Czy restauracje gromadzą nasze dane osobowe? Jeśli tak, to w jaki sposób i na jakiej podstawie tego dokonują? To zależy – punkt widzenia zależy od punktu siedzenia. Prawdą jest, że restauratorzy jako przedsiębiorcy przetwarzają dane osobowe swoich pracowników, kontrahentów oraz bardzo często również i klientów. Należy więc pamiętać, że gdy wchodzimy do restauracji, nasz wizerunek może być uwieczniany i następnie przetwarzany. Prowadząc restaurację natomiast, łatwo sobie wyobrazić sytuację, w której niezadowolony klient wykorzystuje nasze niedopatrzenia w zakresie ochrony danych osobowych (np. brak klauzuli informacyjnej w widocznym miejscu) i postanawia nastręczyć nam problemów, których z łatwością mogliśmy uniknąć. Co w takim przypadku warto wiedzieć jako klient, a o czym trzeba pamiętać, będąc właścicielem lokalu gastronomicznego?
Administratorem jest podmiot, który ustala cele i sposoby przetwarzania danych osobowych. Tak można streścić definicję administratora wskazaną wprost w art. 4 pkt 7 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO). Do obowiązków administratora należy między innymi sprawowanie kontroli nad tym komu przekazywane są zgromadzone dane osobowe a także ochrona danych osobowych, szczególnie przed ich utratą, zniszczeniem lub uszkodzeniem.
Właściciel restauracji jako pracodawca wykonuje obowiązki związane z zatrudnieniem czy zlecaniem określonych prac. To nie tylko wypłata wynagrodzenia, określenie miejsca wykonywania pracy czy odprowadzania składek ubezpieczenia czy podatków jako ich płatnik. Restaurator zatrudniając pracownika bądź zlecając określone prace uzyskuje dane osobowe faktycznie wykonującego m.in. w zakresie imienia i nazwiska, danych do ubezpieczenia odprowadzenia należności podatkowych etc. Ponadto restaurator ma dostęp także pośrednio do informacji o stanie zdrowia pracownika poprzez uzyskanie orzeczenia lekarza medycyny pracy o zdolności bądź niezdolności do pracy czy informacji wynikających z orzeczenia do celów sanitarno-epidemiologicznych.
Co z dostawcami? Ta współpraca odbywa się często na podstawie umów cywilnoprawnych (umowa zlecenia, sprzedaży, świadczenia usług). Także w tym przypadku właściciel restauracji znajduje się w posiadaniu danych osobowych swoich kontrahentów.
Jaki związek ma restaurator jako administrator danych osobowych z odbiorcami swoich usług czy towarów? Zwykle nie traktujemy właściciela lokalu gastronomicznego jako administratora naszych danych, ponieważ udając się do restauracji, z reguły nie podajemy naszych danych osobowych poza konkretnymi sytuacjami, np. dokonanie rezerwacji. Zbiór danych osobowych klientów przetwarzanych przez restauracje powiększa się w zależności od sytuacji.
Po pierwsze, jeśli w restauracji znajduje się monitoring (uwaga: informacja o monitoringu powinna znaleźć się w widocznym miejscu, tak by klient mógł z łatwością się z nią zapoznać) – dochodzi do przetwarzania danych osobowych w postaci wizerunku klientów, ale nie tylko. Na nagraniu można dostrzec również inne istotne informacje np. kto ile spożył, co lubi zjeść, z kim przebywa, ile alkoholu (i jakiego) pije itd. Te dane mogą już należeć do kategorii danych wrażliwych – jeśli np. na podstawie uwiecznionego wizerunku i listy gości, można klienta zidentyfikować. Niezależnie od okoliczności, czy będzie to impreza firmowa, rodzinna czy zwykły obiad – każdy z klientów, którzy odwiedzają restaurację nagrywanie obrazu, na którym znajdzie się wizerunek gości, jest przetwarzaniem danych osobowych.
Kolejno, jeśli restaurator organizuje imprezę okolicznościową, może być w posiadaniu imiennej listy gości, na której mogą znaleźć się dalsze informacje takie jak nietolerancje pokarmowe, uczulenia itp. Także to jest przetwarzaniem danych osobowych, w dodatku przetwarzanie odbywa się w zakresie danych osobowych szczególnie chronionych (!).
Następnie, jeśli restauracja oferuje klientom program lojalnościowy – także musi zadbać o bezpieczeństwo gromadzonych danych osobowych takiego programu. Jeśli program lojalnościowy koordynowany jest w oparciu o aplikację third-party, wymagane jest podanie imienia i nazwiska, daty urodzenia czy adres e-mail, łącznie dane te dostarczają sporo informacji o osobie.
Obecnie, wielu problemów nastręcza nagrywanie obrazu – powszechnie wykorzystywany w restauracjach monitoring. Wiele restauracji decyduje się na skorzystanie z tej formy zabezpieczenia. To nie tylko zabezpieczenie na wypadek kradzieży, ale także na wypadek nadużyć dokonywanych przez pracowników, np. defraudacja. Monitorowana bywa zatem zarówno sala, jak i bar/kuchnia/zaplecze. Jak zostało wcześniej wspomniane, używanie monitoringu wiąże się z przetwarzaniem danych osobowych w postaci m.in. wizerunku osób znajdujących się na nagraniu. Należy pamiętać, że zarówno klient jak i pracownik musi zostać o tym poinformowany – na prowadzącym restaurację spoczywa realizacja obowiązku informacyjnego wynikającego wprost z art. 13 RODO.
Podmiot, który używa monitoringu ma dowolność formy w jakiej poinformuje podmiot nagrywany o tym fakcie ważne, aby potencjalny obiekt nagrania był świadomy, że monitoring istnieje, kto go prowadzi oraz jakie prawa mu przysługują wobec gromadzenia danych z monitoringu. A są to takie prawa, jak np. prawo do uzyskania dostępu do danych – np. monitoringu. Łatwo sobie wyobrazić, że w lokalu gastronomicznym nie są opracowane procedury, które pozwolą szybko zareagować w przypadku takiego żądania. W zakresie obowiązku informacyjnego, udzielenie wyczerpującej informacji odbywa się poprzez udostępnienie w łatwo dostępnym miejscu – na przykład przy wejściu – klauzuli informacyjnej wraz z oznaczeniem terenu lokalu poprzez wywieszenie tabliczki „obiekt monitorowany”.
W informacji o przetwarzaniu danych powinno się znaleźć:
Co ważne i należy o tym pamiętać w każdej sytuacji – są pewne miejsca, w których monitoring nie powinien być stosowany (chyba, że jest to niezbędne i innymi środkami nie da osiągnąć się zamierzonego celu). Te miejsca to m.in.
Pomimo licznych obowiązków spoczywającego na restauratorach wyżej wymienione często nie są realizowane wcale bądź w niepełnym zakresie. Jeśli możemy – sprawdźmy i pytajmy, a jak mamy wątpliwości co do zasadności, zgłaszajmy je obsłudze. Jeśli jesteśmy właścicielami lokalu gastronomicznego, w którym znajduje się monitoring – koniecznie zadbajmy o właściwe oznaczenie lokalu wraz z klauzulą informacyjną, zawierającą wszystkie potrzebne dane, a także uporządkujmy sprawy związane z samymi procesami przetwarzania (np. kto z pracowników ma dostęp, jak i przez ile czasu dane są przechowywane etc.).
Także Prezes Urzędu Ochrony Danych Osobowych odniósł się do tej kwestii. Materiał dostępny jest tutaj.
Skontaktuj się z nami: