Ce trebuie să știi despre RGDP (GDPR) dacă deții o cafenea, un bar sau un restaurant

on

Rolul Regulamentului General privind Protecția Datelor (RGPD/ GDPR) este să le dea europenilor mai multă putere de decizie în privința datelor lor personale. Adică să poată alege cum, când și în ce context le sunt folosite Numele, Telefonul, Emailul șamd. Ăsta e un lucru bun, dar complică viața companiilor care procesează astfel de date – deci și a localurilor, care trebuie să păstreze într-un carnețel, spreadsheet sau CRM datele rezervatorilor.

Ce e GDPR, de când și de ce există?

Regulamentul UE 2016/679 (General Data Protection Regulation – GDPR) este, pe scurt, un act normativ elaborat cu scopul de a actualiza reglementările privitoare la protecția datelor cu caracter personal. Momentan, acestea sunt cuprinse în Directiva 95/46/CE care, după cum îi spune și numele, a fost emisă în 1995. Având în vedere schimbările tehnologice rapide și considerabile care au avut loc în ultimii 20 de ani, un astfel de document nu poate fi decât binevenit.
RGPD (Regulamentul General pentru Protectia Datelor) a fost adoptat din 25 mai 2016, însă va începe să producă efecte abia din 25 mai 2018, tocmai pentru a oferi timp tuturor operatorilor de date de a se pune în acord cu toate noile reglementări. În esență, RGPD vrea să aducă în mod neechivoc prelucrarea datelor cu caracter personal „în serviciul cetățenilor”. Ce înseamnă asta, pe foarte scurt (din nou), mai jos.

Reguli obligatorii, pedepse pe măsură

Spre deosebire de directivă, care „stabilește un obiectiv”, lăsând la latitudinea fiecărui stat membru să implementeze modalități de atingere a acestuia, regulamentul este obligatoriu și trebuie aplicat în totalitate pe întregul teritoriu al Uniunii Europene. Regulamentul se aplica direct, in toate statele, fara sa fie necesara o lege de transpunere. RGPD a fost construit pe o fundație alcătuită din transparență, uniformitate, globalizare, drepturi, conștientizare, securitate, responsabilizare, sancțiune. Sună oarecum aspru și scorțos, însă a fost gândit în așa fel încât să protejeze confidențialitatea individului, să-i garanteze acestuia accesul facil la datele sale personale deținute de operatori, precum și mijloacele legale necesare în cazul în care oricare din drepturile de care beneficiază este încălcat.

Regulamentul prevede amenzi considerabile (în articolul 83) care fac vâlvă pe internet, în aldine și contur roșu, însă doar în cazuri foarte severe. Până acolo, putem să consultăm articolul 58, care enumeră competențele corective ale autorităților de supraveghere.

Ce face RGPD, în linii mari:

  • Consolidează și introduce noi drepturi ale individului, precum dreptul la ștergerea datelor („dreptul de a fi uitat”), dreptul de portabilitate a datelor, dreptul la restricționarea prelucrării etc.
  • Impune implementarea unui proces de securizare a datelor cu caracter personal deținute de operatori, introducând două noi principii: privacy by design și privacy by default
  • Obligă operatorii de date să anunțe orice breșă de securitate care a dus la pierderea, transferul, desecretizarea etc. datelor cu caracter personal deținute

Ce trebuie să știi ca local

(și de ce carnețelul de rezervări o să îți dea bătăi de cap)

Privit din punctul de vedere al unui restaurant, bar sau al unei cafenele, regulamentul poate ridica niște semne de întrebare, deoarece unele aspecte sunt interpretabile. Însă cu niscaiva răbdare și puțin efort organizatoric, implementarea acestuia n-ar trebui să pună probleme.
În primul rând, e important de menționat că regulamentul definește prelucrarea ca „orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal […] cu sau fără utilizarea de mijloace automatizate” (art. 2, alin. 1).

Ca urmare a noilor hotărâri, o acțiune atât de simplă și uzuală ca preluarea unei rezervări pe un post-it sau într-un carnet va trebui să se supună RGPD-ului.

Operatorul de date (restaurantul) va trebui să se asigure că toate datele personale stocate în acest mod:

  • sunt prelucrate cu respectarea legii
  • sunt organizate (pentru a fi ușor accesibile la cerința persoanelor vizate sau a ANSPDCP-ului),
  • sunt protejate (împotriva breșelor de securitate), și
  • pot fi șterse după încheierea contractului (efectuarea rezervării sau anularea acesteia)

Restaurantele pot prelucra date cu caracter personal în temeiul articolului 6, alineatul 1, litera a:

persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice

Sau b, dacă rezervarea este considerată contract:

prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract

sau f:

prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o parte terță

Al doilea caz e destul de clar: pentru a putea face o rezervare, e nevoie cel puțin de un nume și un număr de telefon. Temeiul e solid. Dacă o companie alege să-și bazeze procesul de prelucrare a datelor pe prima sau cea de-a treia literă, definite mai vag, noi o sfătuim să se pregătească să argumenteze în mod ireproșabil că interesele sale sunt legitime și că nu există dubii privind consimțământul persoanei vizate.

