Rok od wejścia w życie RODO w gastronomii | Adw. Marta Kosecka

[*Artykuł został przygotowany przy współpracy z Adwokat Martą Kosecką, autorką bloga przepisnagastronomie.pl]

Chyba się ze mną zgodzisz, że cały rok to całkiem sporo czasu. Sporo czasu jeżeli chodzi o biznes i jego rozwój, ale także jeżeli chodzi o wprowadzenie w życie i stosowanie nowych przepisów prawa. Dlatego też chciałabym dla Was podsumować pierwszy rok stosowania RODO. Chciałabym napisać Ci o tym co moim subiektywnym zdaniem już udało się w branży gastronomicznej, ale też jakie wyzwania stoją dopiero przed nami. Chciałabym Ci napisać kilka słów o błędach, jakie najczęściej popełniają restauratorzy wdrażając w swojej restauracji przepisy dotyczące ochrony danych osobowych. Ale to jeszcze nie wszystko, bo chciałabym także napisać Ci o nowo uchwalonych i obowiązujących przepisach mających na celu dostosowanie polskich ustaw do europejskiej regulacji.

Polskie przepisy spóźnione o rok

Zacznijmy od tego, że polskie przepisy miały być dostosowane do RODO dokładnie.. 25 maja 2018 roku. Miały być, jednak pamiętnego 25 maja 2018 roku, kiedy nasze skrzynki pocztowe zalała fala maili stanowiących wypełnienie obowiązku informacyjnego, o którym mowa w RODO, przepisy te były zaledwie w fazie projektu, mimo iż były kraje, takie jak Niemcy, które znowelizowały przepisy krajowe na wiele miesięcy przed początkiem stosowania RODO. W każdym razie polski projekt ustawy udało się zmaterializować dopiero w dniu 21 lutego 2019 roku, kiedy to ustawa o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia RODO została uchwalona, a dokładniej w dniu 4 maja 2019 roku, kiedy to przepisy te weszły w życie.

Można zatem powiedzieć, że dostaliśmy je w prezencie na rocznicę stosowania RODO. Tytuł ustawy wspomina o niektórych ustawach, zdradzę Ci zatem, że jest ich niemal 170, a wśród nich znajdują się takie ustawy jak Prawo lotnicze, Prawo atomowe, ustawy o transporcie drogowym czy żegludze śródlądowej. Jak się jednak słusznie domyślasz, Ciebie jako restauratora dotyczą czy też interesują zmiany dokonane w kilku z nich, przede wszystkim zaś obszerne zmiany dokonane w kodeksie pracy.

Choć zanim przejdę do zmian, które zostały dokonane na gruncie kodeksu pracy, wspomnę już tutaj, żeby nam to nie umknęło, iż ustawodawca w omawianej nowelizacji usankcjonował praktykę wypełniania obowiązku informacyjnego poprzez umieszczenie klauzuli informacyjnej w widocznym miejscu w restauracji oraz zamieszczenie odpowiedniej klauzuli na stronie internetowej restauracji, choć nie jest to uprawnienie bezwarunkowe i jako takie zawsze musi podlegać indywidualnej ocenie, zwłaszcza, iż sama redakcja tego przepisu jest – delikatnie to ujmując – dość niejasna, co tym bardziej przekonuje o konieczności dokładnego przeanalizowania na etapie wdrażania RODO w Twojej restauracji w jakie formie powinien zostać realizowany przez Ciebie obowiązek informacyjny.  

Co ważne, już od samego początku stosowania RODO były przypadki, w których rekomendowano i ja sama zresztą również rekomendowałam, poprzestanie na zamieszczeniu klauzuli informacyjnej na stronie internetowej restauracji i wywieszenie jej w widocznym miejscu w restauracji, jak chociażby w przypadku zamówień na wynos. Co jednak ważniejsze, pamiętaj o tym, aby zamieszczana przez Ciebie klauzula informacyjna, czy to w restauracji czy na stronie internetowej czy też wręczana Klientom osobiście, zawierała wszelkie prawem wymagane informacje, dopiero to bowiem powoduje, że obowiązek informacyjny możemy uznać za spełniony.

New Call-to-action

Co się zaś tyczy zmian w kodeksie pracy…

Najważniejsze zmiany dla branży gastronomicznej, która w znakomitej większości stanowi przecież grono pracodawców i rekrutujących, niesie chyba jednak nowelizacja kodeksu pracy. Chciałoby się powiedzieć, że wreszcie bo po raz pierwszy od roku 2004 ustawodawca tak naprawdę znowelizował zasady przetwarzania danych osobowych pracowników oraz kandydatów do pracy. Tak więc mamy wreszcie podstawę prawną do przetwarzania danych kandydata do pracy w postaci danych kontaktowych (dotąd mieliśmy podstawę do przetwarzania wyłącznie adresu do korespondencji, na przetwarzanie innych danych kontaktowych kandydat do pracy musiał wyrazić swoją zgodę).

