Tudor Galos

- The Blog of Tudor Galos -

Conformitate GDPR la redeschiderea teraselor

Articol din categoria: Trends

Ieri m─â sun─â o prieten─â panicat─â c─â tocmai ap─âruse noul Ordin de Ministru ├«n Monitorul Oficial, num─ârul 461/2020, Partea I, care ├«i oblig─â pe cei care redeschid terasele s─â ╚Ťin─â un registru al rezerv─ârilor. Am comentat ╚Öi pe Facebook aceast─â decizie, ╚Öi am spus c─â da, este o prelucrare de date cu caracter personal ╚Öi de╚Öi exist─â un temei legal pentru prelucrarea (obligativitatea legal─â dat─â de un Ordin de Ministru), operatorul (firma care de╚Ťine terasa) trebuie s─â respecte GDPR. Ordinul nu precizeaz─â ├«ns─â ce categorii de date cu caracter personal trebuie prelucrate (nume, prenume, telefon, mail, domiciliu etc), ╚Öi c├ót timp trebuie ele p─âstrate.

Drept urmare, ├«n acest articol vin cu ni╚Öte clarific─âri de baz─â, sper s─â fie de folos celor care de╚Ťin terase.

La Capitolul II, Sec╚Ťiunea 1, Art 4 litera l se spune a╚Öa: ÔÇ×existen╚Ťa unui registru de eviden╚Ť─â a rezerv─ârilor clien╚Ťilor, astfel ├«nc├ót, ├«n cazul apari╚Ťiei unui risc de ├«mboln─âvire cu virusul SARS-COV-2 ├«n r├óndul clien╚Ťilor unit─â╚Ťii de alimenta╚Ťie, s─â existe date concrete pe baza c─ârora s─â poat─â fi efectuat─â ancheta epidemiologic─âÔÇŁ. La Sec╚Ťiunea 2, Art 5 litera k se spune a╚Öa: ÔÇ×ocuparea locurilor se va face cu rezervare anterioar─â, astfel ├«nc├ót s─â se evite aglomer─ârile la intrarea ├«n unitate ╚Öi s─â se faciliteze ancheta epidemiologic─â ├«n cazul apari╚Ťiei unui caz de ├«mboln─âvire ├«ntre clien╚Ťii localuluiÔÇŁ. ╚śi acestea sunt singurele paragrafe care pun ├«n discu╚Ťie problema registrului.

Ce zice GDPR? Orice prelucrare trebuie să respecte câteva principii:

Legalitate, echitate, transparen╚Ť─â

├Än acest caz temeiul legal este dat de Ordinul de Ministru. S─â nu aud de consim╚Ť─âminte ╚Öi alte t├ómpenii. ├Äns─â transparen╚Ťa ├«nseamn─â prezen╚Ťa unei notific─âri de confiden╚Ťialitate ÔÇô fie o h├órtie printat─â, fie o ram─â foto cu c├óteva slide-uri care s─â con╚Ťin─â informa╚Ťiile obligatorii privind prelucrarea, fie un filmule╚Ť pe un LED-TV. Am f─âcut nu ╚Ötiu c├óte inform─âri de astea ╚Öi crede╚Ťi-m─â, cele mai mi╚Öto sunt cele vizuale, pe LED-TV-uri sau pe photoframes. Ce con╚Ťine o astfel de informare (un articol complet AICI)?

  • Cine suntem ÔÇô numele operatorului.
  • Ce date prelucr─âm ╚Öi de ce ÔÇô nume, prenume, num─âr de telefon (Vede╚Ťi mai jos).
  • C├ót timp le ╚Ťinem ÔÇô maxim trei s─âpt─âm├óni (vede╚Ťi mai jos de ce).
  • Cui le mai d─âm ╚Öi de ce ÔÇô ├«n caz de control, la DSP/Poli╚Ťie. Dac─â totu╚Öi mai sunt al╚Ťi operatori/ persoane ├«mputernicite, ele trebuie men╚Ťionate (├«mpreun─â cu motivul transferului).
  • Drepturile clientului ÔÇô dreptul de acces, rectificare, ╚Ötergere, restric╚Ťionare a prelucr─ârii, export (dreptul la obiec╚Ťie nu se aplic─â ├«n acest caz) ╚Öi cum pot fi ele exercitate (o simpl─â adres─â de email).

Limit─âri legate de scop

Nu pute╚Ťi folosi aceste date pentru a-i b─âga pe clien╚Ťi ├«n newslettere, campanii SMS etc. Dac─â vre╚Ťi s─â o face╚Ťi, ave╚Ťi nevoie de un alt temei legal (consim╚Ť─âm├ónt a╚Ö recomanda), este o alt─â prelucrare.

