Despre legalitatea măsurilor impuse de ordinul nr. 966 emis de Ministerul sănătății privitor la prelucrarea datelor cu caracter personal ale clienților teraselor
8 minute • Stefania Hotoiu • 09 septembrie 2020
Pandemia generată de noul coronavirus a creat o mulțime de probleme atât pe plan național, cât și internațional, iar cetățenii s-au pierdut de cele mai multe ori în fața numărului mare de noi reglementări pe care au fost nevoiți să învețe să le respecte și aplice.
Cum au stat lucrurile la început?
Astfel, ordinul nr. 966 emis de Ministerul sănătății, Ministerul economiei, energiei și mediului de afaceri a adus o serie de noi problematici privind normele de funcționare a teraselor începând cu data de 1 iunie 2020. Printre altele, ordinul prevede în secțiunea a doua, ,,Măsuri de protecție a clienților”, art. 5, lit. K faptul că ,,ocuparea locurilor se va face cu o rezervare anterioară, astfel încât să se evite aglomerările la intrarea în unitate și să se faciliteze ancheta epidemiologică în cazul apariției unui caz de îmbolnăvire între clienții localului”. De aici și până la crearea unor discuții interminabile referitoare la legalitatea acestei măsuri, în concordanță cu normele impuse de Regulamentul GDPR care se aplică pe teritoriul țării noastre începând cu anul 2018, a fost doar un pas.
Astfel, una dintre cele mai frecvente întrebări din acest context a vizat calitatea de ,,operator de date” al restaurantelor, teraselor, barurilor, pe care majoritatea o contestă menționând lipsa unor autorizații pe care aceste unități ar fi trebuit să le dețină pentru a dobândi capacitatea ulterioară prelucrării unor astfel de date. Lămurirea acestui aspect este destul de facilă și se regăsește chiar în conținutul Regulamentului ce prevede faptul că prin operator de date înțelegem: ,,orice persoana fizică sau juridică, singură sau împreună cu altele, care stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal”. Prin urmare, Regulamentul nu menționează obligativitatea acestor persoane de a poseda anumite autorizații specifice punerii în aplicare a normelor în vigoare ale acestei materii.
Pe scurt, dacă un restaurant, cafenea sau terasă prelucrează date personale ale clienților care vin în locație, unitatea devine operator, indiferent de modalitatea de scriere a datelor (pe un carnețel, prin intermediul unei aplicații, pe o tabletă etc.)
Pe de altă parte, Regulamentul GDPR stabilește o serie de elemente pe care fiecare operator este îndatorat a le respecta, și anume: legalitatea, echitatea și transparența prelucrării acestor date, astfel încât persoana ale cărei date sunt colectate trebuie să înțeleagă motivul cert și real al acestei acțiuni. Alte elemente importante prevăzute în normele Regulamentului vizează: limitarea scopului (datele sunt folosite în mod strict pentru scopul pentru care au fost cerute), minimizarea datelor (nu se cer mai mult date decât sunt necesare), exactitatea, integritatea și confidențialitatea (protejarea reală a datelor și asigurarea faptului că acestea nu pot fi utilizate în alte scopuri) și responsabilitatea (respectarea tuturor celor menționate anterior).
Dacă primele aspecte pot fi acoperite din punct de vedere juridic, în temeiul ordinului de Ministru, întrucât acesta menționează în mod concis scopulpentru care aceste date sunt prelucrate, respectiv efectuarea anchetei epidemiologice în cazul în care o persoană identificată pozitiv cu SarS Cov-2 a fost în locație, (așa-numita ”trasabilitate”), considerăm că ar fi fost necesare și precizări cu privire la termenul minim și maxim de arhivare al acestor date.
În ceea ce privește durata maximă de reținere a acestor date, ar trebui să avem ca referință perioada de incubare de 16 zile (Sursa: European Centre for Disease Prevention and Control. Guidance for discharge and ending isolation in the context of widespread community transmission of COVID-19, 8 April 2020. Stockholm: ECDC; 2020).
Desigur, angajații barurilor, teraselor, restaurantelor nu pot cere în mod obligatoriu legitimarea clienților, fapt pentru care amintim că aceste date pot fi oferite doar prin exprimarea efectivă a consimțământului persoanei respective, printr-o acțiune reală (semnătură, bifarea unei căsuțe, comunicarea orală a datelor către persoana care le cere, și altele).
În afara consimțământului menționat anterior, posbilitatea unui operator de a colecta date cu caracter personal vine, de altfel, odată cu respectarea unor temeiuri legale impuse de Regulament precum: existența unei obligații legale (ordinul de Ministru încadrându-se desigur în această limită), urmărirea unui interes vital ce vizează protejarea vieții persoanei sau a sănătății acesteia (ceea ce, de asemenea, se motivează prin dorința autorităților de a preveni răspândirea virusului), protejarea interesului public, dar și a interesului legitim al persoanei.
