Pewnie już wiesz, że po niemal roku od początku stosowania RODO faktem stały się nie tylko kontrole, ale i pierwsza nałożona kara.
Abstrahując od tego czy decyzja PUODO była słuszna (sądzę, że nie tylko ja, ale wiele innych osób zajmujących się RODO ma co do tego spore wątpliwości, a sama decyzja zapewne zostanie zweryfikowana przez Sąd), faktem jest, że zaczęły się kontrole związane ze stosowaniem RODO.
Dlatego tak, wracamy dziś do tematu RODO, choć jak tak pomyślę to dawno Ci o RODO nie pisałam. Oczywiście RODO pojawia się w co drugim wpisie na blogu, bo ochrona danych jest bardzo przekrojowa i dotyka wielu różnych obszarów działalności (jak np. organizowanie konkursów przez restaurację), ale ostatni artykuł, którego osią centralną było właśnie RODO pochodzi chyba z.. listopada ubiegłego roku. Pisałam wtedy o sytuacji kiedy jakiś podmiot (np. ubezpieczyciel czy placówka medyczna, która ma zapewnić naszym pracownikom dodatkową opiekę medyczną) powierza nam przetwarzanie danych osobowych. Wpis na blogu furory nie zrobił. Jest wiele wpisów, które czytacie zdecydowanie chętniej. A to bardzo niedobrze, bo jestem w stanie w ciemno się założyć, że mimo iż wielu z Was pełni rolę procesora, tylko niewielu z Was zdaje sobie z tego sprawę, a jeszcze mniejszy odsetek Was wie, jakie z tym wiążą się prawa i obowiązki.
I dlatego, niejako przy okazji kontroli, powstał dzisiejszy wpis o.. najczęstszych błędach przy stosowaniu RODO w Twojej restauracji. A jako, że stosujemy go już prawie rok czasu, uwierz mi, wiele widziałam, wiele z tych błędów często się powtarza, co tym bardziej zachęca mnie do tego, aby zwrócić na nie Twoją uwagę.
Dlatego, żeby nie przedłużać..
Błąd nr 1 – Moja restauracja nie przetwarza danych osobowych
Pisałam już o tym niejednokrotnie. Dlatego napiszę krótko, bo nie mogę jednak pominąć w dzisiejszym wpisie najczęstszego błędu w podejściu do ochrony danych osobowych. Dane osobowe przetwarza, jestem skłonna się założyć, jakieś 99% firm. Serio. Wystarczy jeden pracownik. Jeden klient, będący osobą fizyczną, którego dane gromadzisz. Wystarczy, że masz monitoring.
Wyobrażam sobie co prawda sytuację, choć się z taką jeszcze nie spotkałam, że jakiś bar czy food truck jest prowadzony tylko przez właścicieli, którzy na początek sami wszystko ogarniają i nie zatrudniają nikogo. Ale to będzie promil wśród branży gastronomicznej, zaś co do zasady każda gastronomia kogoś zatrudnia (złośliwi powiedzą, że zleceniobiorcy to nie pracownicy 🙂 Niby nie, ale również mają dane osobowe, które należy chronić). Tak więc rekrutujesz? Przetwarzasz dane? Zatrudniasz? Też przetwarzasz. Czy zatem na pewno restauracja nie przetwarza żadnych danych?
Błąd nr 2 – Niech żyje metoda „kopiuj-wklej”
Dobrym pomysłem na wprowadzenie RODO w Twojej restauracji nie jest również otwarcie kilku lub kilkunastu stron internetowych konkurencji i próba dopasowania tego, co oni tam mają do swojej gastronomi. Zresztą to nigdy nie jest zbyt dobre rozwiązanie, wspominałam już o tym we wpisie dotyczącym regulaminu restauracji.
Spotkałam się z sytuacją, w której nowy Klient restaurator wskazywał właśnie, a w zasadzie to się chwalił, że sami sobie wdrożyli to RODO, faktycznie po wejściu na ich stronę wyskakiwało okienko, że 25. maja weszło w życie RODO, w związku z czym restauracja chce poinformować o zasadach przetwarzania Twoich danych osobowych. Dalej było napisane, że administratorem Twoich danych osobowych jest XXX, z siedzibą w YYY. I okienko zgody. I koniec komunikatu.
