RODO a system POS w gastronomii! Sprawdź co Cię czeka
*Artykuł został przygotowany przy współpracy z Adwokat Martą Kosecką, autorką bloga przepisnagastronomie.pl
Autor: Marta Kosecka
RODOszaleństwo trwa w najlepsze. Czasem przeradza się w RODOpanikę, a czasem w RODOpowątpiewanie. Tak, naprzeciwko tych, którzy od wielu miesięcy straszą nas RODO stoją bowiem Ci, którzy uważają, że RODO ich w ogóle nie dotyczy. Co więcej, najczęściej uważają oni, że w ogóle nie dotyczy ich ochrona danych osobowych. Podejrzewam, że jest tak we wszystkich branżach, choć ja osobiście najczęściej mam okazję obserwować te dwie jakże skrajne postawy w branży gastronomicznej.
Kto zatem ma rację? Pewnie Cię nie zdziwię, jeżeli napiszę, że racja jak zwykle leży pośrodku. Nie jestem bowiem fanem RODOstraszaczy, nie uważam, że po 25 maja GIODO (lub PUODO) lawiniowo ruszą do kontroli, ale tak szczerze to denerwują mnie również RODOolewacze. Niestety, czy się nam to podoba czy nie, prowadząc właściwie każdą działalność będziemy mieli do czynienia z przetwarzaniem danych osobowych. Bo i dane osobowe otaczają nas zewsząd. Nieważne czy chodzi o działalność gastronomii od strony sali dla Gości czy o działalność od strony kuchni. Dane osobowe będą do nas spływały „drzwiami i oknami”.
I jakoś nad tymi danymi powinniśmy zapanować. Nie tworzyć tony dokumentacji, ale dobrze uporządkować przetwarzane dane. Stworzyć kilka wzorów i wyćwiczyć kilka przyzwyczajeń, które jeżeli je przyswoimy spowodują, że po niedługim czasie nowe obowiązki związane z ochroną danych osobowych całkowicie przestaną nas uwierać.
Zresztą, gdyby tak pomyśleć, czy naprawdę nie lepiej poinformować jednak Gości o tym, że nasza restauracja jest monitorowana niż narażać się na pretensje niezadowolonych Gości czy – jeszcze gorzej – negatywne opinie w Internecie? Czy naprawdę nie lepiej poinformować pracowników czy strony umowy o organizację przyjęcia o tym, że przetwarzamy ich dane osobowe i w jaki sposób to robimy niż narażać się na późniejsze oskarżenia o to, że ich dane były gromadzone, że nie wiedzieli jakie mają prawa i jak długo te dane będą przetwarzane, nie wspominając już o sytuacji w której doszłoby do wycieku danych osobowych? Niestety albo stety, ale w parze z rozrastaniem się regulacji dotyczących danych osobowych idzie również roszczeniowość społeczeństwa i Klienci branży gastronomicznej nie są tu wyjątkiem. Dlatego warto rozważyć czy nie lepiej jednak zrobić przegląd przetwarzanych danych osobowych, wprowadzić do naszej codziennej działalności kilka podstawowych dokumentów związanych z przetwarzaniem danych osobowych i tym samym kupić sobie bezcenny spokój przynajmniej w tym jednym aspekcie naszej działalności.
Tym bardziej, że posiadacze systemu POSbistro mają w swoich rękach narzędzie, które przynajmniej w kilku aspektach ochrony danych osobowych może być dla nich niezwykle pomocne.
Po pierwsze system pokazuje nam bowiem, jakie dane gromadzimy, a więc pomaga zinwentaryzować przetwarzane dane. Kolejne funkcjonalności POSbistro pozwalają nam bowiem wprowadzać poszczególne dane osobowe, dzieląc je przy tym na osobne kategorie.
A jakie to dane? Spróbujmy wymienić je po kolei i postarać się określić cele i podstawy ich przetwarzania.
1. Programy lojalnościowe – karty klienta – z pewnością w ten sposób gromadzisz dane osobowe, chociażby w postaci imienia i nazwiska swoich Klientów, którzy podają je dobrowolnie na potrzeby korzystania z programu lojalnościowego. Skoro Klienci podają je dobrowolnie – musisz posiadać zgodę na ich przetwarzanie.
2. Moduł dostaw, a więc przede wszystkim wpisane tam dane teleadresowe dostawców, które nierzadko będą prywatnymi numerami telefonów czy mailami ich przedstawicieli. Podstawą takiego przetwarzania będzie cel związany z realizacją zawartych umów i w tym zakresie nie masz obowiązku uzyskiwania zgód osób, których dane dotyczą.
3. Pewne dane możesz gromadzić również wystawiając faktury VAT, zwłaszcza jeżeli zdarza Ci się wystawiać faktury na osoby fizyczne lub przedsiębiorców prowadzących jednoosobową działalność gospodarczą, wpisanych do CEIDG. Tak, to też są dane osobowe. Przetwarzane w celu wystawienia faktury, rachunku czy prowadzenia sprawozdawczości finansowej.
4. A co jeżeli Goście zamawiają stolik w Twojej restauracji? Gromadząc ich dane w postaci imienia, nazwiska oraz numeru telefonu, przetwarzasz ich dane osobowe, a cel jaki Ci przyświeca to z pewnością możliwość dokonania rezerwacji. Jeżeli bowiem Gość chcący dokonać rezerwacji nie przekaże Ci swoich podstawowych danych, niestety nie będziesz w stanie spełnić jego prośby.
5. A co z umowami cateringowymi czy dostawami na wynos? Przecież w trakcie ich wykonywania też przetwarzasz dane osobowe, chociażby imię i nazwisko oraz dane kontaktowe. Jasny jest również w tym wypadku cel ich przetwarzania, nierozerwalnie związany z możliwością świadczenia usług cateringowych czy też dostaw na wynos.