Reducerea la minim a datelor

├Än acest caz, ordinul de ministru ar fi trebuit s─â cuprind─â de ce fel de date personale este nevoie. ╚Üin├ónd cont c─â nu scrie, trebuie s─â interpret─âm. Ca s─â aju╚Ťi o anchet─â epidemiologic─â ai avea nevoie de nume, prenume, num─âr de telefon. La o anume adic─â, cel mai important este num─ârul de telefon! Pentru ca DSP s─â ├«l poat─â contacta. Deci a╚Ö zice c─â este destul un prenume ╚Öi un num─âr de telefon. A╚Öa evit─âm ╚Öi discu╚Ťiile cu ÔÇ×vedeteÔÇŁ ce nu vor s─â se ╚Ötie c─â au fost la o teras─â. ├Äns─â num─ârul de telefon trebuie s─â fie valid ÔÇô vezi mai jos de ce.

Exactitate

Este obliga╚Ťia operatorului s─â prelucreze date personale CORECTE. Ceea ce ├«nseamn─â c─â operatorul are obliga╚Ťia de a verifica corectitudinea datelor date de c─âtre cel care face rezervarea. Num─ârul de telefon fiind aici cel mai important, putem fie s─â ├«l sun─âm ├«napoi pe cel care face rezervarea pentru confirmare, fie s─â ├«i d─âm un cod SMS, fie s─â folosim un operator de rezerv─âri de restaurante etc. Confirmarea rezerv─ârii = confirmarea telefonului! Dac─â prelucr─âm ╚Öi nume ╚Öi prenume, putem s─â cerem s─â vedem (nu s─â stoc─âm, nu s─â copiem) un act de identitate pentru a verifica exactitatea datelor.

Dac─â datele nu sunt corecte, risca╚Ťi s─â lua╚Ťi amend─â ╚Öi de la ANSPDCP!

Limit─âri legate de stocare

Din nou, ordinul de ministru ar fi trebuit s─â vin─â cu clarific─âri. A╚Öa c─â iar trebuie s─â deducem… de obicei este nevoie de 14 zile pentru confirmarea infect─ârii, a╚Öa c─â dac─â mai lu─âm ├«n calcul ├«nc─â o s─âpt─âm├ón─â de eroare, ajungem la un termen de stocare de 21 de zile, adic─â trei s─âpt─âm├óni. Este sfatul meu, dup─â trei s─âpt─âm├óni pute╚Ťi distruge datele.

Nu le pute╚Ťi ╚Ťine la infinit, pute╚Ťi s─â lua╚Ťi amend─â pe a╚Öa ceva!

Integritate ╚Öi confiden╚Ťialitate

Acest registru trebuie protejat. Dac─â este un registru fizic, el trebuie s─â stea sub cheie, s─â fie accesat de un num─âr limitat de persoane, niciodat─â s─â nu fie la vedere! Dac─â este electronic (gen Excel), trebuie ╚Ötiut cine ├«l acceseaz─â, trebuie ╚Ťinut pe un calculator sau tablet─â sau cloud securizat, eventual parolat/ criptat cu BitLocker/ Filevault (la MacBook).

Aș fi așteptat ca acest ordin de ministru să fie mai complet, așa cum de exemplu este HG 237/2001 care reglementează ce date se colectează în Fișele de cazare, cât timp sunt ele stocate și cine are acces la ele.

Asta avem, cu asta mergem înainte.

7 comentarii Adaug─â comentariu

  1. #1 Comentariu nou

    Cred ca ar mai trebui si registrul de evidenta a prelucrarii datelor.cu caracter personal…. adica o hartie in care sa scrie ceva gen „unitatea de deservire a populatiei ­čśÇ abc srl prelucreaza nume, prenume, telefon in temeiul ordinului de ministru prost ­čśÇ nr. Xx, in scopul realizarii rezervarii si indeplinirii obligatiei de deservire bla-bla”, iar in cazul caietului de rezervari, numele si semnatura persoanei care a notat (prelucrat) rezervarea, sau daca e electronic, log…

  2. #2 Comentariu nou

    Operatorul sa fie ├«nscris ├«n registrul operatorilor de date cu caracter personal, sa ii fie atribuit un cod, altfel nu poate cere date, chiar dac─â ar avea consim╚Ť─âm├óntul persoanei.

  3. #3 Comentariu nou

    @Alex – da, aceea este o obliga╚Ťie GDPR
    @CIOC – nu mai exist─â de doi ani registrul operatorilor de date cu caracter personal. Temeiul legal nu este consim╚Ť─âm├óntul

Adaug─â un comentariu

Câmpurile marcate cu * sunt obligatorii! Adresa de email nu va fi publicată.