Co to jest RODO?
RODO (czyli w skrócie Rozporządzenie o Ochronie Danych Osobowych) jest wprowadzonym przez Parlament Europejski i Radę Unii Europejskiej rozporządzeniem, które, jak nazwa sama wskazuje, dotyczy przetwarzania danych osobowych. Wprowadza zmiany, które istotnie wpływają na przetwarzanie danych w organizacji - nie tylko w sferze prawnej, ale również w sferze systemów informacyjnych. Obejmuje nie tylko przetwarzanie danych w procesach kadrowych i rekrutacyjnych, ale również w przypadku marketingu.
RODO ma pomóc w niwelowaniu przypadków nadużyć, gdy rozpowszechniane są informacje o obywatelach. Rozporządzeniu podlegają takie dane, jak imię i nazwisko osoby, jej numer identyfikacyjny, dane o jej lokalizacji i identyfikator internetowy (na przykład adres mailowy). Obejmuje też dane, które pozwalają na określenie tożsamości osoby - opis fizyczny, czynniki fizjologiczne, psychiczne, kulturowe, społeczne i ekonomiczne.
W rozporządzeniu wskazano nowe obowiązki i zasady odnośnie informowania o przetwarzaniu danych osobowych. Również prawa osób, których dane są przetwarzane, zostały w dużym stopniu poszerzone. Specjalna uwaga poświęcona została walce z przetwarzaniem danych osób, które wydały zgodę na upowszechnienie nieświadomie, podpisując "zgodę w ciemno".
Oprócz tego RODO rozszerza i wyjaśnia postanowienia, które muszą znaleźć się w formułowanych umowach i klauzulach zgody na przetwarzanie danych. Prowadzenie i zgłaszanie zbioru danych osobowych nie jest już obowiązkowe, zamiast tego pojawia się prowadzenie procedury przetwarzania danych. Wprowadzony zostaje też obowiązek przekazania państwowemu nadzorowi informacji w przypadku utracenia danych.
W jaki sposób RODO dotyczy lokali gastronomicznych?
RODO, oczywiście, nie dotyczy wyłącznie tak oczywistych branż jak branża e-commerce lub działy HR - również w przypadku gastronomii pojawia się problem posiadania dostępu do licznych prywatnych informacji. Każda restauracja bowiem przetwarza dane osobowe.
Najbardziej oczywistym przykładem są zatrudniani pracownicy, ale umowy cywilnoprawne podpisywane są również w przypadku współpracowników i zleceniobiorców (przykładowo – z dostawcą). Jeśli pracodawca kieruje personel na różnego typu szkolenia i kursy, to jako administrator danych osobowych również powierza dalej ich przetwarzanie zewnętrznej firmie.
Dane osobowe są przetwarzane również w innych okolicznościach. Dane osobowe zbierane są w przypadku prowadzenia przez restaurację systemu rezerwacji stolików lub różnorodnych akcji promocyjnych, takich jak programy lojalnościowe, loterie i konkursy.
Nawet w przypadku posiadania strony internetowej, który pozwala na skontaktowanie się z restauracją, pojawia się problem administrowania danymi osobowymi. Jeśli na witrynie dostępny jest formularz kontaktowy lub zapisu na newsletter, to powinna się na nim pojawić zgoda na przetwarzanie danych oraz wzmianka o tym, w jaki sposób można je usunąć.
Również podczas organizacji imprez zamkniętych, takich jak chrzciny, komunie, wesela, czy też imprezy firmowe, restaurator otrzymuje listę nazwisk wraz z informacjami o dietach niektórych z gości - lista taka zawiera jeszcze, oprócz danych osobowych, tzw. dane wrażliwe, które również zostają przetwarzane. Danymi wrażliwymi mogą być na przykład informacje, kto nie może spożywać glutenu, a kto jest weganinem.
Nawet monitoring, którym objęty może być teren restauracji, jest formą przetwarzania danych. W tym przypadku, przetwarzany zostaje nie tylko wizerunek osób odwiedzających lokal, ale również personelu.
Przytoczone przykłady są jedynie niektórymi z możliwości tego, w jaki sposób w lokalu mogą być przetwarzane dane - warto indywidualnie przeanalizować, jak sprawa wygląda w przypadku konkretnej restauracji. Jak widać powyżej, zbiory danych mogą być przetwarzane na wielu różnorodnych płaszczyznach.
Jak wprowadzać RODO w restauracji?
By ułatwić przygotowanie się do wprowadzenia zmian wymuszanych przez RODO w restauracji, restaurator powinien wykonać określone czynności.
Istotne jest uaktualnienie regulaminu dostępnego na stronie internetowej restauracji w zgodzie z treścią rozporządzenia. Również informacje przy formularzach o przetwarzaniu danych osobowych i umowach, które klienci muszą zaakceptować, by usługa została zrealizowana, powinny zostać zaktualizowane. Warto też odświeżyć umowy z kontrahentami - każda strona powinna wiedzieć, że w tym momencie zostaje administratorem danych osobowych.
Jeśli w restauracji zainstalowane są urządzenia monitorujące, należy poinformować klientów o tym fakcie - przykładowo za pomocą tabliczek informacyjnych, które zamieszczone zostaną w widocznym miejscu. Informacja o monitoringu powinna pojawić się również w umowie o pracę i regulaminie pracowniczym.
Restaurator powinien też dbać o dokumentację wszelkich czynności związanych z przetwarzaniem danych osobowych i stworzyć firmowy dokument z analizą ryzyka, które związane jest z przetwarzaniem osobowych. W takim dokumencie znaleźć powinny się wszelkie inwentaryzacja danych, cel i podstawa prawna ich przetwarzania, proces pozyskiwania zgód na ich przetwarzanie i okres czasu ich przechowywania. Należy zamieścić tam też informacje o stosowanych zabezpieczeniach i liście odbiorców danych.
