GDPR și COVID– 10 răspunsuri la întrebările proprietarilor de restaurante

1. Ce este Registrul de evidență a rezervărilor clienților pe care trebuie să îl țină restaurantele din 3 iunie?

Vorbim despre „spaţiile special amenajate din exteriorul clădirilor unităţilor de alimentaţie publică”, deci despre restaurante cu terasă. Este vorba despre registrul obișnuit de rezervări al unui restaurant. Singura diferență este că acum ținerea registrului nu mai rămâne la latitudinea restaurantului, instituirea lui devenind obligatorie ca urmare a Ordinului comun al Ministerul Sănătăţii, Ministerului Economiei și ANSVSA.

2. Specialiștii spun că nu există sancțiune în Ordin pentru patronii de terase care nu țin registrul. Asta nu înseamnă ca ținerea lui este, în realitate, opțională?

Inexistența unei sancțiuni exprese în Ordin nu înseamnă că nu există nicio sancțiune. Ordinul a fost adoptat în baza actelor normative prin care s-au instituit starea de alertă și măsurile aferente pentru combaterea pandemiei. Deși este corectă observația că Ordinul nu prevede în conținutul său nicio sancțiune pentru nerespectarea obligației de a ține registrul, este previzibilă incidența art. 352 Cod penal, care prevede pedeapsa cu închisoare de la unu la 5 ani pentru „nerespectarea măsurilor privitoare la prevenirea sau combaterea bolilor infectocontagioase, dacă fapta a avut ca urmare răspândirea unei asemenea boli”.

Ținerea registrului este o astfel de măsură și, atât timp cât prevederile legale care o impun si o sancționează nu sunt afectate de emiterea unei decizii de neconstituționalitate, măsura este obligatorie.

3. În Ordin se specifică că registrul e obligatoriu pentru evitarea aglomerării. Dacă terasa nu e aglomerată, proprietarul poate să nu țină registrul?

Nu. În Ordin se specifică ca rezervarea se face pentru a se evita aglomerările la intrarea în unitate. Scopul registrului este, în schimb, altul: să existe date concrete pe baza cărora să poată fi efectuată ancheta epidemiologică  în cazul apariţiei unui caz de îmbolnăvire cu virusul SARS-CoV-2 în rândul clienţilor. Deci existența sau inexistența aglomerației este irelevantă raportat la obligația de ținere a registrului.

4. Au existat opinii ca un astfel de registru contravine GDPR. Este adevărat?

Acest registru nu este cu nimic deosebit de registrul obișnuit de rezervări, care nici înainte de acest Ordin nu era ilegal. Asta înseamnă ca proprietarii de restaurante puteau și înainte să solicite date in vederea efectuării rezervării, doar că făceau acest lucru în baza unui temei legal diferit decât cel incident acum, și anume contractul cu clientul.

Acum „prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului” și, indubitabil, prelucrarea datelor necesare rezervării are fundament legal din punct de vedere al GDPR.

5. Ce date trebuie preluate de la clienți?

Președinte ANSVSA a declarat unui post de televiziune că „Cei care merg la terasă trebuie să-și facă rezervare și să lase numele și numărul de telefon, pentru a putea fi contactați în cazul apariției unor cazuri de coronavirus”.

Proprietarii de terase trebuie să vadă însă această declarație ca nefiind făcută dintr-o perspectivă de protecție a datelor, ci din perspectiva măsurilor considerate necesare contra Covid.

Ei trebuie să aibă in vedere că GDPR funcționează pe baza câtorva principii fundamentale, unul dintre ele fiind cel privitor la reducerea la minim a datelor. Ca atare, pentru ca respectarea Ordinului să nu atragă o neconformare față de GDPR,  trebuie preluate datele minime care pot asigura contactarea clientului în caz de nevoie. Un email de pe care a provenit rezervarea poate fi suficient, la fel ca și un număr de telefon. Preluarea numelui și prenumelui poate fi văzută ca excesivă prin prisma principiului minimizării.

Cu toate acestea, deși Ordinul nu are prevederi în acest sens, pentru ca atingerea scopului acestuia să fie posibilă, restaurantele vor trebui să aibă în vedere coroborarea și a altor date în registru, cum ar fi data vizitei și masa ocupată, date care oricum sunt preluate în mod obișnuit la efectuarea rezervărilor.

6. Clienții pot fi verificați cu buletinul la intrarea în locație?

Nu recomand acest lucru, pentru că verificarea cărții de identitate reprezintă în sine o prelucrare suplimentară de date – da, din punct de vedere GDPR, consultarea unor date însemnă prelucrare, chiar dacă nu ai făcut și o copie, prelucrare pentru care Ordinul nu conferă însă acoperire legală. Ar trebui să fie suficientă furnizarea de către client a telefonului sau a mail-ului de pe care a fost făcută rezervarea.

7. Pot fi folosite aceste date și în alte scopuri? Pentru a trimite oferte promoționale, de exemplu?

Depinde de scopurile care au fost declarate de restaurant cu ocazia informării persoanei vizate, a clientului. Conform GDPR, datele trebuie colectate în scopuri determinate și nu trebuie prelucrate ulterior într-un mod incompatibil cu aceste scopuri. Dacă restaurantul intenționează să prelucreze datele în scop de marketing direct, atunci fie va trebui să ceara clientului consimțământul explicit în acest scop, fie va trebui să documenteze un interes legitim care îi permite prelucrarea în lipsa consimțământului. Deci, deși prelucrarea datelor în alte scopuri este posibilă în principiu, aceste scopuri nu pot fi urmărite de operator (de restaurant) decât dacă îndeplinește și alte condiții ale GDPR, care sunt stabilite de regulă în etapa de implementare a prevederilor GDPR în companie.

