RODO w Twojej restauracji. Warto wiedzieć!
Opublikowano: 26-06-2018
Co to właściwie jest RODO?
Sporo się o nim mówi, wiadomo, że weszło w życie i chyba każdy otrzymał informacje w tej sprawie na swoją skrzynkę mailową. Ale czy wiadomo, co właściwie kryje się za słowem „RODO”? Spieszymy z tłumaczeniem dla tych, którzy jeszcze nie wiedzą. Otóż są to wszelkie dane osobowe, które zawierają informacje o zidentyfikowanej, ale też możliwej do zidentyfikowania osobie fizycznej. Co to jest ta „możliwa do zidentyfikowania osoba”? Otóż jest to człowiek, którego można bezpośrednio lub pośrednio zidentyfikować na podstawie identyfikatora takiego, jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy. A także: lub jeden bądź kilka szczególnych czynników, określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. Konkretniej? Proszę bardzo! Jest to wspomniane imię i nazwisko, PESEL, NIP, nr dowodu osobistego, paszportu, prawa jazdy, adres zamieszkania, wizerunek, czyli zdjęcie albo zapis z monitoringu, rejestr wejść i wyjść, data urodzenia, adres mail i IP, dane o lokalizacji, informacje finansowe, cechy fizyczne… Czyli niemal wszystko. RODO dotyczy zatem bardzo wielu informacji, opisujących, charakteryzujących i identyfikujących osobę fizyczną.
Czy w każdej restauracji obowiązuje RODO?
Tak. Wróćmy do oficjalnej definicji przepisów: RODO reguluje zagadnienia dotyczące ochrony danych osobowych w krajach Unii Europejskiej, w szczególności dotyczące praw i obowiązków osób, których dane osobowe są poddane przetwarzaniu oraz podmiotów, które te dane będą przetwarzać. Wspomniane podmioty to wszelkie firmy, które mają cokolwiek wspólnego z danymi osobowymi jakiegokolwiek człowieka. A więc też restauracje, ponieważ tam owe przetwarzanie ma miejsce nieustannie. Jakim cudem? Otóż po pierwsze: nie ma restauracji bez pracowników, a każdy z nich musi udostępnić pracodawcy swoje dane i jest ich naprawdę wiele. Już samo CV zawiera zdjęcie, imię i nazwisko, często wiek, zawsze wykształcenie, adres mail, nr telefonu. Ich dane „podmiot”, a więc restauracja musi przechowywać (ZUS, Urząd Statystyczny, Urząd Skarbowy, BHP itd.), przetwarzać (np. deklaracje), a często udostępniać, np. wysyłając pracowników na szkolenia. I tu uwaga! Restauracja, wysyłając pracownika na szkolenie, przekazuje jego dane innej firmie, ale to nadal restauracja jest administratorem tych informacji i ma obowiązek bezpiecznego ich przetwarzania. Trzeba zatem zawsze zawierać odpowiednio sformułowane paragrafy w umowie, wymuszające chronienie i nierozpowszechnianie tych danych. Jak widać – RODO dotyczy każdej restauracji, która zatrudnia pracowników. A więc – zupełnie wszystkich.
O czym jeszcze trzeba pamiętać?
Każda restauracja to także goście, a ich obecność zawsze generuje konieczność uregulowania kwestii RODO. Dlaczego tak jest? Powodów jest kilka, ale przytoczmy kilka najbardziej oczywistych. Pierwszym z nich jest podpisywanie umów na imprezy zamknięte: wesele, urodziny, bankiet itp. Umowa zawsze zawiera dane osoby fizycznej zleceniodawcy, ale często także listę gości (!), a nawet dane wrażliwe – w postaci wytycznych, dotyczących diety poszczególnych osób. Nie sposób tego ominąć, dlatego trzeba usystematyzować wewnętrzne przepisy i uszczelnić system chroniący te dane. Innym, równie obrazowym przykładem jest monitoring. Wiele restauracji z niego korzysta, a więc rejestruje tak pracowników, jak i swoich gości. Zasady gromadzenia, przechowywania, przetwarzania, a także przekazywania i usuwania na życzenie tych nagrań – również muszą być zgodne z nowymi przepisami. Czy to wszystko? Niestety nie, ponieważ kolejną grupą z danymi osobowymi są wszyscy kontrahenci, świadczący usługi dla restauracji: informatyk, administrator Facebooka, pan od czyszczenia tapicerki itd.
Wprowadź RODO albo czekaj na problemy
W Polsce organem nadzorczym jest GIODO, które na swojej stronie internetowej szczegółowo informuje o nowym rozporządzeniu, wskazując na jego pozytywne strony:
- Wzmocnienie praw osób fizycznych, których dane dotyczą;
- Ujednolicenie przepisów w zakresie ochrony danych osobowych na terenie UE;
- Uatrakcyjnienie rynku UE względem państw trzecich;
- Usprawnienie wymiany informacji i procedur wewnątrzwspólnotowych;
- Wyznaczenie standardów bezpieczeństwa adekwatnych do wyzwań XXI wieku.
To przed GIODO trzeba będzie wykazać, że zbieranie danych jest uzasadnione, ma odniesienie w przepisach i że zastosowane zostały odpowiednie zabezpieczenia, aby je chronić. Kary za niestosowanie się do rozporządzenia o RODO są niestety ogromne – nawet do 10 milionów EURO. Trzeba też się przygotować na pozwy cywilne od osób, których dane wyciekły… Bo warto pamiętać, że nawet zapłacenie administracyjnej kary pieniężnej za wszelkie naruszenia nie zwalnia podmiotu (restauracji) z odpowiedzialności cywilnej. Rzecz jasna, nietrudno się domyślić, że najprawdopodobniej żadna polska restauracja nie dostanie tak wysokiej kary pieniężnej, ale zamysł jest taki, że mają być one skuteczne i odstraszające. Przy określaniu wysokości kary będą brane pod uwagę takie kwestie, jak „charakter, czas i waga naruszenia, umyślność lub nieumyślność czynu, działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą, stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych u nich wdrożonych, stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego, współpracę z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków, a także sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie”. Co zatem zrobić? Natychmiast wdrożyć przejrzystą politykę bezpieczeństwa danych osobowych, zawierającą wszystkie niezbędne płaszczyzny. Warto to zrobić niezwłocznie: bo chroniąc innych, chronimy również siebie.