GDPR IN INDUSTRIA HORECA: PARTAJAREA POZELOR DE LA EVENIMENTELE DIN RESTAURANTE IN SOCIAL MEDIA

Article GDPR IN INDUSTRIA HORECA:  PARTAJAREA POZELOR DE LA EVENIMENTELE DIN RESTAURANTE IN SOCIAL MEDIA

Odată cu intrarea în vigoare a Regulamentului General privind Protecția Datelor (RGPD), 25 mai 2018, viața privată a persoanelor fizice de pe teritoriul Uniunii Europene este protejată de un cumul de reguli având menirea să pună la adăpost drepturile și libertățile persoanelor vizate. 

Un mediu cu privire la care putem vorbi despre aplicarea GDPR sunt evenimentele private, precum petrecerile din localuri/cluburi cu ocazia celebrării momentelor importante din viața unei persoane- ce facem cu fotografierea, filmarea invitaților? Dar cu supravegherea video în restaurante? Am detaliat în acest studiu de caz cele mai întâlnite probleme din aria restaurantelor si cluburilor.

 

A. Situația în restaurante/evenimente private, publice

Majoritatea evenimentelor private sau publice care au loc in restaurante sunt imortalizate prin fotografii sau videouri. Din perspectiva aplicării GDPR trebuie analizate 2 contexte.

  1. Dacă participantul la eveniment este de acord sa fie fotografiat si 
  2. Chiar dacă participantul este de acord sa fie fotografiat la eveniment nu înseamnă ca automat va fi de acord și cu partajarea în social media a pozelor.

Pentru ca prelucrarea pozelor să fie legală, aceasta trebuie să aibă la bază un temei juridic legal (Art. 6 din Regulament), care, pentru situația de fapt, permite următoarele opțiuni:

 

 

I. Consimțământul (Art. 6 lit. a)

Acesta trebuie acordat printr-o acțiune neechivocă, deci să fie o manifestare liber exprimată, care poate avea formă scrisă, verbală sau electronică. Problema ce se ivește ține de obligativitatea operatorului de a fi în măsură să demonstreze că persoana vizată și-a dat consimțământul, deci un acord dat verbal ridică această problemă.

Însă, potrivit art. 4 pct. 11, “consimțământ al persoanei vizate înseamnă orice manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declarație sau printr-o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate”.

Obținerea consimțământului fiecărui participant este însă un lucru greu de realizat, având în vedere numărul persoanelor vizate și organizarea necesară, motiv pentru care optăm pentru alt temei legal- interesul legitim al operatorului.

Cu toate acestea, dacă prelucrarea se bazează pe consimțământ, două modalități de a diferenția persoanele care au consimțit în vederea fotografierii/înregistrării lor în cadrul evenimentului sunt:

  1. Marcarea acestora prin acordarea unor brățări cu culori diferențiate, pe care persoanele să le țină la vedere astfel încât fotograful să știe dacă poate imortaliza pe dispozitive persoana respectivă.
  2. Așezarea acestora la mese special semnalizate/într-o zonă anume din incinta în care are loc evenimentul.

 

II. Interesul legitim urmărit de operator (Art. 6 lit. f)

Prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o persoană terță, însă acest motiv nu se aplică în situația în care “prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate”. Existența unui interes legitim presupune o analiză atentă prin care să se stabilească “dacă persoana vizată poate preconiza în mod rezonabil, în momentul și în contextul colectării datelor cu caracter personal, posibilitatea prelucrării în acest scop” (potrivit motivului 47 din RGPD). Având în vedere situația de fapt la care ne referim, considerăm că persoana vizată preconizează indubitabil interesul legitim al operatorului, nefiind surprinsă de faptul că are loc această prelucrare. 