6. W zasadzie już na koniec zostawiłam jedną z liczniejszych grup, których dane przetwarzać będziesz w swojej restauracji – pracowników. Prawo do przetwarzania danych osobowych wynika bezsprzecznie w takim wypadku z przepisów Kodeksu pracy. Masz więc prawo przetwarzać dane w postaci imienia, nazwiska, numeru PESEL, adresu do korespondencji czy dotychczasowego przebiegu zatrudnienia.
Nieco inaczej będzie z danymi kandydatów do pracy w Twojej restauracji, zakres danych które możesz przetwarzać będzie w tym wypadku nieco mniejszy, musisz również pamiętać, żeby przetwarzać dane nie dłużej niż jest to konieczne (zgodnie z zasadą tzw. retencji danych), a jeżeli chcesz zachować CV dla potrzeb przyszłych rekrutacji powinieneś posiadać zgodę kandydata na takie działanie. Podobnie będzie ze zdjęciem przekazywanym wraz z CV – żeby móc je odebrać od pracownika, do CV powinna być dołączona stosowna klauzula.
Jeżeli chciałbyś się dowiedzieć więcej o tym, co to ta retencja danych, tu zapraszam Cię tutaj.
Zdaję sobie sprawę, że nie wyczerpaliśmy powyżej ani wszystkich funkcjonalności systemu POSbistro ani też wszystkich przetwarzanych przez Ciebie danych osobowych w Twojej małej bądź większej gastronomii.
Przykładowo nie poruszaliśmy w ogóle zagadnienia monitoringu i przetwarzanych w związku z tym danych osobowych, które również generuje określone obowiązki po Twojej stronie jako administratora. Musisz również pamiętać o pewnych ograniczeniach stosowania monitoringu – wykorzystując go przykładowo w miejscu pracy.
Więcej o monitoringu w restauracji możesz dowiedzieć się tutaj
Z pewnością jednak poruszyliśmy te najbardziej newralgiczne obszary przetwarzania danych.
Wiesz już, jakie dane być może przetwarzasz w swojej restauracji i pewnie się teraz zastanawiasz, jak sprostać wszystkim tym obowiązkom, które wprowadza RODO, a o których ciągle tyle słychać.
Na pewno pomoże Ci w tym posiadanie podstawowego kompletu dokumentacji, wprowadzenie do stosowania wzorów klauzul informacyjnych i wzorów zgód, w tym również na prowadzonej dla Twojej restauracji stronie internetowej. Takie klauzule powinny zawierać między innymi pouczenia dla osób, których dane przetwarzasz, wskazywać na okres, w którym przetwarzasz dane, a przede wszystkim dokładnie wskazywać na to kto jest administratorem danych i w jaki sposób można się z nim skontaktować – czyli najprościej mówiąc musisz podać pełną nazwę swojej restauracji – taką funkcjonującą w KRS czy CEIDG oraz podać adres mailowy, pod którym będzie się można z Tobą skontaktować. Takie klauzule powinieneś kierować zarówno do swoich pracowników, jak i Klientów, ale i dostawców i wszelkich innych podwykonawców.
Więcej o klauzuli informacyjnej możesz przeczytać w moim blogu.
Mam nadzieję, że choć trochę udało mi się przekonać Cię do tego, że ochrona danych jest jednak potrzebna, a samo RODO powinno jednak znaleźć swoje zastosowanie tam, gdzie dane są gromadzone i przetwarzane. Mam również nadzieję, że wiesz już, iż dane osobowe są przetwarzane również przez Ciebie jako restauratora i że również Ty powinieneś spełnić określone obowiązki związane z ochroną danych osobowych.
POSbistro, które gościnnie zaprosiło mnie dzisiaj do napisania Wam trochę odnośnie RODO, z pewnością pomaga Wam inwentaryzować dane osobowe. Zaletą jest także to, że dane są gromadzone w jednym miejscu, a dodatkowo dobrze zabezpieczone.
W kontekście RODO zawsze musimy bowiem pamiętać również o prawidłowym i adekwatnym zabezpieczeniu danych osobowych – jeżeli więc mówimy o wszelkich systemach informatycznych, dostęp do nich (do tabletu – przyp. red) powinien być ograniczony – tak jak czyni to POSbistro – co najmniej hasłem i loginem, a często także kodem PIN czy wzorem odblokowania. Dobrze, jeżeli potrafilibyśmy mieć również wiedzę o tym, kto i kiedy logował się do systemu, wówczas administrator ma tak naprawdę pełną informację o tym, kto dokonywał modyfikacji danych.
Oczywiście o RODO można by pisać i mówić godzinami, a to co napisałam Wam powyżej to zaledwie zalążek wiedzy o ochronie danych osobowych. Ale bywa, że ten zalążek jest właśnie najważniejszy, gdyż jest w stanie przekonać restauratora, który jest jednocześnie administratorem danych osobowych o potrzebie ochrony danych w jego restauracji. A ta powinna być już dla nas w zasadzie standardem, a nie nowością.
Mam nadzieję, że przekonałam Was już jednak o tym, że powinniście podjąć pewne kroki, aby podstawowe zasady ochrony danych osobowych wdrożyć w swojej restauracji. Jeżeli zaś dodatkowo jesteś użytkownikiem systemu POSbistro, możliwość gromadzenia, inwentaryzacji i zabezpieczenia danych powodują, iż dużo łatwiej będzie wypełnić Ci przynajmniej część spoczywających na Tobie obowiązków.
A gdyby ochrona danych i RODO jednak Cię zaciekawiły, zachęcam do kontaktu, a po więcej informacji zapraszam na mojego bloga: przepisnagastronomie.pl