RODO klientów restauracji – jakie obowiązki ciążą na restauratorze?
Klienci gastronomii udostępniają swoje dane osobowe, korzystając z opcji zamawiania jedzenia za pośrednictwem strony internetowej lokalu. Jak te informacje powinny być zabezpieczone? Kto nimi administruje? Jakie obowiązki ciążą na restauratorze? Wyjaśnia radczyni prawna Ewa Kuczyńska.
Umożliwienie konsumentom zamawiania posiłków z dostawą za pośrednictwem stron internetowych jest w dzisiejszych czasach standardem. Wiąże się to jednak z przetwarzaniem przez restauracje większej ilości informacji na ich temat. O ile bowiem nie ma potrzeby przetwarzania danych osobowych gości w sytuacji, gdy zamawiają jedzenie bezpośrednio w lokalu i płacą gotówką, o tyle zamówienia z dowozem do domu, za pośrednictwem strony internetowej lub telefoniczne, już się z tym procesem wiążą. Obowiązki wynikające z RODO ciążą na nas, nawet jeśli ilość informacji nie jest duża, ale należą one do tzw. danych zwykłych, takich jak: imię, nazwisko, adres e-mail czy numer telefonu. Jak więc z nimi postępować, aby nie narazić się na złamanie przepisów prawa? W jaki sposób zabezpieczyć dane i na co zwrócić uwagę, zbierając informacje dotyczące klientów?
JESTEŚ ADMINISTRATOREM – MASZ OBOWIĄZKI
Gromadząc dane osobowe klientów, lokal gastronomiczny, a dokładnie podmiot go prowadzący (właściciel – np. spółka z o.o., jednoosobowy przedsiębiorca) będzie uważany za administratora danych, a więc podmiot, który określa cele i sposoby ich przetwarzania. Konsekwencją takiego określenia roli w procesie przetwarzania danych jest nałożenie na restaurację szeregu obowiązków – od tych związanych z prowadzeniem odpowiedniej dokumentacji i szkoleniem pracowników po wprowadzenie zabezpieczeń technicznych i organizacyjnych odpowiednich do rodzaju zbieranych danych.
ZAKRES ZBIERANYCH DANYCH
Jeśli restauracja zamierza stworzyć własny formularz zbierania zamówień, powinna zacząć od określenia zakresu zbieranych danych i ustalenia podstawy prawnej ich przetwarzania. Podstawy prawne w zakresie danych zwykłych zostały określone w art. 6 ust. 1 RODO i należą do nich w szczególności: niezbędność do wykonania umowy, niezbędność do wykonania obowiązku wynikającego z przepisów prawa, prawnie uzasadniony interes czy zgoda. Jeśli dane mają być zbierane tylko w celu realizacji zamówienia, a ich zakres będzie niezbędny do jego realizacji (np. informacje dotyczące tożsamości klienta, adres, pod który dostarczyć zamówienie, dane kontaktowe i dane nt. płatności), możemy oprzeć przetwarzanie o art. 6 ust. 1 lit b) RODO, czyli niezbędność przetwarzania do realizacji umowy. Nie ma potrzeby zbierania dodatkowej zgody na przetwarzanie danych w tym celu. Tworząc formularz, należy pamiętać o zasadzie minimalizacji, powinno się zbierać jedynie tyle danych, ile jest niezbędne do zrealizowania danego celu. Klient musi wiedzieć, które dane są przetwarzane w jakim celu, dlatego należy stworzyć klauzulę informacyjną, przybierającą standardowo formę „polityki prywatności” i umożliwić konsumentowi zapoznanie się z jej treścią (np. umieścić ją pod formularzem zamówień). Wśród informacji przekazywanych klientom powinny znaleźć się w szczególności te o tożsamości administratora danych (czyli podmiotu prowadzącego restaurację), o celach i podstawach przetwarzania danych, o okresie ich przechowywania, odbiorcach danych, prawach klientów, jak również adnotacja, czy istnieje obowiązek podania danych. Wszystkie czynności, które wykonujemy na danych, powinny być również wymienione w wewnętrznym rejestrze czynności przetwarzania.
DOSTĘP DO DANYCH INNYCH PODMIOTÓW
Jeśli w związku z możliwością zamawiania jedzenia dostęp do danych klientów miałyby mieć podmioty trzecie, przykładowo firma, która tworzy formularz i ma dostęp do danych zbieranych za jego pośrednictwem (np. w zakresie świadczenia usług hostingu czy IT), z takimi podmiotami należy podpisać umowę powierzenia, która reguluje obowiązki dotyczące przetwarzania danych osobowych. Ważne jest, żeby wybrany przez nas kontrahent zapewniał bezpieczeństwo przetwarzanych danych. Przed podpisaniem umowy warto więc ustalić, jakie zabezpieczenia stosuje nasz partner, czy przechodził zewnętrzne audyty bezpieczeństwa lub ma certyfikaty, gdzie przechowywane będą dane (na terenie EOG czy poza nim) itp.
POLITYKA BEZPIECZEŃSTWA
Nie mniej ważne od zabezpieczeń technicznych są kwestie organizacyjne. Należy w szczególności ustalić wewnętrzne procedury postępowania z danymi osobowymi i zapoznać z nimi personel. Chodzi przykładowo o ustalenie miejsca składania dokumentów, jeśli zamówienia zawierające dane osobowe są drukowane (np. szafy zamykane na klucz), okresu przechowywania danych i sposobu ich niszczenia (zaleca się użycie niszczarki). Dokumentem, w którym powinno się uregulować sposób postępowania z danymi i opisać ogólnie stosowane zabezpieczenia i procedury postępowania, jest polityka bezpieczeństwa. Wszyscy pracownicy powinni być zaznajomieni z jej postanowieniami, jak również zobowiązani do zachowania poufności wszelkich danych, do których dostęp otrzymają w związku z realizacją zadań służbowych.
NARUSZENIA
Do dużej liczby naruszeń dochodzi nie w wyniku ataków hackerskich, ale błędów ludzkich. Stąd istotne jest przeprowadzenie okresowych szkoleń personelu, który powinien być świadomy, jak należy postępować z danymi. Szczególnie istotne jest przekazanie wytycznych w przypadku naruszeń – personel powinien być świadomy obowiązku niezwłocznego poinformowania wyznaczonej osoby o naruszeniu. Osoba wyznaczona do analizy naruszeń powinna zaś być przeszkolona do ich oceny, a w przypadku gdy zachodzi ryzyko naruszenia praw lub wolności podmiotów danych – powinna wiedzieć, jak i kiedy zgłosić je do Prezesa Urzędu Ochrony Danych. Czas na zgłoszenie naruszenia jest bowiem bardzo krótki i wynosi tylko 72 godziny.
Materiał ukazał się w specjalistycznym czasopiśmie pn. Food Service, wydanie październik 2023 r., nr 229. Autorem publikacji jest nasza ekspertka, radczyni prawna Ewa Kuczyńska. Artykuł dostępny na stronie wydawcy Food Service, pod linkiem TUTAJ. Czasopismo dostępne w prenumeracie na stronie internetowej wydawcy TUTAJ oraz w salonach sprzedaży sieci Empik.
Materiał prasowy: radca prawny Ewa Kuczyńska.
fot. Ewa Kuczyńska
Kancelaria Prawna GFP_Legal Wrocław
#RODO #Gastronomia #OchronaDanychOsobowych #PrawoWGastronomii #FoodService #KancelariaPrawnaGFPLegal #GFPLegal #KancelariaPrawnaWrocław