Ale myślę sobie, to nic. Często rozwiązujemy to na stronie internetowej w ten sposób, że w takim komunikacie zamieszczamy link, który odsyła nas do treści całej klauzuli. I w tym momencie byłam przekonana, że właśnie z taką sytuacją mamy do czynienia. Wzięłam się więc za przeszukiwanie całej strony internetowej, ale na temat ochrony danych osobowych nie znalazłam już ani słowa. Zapytałam więc Klienta wprost, jak to z tym wdrożeniem było. I czego się dowiedziałam? 🙂 Że przecież restauracja XYZ też tak ma, więc to chyba dobrze i wystarczająco.
Dlatego widzicie. Tak jak nie warto ściągać na klasówce bo nigdy nie wiadomo czy ten od kogo ściągamy ma dobrze, tak i nie warto ściągać w tym przypadku. W ogóle nie warto ściągać!
Pomijając już fakt, że klauzula informacyjna to tylko jedna z wielu składowych wdrożenia RODO w restauracji, a reszty dokumentów próżno raczej szukać na stronie www. Co więcej, powiem Ci zupełnie szczerze, wdrażałam RODO w kilkudziesięciu restauracjach. Zawsze, ale to zawsze i w każdym podmiocie trafia się jakaś specyficzna kwestia, jakieś zagadnienie, które powoduje, że przynajmniej część wniosków, część dokumentów wygląda inaczej niż gdzie indziej i musi być skrojona indywidualnie pod konkretną restaurację.
Błąd nr 3 – Moja księgowa już nam pomogła wdrożyć RODO
To jak? Księgowa czy prawnik? Nie wiem jak Wam, ale mi bardzo często zdarza się trafiać na biura księgowe, które próbują przynajmniej oferować również usługi prawne. Choć nie tylko mi, bo moim Klientom również.
Nie wiem też z czego to wynika, gdyż mi nawet nie przyszłoby do głowy wyręczać księgowych w ich obowiązkach, gdyż moim zdaniem to dwa odrębne zawody, które mogą i powinny współpracować, zresztą, często zdarza mi się konsultować z księgową moich Klientów, żeby wypracować jakieś idealne rozwiązanie, np. w kwestiach podatkowych. To o czym tutaj piszę, dotyczy jednak wyłącznie kwestii ściśle prawnych.
Tak więc zdarzało się, że księgowa opiniowała.. regulamin pracy, pisała umowę spółki i.. tworzyła klauzule RODO.
Na taką sytuację trafiłam też w jednej z ostatnich restauracji, w której wdrażałam RODO. Właściciele chcieli okroić jego zakres, gdyż jak twierdzili, w kwestiach pracowniczych RODO mają już elegancko wdrożone. Przeczuwając, czyją to wdrożenie było zasługą, zaproponowałam że zerknę tylko na wdrożone klauzule. Tak jak się spodziewałam, każdy pracownik zobowiązany został do podpisania zgody na przetwarzanie jego danych osobowych, mimo iż przepisy Kodeksu pracy dają wyraźną podstawę do przetwarzania danych osobowych pracowników.
Wiele się jednak wyjaśniło, kiedy na dole zobaczyłam znak wodny jednego ze znanych serwisów do pobierania dokumentów, choć wydaje mi się, że ten wzór nie dość, że ściągnięty, musiał być również mocno stary, gdyż wierzyć mi się nie chce, że w takim serwisie nie wdrożono zasad RODO. No ale skoro jakiś tam papier musiał być, to pewnie zgoda, więc jakaś tam zgoda się znalazła i podpisała. Ważne, że jest w papierach 🙂
I na koniec dla formalności, zadałam pytanie, kto Państwu przygotował te klauzule. Odpowiedź w ogóle mnie nie zaskoczyła: Nasza księgowa!
Pominę swój wywód na temat tego, dlaczego taka praktyka jest zła. Myślę, że sam się zorientowałeś, że jak tak ma wyglądać to wdrożenie RODO, to faktycznie.. szkoda zachodu. W zamian za to jeszcze jedna sytuacja z życia wzięta, dosłownie sprzed tygodnia.
