Obowiązek informacyjny RODO
Poza zapewnieniem właściwej podstawy prawnej do przetwarzania danych osobowych weryfikowanych klientów przedsiębiorca ma obowiązek dostarczenia osobom, których dane dotyczą, informacji o przetwarzaniu ich danych osobowych, czyli tzw. klauzuli RODO. To, co powinno się w takiej klauzuli znaleźć, jest określone przez art. 13 RODO, przy czym najważniejsze informacje to tzw. pierwsza warstwa:
dane administratora, czyli przedsiębiorcy prowadzącego sklep; cele przetwarzania, przy czym ze względu na specyfikę przetwarzania powinna być zawarta informacja o tym, że przetwarzanie jest ograniczone wyłącznie do okazania danych osobowych w określonym zakresie i że osoby dokonujące weryfikacji nie są uprawnione do ich utrwalania w żaden sposób; prawa osób, których dane dotyczą; wskazanie miejsca dostępności pełnej informacji RODO, jeśli jest to wersja skrócona Informacji RODO. Klauzule informacyjną RODO należy umieścić w sposób widoczny w momencie weryfikacji wieku klientów, tak, aby mogli się oni z nią zapoznać przed okazaniem dokumentu, aby osoba miała informację, kto i dlaczego żąda od niej dokonania okazania, komu będzie ujawniać swoje dane osobowe oraz co będzie się działo z jej danymi osobowymi po okazaniu dokumentu.
Wiek klientów: 65 lat czy więcej?
Rozporządzenie wprowadza możliwość przebywania w przestrzeni sklepowej w określonych godzinach osób powyżej 65 roku życia. Oznacza to, że od strony prawnej klient mający status „seniora" to osoba w wieku starszym niż 65 lat. Granicą nie jest 65 lat, lecz „powyżej" 65 lat, czyli należy przyjąć granicę 66 lat. W mojej ocenie wystarczy jednak, aby to była granica rocznikowa, bez konieczności sprawdzania dokładnej daty urodzenia, a jedynie roku.
Od strony praktycznej raczej nie spodziewamy się, aby organy ścigania nakładały kary aż tak restrykcyjnie, jeżeli w obostrzonym czasie w sklepie przebywa osoba starsza, lecz w wieku 65 lat lub kilku mniej, przy jedoczesnym stosowaniu pozostałych nakazów, m.in. przebywania maksymalnie do trzech osób na jedno stanowisko kasowe, obowiązku zapewnienia rękawiczek i środków dezynfekujących. Celem wprowadzenia godzin dla seniorów jest bowiem ochrona przed ekspozycją na koronawirusa osób starszych. Rozporządzenie wprowadza jednak wprost ustalony wiek powyżej 65 lat i formalnie nie przewiduje wyjątków, a za złamanie zakazu grozi przedsiębiorcy kara od 10 do 30 tysięcy złotych.
Kto może weryfikować wiek seniorów?
Wiek seniorów może weryfikować każda osoba wyznaczona przez przedsiębiorcę, np. kasjer, manager sklepu, pracownik ochrony, nawet, jeśli jest zatrudniony w innej formie niż umowa o pracę (np. jest samozatrudniony) lub przez firmę ochroniarską posiadającą zawartą umowę ze sklepem. Nie ma żadnych zakazów w tym zakresie. Należy jednak pamiętać, że czynności weryfikacyjne wiek są czynnościami wiążącymi się z przetwarzaniem danych osobowych, a więc osoby dedykowane do ich przetwarzania winny posiadać stosowne polecenie ich przetwarzania od administratora, podlegać obowiązkowi zachowania danych w tajemnicy i znać podstawowe zasady ochrony danych osobowych. Ponadto, w przypadku, gdy osoba przetwarzająca dane jest pracownikiem innego podmiotu (np. firmy ochroniarskiej), sklep powinien mieć zawartą umowę powierzenia przetwarzania danych osobowych. W tak szczególnym czasie jak epidemia oraz przy braku rejestrowania danych osobowych przez pracownika firmy zewnętrznej samo rzetelnie sporządzone polecenie przetwarzania danych osobowych i podpisane przez tego pracownika odpowiedniego zobowiązania o zachowaniu w tajemnicy może zostać tymczasowo uznane za wystarczające do zlecenia takiej osobie przetwarzania danych osobowych, jednak wówczas całość obowiązków związanych z przygotowaniem tego pracownika do przetwarzania danych osobowych oraz odpowiedzialność za ewentualne naruszenia spoczywa wyłącznie na sklepie, a kontrahent realizujący zadania na rzecz sklepu i zatrudniający tego pracownika będzie wolny od odpowiedzialności. Ponadto, brak umowy powierzenia może zostać uznany za organ nadzoru za formalną niezgodność z RODO, jednak wierząc w racjonalność organu nadzoru zakładamy, że takie postępowanie w sytuacji nadzwyczajnej spotka się ze zrozumieniem.
Czy procedura weryfikacji powinna mieć formę dokumentu?
Nie ma obowiązku wprowadzania dokumentów wewnętrznych regulujących sposób prowadzenia weryfikacji klientów w obostrzonych godzinach, jednak taka praktyka jest silnie polecana. Taki dokument w formie procedury i instrukcji powinien obejmować również realizację innych nakazów i zakazów związanych z walką z epidemia koronawirusa, np. zasady dotyczące ilości klientów przebywających w sklepie, BHP personelu sklepu, udostępniania rękawiczek i środków dezynfekujących, trybów postępowania w przypadku odmowy zastosowania się przez klientów do zasad korzystania ze sklepu w czasie epidemii. Procedura ta powinna być procedurą wewnętrznie obowiązującą, dostępną tylko dla pracowników (niezależnie od formy zatrudnienia) i ewentualnie kontrahentów.
Posiadanie sformalizowanych procedur może okazać się przydatne również przy incydentach związanych z realizacją obowiązków przedsiębiorcy, np.:
- przy incydentalnym złamaniu nakazu lub zakazu przez pracownika;
- przy naruszeniu zasad przez klientów;
- przy zarzucie naruszania zakazów lub zakazów, z którym przedsiębiorca nie zgadza się lub częściowo chce zwolnić się od odpowiedzialności.
Agnieszka Sagan-Jeżowska, radca prawny, specjalista prawa ochrony danych osobowych w polskim biurze Eversheds Sutherland