Dość enigmatyczne sformułowanie „pracodawca może żądać”, „pracodawca ma prawo żądać” zastąpiono wreszcie jednoznacznym wyrażeniem „pracodawca żąda”. Wprowadzono także dwa dodatkowe przepisy, zgodnie z którymi inne dane osobowe pracownika bądź kandydata do pracy, niewymienione wyraźnie w kodeksie pracy (takie jak np. zdjęcie kandydata do pracy), mogą być przetwarzane wyłącznie za zgodą pracownika lub kandydata do pracy, a co do zasady ich przekazanie może wynikać z inicjatywy obu stron, za wyjątkiem danych dotyczących zdrowia, których przekazanie może wynikać tylko z inicjatywy pracownika lub kandydata do pracy. Szczególną ochroną objęto również dane dotyczące wyroków skazujących, zawierające informacje które co do zasady w ogóle nie mogą stanowić przedmiotu przetwarzania danych osobowych przez pracodawcę, przy czym musimy pamiętać, że podstawę przetwarzania informacji o skazaniu wyrokiem karnym, jak i informacji dotyczących zdrowia pracownika bądź kandydata do pracy mogą stanowić także obowiązujące przepisy prawa i wówczas zgoda nie jest oczywiście potrzebna. Jeżeli chodzi o wyroki karne, trudno szukać odniesienia do branży gastronomicznej, jeżeli jednak chodzi o zdrowie pracownika, taką podstawę prawną stanowią chociażby przepisy obligujące do przeprowadzenia u pracowników badań sanitarno-epidemiologicznych.

Znowelizowane przepisy prawa pracy – na co wielu czekało – odnoszą się również do przetwarzania danych biometrycznych pracowników, takich jak przykładowo odcisk ich palca. Wreszcie w przepisach prawa znajduje się zatem oficjalna podstawa prawna do tego, aby takie dane pracowników przetwarzać, choć ich stosowanie zostało ograniczone tylko do takich sytuacji, gdy dokonywana za ich pomocą kontrola dostępu obejmuje szczególnie ważne informacje, których ujawnienie może narazić pracodawcę na szkodę lub dotyczy dostępu do pomieszczeń wymagających szczególnej ochrony, jednak wydaje się, że ochrona pomieszczeń, w których przechowywane są chociażby informacje stanowiące tajemnicę przedsiębiorstwa Twojej restauracji czy też dane osobowe, których jesteś administratorem, jak najbardziej wyczerpuje przesłanki, od których zależy użycie tego typu zabezpieczeń.

Pisząc o zmianach w kodeksie pracy w zakresie ochrony danych osobowych, chciałabym zwrócić Twoją uwagę jeszcze na dwie kwestie. Po pierwsze zatem pamiętaj, że brak zgody lub jej wycofanie nie może być przyczyną niekorzystnego traktowania pracownika lub kandydata do pracy, nie może powodować po jego stronie żadnych negatywnych konsekwencji. Po drugie zaś nie zapominaj, że osoby, które dokonują przetwarzania danych osobowych Twoich pracowników (piszę tutaj akurat o pracownikach, gdyż omawiamy zmiany w kodeksie pracy, ale dotyczy to zasad ochrony danych w Twojej restauracji w ogóle) muszą posiadać pisemne upoważnienie do przetwarzania takich danych ponadto zaś powinny również podpisać pisemne zobowiązanie do zachowania w tajemnicy ujawnionych im danych osobowych.

Wszystkie te zmiany kodeksowe, o których tutaj napisałam powodują również, że powinieneś przejrzeć stosowane klauzule informacyjne dla pracowników i kandydatów do pracy, bo choć omawiane zmiany nie są rewolucyjne, to jednak wymagają zazwyczaj dokonania kilku korekt w poprzednio opracowanych klauzulach.     