Jedna z restauratorek podsyła mi umowę powierzenia danych osobowych dla biura rachunkowego. Przygotowaliśmy oczywiście w ramach wdrożenia w restauracji nasz wzór, ale Pan Księgowy wolał swój. Postanowiłyśmy, że zerkniemy na to, a jak będzie OK to podpiszemy i nie będziemy się upierać przy tym naszym wzorze. I wiecie co.. Jako dane osobowe, które ulegały będą powierzeniu, w tym wzorze biura księgowego wpisany był m.in. numer KRS.. tak, numer KRS spółki (przypomnę, że ochrona danych osobowych dotyczy danych osób fizycznych, a nie prawnych).
Skoro tak, to Pani restauratorka sama zaproponowała żeby dalej tego nie czytać, tylko że ona prześle jednak ten swój wzór umowy do podpisu.
Dlatego, ogromnie szanując księgowych i doceniając ich rolę w prawidłowym funkcjonowaniu naszej restauracji (ale też kancelarii), chciałabym jednak dotrzeć do Was z jasnym przekazem: księgowy nie jest prawnikiem. Być może faktycznie dla księgowego zgoda przez podpis pod informacją i sam podpis pod informacją (bez zgody), to bardzo podobna forma. Być może tak jest. Ale w takim razie to tylko potwierdza to, że każdy powinien zająć się swoją działką 😉 Dlatego choć nie wiem co prawda dlaczego księgowi tak chętnie wchodzą w buty prawników, wiem jednak na pewno, że nie jest to dobre rozwiązanie.
Ale wiecie co.. problemem są nie tylko nadgorliwi księgowi. Jest wielu inspektorów ochrony danych osobowych, którzy jeszcze rok temu zajmowali się.. BHP i ppoż.. Oczywiście, te osoby skończyły jakiś tam kurs, kilku bądź kilkunastu godzinny, co odzwierciedla ich biegłość w temacie. Takie osoby wszędzie widzą powierzenie danych osobowych. Wszędzie widzą też konieczność odbierania zgód na przetwarzanie danych osobowych.
Rzecz jasna, inspektorami są również osoby, które były wcześniej ABI (administratorami bezpieczeństwa informacji), więc tak naprawdę na potrzeby RODO tylko się dokształcali czy też aktualizowali swoją wiedzę na temat ochrony danych osobowych. Co więcej, nawet osoba, które wcześniej zajmowała się BHP i ppoż mogła odkryć swoje powołanie i stać się prawdziwym ekspertem w ochronie danych osobowych, ale chciałabym Was uczulić, że być w tym temacie bardzo uważnym. I tak to prawda, czym niższa będzie cena takich usług, tym bardziej trzeba uważać.
Błąd nr 4 – Co to w ogóle za głupoty z tym RODO!
Tak. To również bardzo częsty argument za niewprowadzaniem żadnych wymagań RODO. Ile razy słyszałam już:
Pani Mecenas, a co to w ogóle za głupoty z tym RODO! Kiedyś tego nie było i też było. I to nawet dobrze było. A poza tym.. w restauracji się je, a nie wprowadza jakieś tam regulacje, klauzule, nie.. to nie dla restauratorów..
No właśnie. Zawsze wtedy zaczynam od następującej informacji: ochrona danych osobowych nie ma swojego początku w RODO. Krajowa ustawa o ochronie danych osobowych i sama ochrona danych osobowych istniała już od wielu lat i nakładała na Ciebie bardzo podobne obowiązki do tych, które obecnie nakłada RODO. To, że niewiele podmiotów, zwłaszcza tych mniejszych, ją stosowało, nie znaczy, że tych przepisów nie było. Ba! W pewnych aspektach były nawet bardziej wymagające, pamiętacie o obowiązku rejestracji zbiorów danych? Tymczasem RODO z zasady ma być intuicyjne, elastyczne. Stare przepisy przewidywały przykładowo wprowadzenie w organizacji restauracji kilku obligatoryjnych dokumentów, polityk. Teraz, masz stosować takie środki, jakie będą dla Twojej restauracji wystarczające.
