Prin Normele prevăzute pentru prevenirea COVID-19 în contextul redeschiderii teraselor se impune o obligație interesantă în sarcina comercianților, respectiv să întocmească un registru al rezervărilor.
Această obligație presupune prelucrarea de date personale și astfel trebuie respectate normele GDPR.
Comercianții ce administrează terasele vor trebui să informeze clienții cu privire la scopul și temeiul pe baza căruia respectivele date sunt colectate, perioada de stocare, cui sunt transmise aceste date precum și drepturile pe care clientul le are cu privire la prelucrarea datelor.
Ce tipuri de date personale se colectează?
Normele nu prevăd ce date trebuie comerciantul să colecteze ci indică, la modul general, scopul pentru care aceste date sunt solicitate, respectiv ”în cazul apariţiei unui caz de îmbolnăvire cu virusul SARS-CoV-2 în rândul clienţilor unităţii de alimentaţie, să existe date concrete pe baza cărora să poată fi efectuată ancheta epidemiologică”.
Așadar, datele colectate trebuie să asigure posibilitatea de a contacta clientul în cazul aparției unui caz de îmbolnăvire cu COVID-19. Având în vedere principiul GDPR care stabilește limitarea colectării datelor cu caracter personal, apreciem că este suficient să fie colectat un număr de telefon valid și cel puțin prenumele clientului.
Pentru a respecta obligația sa legală, comerciantul ar trebui să se asigure că numărul de telefon este valabil, lucru ce se poate realiza prin transmiterea unui mesaj de confirmare.
În cazul în care rezervarea se face prin intermediul unei aplicații, notificarea clientului și colectarea datelor se poate realiza cu ușurință. În schimb, dacă rezervarea se face telefonic, comerciantul trebuie să colecteze datele de la client odată cu accesul în locație și să verifice corectitudinea datelor.
În situația în care datele colectate nu sunt corecte, comerciantul poate fi sancționat pentru nerespectarea normelor de prevenție împotriva COVID-19 dar și de către Autoritatea Națională de Supraveghere a Prelucrării datelor cu Caracter Personal(ANSPDCP).
Pentru ce perioadă se păstrează datele colectate?
Informarea clientului trebuie să conțină și perioada de stocare a datelor, Normele nu prevăd un termen dar având în vedere scopul colectării datelor, respectiv posibilitatea de a contacta clienții în cazul apariției unui caz COVID-19, ne vom raporta la perioada de incubație a acestui virus. Conform Ministerului Sănătății și a altor organisme internaționale din domeniul medical, perioada de incubație este de 14 zile, aceasta fiind perioada minimă pentru care datele pot fi păstrate. Având în vedere că datele colectate ar trebui utilizate într-o anchetă epidemiologică care necesită timp, acestea ar putea fi păstrare până la maximum 30 zile și apoi distruse.
Cum trebuie clienții informați ?
Informarea clienților se poate realiza printr-o notificare pe suport fizic sau pe suport electronic. Fiind o obligație legală a comerciantului, nu se impune obținerea consimțământului din partea clientului, în cazul în care acesta refuză să își dezvăluie datele accesul în locație îi va fi restricționat.
Comercianții ar trebui să aibă implementate politici de confidențialitate conforme cu normele GDPR care să prevadă cum sunt prelucrate aceste date de către angajați și ce măsuri de protecție a datelor personale au fost întreprinse.
Existența registrului de evidență a rezervărilor poate însemna respectarea normelor de protecție împotriva COVID-19 dar nu și respectarea normelor GDPR, comercianții putând fi sancționați în cazul în care datele colectate nu sunt prelucrate în conformitate cu prevederile GDPR.
Acest articol nu reprezintă consultanță juridică și nu atrage răspunderea autorului.