8. Cât timp trebuie ținute aceste date?

Cel puțin pe perioada de valabilitate a Ordinului, care se întinde pe durata stării de alertă. Dacă starea de alertă se va prelungi, se va prelungi și perioada de aplicabilitate a Ordinului. Nu există obligația de ținere a acestor date pentru orice perioade ulterioare în scopul prevăzut în Ordin, adică al prevenirii şi combaterii efectelor pandemiei de COVID-19.

Spuneam însă că acest registru nu este cu nimic deosebit de registrul obișnuit de rezervări. Asta înseamnă ca proprietarii de restaurante puteau și înainte să solicite aceleași date, pe care le prelucrau pe perioada cuprinsă în termenul de retenție al restaurantului, care poate fi diferită de cea de valabilitate a Ordinului.

Asta înseamnă ca datele referitoare la rezervare pot fi prelucrate pe perioada de retenție stabilită intern de restaurant (cu respectarea principiilor GDPR), dar nu pot fi prelucrate mai puțin decât prevede Ordinul.

Recomandarea este ca restaurantele să profite de această obligație nou-introdusă pentru a-și revizui oricum termenele de retenție. Dacă nu au motive justificate pentru reținerea datelor mai mult timp, datele privitoare la rezervări pot fi șterse chiar imediat ce rezervarea a fost consumată. Motiv justificat pentru a ține rezervările pe o perioadă mai îndelungată poate avea un local care s-a confruntat cu reclamații în urma rezervărilor, sesizări de obiecte pierdute după consumarea rezervării sau alte situații pe care le poate documenta, care pot justifica necesitatea de a ține datele de contact ale clientului.

9. Cum pot fi preluate datele pentru rezervare si unde trebuie ținute?

Pot fi preluate pe toate canalele de comunicare cu clientul, de la telefon, email, platforme de rezervări si chiar direct, la intrarea in locație.

Legat de modul de stocare a datelor, acestea pot fi ținute într-un registru electronic, offline sau online – recomandat sau pe hârtie. Ultima variantă s-a dovedit a fi problematică, o astfel de practică fiind cea care a condus la aplicarea uneia din primele amenzi pe GDPR in Romania, unui hotel, de nu mai puțin de 15.000 de Euro

Asta pentru că este dificil sa asiguri securitatea unei agende de hârtie, controlul accesului la ea și documentarea ștergerii securizate a datelor. Toate acestea sunt obligații GDPR cu privire la date, iar datele privitoare la rezervări nu fac excepție. Stocarea electronică a datelor privitoare la rezervări permite îndeplinirea facilă a acestor obligații și trasabilitatea lor, prin log-urile care se creează la accesarea documentului electronic sau la efectuarea oricăror operațiuni in registru.

10. Care este cel mai important lucru pe care trebuie să îl facă proprietarii de terase in contextul preluării datelor privitoare la rezervări?

Să informeze clienții legat de politica de prelucrare a datelor.

Când trebuie făcută informarea – foarte important, informarea trebuie efectuată în momentul obținerii datelor cu caracter personal, conform GDPR, nu mai târziu.

Cum se face informarea prin site- în cazul clienților care accesează site-ul companiei, informarea se poate face prin afișarea politicii de confidențialitate a restaurantului pe site.

Cum se face informarea on-site  – clienților care fac rezervare la fața locului  li se va înmâna informarea persoanei vizate în format fizic pentru consultare și semnare. Pentru locațiile cu volum mare de vizitatori, poate fi luată în calcul varianta implementării unui sistem electronic în care clientul să poată citi notificarea pe un ecran și să semneze electronic cu un stilus.

Cum se face informarea prin telefon – Mai dificilă este informarea clienților care fac rezervarea prin telefon. În acest caz, informarea poate fi efectuată, înainte de preluarea datelor, automat sau prin citirea unui script de către operatorul telefonic, în care clientului să îi fie explicat pe scurt în ce mod și pentru ce scop vor fi prelucrate datele lui, cu trimiterea pentru detalii la politica de confidențialitate afișată pe site.

Dovada informării – este în sarcina restaurantului. Dacă in cazul unui site exista log-uri, iar în cazul rezervării directe în locație este captată semnătura clientului, în cazul rezervării prin telefon, pentru ca efectuarea informării să poată fi demonstrată, este necesar ca restaurantul să înregistreze conversația, cu notificarea prealabilă a clientului cu privire la înregistrare.

Este recomandat ca apelanților sa li se propună un sistem alternativ de contactare a restaurantului, dacă nu sunt de acord cu înregistrarea vocală, înainte de preluarea datelor.

Păstrarea înregistrării – se va face pe perioada de retenție stabilită intern de restaurant, cu luarea in calcul a unor criterii obiective, cum ar fi termenul de prescripție cu privire la reclamații și eventualele perioade de întrerupere sau suspendare a acestuia.

În concluzie, ce au de făcut proprietarii de terase?

1. Să țină registrul, pentru a ajuta la controlul răspândirii Covid și pentru a evita incidența codului penal
2. Să facă informarea clientului într-un mod pe care să îl poată demonstra în cazul unui control al Autorității de supraveghere
3. Să preia doar datele minime necesare identificării clientului care a rezervat masa.
4. Să asigure securitatea registrului, pentru a preîntâmpina diseminarea, distrugerea sau alte operațiuni neautorizate
5. Să permită accesul la registru doar persoanelor responsabile de efectuarea și punerea in aplicare a rezervărilor
6. Sa asigure ștergerea confidențială a datelor din registru la expirarea stării de alertă sau la expirarea termenului de retenție al restaurantului, dacă acesta este mai mare.