A poza tym, wielu rzeczy kiedyś nie było i wiele rzeczy z biegiem czasu się pojawiło. Zmienili się też nasi Klienci. Nie uwierzylibyście, jak co poniektórzy są na punkcie swoich danych osobowych przewrażliwieni. Naprawdę, przewrażliwieni. Czepiają się, nie chcąc podawać numeru PESEL, tam gdzie jest to potrzebne, żądają usunięcia danych osobowych, mimo iż nie mają do tego podstaw prawnych. Ale.. nadmierne przetwarzanie danych osobowych, a co ważniejsze nierozsądne nimi gospodarowanie może wyrządzić naprawdę wiele szkód.
Nie dalej jak wczoraj byłam z moim Klientem, który był w tej sprawie pokrzywdzonym, na rozprawie karnej związanej właśnie z wyciekiem danych osobowych. Wyobraźcie sobie, że przez wyciek jego danych osobowych, przestępcy niemal nie wyczyścili mu konta bankowego, na którym miał zgromadzone oszczędności całego życia.
Dlatego nie dziwmy się też, że nasi Klienci stają się coraz ostrożniejsi w podawaniu swoich danych osobowych. Wytłumaczmy im, po co nam te dane. Wytłumaczmy, jak długo będziemy te dane przechowywać i komu możemy je przekazać. To wszystko znajduje się w klauzuli informacyjnej RODO. Przecież nikt nie każe nam przy składaniu zamówienia zbierać od Gości restauracji podpisów pod klauzulą informacyjną. Ale tak ogólnie to informacja o przetwarzaniu danych osobowych naszych Klientów chyba się Gościom restauracji należy? Zwłaszcza, jak patrzymy na nich ciągle okiem monitoringu? 🙂
***
Wiem, że o większości rzeczy, o których piszę powyżej, pisałam już wcześniej. Zwłaszcza we wpisie, który opublikowałam w pierwszym dniu stosowania RODO. Ale również tam bardzo Cię uspokajałam, jeżeli o RODO chodzi. Pisałam wtedy, 25 maja 2018 roku, że spokojnie.. że nie musisz do wdrożenia RODO angażować ani całej armii pracowników, ani innych uciążliwych środków, że masz nie ulegać RODOpanice, tylko na spokojnie wdrożyć w życie kilka punktów, na które wtedy zwracałam Twoją uwagę. Do wpisu możesz wrócić tu i ze wszystkim jeszcze raz na spokojnie się zapoznać. W każdym razie – przynajmniej w mojej ocenie – nawet jeżeli zaangażujesz do ochrony danych osobowych część czasu pracy któregoś z Twoich pracowników, nawet jeżeli wprowadzając tę ochronę przeznaczysz na to, jakieś tam środki pieniężne, to nie jest czas ani pieniądz stracony. To inwestycja. Nie tylko w Twój spokój na wypadek kontroli PUODO, ale przede wszystkim również w wizerunek Twojej restauracji, na który obecnie składa się już nie tylko wygląd sali restauracyjnej czy smak serwowanych w niej dań. Zresztą, co ja Ci będę mówić, przecież sam wiesz pewnie o tym najlepiej.. 😉
Błędy, o których Ci dzisiaj napisałam nie dotyczą warstwy merytorycznej, bardziej skupiłam się na błędach w podejściu do RODO i jego wdrożenia. Ale obiecuję, że za jakiś czas ponownie wrócimy do RODO, tym razem skupiając się na najczęstszych błędach merytorycznych, rozprawimy się więc z mitycznymi zgodami na przetwarzanie danych, których stosowanie jest obecnie mocno ograniczone, procesem rekrutacji do pracy czy też brakiem zabezpieczeń fizycznych.
Tymczasem, mam nadzieję, że Cię nie przestraszyłam, nie wkurzyłam ani nie odstraszyłam.
W każdym razie, przekroczyłam 2.000 znaków, więc na pewno zmęczyłeś się od samego czytania 🙂
Jeżeli zaś chodzi o cel tego artykułu, ma on wyłącznie pokazać Ci, że:
- ochrona danych osobowych jest potrzebna,
- restauracja przetwarza dane osobowe,
- ściąganie dokumentów od innych i sięganie po gotowce może być wielką pułapką,
- chyba jednak to RODO to najlepiej wdrażać z prawnikiem i to adwokatem albo radcą prawnym. Nie dość, że faktycznie żywi się on interpretowaniem przepisów i postanowień umownych, do tego ma jeszcze polisę OC, w razie co i czego.
{ 0 komentarze… dodaj teraz swój }