție stabilită intern de restaurant (cu respectarea principiilor GDPR), dar nu pot fi prelucrate mai puțin decât prevede Ordinul.

Recomandarea este ca restaurantele să profite de această obligație nou-introdusă pentru a-și revizui oricum termenele de retenție. Dacă nu au motive justificate pentru reținerea datelor mai mult timp, datele privitoare la rezervări pot fi șterse chiar imediat ce rezervarea a fost consumată. Motiv justificat pentru a ține rezervările pe o perioadă mai îndelungată poate avea un local care s-a confruntat cu reclamații în urma rezervărilor, sesizări de obiecte pierdute după consumarea rezervării sau alte situații pe care le poate documenta, care pot justifica necesitatea de a ține datele de contact ale clientului.

9. Cum pot fi preluate datele pentru rezervare si unde trebuie ținute?

Pot fi preluate pe toate canalele de comunicare cu clientul, de la telefon, email, platforme de rezervări si chiar direct, la intrarea in locație.

Legat de modul de stocare a datelor, acestea pot fi ținute într-un registru electronic, offline sau online – recomandat sau pe hârtie. Ultima variantă s-a dovedit a fi problematică, o astfel de practică fiind cea care a condus la aplicarea uneia din primele amenzi pe GDPR in Romania, unui hotel, de nu mai puțin de 15.000 de Euro

Asta pentru că este dificil sa asiguri securitatea unei agende de hârtie, controlul accesului la ea și documentarea ștergerii securizate a datelor. Toate acestea sunt obligații GDPR cu privire la date, iar datele privitoare la rezervări nu fac excepție. Stocarea electronică a datelor privitoare la rezervări permite îndeplinirea facilă a acestor obligații și trasabilitatea lor, prin log-urile care se creează la accesarea documentului electronic sau la efectuarea oricăror operațiuni in registru.

10. Care este cel mai important lucru pe care trebuie să îl facă proprietarii de terase in contextul preluării datelor privitoare la rezervări?

Să informeze clienții legat de politica de prelucrare a datelor.

Când trebuie făcută informarea – foarte important, informarea trebuie efectuată în momentul obținerii datelor cu caracter personal, conform GDPR, nu mai târziu.

Cum se face informarea prin site- în cazul clienților care accesează site-ul companiei, informarea se poate face prin afișarea politicii de confidențialitate a restaurantului pe site.

Cum se face informarea on-site  – clienților care fac rezervare la fața locului  li se va înmâna informarea persoanei vizate în format fizic pentru consultare și semnare. Pentru locațiile cu volum mare de vizitatori, poate fi luată în calcul varianta implementării unui sistem electronic în care clientul să poată citi notificarea pe un ecran și să semneze electronic cu un stilus.

Cum se face informarea prin telefon – Mai dificilă este informarea clienților care fac rezervarea prin telefon. În acest caz, informarea poate fi efectuată, înainte de preluarea datelor, automat sau prin citirea unui script de către operatorul telefonic, în care clientului să îi fie explicat pe scurt în ce mod și pentru ce scop vor fi prelucrate datele lui, cu trimiterea pentru detalii la politica de confidențialitate afișată pe site.

Dovada informării – este în sarcina restaurantului. Dacă in cazul unui site exista log-uri, iar în cazul rezervării directe în locație este captată semnătura clientului, în cazul rezervării prin telefon, pentru ca efectuarea informării să poată fi demonstrată, este necesar ca restaurantul să înregistreze conversația, cu notificarea prealabilă a clientului cu privire la înregistrare.

Este recomandat ca apelanților sa li se propună un sistem alternativ de contactare a restaurantului, dacă nu sunt de acord cu înregistrarea vocală, înainte de preluarea datelor.

Păstrarea înregistrării – se va face pe perioada de retenție stabilită intern de restaurant, cu luarea in calcul a unor criterii obiective, cum ar fi termenul de prescripție cu privire la reclamații și eventualele perioade de întrerupere sau suspendare a acestuia.

În concluzie, ce au de făcut proprietarii de terase?

1. Să țină registrul, pentru a ajuta la controlul răspândirii Covid și pentru a evita incidența codului penal
2. Să facă informarea clientului într-un mod pe care să îl poată demonstra în cazul unui control al Autorității de supraveghere
3. Să preia doar datele minime necesare identificării clientului care a rezervat masa.
4. Să asigure securitatea registrului, pentru a preîntâmpina diseminarea, distrugerea sau alte operațiuni neautorizate
5. Să permită accesul la registru doar persoanelor responsabile de efectuarea și punerea in aplicare a rezervărilor
6. Sa asigure ștergerea confidențială a datelor din registru la expirarea stării de alertă sau la expirarea termenului de retenție al restaurantului, dacă acesta este mai mare.