Stosowanie się do rozporządzenia RODO w restauracji wymaga chwili namysłu, ale w praktyce jest całkiem proste. Jeśli zrozumiemy, czym są dane osobowe i w jaki sposób restauracja je przetwarza, z łatwością wypełnimy wszystkie warunki nowego prawa
Na dane osobowe – przedmiot zainteresowania RODO – składają się elementy, które pozwalają na zidentyfikowanie konkretnej osoby. Mogą być to następujące dane lub ich kombinacja:
- imię i nazwisko,
- numer identyfikacyjny (np. PESEL, numer dowodu osobistego),
- dane o lokalizacji (np. miejscu zameldowania i zamieszkania, dane geolokalizacyjne – GPS),
- identyfikator internetowy (np. adres IP i identyfikatory plików cookies),
- szczegóły, które pozwalają na rozpoznanie tożsamości osoby fizycznej (nie tylko czynniki fizyczne i fizjologiczne, ale też psychiczne, ekonomiczne, kulturowe czy społeczne).
Oznacza to, że każda restauracja – niezależnie od swojej wielkości – przetwarza dane osobowe. Należą do bardzo różnych grup osób, które są zależne od skali działalności lokalu. Mogą być to:
- pracownicy i zleceniobiorcy,
- dostawcy,
- klienci rezerwujący stolik,
- klienci organizujący imprezy prywatne i firmowe,
- osoby biorące udział w imprezach – listy gości,
- klienci biorący udział w konkursach,
- klienci zapisani do naszych programów lojalnościowych i newslettera,
- klienci znajdujący się na zdjęciach z imprez oraz na filmach z monitoringu (dane osobowe w postaci wizerunku),
- użytkownicy, którzy odwiedzają naszą stronę internetową.
Należy uważać zwłaszcza wtedy, gdy w listach gości notujemy informacje o stosowanych dietach (np. cukrzycowej, wątrobowej czy bezglutenowej). Są one traktowane jako dane wrażliwe, gdyż pociągają za sobą informację o chorobie klienta – dlatego ich ewentualny wyciek może przynieść większe konsekwencje niż w przypadku innych danych.
Dla każdej z grup osób, których dane przetwarzasz, powinieneś przygotować osobne zestawy informacyjne dotyczące bezpieczeństwa ich danych osobowych. Restauracja musi przekazać pracownikom, partnerom i klientom szereg poniższych informacji.
Jaka jest podstawa prawna przetwarzania danych osobowych?
Pełna nazwa RODO to: Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.
Kto jest administratorem danych?
Należy podać dokładną nazwę restauracji wraz z imieniem i nazwiskiem oraz danymi kontaktowymi (np. e‑mail, nr telefonu) właściciela, innego przedstawiciela firmy lub Inspektora Danych Osobowych, jeśli został wyznaczony w firmie.
Jaki jest cel przetwarzania danych osobowych?
Zależy on od grupy, do której adresujesz oświadczenie. Może dotyczyć np. świadczenia usług, analizy i badań potrzeb klientów czy wyświetlania odpowiednich reklam.
Komu zamierzasz przekazać dane?
Ten zapis powinien pojawić się np. w oświadczeniach skierowanych do pracowników, jeśli przekazujesz ich dane obsłudze księgowej i kadrowej, oraz w polityce prywatności na stronie internetowej, jeśli dane użytkowników przetwarzają np. agencje reklamowe. Przykazywanie danych osobowych wymaga zawarcia umowy powierzenia przetwarzania danych osobowych z każdym podmiotem, któremu będziesz przekazywał dane osobowe.
Jak długo dane będą przechowywane?
Sprawdź, jaki maksymalny okres możesz wpisać w zależności od rodzaju oświadczenia. W przypadku umowy o pracę możesz przechowywać dokumenty finansowo-płacowe 50 lat po zakończeniu stosunku pracy (to zmieni się z początkiem 2019 roku – czas ulegnie skróceniu do 10 lat). W przypadku danych osobowych niezbędnych do wykonania umowy do przedawnienia roszczeń – ten okres może wynosić o 6 miesięcy do 10 lat.
Jakie prawa ma osoba, której dane przetwarzasz?
Należy jej zapewnić swobodny dostęp do swoich danych, możliwość zmiany danych lub sposobu ich przetwarzania oraz całkowitego usunięcia.
Osoba ta ma też prawo do przenoszenia danych do innego administratora, prawo sprzeciwu wobec przetwarzania danych czy prawo do jego ograniczenia.
Jakie są skutki niewyrażenia zgody na przetwarzanie danych osobowych?
Zazwyczaj oznacza to brak możliwości skorzystania z określonej usługi, np. dostępu do konta na stronie www, otrzymywania newslettera lub spersonalizowanych informacji.
Jednak należy pamiętać, że zgoda jest tylko jedną z podstaw przetwarzania danych zgodnie z RODO. Inną podstawą jest umowa z osobą, której dane dotyczą. Jeśli podpisujemy umowę z klientem na realizację imprezy w naszej restauracji, z pracownikiem czy ze zleceniobiorcą, nie musimy prosić o zgodę na przetwarzanie danych tych osób, a jedynie wykonać obowiązek informacyjny.
Osobne klauzule – dla pracowników, dla organizatorów imprez, dla użytkowników Twojej strony internetowej czy dla dostawców – powinny mieć formę pisemną. Rozporządzenie wymaga od nas, by informacje były w nich przedstawione w prostej i zrozumiałej formie.
Jakie kroki musisz podjąć, by Twoja restauracja spełniała wymagania zapisane w RODO?
Zapisz się do newslettera
Już dziś zapisz się do naszego newslettera, aby być na bieżąco z informacjami ze świata gastronomii. Otrzymasz co miesiąc najświeższe przepisy, informacje o konkursach oraz inspirujących filmach i artykułach stworzonych przez szefów kuchni z całego świata. Niech nic Cię nie ominie!