Op restaurant in Covid-19 tijden: wat met uw privacy?
Onder de huidige Covid-19 pandemie is het belangrijk om steeds de nodige voorzichtigheid aan de dag te leggen wanneer we ons in het openbaar begeven. Zo ook indien we met het gezin of in het breed met onze “bubbel” op restaurant gezellig willen gaan tafelen. De overheid heeft, om mogelijke broeihaarden op te sporen, daarom voorzien in registratieplicht voor horecagasten. Wat mag een horeca-uitbater juist doen met deze gegevens en wat zegt de Belgische gegevensbeschermingsautoriteit (hierna ‘GBA’) over privacy?
Maatregel door de overheid
De federale overheid heeft met haar ministerieel besluit van 28 juli 2020 een contacttracing-verplichting ingevoerd voor horeca-uitbaters. Zij moeten de contactgegevens verzamelen van één klant per tafel telkens wanneer zij klanten over de vloer krijgen.
De FOD Economie heeft op haar website een formulier ter beschikking gesteld dat kan dienen als voorbeeld bij het verzamelen van deze contactgegevens. Horeca-uitbaters zijn echter niet verplicht dit formulier te gebruiken. Indien de klanten weigeren hun gegevens te geven, heeft de horeca-uitbater zelfs de plicht om de klanten de deur te wijzen.
Horecaklanten zijn natuurlijk niet altijd even happig om hun persoonsgegevens mee te delen aan horeca-aangelegenheden. De GBA heeft daarom op haar website een advies gegeven hoe horeca-uitbaters conform de GDPR deze contactgegevens kunnen verzamelen.
Basisbeginselen van privacy en contacttracing
Informatie
Een belangrijke eerste stap bij het verzamelen van persoonsgegevens is toch steeds het informeren van de betrokken persoon. Zo zal de horeca-uitbater, op het formulier of via een link, duidelijke informatie moeten geven aan de klant. Horeca-uitbaters mogen er namelijk niet van uitgaan dat hun klanten steeds op de hoogte zijn van de laatste privacy implicaties van hun restaurantbezoek. Zo zal het formulier of de app duidelijk de hier besproken informatie moeten weergeven.
Verzamelen van gegevens
Het ministerieel besluit schrijft enkel voor dat de klant ofwel het telefoonnummer ofwel het e-mail adres moet achterlaten. Dit zijn dus eigenlijk de enige persoonsgegevens die de horeca-uitbater mag verzamelen. Bovendien mag men dit slechts vragen van 1 persoon per tafel. Overige contactgegevens, zoals de naam van deze persoon, kunnen verzameld worden, maar dit dan louter op vrijwillige basis. De horeca-uitbater moet de klant duidelijk informeren van het vrijwillige karakter van deze overige informatie. De GBA gaat er wel van uit dat het tijdstip en eventueel het tafelnummer en de duur van het bezoek mogen worden bijgehouden.
Het opvragen van een identiteitskaart lijkt ten stelligste af te raden. De vereiste informatie, zijnde het e-mailadres of telefoonnummer, staan namelijk niet op de identiteitskaart. Bovendien is de kans zo heel groot dat de horeca-uitbater onterecht gegevens zal verwerken. Denk hierbij aan de foto, het adres en het rijksregisternummer van de klant. De gegevensverzameling moet men beperken tot wat noodzakelijk is voor de contacttracing.
Gebruik en verwijderen van gegevens
De verzamelde gegevens “mogen enkel worden gebruikt voor de doeleinden van de strijd tegen COVID-19“, volgens het ministerieel besluit. Dit wil dan ook zeggen dat de horeca-uitbater ze bijvoorbeeld niet mag gebruiken voor marketing, opslaan in het klantenbestand of enquêtes. Een horeca-uitbater mag ze enkel verzamelen en 14 dagen bijhouden. Daarna moet hij/zij deze onherroepelijk vernietigen. Heeft een besmetting zich voorgedaan binnen deze termijn van 14 dagen, dan mag de horeca-uitbater deze gegevens enkel doorsturen naar de bevoegde overheid. Zelf klanten contacteren is absoluut niet toegelaten.
Vertrouwelijkheid
Net zoals de horeca-uitbater de verzamelde gegevens zelf niet ongeoorloofd mag gebruiken, moet deze het ongeoorloofd gebruik door anderen ook voorkomen. Dit houdt in dat de horeca-uitbater nadat deze de gegevens verzameld heeft deze op een veilige plaats bewaard. Het is belangrijk dat de ingevulde formulieren niet voor andere klanten of niet bevoegde personen zichtbaar zijn. De GBA geeft hierbij een afgesloten kast of verzegelde enveloppen als voorbeeld. Worden de gegevens digitaal verzameld, dan moeten daar eveneens de nodige beschermingssystemen voorzien worden.
Uitgelichte voorbeelden
Papier of digitaal? Voor de GDPR en de overheid is de keuze in principe vrij. De horeca-uitbater heeft dus de verzameling van de klantgegevens de keuze uit een een papieren formulier of een app. Let er zeker op dat bij het digitaal verzamelen van de gegevens, de basisbeginselen gewaarborgd moeten worden. Verzamelt men de gegevens op papier, zorg er dan voor dat dit niet voor andere klanten toegankelijk is. Geef daarom individuele exemplaren en werk niet met een algemene lijst die men aan de bar of de deur hangt. De FOD Economie stelt een template ter beschikking die horeca-uitbaters kunnen gebruiken.
Weigeren en controle? De horeca-uitbater heeft de plicht om klanten te weigeren indien zij hun gegevens niet wensen achter te laten. De vraag kan zich dan ook stellen of horeca-uitbaters moeten controleren of de achtergelaten gegevens wel juist zijn. Een klant zou namelijk opzettelijk een onzinnig telefoonnummer of e-mail adres kunnen achterlaten. Zo ver hoeft de horeca-uitbater niet te gaan, dit zou namelijk een te zware verplichting zijn.
Privacy vragen? aternio legal helpt u graag verder.
Volg aternio op LinkedIn voor meer finance, tax & legal nieuws.