Reclame, sms-uri și emailuri cu oferte – complicat, complicat și… complicat

În ceea ce privește marketingul direct, baza legală pentru procesarea datelor cu caracter personal trebuie să fie consimțământul persoanei. RGPD prevede că acordul persoanei trebuie să fie nesilit, specific, informat și lipsit de ambiguitate. Adică persoana trebuie să nu fie obligată să consimtă (prin căsuțe pre-bifate, inactivitate, condiționarea acordării serviciului etc.), să îi fie explicat în limbaj simplu fiecare din scopurile prelucrării datelor sale și să-și dea acordul separat pentru fiecare dintre aceste scopuri (dacă ele sunt diferite). Întrucât contractul-rezervare se consideră încheiat după ce rezervarea a avut loc sau dacă a fost anulată, operatorul de date (restaurantul în acest caz) nu are dreptul de a reține datele personale după acest moment fără acordul persoanei.

Localul se obligă să distrugă datele clientului, de pe carnețel sau de pe orice alt suport, în mod ireversibil, odată ce rezervarea a avut loc/ a fost anulată.

Să ne închipuim altă situație de prelucrare a datelor cu caracter personal. Să zicem că restaurantul vrea să ruleze un program de fidelizare, prin care notează diverse aspecte legate de clienții săi. Acest tip de prelucrare de date intră sub incidența RGPD-ului. De exemplu, faptul că domnul X, client fidel, are intoleranță la lactoză (dată cu caracter personal referitoare la sănătate) poate înștiința chelnerii să nu-i ofere lapte la cafea. Scopul este nobil: se dorește a-i oferi clientului o atmosferă de familiaritate și confort. Doar că domnul X trebuie nu doar anunțat că astfel de informație despre sine este păstrată de restaurant, ci trebuie să i se ceară acordul. Dacă fiecare local îi va cere Domnului X să își dea acordul ca datele sale să fie păstrate și procesate în acest scop, iar Domnul X frecventează 4 localuri recurent, el va trebui să fie de acord cu 4 seturi diferite de termeni și condiții. Neplăcut, și în mod cert va refuza.

Ce-i de făcut?

În primul rând, ca să știi unde vrei să ajungi, trebuie să înțelegi unde te afli. Un prim pas pe care îl recomandăm restaurantelor care pornesc pe drumul punerii în acord cu RGPD este să revizuiască toate datele personale pe care le dețin (pe orice fel de suport) și procedurile de procesare ale acestora. Astfel, va fi mult mai clar ce anume lipsește sau trebuie modificat. Odată ce destinația e clară, nu rămâne decât să demarezi. De la crearea unei metode pentru ștergerea datelor unei rezervări după ce aceasta a trecut, la introducerea unui proces de obținere a acordului persoanei pentru folosirea datelor în scopuri de marketing sau pentru păstrarea datelor sale în continuare, totul trebuie acoperit. Iar sfatul nostru e ca la final totul să treacă și prin mâinile unui avocat.

Pe scurt, ca să respecți RGPD-ul ca local, trebuie să:

  • Revizuiești felul în care colectezi și/ sau prelucrezi în prezent datele clienților tăi
  • Decizi dacă păstrezi datele clienților doar până la consumarea rezervării
  • Decizi dacă vrei să le folosești datele de contact (email, telefon) în scop de marketing
  • Creezi un proces prin care
    • Le ceri acordul să le procesezi datele, informându-i clar și explicit cum o vei face (inclusiv când plasează rezervări telefonice)
    • Le distrugi datele din baza ta de date odată ce acordul lor expiră sau este revocat

ialoc Business

Dacă folosești (sau vei folosi) ialoc Business ca manager de rezervări, toți pașii de mai sus sunt acoperiți de noi. Mai mult decât atât, pentru că utilizatorul interacționează cu un operator central (ialoc), va fi suficient să își dea acordul vizavi de datele sale mult mai comod și natural.

Mai mult, datele sale vor fi criptate și imposibil de recuperat dacă el solicită ștergerea lor – ceea ce, legal, constituie un avantaj major în fața unui carnet de rezervări.

Putem discuta mai pe indelete la info@ialoc.ro.

Acest articol a fost pregatit cu ajutorul vocat Irina Iliescu, cofondator Legalway.ro. Pentru suport legal, o poti contacta pe Irina la telefon 0720530891 sau prin email – irina[@]legalway.ro.