Datele personale pot fi prelucrate, de asemenea, având ca temei juridic interesul societății de a se promova, astfel marketingul este parte integrantă din interesul legitim pe care îl poate avea un operator. De asemenea, fotografiile/videourile sunt efectuate pentru utilizarea în cerc închis sau pentru a demonstra succesul, reușita unui eveniment ce a avut loc.

III. Informarea prealabilă

Indiferent de temeiul legal ales, pentru conformarea cu GDPR a activității fotografilor este obligatorie informarea prealabilă a persoanelor vizate cu privire la prelucrarea datelor personale, astfel încât acestea să ia o decizie informată. În contextul prezent, informarea poate avea loc astfel: 

  • Informarea prealabilă a participanților odată cu înmânarea invitațiilor/achiziționarea biletelor de intrare în ceea ce privește fotografierea și înregistrarea acestora în cadrul evenimentului.
  • Informarea prealabilă prin plasarea la intrarea în incintă de panouri informative și a dreptului persoanelor vizate de retragere a consimțământului prin informarea adresată fotografilor.
  • Informarea verbală, la începutul evenimentului de către prezentator.

 

Checklist de conformare GDPR

  • Un aspect important de care trebuie să țină cont fotografii pentru a nu cauza neplăceri persoanelor vizate, este ca aceștia să evite imortalizarea ipostazelor personale-intime;
  • În cadrul evenimentelor publice, fotografiile să fie focalizate mai mult pe mulțime și mai puțin pe indivizi în particular; persoanele vizate să fie imortalizate de la spate, astfel încât să fie dificil de identificat. De asemenea, protagoniștii majoritari să fie gazdele, speakerii. În scop de promovare online să fie folosite imaginile cu invitați ce par a nu avea nimic împotriva fotografierii lor;
  • Fotografii să fie ușor de identificat- prin ecuson, ținută;
  • Pe parcursul evenimentului, să le fie amintită persoanelor vizate prezența unui fotograf și faptul că se vor face fotografii/înregistra videoclipuri și dreptul acestora de a nu fi incluse în imortalizări;
  • Fotografiile efectuate în cadrul evenimentelor private, publice să fie postate pe site-ul personal al operatorului, având reguli proprii- termeni și condiții;
  • În cazurile în care sunt implicați minori, este recomandat ca prelucrarea să aibă ca temei legal consimțământul, deci susținem obținerea acestuia de la titularul răspunderii părintești;
  • Ulterior încărcării materialelor realizate online, persoanele vizate să aibă posibilitatea de a solicita într-un mod facil ștergerea acestora, potrivit drepturilor lor.

 

Situații specifice pentru conformarea activitatii restaurantelor:

În situația în care restaurantul dorește să aibă un program de fidelizare a clienților, prin care să fie înregistrate, spre exemplu, date privind preferințele culinare ale acestora ca bucătarul să știe ce să evite, persoanele vizate trebuie înștiințate cu privire la prelucrarea acestor date, iar pentru ca prelucrarea să fie legală, este nevoie de consimțământul lor. Se poate pune problema prelucrării unor date sensibile, cum pot fi considerate alergiile participanților, întrucât acestea pot dezvălui aspecte privind credințele religioase, starea de sănătate, originea rasială. Fiind catalogate astfel, ele beneficiază de protecție specială, putând fi prelucrate doar în anumite situații (ex: existența consimțământului persoanei vizate; e necesară pentru a proteja interesele vitale ale acesteia). Dacă datele sunt colectate pentru un anumit eveniment, acestea vor trebui șterse odată cu terminarea evenimentului.

 

În ceea ce privește supravegherea video din restaurante, temeiul legal pentru prelucrarea datelor poate fi legat de siguranța oamenilor și a proprietății.

Imaginile pot fi folosite doar în scopul prelucrării -siguranța oamenilor și a bunurilor-, iar prelucrarea trebuie sa fie minimală- numărul camerelor de supraveghere instalate trebuie să fie rezonabil și adecvat scopului urmărit.

Persoanele vizate trebuie să aibă cunoștință de supravegherea lor, iar acest lucru se poate face și prin stickerele informative plasate la vedere, pe suprafața respectivă.

Nu în ultimul rând, stocarea informațiilor trebuie limitată la o lună de la înregistrarea lor.

 

Și în ceea ce privește rezervările se aplică reglementările GDPR. Astfel, dacă rezervarea poate fi considerată un contract, prelucrarea datelor personale precum numele și numărul de telefon al persoanei vizate are loc în temeiul legal indicat în art. 6 lit. b) din Regulament- “prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract.” În această situație, operatorul nu mai are dreptul de a reține datele persoanei după ce rezervarea a fost onorată sau anulată, fiind obligat să le șteargă.

Modalitatea de efectuare a rezervărilor online, pe website sau printr-o aplicație, trebuie să fie conformă GDPR, iar pentru asta trebuie să vă asigurați că furnizorii serviciilor corespunzătoare care prelucrează date personale urmează procedurile corespunzătoare.

 

Situații importante - evenimentele private:

 

Cu privire la listele cu participanți, precum și în situațiile discutate anterior, acestea pot fi făcute publice doar dacă există un temei legal pentru prelucrarea acestora. Temeiul pe care îl găsim aplicabil este interesul legitim al operatorului, și în acest caz, spre exemplu pentru a partaja lista cu prezența în vederea organizării evenimentului într-un mod eficient (ex: organizarea locurilor la mese). Un aspect important este ca operatorii să fie transparenți cu privire la modul în care vor folosi datele personale.

Riscuri și amenzi aplicabile

Sancțiunile pentru nerespectarea GDPR-ului sunt avertismentul sau amenda contravențională, potrivit art. 83 din RGPD. Amenzile pot ajunge până la 10, respectiv 20 milioane de euro, în funcție de dispoziția încălcată. Exemple de amenzi aplicate în domeniul HORECA, pe plan internațional, deoarece au fost încălcate dispozițiile GDPR:

  • World Trade Center Bucharest SA a fost amendat cu 12,000 de euro deoarece o listă cu participanții (aprox. 46 de clienți) la micul dejun a fost fotografiată de persoane neautorizate, astfel ajungând în spațiul public;
  • Cafetería Nagasaki (Spania) a fost amendată cu 1,500 de euro, deoarece sistemul de supraveghere (CCTV) a capturat imagini și din spațiul public din afara restaurantului, înregistrând pietonii de pe drum, ceea ce încalcă principiul minimizării datelor prelucrate;
  • Lanțul de restaurante Zippy a fost amendat cu 725,000 dolari;
  • Grupul de hoteluri Marriott a fost amendat cu 915 milioane dolari;
  • Grupul de hoteluri Trump a fost amendat cu 50,000 dolari;

 

B. Riscuri GDPR privind livrarea comenzilor  (Delivery)

 

În cazul în care restaurantele livrează mâncare, furnizorii serviciilor prin care sunt prelucrate datele personale prin aplicația de comandare, de urmărire a livrărilor, site web, trebuie să urmeze procedurile corespunzătoare îndeplinirii dispozițiilor RGPD. Conformitatea cu reglementările privind protecția datelor trebuie luată în serios și serviciile oferite de furnizorii terți trebuie îmbunătățite astfel încât să fie îndeplinite cerințele GDPR, spre exemplu: informarea livratorilor cu privire la prelucrarea datelor de localizare și menționarea categoriilor de date ce vor fi prelucrate, minimizarea datelor colectate, stabilirea unui temei legal aplicabil pentru prelucrare, stocarea datelor pe o perioadă limitată de timp, potrivit scopului urmărit. Operatorii trebuie să poată justifica necesitatea prelucrării și deținerii datelor respective.

 

Tehnologia utilizată nu trebuie să constea în utilizarea prelucrării automate (profilarea) care să aibă ca rezultat luarea unei decizii individuale cu impact semnificativ- care produc efecte juridice sau afectează persoana vizată într-o măsură semnificativă.

Riscuri și amenzi aplicabile

Sancțiunile pentru nerespectarea GDPR-ului sunt avertismentul sau amenda contravențională, potrivit art. 83 din RGPD. Amenzile pot ajunge până la 10, respectiv 20 milioane de euro, în funcție de dispoziția încălcată. Exemple de amenzi aplicate:

 

  • Takeaway.com a fost amendat cu 195,407 de euro deoarece nu a respectat dreptul utilizatorilor de a fi informați și de a li se șterge datele prelucrate. Compania nu a șters conturile utilizatorilor în zece situații, deși clienții nu mai folosiseră platforma de mai mulți ani. Opt clienți s-au plâns deoarece au continuat să primească emailuri publicitare, deși au solicitat de mai multe ori oprirea prelucrării datelor;
  • Anul acesta compania Lieferando (Takeaway) din Germania a fost acuzată de monitorizare și prelucrare ilegală a datelor livratorilor săi cicliști. Potrivit GDPR,  operatorii nu au dreptul să monitorizeze îndeaproape locația și datele angajaților săi. Cu privire la această acuzație, compania a susținut că datele nu sunt prelucrate pentru monitorizarea comportamentală, ci este necesară pentru a verifica comenzile preluate și statusul lor.

 

Informații relevante extrase din rapoartele Autorității Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal

 

Potrivit ultimului raport elaborat de Autoritate, în anul 2019 numărul de solicitări a crescut cu 30%, fapt ce evidențiază interesul crescut al operatorilor și împuterniciților în asigurarea respectării regulilor de prelucrare a datelor personale. 

Mai mulți operatori au solicitat un punct de vedere relevant subiectului dezbătut în studiul nostru, cu privire la prelucrarea datelor prin sistemele de localizare GPS. Autoritatea menționează că prelucrarea acestui tip de date se supune reglementărilor RGPD și că trebuie să respecte principiile și condițiile de prelucrare. O modalitate prin care prelucrarea să fie legală este ca aceasta să aibă ca temei legal interesul legitim al operatorului sau al unei persoane terțe. Pentru a studia aplicativitatea acestui temei, este necesară “o evaluare a riscurilor la care se supune activitatea sa pentru a stabili necesitatea implementării lor, precum şi în vederea argumentării și dovedirii unui interes legitim al operatorului care ar trebui să prevaleze față de interesul, drepturile și libertățile persoanei fizice în cauză.”

 

În raportul elaborat în anul 2018, Autoritatea s-a pronunțat cu privire la prelucrarea datelor prin mijloace de localizare geografică și de supraveghere video, subliniind obligativitatea informării prealabile a persoanelor vizate, justificarea temeiului legitim pe care se bazează prelucrarea, iar dacă este ales interesul legitim al operatorului, trebuie demonstrată prevalarea acestuia în fața dreptului la viață privată al șoferilor.

 

În Raportul anual pentru 2017, Autoritatea a emis un punct de vedere privind stocarea imaginilor pentru o perioada mai mare de 30 de zile. Potrivit art. 14 alin. (1) din Decizia nr. 52/2012, stocarea datelor poate fi realizată pe o durată mai mare de 30 de zile doar pentru situațiile este expres reglementate de lege ori dacă operatorul justifică temeinic necesitatea unei astfel de stocări. În decizie situațiile prezentate sunt: îndeplinirea unor obligaţii legale exprese/ în temeiul unui interes legitim/ pe baza consimțământului expres și liber exprimat al persoanelor vizate. Acest subiect a fost dezbătut și în raportul pentru anul 2016.

 

Ai o afacere în industria HORECA și vrei sa te conformezi cu prevederile GDPR? Scrie-ne la office@decalex.ro  și te vom consilia pe parcursul întregului proces.

Share:
Decalex
Autor: DECALEX

PUNE O INTREBARE