W maju minął rok od wejścia w życie RODO, rozporządzenia o ochronie danych osobowych. Jest to przepis, który reguluje kwestie ochrony danych osobowych na terenie całej Unii Europejskiej. Wejście w życie rozporządzenia poprzedzały liczne dyskusje i przygotowania. Jak dziś branża gastronomiczna podchodzi do kwestii związanych z RODO? Co z licznymi kontrolami i nakładami karami?
Dyrektywa unijna przyjęta przez Parlament Europejski 27 kwietnia 2016 roku , nałożyła na kraje członkowskie obowiązek wprowadzenia przepisów w przeciągu 12 miesięcy. W każdym z krajów UE funkcjonowały już regulacje o ochronie danych osobowych, w tym polska ustawa z dnia 29 sierpnia 1997 roku. Dla licznej grupy przedsiębiorców przepisy te były niezauważalne ze względu na ogólną formę wdrażania.
Nowa polityka ochrony danych osobowych została wdrożona aby podnieść świadomość obywateli w kwestii wykorzystania ich „danych wrażliwych” przez podmioty komercyjne. Innym argumentem była konieczność przystosowania dyrektywy do bieżących technologii i sposobu komunikacji.
Przykładem takich przedawnionych przepisów jest właśnie ustawa o ochronie danych osobowych obowiązująca w Polsce (zapisana na 35 stronach), gdzie słowo “internet” nie pojawiało się ani razu. Z kolei w rozporządzeniu unijnym, które jest rozpisane na 88 stronach, to słowo pojawia się 19 razy. Wejście w życie nowych przepisów nałożyło na przedsiębiorstwa dodatkowe odpowiedzialności. Już od samego początku, największe kontrowersje dotyczyły wysokie kary za niedostosowanie się do wymagań stawianych przez PE.
W tym momencie wydaje się, że napiętą atmosferę mamy już za sobą, jednak co jakiś czas pojawiają się nowe informacje o zmianach w RODO oraz konieczności ich stosowania.
Błędy i nadinterpretacje w RODO popełniane przez restauratorów
Według statystyk google trends najczęściej wpisywane do wyszukiwarki pytanie w ubiegłym roku brzmiało Co to jest RODO? Niestety popularność tego zagadnienia nie przekłada się na jakość wdrożenia w życie nowych przepisów. W szczególności przedsiębiorcy nie zdają sobie sprawy z tego, że w mniejszym lub większym stopniu gromadzą dane wrażliwe. Biorąc pod uwagę branże gastronomiczną wystarczy, że mamy w lokalu monitoring, tworzymy listę gości na organizowane przyjęcie okolicznościowe, dokonujemy rezerwacji stolika na nazwisko gościa lub oferujemy dostawę do domu. Większość restauratorów świadomie dostosowała się do aktualnego porządku prawnego. Niektórzy z nich postanowili jednak wdrożyć RODO „po swojemu”, popełniając przy tym bardzo wiele błędów. Niepoprawne działanie dotyczy najczęściej:
- pobierania zgód na przetwarzanie danych;
- braku informacji o monitoringu w restauracji;
- uzyskania większej liczby danych, niż jest to potrzebne;
- niewystarczających zabezpieczeń dostępu do danych m.in. na stanowisku sprzedażowym i systemie POS;
- “pożyczania” klauzuli od innych firm i nie wdrożenia indywidualnie procedur.
Przez powstałe utrudnienia i nałożone dodatkowe obowiązki rozporządzenie RODO nie cieszy się pozytywną opinią. Trudno dziś przekonać kogokolwiek, że jest to rozwiązanie prostsze i łatwiejsze w stosowaniu, niż dotychczas obowiązujące przepisy krajowe.
Łamanie przepisów i nakładanie kar
Do połowy 2010 roku Komisja Europejska zobowiązała się złożyć sprawozdanie z oceny funkcjonowania przepisów RODO.
Przewidywania ekspertów są takie, że ze względu na właśnie to sprawozdanie mogą nasilić się kontrole. Wiemy, że do tej pory UODO przeprowadził tylko kilka kontroli, które nie zakończyły się nałożeniem kar na weryfikowane podmioty. Ale to nie kontroli powinni obawiać się ci, na których ciąży obowiązek administrowania danych osobowych. Według statystyk Polska znajduje się na czwartym miejscu pod względem ilości skarg na firmy, które łamią zapisy rozporządzenia o ochronie danych osobowych.
Co grozi podmiotom za nieprzestrzeganie RODO? Ustawodawca przewidział dwa progi grzywien: do 10 mln euro (lub 2% rocznego obrotu) oraz do 20 mln euro (lub 4% rocznego obrotu). Wysokość kary uzależniona jest od rodzaju popełnionego błędu oraz strat, jakie poniosła osoba lub osoby, których dane dotyczą. Dotychczas w Polsce PUODO nałożył tylko jedną karę, w wysokości 943 470 zł. za niespełnienie obowiązku informacyjnego.