Ieri mă sună o prietenă panicată că tocmai apăruse noul Ordin de Ministru în Monitorul Oficial, numărul 461/2020, Partea I, care îi obligă pe cei care redeschid terasele să țină un registru al rezervărilor. Am comentat și pe Facebook această decizie, și am spus că da, este o prelucrare de date cu caracter personal și deși există un temei legal pentru prelucrarea (obligativitatea legală dată de un Ordin de Ministru), operatorul (firma care deține terasa) trebuie să respecte GDPR. Ordinul nu precizează însă ce categorii de date cu caracter personal trebuie prelucrate (nume, prenume, telefon, mail, domiciliu etc), și cât timp trebuie ele păstrate.
Drept urmare, în acest articol vin cu niște clarificări de bază, sper să fie de folos celor care dețin terase.
La Capitolul II, Secțiunea 1, Art 4 litera l se spune așa: „existența unui registru de evidență a rezervărilor clienților, astfel încât, în cazul apariției unui risc de îmbolnăvire cu virusul SARS-COV-2 în rândul clienților unității de alimentație, să existe date concrete pe baza cărora să poată fi efectuată ancheta epidemiologică”. La Secțiunea 2, Art 5 litera k se spune așa: „ocuparea locurilor se va face cu rezervare anterioară, astfel încât să se evite aglomerările la intrarea în unitate și să se faciliteze ancheta epidemiologică în cazul apariției unui caz de îmbolnăvire între clienții localului”. Și acestea sunt singurele paragrafe care pun în discuție problema registrului.
Ce zice GDPR? Orice prelucrare trebuie să respecte câteva principii:
Legalitate, echitate, transparență
În acest caz temeiul legal este dat de Ordinul de Ministru. Să nu aud de consimțăminte și alte tâmpenii. Însă transparența înseamnă prezența unei notificări de confidențialitate – fie o hârtie printată, fie o ramă foto cu câteva slide-uri care să conțină informațiile obligatorii privind prelucrarea, fie un filmuleț pe un LED-TV. Am făcut nu știu câte informări de astea și credeți-mă, cele mai mișto sunt cele vizuale, pe LED-TV-uri sau pe photoframes. Ce conține o astfel de informare (un articol complet AICI)?
- Cine suntem – numele operatorului.
- Ce date prelucrăm și de ce – nume, prenume, număr de telefon (Vedeți mai jos).
- Cât timp le ținem – maxim trei săptămâni (vedeți mai jos de ce).
- Cui le mai dăm și de ce – în caz de control, la DSP/Poliție. Dacă totuși mai sunt alți operatori/ persoane împuternicite, ele trebuie menționate (împreună cu motivul transferului).
- Drepturile clientului – dreptul de acces, rectificare, ștergere, restricționare a prelucrării, export (dreptul la obiecție nu se aplică în acest caz) și cum pot fi ele exercitate (o simplă adresă de email).
Limitări legate de scop
Nu puteți folosi aceste date pentru a-i băga pe clienți în newslettere, campanii SMS etc. Dacă vreți să o faceți, aveți nevoie de un alt temei legal (consimțământ aș recomanda), este o altă prelucrare.
Reducerea la minim a datelor
În acest caz, ordinul de ministru ar fi trebuit să cuprindă de ce fel de date personale este nevoie. Ținând cont că nu scrie, trebuie să interpretăm. Ca să ajuți o anchetă epidemiologică ai avea nevoie de nume, prenume, număr de telefon. La o anume adică, cel mai important este numărul de telefon! Pentru ca DSP să îl poată contacta. Deci aș zice că este destul un prenume și un număr de telefon. Așa evităm și discuțiile cu „vedete” ce nu vor să se știe că au fost la o terasă. Însă numărul de telefon trebuie să fie valid – vezi mai jos de ce.
Exactitate
Este obligația operatorului să prelucreze date personale CORECTE. Ceea ce înseamnă că operatorul are obligația de a verifica corectitudinea datelor date de către cel care face rezervarea. Numărul de telefon fiind aici cel mai important, putem fie să îl sunăm înapoi pe cel care face rezervarea pentru confirmare, fie să îi dăm un cod SMS, fie să folosim un operator de rezervări de restaurante etc. Confirmarea rezervării = confirmarea telefonului! Dacă prelucrăm și nume și prenume, putem să cerem să vedem (nu să stocăm, nu să copiem) un act de identitate pentru a verifica exactitatea datelor.
Dacă datele nu sunt corecte, riscați să luați amendă și de la ANSPDCP!
Limitări legate de stocare
Din nou, ordinul de ministru ar fi trebuit să vină cu clarificări. Așa că iar trebuie să deducem… de obicei este nevoie de 14 zile pentru confirmarea infectării, așa că dacă mai luăm în calcul încă o săptămână de eroare, ajungem la un termen de stocare de 21 de zile, adică trei săptămâni. Este sfatul meu, după trei săptămâni puteți distruge datele.
Nu le puteți ține la infinit, puteți să luați amendă pe așa ceva!
Integritate și confidențialitate
Acest registru trebuie protejat. Dacă este un registru fizic, el trebuie să stea sub cheie, să fie accesat de un număr limitat de persoane, niciodată să nu fie la vedere! Dacă este electronic (gen Excel), trebuie știut cine îl accesează, trebuie ținut pe un calculator sau tabletă sau cloud securizat, eventual parolat/ criptat cu BitLocker/ Filevault (la MacBook).
Aș fi așteptat ca acest ordin de ministru să fie mai complet, așa cum de exemplu este HG 237/2001 care reglementează ce date se colectează în Fișele de cazare, cât timp sunt ele stocate și cine are acces la ele.
Asta avem, cu asta mergem înainte.
8 comentarii Adaugă comentariu
Cred ca ar mai trebui si registrul de evidenta a prelucrarii datelor.cu caracter personal…. adica o hartie in care sa scrie ceva gen „unitatea de deservire a populatiei 😀 abc srl prelucreaza nume, prenume, telefon in temeiul ordinului de ministru prost 😀 nr. Xx, in scopul realizarii rezervarii si indeplinirii obligatiei de deservire bla-bla”, iar in cazul caietului de rezervari, numele si semnatura persoanei care a notat (prelucrat) rezervarea, sau daca e electronic, log…
Operatorul sa fie înscris în registrul operatorilor de date cu caracter personal, sa ii fie atribuit un cod, altfel nu poate cere date, chiar dacă ar avea consimțământul persoanei.
@Alex – da, aceea este o obligație GDPR
@CIOC – nu mai există de doi ani registrul operatorilor de date cu caracter personal. Temeiul legal nu este consimțământul