Interviu cu Daniela Cireașă, fondator Netspace, Senior Consultant Neoprivacy, Vicepreședinte ASCPD și Președinte CONAF Sucursala Brăila
Absolventă a Facultății de Drept în anul 2001, Daniela Cireașă și-a început activitatea în mediul privat din postul de consilier juridic. În prezent deține funcția de Vicepreședinte al Asociației Specialiștilor în Confidențialitate și Protecția Datelor (ASCPD), este co-autor al instrumentului de lucru GDPR Aplicat apărut în ianuarie 2020, participant și lector la evenimentele privind protecția datelor personale din România, câștigător împreună cu echipa a titlului de “Cel mai bun DPO din Romania” în iunie 2019 la Tg. Mureș, autor si co-autor a numeroase articole apărute în “Revista Română pentru securitatea și protecția datelor cu caracter personal”, juridice.ro, dpo-net.ro. Daniela Cireașă este, de asemenea, consultant în protecția datelor personale și DPO extern, fondator Netspace, Senior Consultant la Neoprivacy și Președinte al Sucursalei CONAF Brăila. În luna martie 2021 Daniela a devenit “PECB Certified Data Protection Officer” și “PECB Certified Trainer”, ambele certificări fiind recunoscute la nivel internațional.
După ce am analizat împreună mai multe subiecte de interes pentru antreprenorii români precum rolul unui responsabil cu protecția datelor sau ce trebuie făcut pentru a asigura conformitatea unui website, a venit momentul să discutăm despre protecția datelor în domeniul saloanelor de înfrumusețare. Sunt acestea vizate de către GDPR? Ce reguli ar trebui să respecte un antreprenor care deține un astfel de business?
Regulamentul European nr. 679/2016 privind protecția datelor personale (GDPR) definește clar operatorul ca fiind o persoana fizică sau juridică, autoritatea publică, agenţia sau alt organism care, singur sau împreună cu altele, care stabileşte scopurile şi mijloacele de prelucrare a datelor cu caracter personal. Saloanele de înfrumusețare prelucrează date ale angajaților și ale clienților, devenind astfel operatori de date personale.
Datele angajaților sunt prelucrate în temeiul contractului individual de muncă și a obligațiilor legale ale angajatorului în scopul derulării relației de muncă. Trebuie reținut de către antreprenori faptul că pentru orice prelucrare care excede cadrului normal al relației de muncă, angajatorul trebuie să identifice temeiul prelucrării datelor angajaților, spre exemplu, atunci când monitorizarea angajaților prin mijloace de comunicaţii electronice şi/sau prin mijloace de supraveghere video la locul de muncă se face în interesul legitim al angajatorului, acesta trebuie să se asigure că respectă articolul 5 din Legea 190/2018 privind punerea în aplicare a Regulamentului European nr. 679/2016.
Pentru a respecta prevederea legală menționată, orice angajator trebuie să se asigure că interesele legitime urmărite sunt temeinic justificate şi prevalează asupra intereselor sau drepturilor şi libertăţilor persoanelor vizate, că a realizat informarea prealabilă obligatorie, completă şi în mod explicit a angajaţilor, că a consultat sindicatul sau, după caz, reprezentanţii angajaţilor înainte de introducerea sistemelor de monitorizare, că a încercat și alte forme şi modalităţi mai puţin intruzive pentru atingerea scopului urmărit și acestea nu şi-au dovedit anterior eficienţa precum și că durata de stocare a datelor cu caracter personal este proporţională cu scopul prelucrării, dar nu mai mare de 30 de zile, cu excepţia situaţiilor expres reglementate de lege sau a cazurilor temeinic justificate.
Un aspect important pe care țin să-l precizez este acela că în relațiile de muncă temeiul legal al prelucrării bazate pe consimțământ trebuie evitat deoarece un astfel de consimtământ ar fi viciat, cele două părți ale contractului individual de muncă fiind subordinate una celeilalte. Cu titlu de excepție, consimțământul ar putea fi utilizat, spre exemplu, în cazul în care angajatorul dorește să publice fotografia angajatului pe site-ul salonului, în scop publicitar. Atenție, însă, consimțământul poate fi retras în orice moment, la fel de ușor cum a fost acordat. Pentru a sublinia importanța identificării corecte a temeiului de prelucrare, menționez că un operator din Grecia a fost sancționat cu amendă de 150.000 euro pentru utilizarea eronată a consimțământului în relația cu angajații.
As vrea să menționez și faptul că operatorii de date cu caracter personal, în cazul de față angajatorul, au obligația de a informa angajații cu privire la aspect precum identitatea şi datele de contact ale operatorului şi, după caz, ale reprezentantului acestuia, datele de contact ale responsabilului cu protecţia datelor, scopurile în care sunt prelucrate datele cu caracter personal, precum şi temeiul juridic al prelucrării, dacă este cazul, interesele legitime urmărite de operator sau de o parte terţă, destinatarii sau categoriile de destinatari ai datelor cu caracter personal, dacă este cazul, intenţia operatorului de a transfera date cu caracter personal către o ţară terţă sau o organizaţie internaţională.
Suplimentar, angajatorii trebuie să își informeze angajații despre perioada pentru care vor fi stocate datele cu caracter personal sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă, existenţa dreptului de a solicita operatorului accesul la propriile date, rectificarea sau ştergerea acestora sau restricţionarea prelucrării sau a dreptului de a se opune prelucrării, precum şi a dreptului la portabilitatea datelor, atunci când prelucrarea se bazează pe consimțământ, existenţa dreptului de a retrage consimţământul în orice moment, fără a afecta legalitatea prelucrării efectuate pe baza consimţământului înainte de retragerea acestuia, dreptul de a depune o plângere în faţa unei autorităţi de supraveghere, dacă furnizarea de date cu caracter personal reprezintă o obligaţie legală sau contractuală sau o obligaţie necesară pentru încheierea unui contract, precum şi dacă persoana vizată este obligată să furnizeze aceste date cu caracter personal şi care sunt eventualele consecinţe ale nerespectării acestei obligaţii, existenţa unui proces decizional automatizat incluzând crearea de profiluri.
Cealalată categorie de persoane vizate în domeniul saloanelor de înfrumusețare sunt clienții. Și pentru aceștia operatorul de date personale trebuie să întocmească o informare care să respecte schema de mai sus și care să fie publicată pe site, dacă acesta există, dar și afișată la recepția salonului.
Să nu uităm că unul dintre principiile prelucrării datelor personale este cel al minimizării, respectiv limitarea datelor la strictul necesar. Operatorul trebuie să identifice aceste date strict necesare și să evite colectarea datelor care nu îi sunt necesare prestării serviciului. Un exemplu de date, desigur, de personalizat în funcție de serviciul oferit, este nume, prenume, numar de telefon, programarea si serviciul solicitat. Dacă programarea se face online, este necesară și o adresă de mail.
Dacă ne gândim la temeiul prelucrării datelor personale ale clienților acesta este contractul, respectiv solicitarea primită de la client pentru oferirea de servicii. Un alt temei pentru prelucrarea datelor personale ale clienților sunt obligațiile legale incidente (legislația specifică acestui domeniu sau legislația fiscală în situația efectuării plății serviciilor cu cardul sau online).
Să nu uităm și de supravegherea video în saloanele de înfrumusețare deoarece imaginile surprinse de camerele video sunt tot date personale. Acesta este, însă, un subiect care merită un material distinct. Ceea ce este important de menționat în această etapă este faptul că persoanele vizate (fie ele angajați, clienți sau diverși colaboratori) trebuie să fie informate de existența monitorizării video.
Majoritatea saloanelor dețin un site sau o pagină de Facebook/Instagram pe care publică fotografii de tipul Înainte/După, imagini în care apar clienți. Această prelucrare de date personale trebuie să se facă numai după obținerea unui consimțământ expres privind prelucrarea datelor cu caracter personal în scopuri de marketing.
Ce modalități de protecție efectivă a datelor personale prelucrate de către un salon recomanzi antreprenorilor?
Orice specialist în protecția datelor personale v-ar putea spune că articolul 32 din GDPR prevede că operatorul şi persoana împuternicită de acesta implementează măsuri tehnice şi organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător, incluzând printre altele, pseudonimizarea şi criptarea datelor cu caracter personal, capacitatea de a asigura confidenţialitatea, integritatea, disponibilitatea şi rezistenţa continuă ale sistemelor şi serviciilor de prelucrare, capacitatea de a restabili disponibilitatea datelor cu caracter personal şi accesul la acestea în timp util în cazul în care are loc un incident de natură fizică sau tehnică, un proces pentru testarea, evaluarea şi aprecierea periodice ale eficacităţii măsurilor tehnice şi organizatorice pentru a garanta securitatea prelucrării.
Aceste măsuri tehnice și organizatorice în cadrul unui salon de înfrumusețare se traduc prin securizare fizică dar și informatică, limitarea accesului la datele personale, drepturi de acces diferențiate, încheiere de acorduri de confidențialitate, verificarea persoanelor împuternicite (furnizorii de servicii SSM, PSI, IT, supraveghere video, pază, găzduire email, găzduire pagină web, newsletter, contabilitate etc.).
Măsurile tehnice și organizatorice se stabilesc prin proceduri de lucru care sunt aduse la cunoștința angajaților prin instructaje iar ulterior prin verificarea periodică a cunoștințelor și eficienței măsurilor.
Un exemplu de măsură organizatorică în cadrul unui salon este accesul limitat la baza de date cu clienți. Baza de date poate fi protejată prin parolare și criptare, fiind împiedicată ștergerea sau copierea acesteia de către angajații care nu au astfel de atribuții.
Interviu realizat de Carmen Burtea, contributor CONAF, pentru Ziarul News-editie nationala.
