3…2…1… RODO! Czy jesteś gotowy na nowe przepisy? Tak, dotyczą także gastronomii.

aspekty prawne dane osobowe Ministerstwa Cyfryzacji prawo prawo w gastronomii przechowywanie danych osobowych RODO

Na pierwszy rzut oka Rozporządzenie o Ochronie Danych Osobowych (RODO) to nie Twój problem. Zajmujesz się bowiem gastronomią, a nie gromadzeniem i przetwarzaniem danych osobowych. Jeśli wydaje Ci się, że skala i zakres Twojej działalności zwalniają Cię z wdrożenia przepisów wynikających z RODO, niestety jesteś w błędzie. Wystarczy, że przyjmujesz rezerwacje stolików i zatrudniasz pracowników – RODO dotyczy także Ciebie. Czy jesteś na nie gotowy?

document-1446078_1920

25 maja we wszystkich krajach Unii Europejskiej zacznie obowiązywać Rozporządzenie o Ochronie Danych Osobowych RODO. Dotyczyć będzie wszystkich podmiotów – prywatnych i publicznych, które na terenie Unii Europejskiej przetwarzają dane osobowe, czyli informacje pozwalające zidentyfikować osobę fizyczną, takie jak: imię, nazwisko, PESEL, płeć, adres e-mail, a także mniej oczywiste: numer IP komputera, dane lokalizacji, kod genetyczny, historia zakupów itp.

Jeśli nadal myślisz, że RODO to nie temat dla Ciebie, bo nie przetwarzasz danych osobowych, to… niestety musimy wyprowadzić Cię z błędu. Zatrudniasz pracowników? Przyjmujesz rezerwacje? Posiadasz listę gości na niedzielną komunię? Podpisujesz umowy z wykonawcami? Organizujesz konkursy na FB? Wszystkie te czynności – niezwiązane bezpośrednio z gotowaniem, ale z prowadzeniem działalności już tak – wymagają w jakimś stopniu przetwarzania danych osobowych, sprawiając tym samym, że – jako ich administrator – jesteś zobowiązany do przestrzegania treści RODO i wdrożenia pewnych obowiązków, jakie w wyniku wejścia w życie rozporządzenia, na Tobie spoczywają.

business-3365365_1920

Co Ci grozi za niestosowanie się do RODO? Teoretycznie ogromne kary przewidziane w rozporządzeniu, w praktyce jest to ostateczność, a te wielkie kwoty dotyczyć będą tylko największych korporacji celowo nie stosujących się do RODO. Małe firmy będą upominane i ostrzegane, kary nie będą nakładane za nieumyślne uchybienia i drobiazgi – chodzi przede wszystkim o zmianę podejścia do ochrony danych osobowych, a nie sposób na podreperowanie budżetu UE za pomocą środków pozyskanych z kar.

writing-1149962_1920

 

Czasu masz niewiele, bo tylko do 25 maja, dlatego pora przejść do konkretów.

RODO zdecydowanie staje po stronie osób, których dane są przetwarzane, rozszerzając ich prawa i dbając o ich poszanowanie.

1. Definiuje sytuacje, w jakich dane można gromadzić i przetwarzać – tylko za wyraźną zgodą osoby, której dotyczą; gdy przetwarzanie jest niezbędne do wykonania zadań związanych z zatrudnieniem, ubezpieczeniem społecznym; do celów profilaktyki zdrowotnej lub medycyny pracy; w celu dochodzenia praw przed sądem.

2. Wprowadza zasadę minimalizacji danych osobowych – przetwarzać można wyłącznie dane niezbędne do osiągnięcia celu.

3. RODO dokładnie definiuje w jaki sposób należy uzyskać zgodę na przetwarzanie danych osobowych (dobrowolność, konkretność – do lamusa odchodzą ogólne formułki, świadomość, jednoznaczność). Zgoda może być wyrażona w dowolny sposób – o sposobie jej zbierania i archiwizowania decyzję podejmuje administrator danych osobowych w firmie. W procesie uzyskiwania zgody – w formie rozbudowanej klauzuli – firma ma obowiązek przedstawić szereg aktualnych informacji: o tożsamości administratora danych i o jego danych kontaktowych (pełna nazwa firmy), celach przetwarzania danych, odbiorcach danych osobowych, okresie czasu, przez który dane osobowe będą przechowywane, prawie do dostępu do swoich danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, o prawie do przenoszenia danych i cofnięcia zgody w dowolnym momencie, a także o prawie wniesienia skargi do organu nadzorczego.

4. Równocześnie przestaje obowiązywać konieczność rejestrowania zbiorów danych w GIODO, w jej miejsce pojawia się obowiązek prowadzenia rejestru czynności przetwarzania. Na przedsiębiorcach ciąży również obowiązek informowania państwowego nadzoru o incydentach związanych z utratą danych osobowych.

computer-3368242_1920


W jaki sposób przekłada się to na codzienną działalność kawiarni lub restauracji?

Przede wszystkim każdy powinien wykorzystać ten moment na analizę przetwarzanych danych osobowych w firmie – jakie konkretnie dane i na jakiej podstawie (klauzula w umowie, zgoda na stronie internetowej itp.), w jakim celu, jak długo, i czy na pewno w bezpieczny sposób, przedsiębiorca przechowuje lub przetwarza. Następnie należy uaktualnić wszystkie umowy z klientami, pracownikami, kontrahentami o wyżej opisane (pkt.3) elementy klauzuli oraz wskazać, że od tej pory stajemy się administratorem ich danych osobowych, a więc na nas ciążyć będzie odpowiedzialność za ich odpowiednie przechowywanie. Jeśli posiadamy stronę internetową powinniśmy uaktualnić jej regulamin. W przypadku posiadania monitoringu w lokalu należy na drzwiach wejściowych umieścić odpowiednie tabliczki informujące o tym fakcie. Administrator danych osobowych zobowiązany jest informować organy państwowe o utracie przechowywanych danych osobowych, należy więc na tę okoliczność, stworzyć firmowy dokument z analizą ryzyk związanych z przetwarzaniem danych. Co najważniejsze – powinniśmy upewnić się, że powierzone nam dane są bezpiecznie przechowywane, to znaczy, że CV i umowy o pracę nie walają się na zapleczu, pracownicy nie odtwarzają sobie śmiesznych scenek z monitoringu, a maile uczestników naszego programu lojalnościowego nie zostały przekazane żonie kucharza, która otwiera własny biznes i chce wysłać do nich informacje na ten temat. Wszystkie te dane, umowy i informacje powinny być trzymane według ustalonych przez nas procedur, „pod kluczem”, w zabezpieczonych dokumentach, na komputerach chronionych hasłem dostępu. Jeśli wiele informacji gromadzimy poprzez system POS, dostęp do tabletu powinien być ograniczony i możliwy jedynie po zalogowaniu.

cup-2884023_1920

Jak widać nie ma podstaw, by bać RODO. Wydaje się skomplikowane, ale w praktyce porządkuje sprawy, które powinny być w bezwzględnym porządku już od dawna. Nakłada na przedsiębiorców pewne obowiązki, jednak dokładnie opisuje w jaki sposób się z nich wywiązać. Przy odrobinie zaangażowania RODO nie będzie nikomu straszne, a w pełni zabezpieczy nasz lokal przed ewentualnymi kryzysami na tle przechowywania i przetwarzania danych osobowych. Wiele przydatnych informacji można znaleźć na stronach Ministerstwa Cyfryzacji (Przewodnik) lub Ministerstwa Przedsiębiorczości i Technologii (Przewodnik).