FRISSÍTVE - Egy napjuk volt felkészülni a vendéglátóegységeknek a június 15-i nyitás előtt az adatkezelésre, a sietséget pedig több terasz és kerthelyiség tulajdonosa, látogatója is megsínylette: a pincérek gyakran ellenőrzőszervként járnak el, a személyi igazolvány alapján igazoltatják a vendégeket, esetenként le is fényképezik az okmányaikat. A menedzserek is saját hatáskörben hozott döntések alapján gyűjtik és tárolják az adatokat, hogy elkerüljék az esetleges büntetéseket. A nem megfelelő eljárás azonban a GDPR megsértését eredményezi, és ez jóval magasabb szankciókat von maga után – figyelmeztetett Székely Barnabás jogász, minősített adatvédelmi szakember. Az adatvédelmi hatóság már felszólította a kormányt a teraszokra vonatkozó rendelet módosítására.

Nyilván senki sem szeretné, ha egy hotelben töltött éjszaka, vagy egy vendéglátóegységben tartott összejövetel után fényképek vagy videók jelennének meg róla a közösségi médiában, ahogyan azt sem, hogy az e-mailcímére megtévesztő, zsaroló, becsapó levelek érkezzenek tartozásokról, esetleg telefonon keressék a külföldön élő hozzátartozója betegsége miatt, akinek a meggyógyításáért pénzt kérnek cserébe. Ha nem óvjuk kellőképpen az adatainkat, akkor bárki hozzájuthat azokhoz, és az előbb felsoroltak csapdájába eshetünk. A vendéglátóegységek nem biztonságos adattárolása is közrejátszhat abban, hogy kikerüljenek az adataink, visszaéljenek a fényképünkkel, a családtagjaink történeteivel, vagy a vállalatunk alkalmazottaival, beszállítóival, kapcsolataival és stílusával – tudtuk meg Székely Barnabás adatvédelmi szakembertől.

Május 30-án jelent meg a Hivatalos Közlönyben az Egészségügyi Minisztérium, a Gazdasági Minisztérium és az Országos Állategészségügyi és Élelmiszerbiztonsági Hatóság közös rendelete, amely arra kötelezi a terasz- és kerthelyiség-tulajdonosokat, hogy csak előzetes regisztrációval fogadjanak vendégeket. A jogszabály előírja egy foglalási nyilvántartás vezetésének kötelezettségét is, mert ennek alapján, fertőzésgyanú esetén hatékonyabban végezhető a járványügyi nyomozás. A foglalási nyilvántartás vezetésének elmulasztására nem ír elő szankciót a jogszabály, ellenben a vendégek adatainak nem megfelelő kezelése az Általános Adatvédelmi rendelet (GDPR) megsértését eredményezi, ami – ellenben a nyilvántartás megszegésével – büntetéssel jár, világosított fel a GDPR Akadémia adatvédelmi és információbiztonsági trénere, a Cluj Privacy Hub társalapítója.

Emlékeztetett:  mivel a jogszabály június 1-től alkalmazandó, a vendéglátóhelyek tulajdonosainak csak egy napjuk volt felkészülni az adatvédelmi előírásokból, mindamellett, hogy közben a személyzet mozgósítására, a teraszok elrendezésére, az élelmiszer- és italtartalékok beszerzésére is fókuszálniuk kellett. Hatalmas elvárás ez Székely Barnabás szerint a vendéglátószektortól, amelynek szereplői egyáltalán vagy csak formailag feleltek meg a GDPR előírásainak. Az új jogszabály számos félreértésre és a GDPR megsértésére ad lehetőséget: a jogszabály nem pontosítja ugyanis, hogy milyen adatokat kell bevezetniük a nyilvántartásba, ezért a menedzserek és pincérek saját elképzeléseik alapján kérik el a foglaló személy, esetenként a teljes asztaltársaság adatait, amelyekről nem tudják, hogy milyen módon és mennyi ideig őrizhetőek.

Kinek milyen adatát kezelhetik a vendéglátók?

Székely Barnabás úgy véli, bizonyos előírások betartásával elkerülhetőek a GDPR-bírságok. Csupán néhány teendője van a vendéglátóegységek tulajdonosainak és alkalmazottainak:

• A foglalási felületen (honlap, közösségi médiaoldal, app) szükséges előzetesen tájékoztatni a vendégeket a személyes adatok kezeléséről a GDPR által előírt formai és tartalmi követelményeknek megfelelően.
• A GDPR által előírt adatkezelési nyilvántartásba fontos bevezetni a foglalási adatok rögzítésével kapcsolatos adatkezelési műveleteket.
• A foglalások nyilvántartását elektronikusan kell vezetni, és váltásonként csupán egy személyt ajánlott megbízni a nyilvántartás vezetésével, másnak nem kell hozzáférést biztosítani ezekhez az adatokhoz.
• Az adattakarékosság elvének megfelelően csak annyi adatot kell kezelni, amennyire minimálisan szükség van. Így a foglaló nevét, telefonszámát vagy e-mailcímét, a foglalás időintervallumát, az asztal számát, és azt, hogy hány fő van jelen egy asztaltársaságnál. Egyéb adatokat, mint a személyi számot (CNP) vagy az asztaltársaság többi tagjának adatait nem kell rögzíteni.
• A célhoz kötöttség elve megköveteli, hogy az adatokat csak a foglalások kezelése, illetve fertőzésgyanú esetén a járványügyi nyomozás lefolytatása érdekében kerüljenek felhasználásra. Egyéb célra, például direkt marketingre nem használhatóak a foglalási adatok.
• Az adatpontosság elvének értelmében csak pontos és naprakész személyes adatok kezelhetőek. Ennek alapján megerősítést kérő üzenetet kell küldeni a foglaló e-mailcímére vagy telefonszámára, és a megerősítést követően biztosra vehető, hogy a vendég saját e-mailcímét vagy telefonszámát adta meg.
• A vendéglátóegység alkalmazottai nem igazoltathatják a foglaló vendég nevének ellenőrzése érdekében a személyeket, nem járhatnak el ellenőrzőszervként. Fontos, hogy a személyi igazolványokról sem készíthetnek másolatot, fényképet.
• A korlátozott adattárolhatóság értelmében csak korlátozott ideig tárolhatják a foglaló vendégek adatait, ameddig relevánsak a járványügyi nyomozás szempontjából.
• A bizalmasság biztosítása érdekében egy jelszóval ellátott dokumentumban vezessék a foglalások nyilvántartását egy olyan eszközön, amelyhez korlátozott az alkalmazottak hozzáférése. Lehetőség szerint ezt ne nyomtassák ki, és ne készítsenek róla másolatot.
• A legtöbb vendéglátóhely videókamerás megfigyelést is alkalmaz a vagyonvédelmi törvényeknek eleget téve: ebben az esetben is vannak adatvédelmi kötelezettségeik, az ezeknek való megfelelést panasz vagy kivizsgálás esetén kell bizonyítaniuk a büntetések elkerülése érdekében.