Marketing bezpośredni i badania rynku zawsze za zgodą

Prócz kodeksu pracy ciekawe postanowienie zawiera również znowelizowana ustawa o świadczeniu usług drogą elektroniczną. W zmianie tej jednoznacznie przesądzono bowiem, że przetwarzanie danych naszych Klientów dla celów reklamy, badania rynku oraz ich zachowań i preferencji, mających na celu polepszenie jakości świadczonych usług wymaga zgody naszych Klientów. Do tej pory obowiązywał w tym zakresie pewnego rodzaju dualizm – część ekspertów rzeczywiście wskazywała na konieczność uzyskania zgody w celu rozsyłania wiadomości czysto marketingowych czy też mających na celu przeprowadzenie badań rynku, część jednak twierdziła, że zarówno marketing jak i badania rynku są niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora, przetwarzanie w takim wypadku oprzeć można na podstawie art. 6 ust. 1 lit. f) RODO, a żadna zgoda nie jest potrzebna. Powiem Ci szczerze, że o ile taka argumentacja poniekąd mnie przekonywała, podejrzewałam, że intencją ustawodawcy będzie, aby w takim wypadku wymagane było jednak uzyskanie zgody, jednocześnie wobec braku szczegółowej regulacji zawsze  rekomendowałam stosowanie rozwiązania bezpieczniejszego, a więc polegającego na obowiązku uzyskania zgody.

Jest to rozwiązanie logiczne i to co najmniej z kilku powodów, a wymienię tutaj chociażby jeden z nich. Otóż rozwiązanie to wpisuje się w trend ochrony konsumenta przed ilością zalewającego go marketingu i niechcianych ofert (pamiętajmy, że na przesłanie niezamówionej oferty również należy uzyskać zgodę), dlatego też chcąc rozsyłać newsletter swoim Klientom, który jest skądinąd coraz częściej stosowaną formą reklamy i marketingu w gastronomii, zawsze powinieneś pamiętać o wcześniejszym uzyskaniu zgody na przetwarzanie danych osobowych swoich Klientów, a nie tylko wypełnieniu wobec nich obowiązku informacyjnego.

Kilka słów o błędach…

Ponieważ trochę się już rozpisałam, o błędach faktycznie napiszę krótko: zawsze dopasuj stosowane zasady ochrony danych osobowych do Twojej i tylko Twojej restauracji. To, że ktoś z konkurencji ma super klauzule informacyjne na swojej stronie internetowej nie oznacza niestety, że sprawdzą się one również u Ciebie. Podobnie z innymi wzorami, które ktoś może Ci udostępnić, Twój przyjaciel restaurator lub np. księgowa. Wzory tak, oczywiście, ale wzory dopasowane. Uwierzcie mi, że w każdej jednej restauracji znajduje się jakaś perełka, wymagająca zmiany wzorów, każda restauracja ma w sobie coś co powoduje,  że trzeba wzór odpowiednio zmodyfikować, dlatego nie ma dwóch takich samych wdrożeń, każde czymś się różni, uwierz mi proszę na słowo.

Nie ignoruj również ochrony danych osobowych – problem wycieku danych w dzisiejszych czasach jest realny i maksymalnie powinniśmy się przed nim bronić, zwłaszcza będąc administratorem danych osobowych innych osób, naszych pracowników i klientów, stosując w tym celu odpowiednie zabezpieczenia techniczne i organizacyjne.  Otwarte biuro, gadatliwy pracownik, kradzież komputera czy komórki – to wszystko potencjalne zagrożenia wycieku danych. Pamiętaj również o klauzulach i uzyskaniu odpowiednich zgód, odpowiednie stosowanie zasad ochrony danych osobowych – oczywiście racjonalne i dostosowane do rozmiarów prowadzonej przez Ciebie działalności – naprawdę może uchronić Cię przed wieloma kłopotami.

Czas na podsumowanie

Nie jest to moja pierwsza – tu na blogu POSbistro – pogadanka na temat RODO. Po roku czasu przyszła jednak pora na zaktualizowanie i odświeżenie wiedzy przekazanej Wam poprzednio. Ta wiedza cały czas się bowiem zmienia, nie tylko wraz ze zmianą przepisów, o której tak dużo napisałam powyżej, ale zmienia się także na podstawie zdobywanych doświadczeń z tematem RODO w branży gastronomicznej i nie tylko. Czy branża HoReCa przez ten rok zdążyła wdrożyć RODO? Powiedziałabym, że tak  i nie. Wielu nadal trzeba przekonywać, że restauracja powinna chronić dane osobowe, z drugiej strony wielu restauratorów bardzo świadomie podchodzi do ochrony danych osobowych w swojej restauracji. Na pewno wiele jest jeszcze w tym temacie do zrobienia. I nie można również zapominać, aby przestrzegać wdrożonych zasad ochrony danych osobowych i je uaktualniać, ochrona danych osobowych tylko wtedy będzie bowiem skuteczna jeżeli będzie stosowana na co dzień.

New call-to-action

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *