Intrarea în vigoare a Regulamentului Parlamentului European şi al Consiliului privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date, începând cu data de 25 mai 2018, a adus o serie de aspecte legale pe care și operatorii din horeca trebuie să le aplice pentru a evita posibile sancţiuni din partea autorităţilor.
Unul din principalele elemente de noutate aduse de GDPR constă în prelucrarea transparentă a datelor cu caracter personal, persoanele vizate având dreptul să fie informate cu privire la orice prelucrare a datelor lor, la modul, durata, scopul pentru care acestea sunt prelucrate, dreptul de a se opune prelucrării şi de a solicita portarea datelor cu caracter personal de la un operator la altul.
Având în vedere categoria foarte mare de date care singure sau împreună cu alte date pot conduce la identificarea unei persoane, sens în care acestea vor fi calificate ca date cu caracter personal, a fost determinată o arie foarte mare de activităţi ce reprezintă prelucrare de date cu caracter personal şi pentru care persoanele vizate trebuiau informate.
Informarea clienţilor despre prelucrarea datelor
Prelucrarea datelor cu caracter personal la plasarea de comenzi online. În domeniul online este necesar ca fiecare site să fie aliniat la GDPR, simpla accesare a unui site reprezintă o prelucrare de date cu caracter personal ca urmare a faptului că acestea folosesc fişiere de tip cookie care înregistrează informaţii cu privire la comportamentul unui utilizator, identificat în primă fază pe baza adresei de IP, în cadrul site-ului.
În cazul în care site-ul conferă posibiliatea utilizatorilor de a se înregistra şi de a crea un cont se realizează o nouă prelucrare de date cu caracter personal cu privire la care persoana vizată trebuie să fie informată. Nu în ultimul rând există posibilitatea ca utilizatorii unui site să poată plasa comenzi fără a-şi crea cont, însă şi în acest caz sunt prelucrate date cu caracter personal, chiar dacă acestea sunt prelucrate strict în scopul executării comenzii primite.
Pentru toate aceste cazuri persoanele vizate trebuie să fie informate cu privire la datele lor cu caracter personal prelucrate în fiecare situaţie în parte, dacă au posibilitatea de a refuza furnizarea datelor lor cu caracter personal, precum şi impactul unui astfel de refuz (i.e refuzul furnizării unei adrese conduce la imposibilitatea operatorului de a livra bunurile comandate). Orice informare cu privire la prelucrarea de date cu caracter personal trebuie să fie anterioară începerii prelucrării, astfel încât persoana vizată să poată alege dacă dorește continuarea navigării în cadrul unui site/continuarea plasării unei comenzi.
Prelucrarea datelor cu caracter personal la plasarea de comenzi telefonice. Horeca este una dintre ramurile în care comanda telefonică reprezintă metoda cea mai folosită atunci când vine vorba de executarea unui contract la distanţă. Acesta reprezintă probabil unul din cazurile în care executarea unui contract este aproape imposibil a se realiza fără prelucrarea de date cu caracter personal. În acest sens, fiecare operator de call-center ce preia o comandă telefonică trebuie să informeze interlocutorul cu privire la faptul că prin plasarea unei comenzi îi vor fi prelucrate datele cu caracter personal, iar continuarea apelului echivalează cu acordarea consimţământului pentru prelucrarea acestora.
Prelucrarea datelor cu caracter personal în scopuri de marketing. Strategiile de marketing şi modul de promovare a brandului propriu poate determina succesul produsului sau serviciului vândut, astfel că pentru fiecare companie este foarte important să se promoveze continuu şi să fie în contact permanent cu clienţii săi sau potenţialii clienţi. Dacă înainte de 25 mai o modalitate foarte populară de informare cu privire la produsele şi serviciile oferite de o societate era transmiterea de newsletter-uri pe e-mail, după intrarea în vigoare a Regulamentului general privind protecţia datelor, pot fi transmise astfel de informări doar dacă destinatarii şi-au dat consimţământul expres, în mod liber, informat şi oferit în cunoştinţă de cauză cu privire la utilizarea adresei lor de e-mail în scopul transmiterii de newsletter-uri şi alte informări comerciale.
Regulamentul nu mai permite utilizarea oricărei adrese de e-mail din agendă pentru transmiterea de informări în scopuri de marketing, iar adresele de e-mail colectate înainte de 25 mai pot fi folosite doar dacă la momentul colectării adresei persoana vizată a fost informată cu privire la scopurile în care această adresă va fi folosită, şi-a exprimat consimţământul în acest sens şi operatorul poate face proba consimţământului acordat de către persoana vizată.
În cazul în care operatorul nu poate face dovada consimţământului acordat de către persoana vizată pentru a primi informări în scopuri de marketing prin intermediul adresei de e-mail oferite operatorului, acesta trebuie să primească din nou consimţământul persoanei vizate în condiţiile impuse de GDPR sau să nu mai utilizeze adresa de e-mail.
Măsurile de aplicare a Regulamentului GDPR
Începând cu 31 iulie 2018 a intrat în vigoare și Legea nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului. Unele dintre aspectele esenţiale ale acesteia sunt prevederile referitoare la prelucrarea numerelor de identificare naţionale şi la supravegherea la locul de muncă a angajaţilor.
Astfel, entităţile care prelucrează numere de identificare naţionale (din care fac parte CNP, serie şi număr buletin, număr paşaport etc) o pot face în condiţiile art. 6 din Regulament, însă atunci când prelucrarea se efectuează în scopul realizării intereselor legitime urmărite de operator sau de o terţă parte se realizează cu respectarea următoarelor garanţii: (i) punerea în aplicare de măsuri tehnice şi organizatorice adecvate pentru respectarea, în special, a principiului reducerii la minimum a datelor şi pentru asigurarea securităţii şi confidenţialităţii prelucrării datelor cu caracter personal; (ii) numirea unui responsabil cu protecţia datelor; (iii) stabilirea termenelor de stocare, la împlinirea acestora datele trebuind şterse şi (iv) instruirea periodică a persoanelor cu privire la obligaţiile ce le revin cu privire la protecţia datelor.
Printre altele, Legea mai aduce prevederi şi cu privire la supravegherea angajaţilor la locul de muncă, stipulând că atunci când sunt utilizate sisteme de monitorizare prin mijloace de comunicaţii electronice şi/sau prin mijloace de supraveghere video la locul de muncă, prelucrarea datelor cu caracter personal ale angajaţilor, pentru a realiza interesele legitime urmărite de angajator, este posibilă numai dacă: (i) interesele legitime urmărite de angajator sunt temeinic justificate şi prevalează asupra intereselor sau drepturilor şi libertăţilor persoanelor vizate; (ii) angajatorul a realizat informarea prealabilă obligatorie, completă şi în mod explicit a angajaţilor; şi (iii) angajatorul a consultat sindicatul sau, după caz, reprezentanţii angajaţilor înainte de introducerea sistemelor de monitorizare.
