Servicii furnizate prin personal propriu - in cadru HoReCa. Cerinte GDPR

Potrivit Normelor metodologice din 10 iunie 2013 privind eliberarea certificatelor de primire turistice cu functiuni de cazare si alimentatie publica, a licentelor si brevetelor de turism, aprobate prin Ordinul nr. 65/2013, este prevazuta Lista orientativa a serviciilor suplimentare ce pot fi prestate in structuri de primire turistice cu functiuni de cazare, printre care se regasesc:

• Servicii de posta, telecomunicatii si publicitate
• Servicii personale (frizerie, coafura, cosmetica, gimnastica etc.)
• Inchirieri diverse obiecte
• Servicii de educatie fizica si sport
• Servicii de cultura si arta
• Diverse alte servicii (room-service, multiplicari de documente, spalat/calcat lenjerie, piscina, sauna, solar, masaj, ghid de turism autorizat, schimb valutar, asigurarea de medicamente, vanzari de marfuri/excursii etc.)
• Servicii gratuite (trezirea turistilor la ora solicitata, pastrarea obiectelor de valoare, pastrarea bagajelor, servicii de taximetrie, expedierea corespondentei turistilor, obtinerea legaturilor telefonice, servicii de parcare etc.).

Majoritatea acestor servicii furnizate presupun o colectare de date cu caracter personal sau elemente de date care, combinate cu alte informatii, conduc la identificarea unei persoane vizate.

Apreciem ca prelucrarea acestor date cu caracter personal sunt subsumate necesitatii executarii contractului incheiat cu clientul, care a fost informat in prealabil cu privire la gama de servicii pe care entitatea i le poate furniza si care a optat sa beneficieze de unele dintre ele.
Pentru prelucrarea in conditii de securitate a acestor date, reusita acestui demers este determinata de gradul de pregatire al personalului propriu/angajatilor cu privire la protectia datelor cu caracter personal.

Mentinerea conformitatii cu GDPR este o sarcina care trebuie indeplinita pe toata durata de existenta a unei companii, si fiecare angajat ar trebui sa fie bine instruit despre importanta datelor cu caracter personal si reglementarile care sunt puse in aplicare pentru a proteja aceste informatii. Companiile trebuie sa stabileasca un program de formare GDPR pentru angajati pentru a-i invata despre protectia datelor si valoarea informatiilor personale.

Aceasta formare trebuie sa atinga domenii-cheie, cum ar fi guvernarea si gestionarea datelor cu caracter personal, intelegerea drepturilor persoanelor vizate cand vine vorba despre datele lor, raportarea incalcarilor si implementarea procedurilor de gestionare a incidentelor si cum tertele parti utilizeaza solutii la randul lor, astfel incat sa fie conforme.
In calitate de operator de date cu caracter personal sunteti responsabil de protectia datelor si de securitatea acestora, precum si de conformitatea cu GDPR.
Este de bun-simt sa desemnati o persoana care sa conduca/coordoneze eforturile necesar a fi depuse pentru conformitatea cu GDPR.
De asemenea, este posibil sa fiti nevoit sa desemnati un responsabil cu protectia datelor cu caracter personal (RPD).

Protectia datelor cu caracter personal si confidentialitatea datelor clientilor (si nu numai) sunt responsabilitatea unitatii hoteliere, privita ca echipa, astfel incat planul dumneavoastra, va trebui sa cuprinda programe de formare cu privire la GDPR pentru membrii echipei, adecvate rolurilor si responsabilitatilor lor. Acest lucru va ajuta personalul dumneavoastra sa raspunda intrebarilor clientilor despre GDPR.

Inainte de a incepe procesul de confomare cu GDPR trebuie sa intelegeti termenii folositi de Regulament, astfel incat sa stiti la ce sa va uitati atunci cand evaluati activitatile unitatii hoteliere ce implica utilizarea datelor cu caracter personal. Pe scurt: GDPR se aplica prelucrarii (obtinerea, depozitarea sau transmiterea) de informatii (date personale precum nume, adrese, date biometrice si informatii privind sanatatea) care se refera la persoane fizice identificate sau identificabile (persoane vizate) prin mijloace manuale sau automatizate, care fac parte dintr-un document in format hartie sau sunt inregistrate in format electronic (cautate in functie de anumite criterii, de exemplu, un nume) si in unele cazuri fisiere fizice nestructurate.

Unitatea hoteliera este in general operatorul de date cu caracter personal (persoana care are responsabilitatea generala pentru prelucrarea legala a datelor cu caracter personal) si poate avea persoane imputernicite care prelucreaza date cu caracter personal in numele sau (de exemplu, furnizarea serviciilor de contabilitate/de paza de catre o entitate distincta de operator, furnizorul sistemelor informatice, sisteme CRM, procesatorii de plati etc. ).

De asemenea, raportul de munca care implica prelucrarea datelor cu caracter personal ale salariatilor/angajatilor, precum datele incluse in:

• formularele de cerere si referinte de lucru;
• salarizare si informatii fiscale si informatii aferente beneficiilor sociale;
• inregistrari de boala;
• inregistrari aferente concediului anual;
• inregistrari aferente concediului fara plata/ale concediului anual special;
• inregistrari aferente evaluarii/promovarilor/transferurilor/de formare profesionala;
• inregistrari referitoare la accidente la locul de munca;
• informatii generate de sistemele informatice;
• inregistrari referitoare la prezenta;
• inregistrari referitoare la membrii de familie in scopul de a facilita accesul la anumite servicii, cum ar fi gradinitele, studii, transport/calatorie, etc.

Temeiurile juridice ale prelucrarii datelor cu caracter personal in domeniul relatiilor de munca pot fi reprezentate de art. 6 alin. (1) lit. b), respectiv, art. 9 alin. (2) lit. b) din Regulament.


Organizati campanii de constientizare a personalului
In cadrul acestor campanii de informare si constientizare cu privire la cerintele GDPR, ar trebui sa organizati actiuni de indrumare, sesiuni de informare, la care sa participe, atat salariatii, cat si reprezentantii acestora, in vederea conformarii la cerintele legislatiei in domeniul protectiei datelor cu caracter personal.
Printre obiectivele campaniei, ar putea fi incluse, spre exemplu:

• informarea referitoare la punerea in aplicare a Regulamentului nr. 679/2016 si constientizarea personalului cu privire la initierea adaptarii contractelor individuale de munca, fise de post, acte aditionale, regulament intern, politici, proceduri etc.;
• clarificarea unor aspecte cu privire la modul de interpretare si aplicare a prevederilor legale referitoare la GDPR si a mecanismelor, masurilor tehnice si organizatorice pe care trebuie sa le instituiti;
• cresterea gradului de constientizare a consecintelor care se pot produce in situatia incalcarii prevederilor legale ale GDPR.

Retineti faptul ca peocuparea centrala ar trebui sa fie constientizarea personalului propriu cu privire la reglementarile GDPR, intrucat 80% din cazurile in care au loc incidente de securitate sunt cauzate de catre angajati. Din acest punct de vedere, personalul dumneavoastra ar putea fi cea mai mare amenintare. Este usor sa uitati ca toti angajatii dumneavoastra gestioneaza zilnic date cu caracter personal. Spre exemplu, de fiecare data cand un angajat efectueaza o tranzactie cu cardul de credit cu un client. Nu ignorati acest lucru, intrucat preocuparea de instruire a personalului propriu poate fi cea mai mare afacere in cursul anului 2018...