O RODO, czyli restauratorzy kontra dane osobowe

O RODO, czyli restauratorzy kontra dane osobowe

Autor: Marta Kosecka

adwokat, właścicielka Kancelarii Adwokackiej w Gdyni

autorka bloga przepisnagastronomie.pl

 

Istnieje duże prawdopodobieństwo, że przeglądając różne serwisy i strony internetowe, natknąłeś się już na tajemnicze słowo RODO. Często może jednak zjechałeś myszką w dół, sądząc, że ten enigmatyczny skrót z pewnością nie ma dla Ciebie żadnego znaczenia. W dzisiejszym artykule spróbuję Cię zatem przekonać, że nic bardziej mylnego, a skrót ten wymaga szerokiego rozwinięcia.

RODO, czyli skrótowa nazwa wchodzącego w życie 25 maja 2018 roku nowego unijnego rozporządzenia dotyczącego ochrony danych osobowych. Od tego dnia w zasadzie całkowicie zmienia się dotychczasowa koncepcja ochrony danych osobowych.

Wiele osób straszy RODO. Rozporządzenie przewiduje bowiem sowite kary finansowe, dochodzące nawet do 20 milionów euro. RODO wymaga również dokonania przeglądu dotychczasowego sposobu ochrony, przetwarzania i dokumentowania czynności przetwarzania zebranych danych osobowych, a w dużej mierze także zmiany obowiązujących u Ciebie polityk i procedur odnoszących się do ochrony danych osobowych.

RODO przewiduje takie instytucje jak tworzenie rejestru przetwarzania danych osobowych, rozszerza znacząco obowiązki informacyjne wobec osób, których dane będą przetwarzane, a także ich prawa - RODO szczegółowo reguluje zatem prawa takie jak prawo do bycia zapomnianym, prawo dostępu do danych i ich sprostowania. RODO dużo większy nacisk niż obowiązujące dotąd przepisy kładzie na zawieranie umów powierzenia przetwarzania danych osobowych. Ale jednocześnie, z chwilą wejścia w życie RODO zniknie obowiązek rejestrowania baz danych w GIODO.  

Nie chcę opisywać tutaj kolejno postanowień RODO, bo to bez sensu. Opisywanie poszczególnych instytucji, które ta regulacja wprowadza bądź zmienia, nie przyczyni się raczej do Twojego zainteresowania tym tematem, a bardziej nawet jestem skłonna uwierzyć, że te prawnicze wywody spowodowałoby, że zanudziłabym Cię na śmierć.

Dlatego staram się dość prostym, kolokwialnym i przyjemnym dla nas wszystkich językiem przybliżyć Ci samą regulację RODO oraz uświadomić, że w ochronie danych osobowych nadchodzą wielkie zmiany.

Nie mogę też nie uprzedzić Cię, że również polski ustawodawca przygotowuje nową ustawę o ochronie danych osobowych. Może ona znosić z mikro i małych przedsiębiorców część obowiązków, które nakłada na nich RODO. Póki co ustawy jeszcze nie ma i trwa wielka dyskusja nad jej kształtem. Ale na pewno nie zmieni ona kierunku zmian, które RODO wprowadza. Być może tych obowiązków będzie mniej, ale zasady, które nakazuje stosować RODO, takie jak zasada minimalizacji danych czy ograniczonego przechowywania z pewnością się nie zmienią.

Czy to mnie w ogóle dotyczy?

Zadaję to pytanie, bo wiem, że część osób myśli sobie teraz: "Po ona w ogóle to pisze? Przecież mnie to w ogóle nie dotyczy. Jakieś duże przedsiębiorstwa, zatrudniające kilkuset pracowników, urzędy to tak, ale mnie i moją restaurację? Raczej nie".

Powyższy akapit nie znalazł się tu przypadkowo, ale dlatego, że niedawno rozmawiałam właśnie o tym z jednym z moich klientów i na wspomnienie o RODO i danych osobowych taka właśnie była jego reakcja. RODO w restauracji?

Uwierz mi, jako restauratora i pracodawcę z pewnością dotyczy Cię przetwarzanie danych osobowych. Oczywiście, w zależności od tego, jak duża jest Twoja restauracja, ilu masz pracowników lub współpracowników, jaki rodzaj działalności prowadzisz, zakres przetwarzania danych może być mniejszy bądź większy. Ale tak czy inaczej będziesz miał do czynienia z przetwarzaniem danych osobowych.

Z jakimi danymi spotkasz się w restauracji?

Najważniejszą grupą będą z pewnością pracownicy i osoby, które świadczą dla Ciebie usługi w ramach umowy cywilnoprawnej. Jeżeli Twoja restauracja korzysta z monitoringu, przetwarzasz wizerunek gości, kelnerów, kucharzy. Jeżeli organizujesz wesela i inne przyjęcia okolicznościowe, ale także eventy i spotkania biznesowe, przetwarzasz dane osobowe organizatorów, z którymi podpisujesz umowę, a nieraz pewnie i zaproszonych gości, jeżeli organizatorzy przekazują Ci ich imienną listę. Co więcej, jeżeli na tej imiennej liście masz zaznaczone, kto jaką ma dietę, a więc wiesz, kto jest bezglutenowcem, a kto ma dietę wątrobową, przetwarzasz także dane wrażliwe. Mamy jeszcze system rezerwacji, różnego rodzaju konkursy i programy lojalnościowe, dane, które zbierasz na ich potrzeby, też będą stanowiły dane osobowe. Kolejną grupę stanowią Twoi kontrahenci - dostawcy, wykonawcy, którym zlecasz albo podzlecasz wykonywanie pewnych usług. Jeżeli przykładowo kierujesz swoich pracowników na różnego typu kursy i szkolenia i przekazujesz organizatorom ich dane osobowe, tak naprawdę powierzasz przetwarzanie danych osobowych, których Ty jesteś administratorem i to na Tobie ciąży odpowiedzialność za ich bezpieczne przetwarzanie, a więc powinieneś zawrzeć w tym celu stosowną umowę lub co najmniej klauzulę umowną w umowie głównej, którą zawierasz z takim podwykonawcą.   

 

Mogłabym tak wymieniać bez liku, gdyż każda działalność i restauracja nie jest w tym względzie wyjątkiem, będzie miała jeszcze swoje dodatkowe obszary przetwarzania danych, które można zidentyfikować dopiero po dogłębnym przyjrzeniu się prowadzonej działalności. W każdym razie, mam nadzieję, że powyższymi przykładami przekonałam Cię już o tym, że jako restauratora obowiązują Cię regulacje dotyczące ochrony danych osobowych, a więc także nowo wprowadzana regulacja RODO.

20 milionów euro kary?

Wspominałam na początku o karach finansowych. Zresztą, jeżeli widziałeś jakiś artykuł o RODO, to już wiesz, a jeśli dopiero zobaczysz, to z pewnością się dowiesz, że w zasadzie każdy zaczyna się od straszenia karami finansowymi. Rzeczywiście, RODO przewiduje kary. To prawda, są bardzo wysokie. 20 czy 10 milionów euro robi wrażenie. Ale ja mówiąc o RODO wręcz przeciwnie, staram się ostudzać zapędy tych, którzy próbują stworzyć atmosferę strachu. RODO nie należy się bać. Żaden mały, ani tym bardziej mikroprzedsiębiorca nie dostanie bowiem milionowej kary. Te będą zarezerwowane dla Facebooka albo Google. Zresztą, jeżeli wykażesz przed organem nadzorczym (obecne GIODO), że zbierasz tylko te dane, które zbierać masz prawo, stosujesz odpowiednie zabezpieczenia, aby dane które przetwarzasz, nie dostały się w niepowołane ręce, a także ? a może przede wszystkim ? należycie udokumentujesz przetwarzanie danych osobowych, organ prawdopodobnie w ogóle, nawet gdyby do wycieku takich danych doszło, nie ukarze Cię karą finansową. Dlatego RODO nie należy się bać, ale należy się do niego dobrze przygotować. Jeżeli w Twojej restauracji będzie obowiązywała czytelna i jasna polityka bezpieczeństwa informacji, polityka przetwarzania danych osobowych, właściwe umowy powierzenia danych osobowych, dobrze sformułowane formularze zgód, umowy na organizację przyjęć, a także inne dokumenty związane z przetwarzaniem danych osobowych, słysząc następnym razem RODO, zamiast się bać, możesz się szeroko uśmiechnąć.