Așadar, terasele, restaurantele, barurile sau orice alte unități pot fi considerate operatori de date, întrucât Regulamentul GDPR nu prevede existența unor calificări specifice domeniului, însă aceste acțiuni pot fi realizate în mod licit doar cu respectarea tuturor aspectelor impuse, fapt pentru care lipsa consimțământului persoanei va atrage întotdeauna lipsa posibilității oricărui operator de a vă prelucra datele (indiferent de natura acestor date), în urma acestui fapt survenind în mod evident o serie de consecințe. Astfel, lipsa acordării acestor date va conduce în mod automat la imposibilitatea efectuării acelei rezervări și, implicit, a beneficiului unor servicii obținute în spațiul teraselor. Altfel spus, dacă o persoană refuză precizarea datelor cerute, va trebui să renunțe la serviciile de care ar fi putut beneficia în cadrul spațiului respectiv. Totuși, exprimarea consimțământului, în cazul de față, se realizează într-un mod destul de atipic, și anume prin acțiunea de furnizare a datelor respective. De această dată, temeiul legal privind prelucrarea datelor nu este cel al consimțământului, ci se regăsește de ordinul de ministru anterior amintit.
De asemenea, dorim să menționăm încă o dată faptul că au existat multe cazuri în care terasele au folosit datele persoanelor pentru a trimite ulterior mesaje comerciale, de marketing, inclusiv pentru a cere feedback sau în scopul informării persoanelor cu privire la alte promoții și evenimente care vor avea loc. Colectarea datelor se face doar pentru a facilita o anchetă epidemiologică, nu pentru a crea o bază de date de clienți!
De altfel, cu totul alta este discuția în contextul în care respectiva terasa avea deja implementată o politică de rezervare anterioară, iar acum practic acționează prim simpla transformare a acesteia într-o formalitate obligatorie. Spre exemplu, dacă terasa X spunea pre-pandemie că rezervarea unei mese se poate face prin intermediul aplicației X/Y, iar acum acest lucru devine obligatoriu, practic operatorul respectiv nu trebuie decât să actualizeze nota de informare incluzând și aspectele de scop privind ancheta epidemiologică. Totodată, ar trebui ca unitățile ce practică aceste acțiuni să ofere clienților posibilitatea de a se dezabona ulterior de la orice alte forme de comunicare comercială.
Cum stau lucrurile începând cu 1 septembrie 2020?
Începând cu 1 septembrie 2020 pot fi deschise și cafenele și restaurantele indoor, iar asta a însemnat un nou Ordin care să îl abroge pe cel amintit anterior. Mai exact, avem Ordinul nr. 1493/2788/149/2020 pentru aprobarea Normei privind stabilirea măsurilor specifice de prevenire a răspândirii virusului SARS-CoV-2 pentru activitățile de preparare, comercializare și consum al produselor alimentare și/sau băuturilor alcoolice și nealcoolice în unitățile de alimentație publică de tipul restaurantelor și cafenelelor din interiorul clădirilor, precum și în spațiile special amenajate din exteriorul clădirilor.
Articolul 5 litera n din această Normă anexă la Ordin prevede că:
ocuparea locurilor se va face cu rezervare anterioară sau cu înscriere la sosire în registrul întocmit cu respectarea prevederilor Regulamentului UE 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (colectare date de contact pentru minimum o persoană pentru fiecare masă), astfel încât să se evite aglomerările la intrarea în unitate și să se faciliteze ancheta epidemiologică în cazul apariției unui caz de îmbolnăvire printre clienții localului; excepție fac clienții unităților de alimentație publică ce deservesc unități de cazare, unde rezervarea se poate face pe baza numărului camerei unde sunt cazați;
Prin urmare, regăsim în mod expres mențiunea că acest registru trebuie să fie compatibil cu GDPR, fără a ni se oferi mai multe detalii. Acest lucru se datorează și faptului că ANSPDCP a precizat faptul că nu a fost consultată în momentul în care în primul Ordin au fost introduse mențiunile privind datele personale, fără însă a oferi mai multe detalii despre cum ar trebui să aibă loc o asemenea prelucrare, despre care am scris aici.
Așadar, remarcile făcute anterior rămân valabile, chiar și în contextul unui nou act normativ.
La avocatoo.ro oferim servicii de consultanță privind implementarea corectă a GDPR. Descoperă exact ce putem face pentru tine și protejează-ți afacerea în fața amenzilor.
Poză de Luis Núñez pe Pexels
