Market świeżości DPD

RODO - Zmiany te nie ominą także branży gastronomicznej!

RODO w gastronomii

Już w maju wszystkim przedsiębiorcom przyjdzie zmierzyć się z nowymi przepisami rozporządzenia o ochronie danych osobowych z kwietnia 2016 roku (tzw. RODO). Zmiany nie ominął także branży gastronomicznej, w której co raz bardziej popularna staje się sprzedaż dań przez Internet czy promocja restauracji przy wykorzystaniu wiadomości SMS i baz danych klientów.

Tym, który będą próbowali zignorować zmiany i zdecydują się na nieprzestrzeganie nowych przepisów grozić mogą surowe kary pieniężne oraz inne sankcje.

RODO reguluje zagadnienia dotyczące ochrony danych osobowych w krajach Unii Europejskiej, w szczególności dotyczące praw i obowiązków osób, których dane osobowe są poddane przetwarzaniu oraz podmiotów, które te dane będą przetwarzać.

Na dzień dzisiejszy nie wiadomo jaki będzie ostateczny kształt polskiej ustawy. Państwa członkowskie Unii Europejskiej, w tym Polska mogą samodzielnie uregulować niektóre zagadnienia. Dzięki temu uprawnieniu, do polskiego porządku prawnego ma zostać prowadzona nowa ustawa o ochronie danych osobowych.

Wprowadzenie przez wszystkie pomioty podlegające nowej ustawie, w tym przez przedsiębiorców, regulacji w życie będzie poddane kontroli. Za stwierdzone naruszenia w zakresie przetwarzania danych osobowych RODO przewiduje kary. Kary pieniężne zgodnie z RODO będą stasowane z uwzględnieniem okoliczności danej sprawy. Mają one być skuteczne, proporcjonalne i odstraszające. Organ nadzorczy przy nakładaniu kary będzie brał pod uwagę, m.in.: charakter, czas i wagę naruszenia, umyślność lub nieumyślność czynu, działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą, stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych u nich wdrożonych, stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego, współpracę z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków, a także sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie.

Zgodnie z RODO można nałożyć administracyjną karę pieniężną w wysokości 10 000 000,00 euro, a w przypadku przedsiębiorstwa w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa, za naruszenie:

  1. obowiązków administratora i podmiotu przetwarzającego wymienionych w RODO, jak np.: brak weryfikacji wyrażenia zgody przez opiekuna dziecka, które nie ukończyło jeszcze 16 roku życia, na przetwarzanie jego danych osobowych, brak prowadzenia rejestru operacji przetwarzania, bark informowania organu nadzorczego o naruszeniach w zakresie ochrony danych osobowych, nieprzestrzeganie obowiązków związanych z certyfikacja przedsiębiorcy przez stosowny podmiot;
  2. obowiązków podmiotu certyfikującego wymienionych w RODO;
  3. obowiązków podmiotu monitorującego związanych z podjęciem stosownych działań w przypadku stwierdzenia naruszenia przez danego przedsiębiorcę zatwierdzonego kodeksu postępowania.

Ponadto, administracyjnej karze pieniężnej w wysokości do 20 000 000,00 euro, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa, podlegają następujące naruszenia:

  1. podstawowych zasad przetwarzania, w tym warunków zgód na przetwarzanie określonych w RODO;
  2. praw osób, których dane są przetwarzane;
  3. przepisów dotyczących przekazywania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej;
  4. dotyczące nieprzestrzegania nakazu, tymczasowego lub ostatecznego ograniczenia przetwarzania lub zawieszenia przepływu danych orzeczonego przez organ nadzorczy lub niezapewnienie dostępu organowi nadzorczemu;
  5. obowiązków wynikających z przepisów krajowych danego państwa członkowskiego, uchwalonych na podstawie RODO;
  6. dotyczące nieprzestrzeganie środków naprawczych nałożonych przez organ nadzorczy.

Należy pamiętać, że nawet nałożenie administracyjnej kary pieniężnej za naruszenie nie zwalnia przedsiębiorcy z odpowiedzialności cywilnej wobec osób, których dane osobowe dotyczyły.

W nowej ustawie o ochronie danych osobowych znajdą się na pewno przepisy karne, a więc będzie się trzeba także liczyć z odpowiedzialnością karną za wszelkie naruszenia. Odpowiedzialność karna będzie stosowana wyjątkowo dla najcięższych naruszeń przepisów.

Podsumowując, cały kształt możliwych do nałożenia kar za naruszenie w przedmiocie ochrony danych osobowych jeszcze nie jest znany, z uwagi na brak uchwalonej na tym etapie polskiej ustawy w zakresie ochrony danych osobowych uwzględniającej RODO lub nowelizacji dotychczasowej w tym zakresie. Niewątpliwie jednak, każdy przedsiębiorca, w tym również restauratorzy, musi liczyć się z konsekwencjami niedostosowania do nowych regulacji, a czasu na to jest co raz mniej.

Autor: Radca Prawny Edyta Duchnowska
Portal gastronomiczny GastroWiedza.pl
Wszelkie prawa zastrzeżone.

Słowa kluczowe
akta osobowe