RODO w restauracji - rok po i rok przed

RODO w restauracji - rok po i rok przed

25 maja tego roku minął rok od wejścia w życie rozporządzenia o ochronie danych osobowych (RODO). Jest to dokument, który reguluje kwestie ochrony danych osobowych na terenie całej Unii Europejskiej. Wejście w życie rozporządzenia poprzedzały liczne dyskusje i przygotowania do nowej polityki ochrony danych osobowych. Jak dziś przedsiębiorcy podchodzą do kwestii związanych z RODO w restauracji? Czy czekają nas liczniejsze kontrole?

Definicja RODO i przepisy prawne

Unijna dyrektywa została przyjęta przez Parlament Europejski 27 kwietnia 2016 roku. Na jej wprowadzenie do swojego porządku prawnego kraje członkowskie otrzymały dokładnie 12 miesięcy. We wszystkich tych krajach funkcjonowały jednak dotychczasowe regulacje chroniące dane osobowe. W Polsce była to ustawa o ochronie danych osobowych z 29 sierpnia 1997 roku. Dla wielu przedsiębiorców była wówczas “niezauważalna” ze względu na ogólną formę stosowania. Konieczność wdrożenia nowej polityki ochrony danych osobowych Parlament Europejski tłumaczył m.in. tym, że należy podnieść świadomość obywateli w kwestii wykorzystania ich danych osobowych przez podmioty komercyjne.

Drugim powodem była konieczność dostosowania przepisów do realiów XXI wieku. W polskiej ustawie o ochronie danych osobowych, która jest zapisana na 35 stronach, słowo “internet” nie pojawiało się ani razu. Z kolei w rozporządzeniu unijnym, które jest rozpisane na 88 stronach, to słowo pojawia się 19 razy. Nowe przepisy ściągnęły na przedsiębiorców w całej wspólnocie także nową odpowiedzialność. Kontrowersje od samego początku dotyczyły wysokości kar za niedostosowanie sposobu przetwarzania danych do wymagań stawianych przez PE. Dziś wydaje się, że sytuacja została opanowana, choć co jakiś czas pojawiają  się nowe informacje o zmianach w RODO i konieczności ich wdrażania.

Co oznacza RODO w restauracji

Według statystyk google trends najczęściej wpisywane do wyszukiwarki pytanie w ubiegłym roku brzmiało Co to jest RODO? Popularność tego zagadnienia nie świadczy jednak o determinacji we wdrażaniu w życie nowych przepisów. Szczególnie przez przedsiębiorców. Wielu z nich do dziś stoi na stanowisku, że ich przedsiębiorstwo nie ma nic wspólnego z administracją danych osobowych.

Tymczasem fakty są takie, że blisko 99% firm w mniejszym lub większym stopniu zbiera dane, które w dobie RODO są szczególnie wrażliwe. Wystarczy, że zatrudnimy w naszej restauracji jednego pracownika na ćwierć etatu i już pełnimy wobec niego rolę procesora.

Poza tym administratorami stajemy się także w przypadku gdy: posiadamy w lokalu monitoring, tworzymy listę gości, dokonujemy rezerwacji stolika, oferujemy usługę dostawy do domu, prowadzimy rekrutację na wolne stanowisko, czy też prosimy o wpisanie adresu na listę mailingową za pośrednictwem strony internetowej.

Nadinterpretacje i błędy w RODO popełniane przez restauratorów

Większość przedsiębiorców z branży gastronomicznej poddała się nowemu porządkowi prawnemu. Niektórzy z nich postanowili jednak wdrożyć RODO na własną rękę, popełniając przy tym bardzo wiele błędów. Do najczęstszych należą:

  • pobieranie zgody na przetwarzanie danych zamiast udzielenie informacji o tym dlaczego dane będą zachowane, kto będzie ich administratorem, jak długo będą archiwizowane itd.;
  • brak informacji o monitoringu w restauracji. Wizerunek jest przez RODO traktowany również jako składnik danych osobowych, który za pośrednictwem monitoringu utrwalamy i przetwarzamy. Aby spełnić obowiązek ustawowy wystarczy zainstalować w lokalu tabliczkę z piktogramem kamery;
  • pobieranie większej liczby danych, niż jest to potrzebne. Według ustawy mamy prawo do gromadzenia tylko takich danych, jakie są nam niezbędne;
  • niewystarczające zabezpieczenie dostępu do danych. Rezerwując stolik w lokalu za pośrednictwem systemów POS musimy mieć pewność, że dostęp do urządzeń gromadzących dane mają odpowiednie osoby. Jeżeli urządzenie jest współdzielone – musi posiadać zabezpieczenie hasłem;
  • “pożyczanie” klauzuli od innych podmiotów. Każde przedsiębiorstwo musi posiadać nie tylko klauzulę uszytą na miarę, ale przede wszystkim cała procedura musi zostać wdrożona indywidualnie.

Poza błędami często pojawiają się także różnego rodzaju nadinterpretacje, które doprowadzają do kuriozalnych sytuacji.

Dla niektórych restauratorów problemem jest wspomniana już rezerwacja stolika i konieczne do tego zapisanie danych osoby  rezerwującej. W niektórych przypadkach strony ustalają hasło, które należy podać po przybyciu do lokalu. Lista takich osobliwych rozwiązań jest bardzo długa, przez co rozporządzenie RODO nie cieszy się pozytywną opinią. Trudno dziś przekonać kogokolwiek, że jest to rozwiązanie prostsze i łatwiejsze w stosowaniu, niż dotychczasowe przepisy krajowe.

Wdrożenie RODO. Idą kary?

Do 25 maja 2020 Komisja Europejska ma złożyć sprawozdanie z oceny funkcjonowania RODO. Wielu ekspertów zastanawia się, czy w związku z tym niebawem nie nasilą się kontrole, chociażby po to, aby zebrać dane potrzebne do ewaluacji rozporządzenia. Do tej pory UODO przeprowadził tylko kilka kontroli, które nie zakończyły się nałożeniem kar na sprawdzane podmioty. Ale to nie kontroli powinni obawiać się ci, na których ciąży obowiązek administrowania danych osobowych. Według statystyk Polska znajduje się na czwartym miejscu pod względem ilości skarg na firmy, które łamią zapisy rozporządzenia o ochronie danych osobowych. W ubiegłym roku Polacy złożyli ich 4068.

Co grozi firmom za nieprzestrzeganie RODO? Ustawodawca przewidział dwa progi kar: do 10 mln euro (lub 2% rocznego obrotu) oraz do 20 mln euro (lub 4% rocznego obrotu). Wysokość kary uzależniona jest od rodzaju popełnionego błędu oraz strat, jakie poniosła osoba lub osoby, których dane dotyczą. Do tej pory w Polsce PUODO nałożył tylko jedną karę, spektakularnej wysokości 943 470 zł. za niespełnienie obowiązku informacyjnego.