Chiar dacă sunt probleme de legalitate cu Ordinul comun al ministrului sănătății, al ministrului economiei și al președintelui Autorității Sanitare Veterinare nr. 966/1.809/105/2020, mai exact cu prevederea care îi obligă pe deținătorii de terase să organizeze un registru special unde să treacă datele clienților (în special din perspectiva clarității normei), el este în vigoare și se aplică, deocamdată. Astfel, simpla lui respectare nu le va crea probleme deținătorilor de terase, însă e necesar ca aceștia să se asigure că respectă și prevederile Regulamentului general privind protecția datelor (GDPR), când prelucrează date.
1. Care este temeiul pentru prelucrarea datelor? În cazul de față, temeiul pentru prelucrarea datelor este îndeplinirea unei obligații legale - articolul 6(1)(c) din GDPR. Astfel, deținătorii de terase au un motiv legal de prelucrare a datelor.
Atenție! Este foarte important pentru cei menționați anterior să se asigure că nu încearcă să justifice prelucrarea datelor pe baza unui alt temei (consimțământ sau interes legitim, de exemplu). Acest lucru se datorează faptului că cei care prelucrează datele sunt obligați să identifice temeiul cel mai potrivit într-o anume situație și, în cazul de față, acesta este îndeplinirea unei obligații legale.
2. Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a criticat prevederea, pentru că este neclară, și a cerut celor care au adoptat-o eliminarea ei. Îi afectează acest lucru pe cei care o respectă? Nu. Faptul că o normă este criticată, nefiind în acord cu o prevedere legală superioară, nu înseamnă că cei care o respectă pe prima, cât timp este în vigoare, vor răspunde.
Altcumva, oricine ar respecta o normă ce se dovedește a fi, de exemplu, neconstituțională, cu timpul, ar putea răspunde pentru acest lucru. O astfel de situație nu este doar absurdă și injustă, dar ar putea crea un haos total. Nemaivorbind de faptul că ar crea o obligație de fapt pentru oricine să se transforme într-un expert în legislație și în constituționalitate și ar ignora, oricum, prezumția de validitate și legalitate a actelor administrative normative (actele administrative, cum sunt ordinele de ministru, sunt considerate legale, până ce nu se dovedește contrariul).
3. Ce date pot fi prelucrate? Deși ordinul care prevede obligația de stabilire a registrului și de prelucrare a datelor nu precizează care sunt, cu exactitate, informațiile ce pot fi prelucrate, Robert Chioveanu, președintele Autorității Sanitare Veterinare, a declarat că trebuie prelucrate doar numele și numărul de telefon ale persoanei care a făcut o rezervare (obligatorie) la terasă.
4. Ce se întâmplă dacă sunt prelucrate și alte date, pe lângă număr de telefon și nume (de exemplu, codul numeric personal sau adresa)? Într-o asemenea situație, prelucrarea nu mai este legală, pentru că sunt prelucrate date care nu mai sunt necesare pentru atingerea scopului - facilitarea unei anchete epidemiologice, în caz că va fi cazul. De aceea, cel care prelucrează date suplimentare, în acest context, nu are nicio justificare pentru ele.
5. Ce se întâmplă dacă datele prelucrate sunt folosite pentru alte motive (oferte comerciale, de exemplu)? Acest lucru este, din nou, ilegal. În primul rând, o astfel de prelucrare nu ar putea fi justificată în temeiul legii, neavând nicio legătură cu scopurile prelucrării menționate mai sus. Altcumva, clienții nu s-ar aștepta la o astfel de prelucrare a datelor lor, deci nu ar putea fi vorba nici de interesul legitim al firmei (care, oricum, nu este aplicabil, și din alte motive).
6. Trebuie informată persoana vizată că datele sale vor fi prelucrate? Cum? Dreptul la informare este unul din elementele esențiale ale legislației generale privind protecția datelor, GDPR. Persoana va trebui informată nu doar cu privire la faptul că îi vor fi prelucrate datele, ci ea trebuie să știe și ce date, exact, îi sunt prelucrate, de ce (arătându-i-se temeiul), cum și, mai ales, pentru ce vor fi utilizate și pentru cât timp. Ținând cont de faptul că trebuie să se facă o rezervare obligatorie, momentul oportun la care să se facă informarea este fix momentul rezervării.
7. Cât timp pot fi stocate acele date personale? În mod normal, datele trebuie stocate atât timp cât este necesar pentru atingerea scopului pentru care au fost prelucrate. Având în vedere că scopul prelucrării, în contextul menționat mai sus, este facilitarea anchetelor epidemiologice (dacă va fi cazul), este clar că, rezonabil vorbind, menținerea datelor respective ar trebui să dureze până la câteva săptămâni.
Din păcate, însă, această concluzie nu poate fi stabilită cu exactitate, din cauză că ordinul nu menționează nimic. Nu există nici claritate cu privire la problemă, din punct de vedere medical. Astfel, autoritățile ar putea da răspunsuri diferite. Este o problemă serioasă că cei care au adoptat ordinul nu au menționat - cel puțin orientativ - o perioadă de timp în care să fie păstrate datele.
8. Care sunt sancțiunile pentru nerespectarea obligațiilor de prelucrare a datelor? GDPR-ul stabilește sancțiuni destul de ridicate pentru firmele care prelucrează date în mod ilegal. Ele pot ajunge până la 20 de milioane de euro sau până la 4% din cifra de afaceri mondială totală anuală aferentă exercițiului financiar anterior (care e mai mare). Mai multe informații despre amenzile aplicate pentru nerespectarea GDPR pot fi găsite aici.