Jedna z najbardziej znanych warszawskich restauracji. Gąszcz stolików z karteczkami z imieniem, nazwiskiem oraz godziną rezerwacji. Aby odnaleźć właściwe miejsce, trzeba przeczytać co najmniej kilkanaście takich kartek – i tym samym poznać listę gości. W taki sposób dowiedziałem się, że w tym samym lokalu jadają kolega Greko-Polak o charakterystycznie brzmiącym imieniu i nazwisku oraz znany polski dziennikarz. Sprawdziłem w innych restauracjach: praktyka oznaczania stolików imieniem i nazwiskiem gościa oraz godziną rezerwacji jest coraz częstsza, niemal powszechna w lokalach najwyższej klasy. Czy to jednak zgodne z prawem?
Ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (dalej u.o.d.o.) wprowadziła szeroką definicję takich danych, za które uważa się wszelkie informacje dające co najmniej możliwość identyfikacji osoby fizycznej. Imię i nazwisko może być taką informacją, o ile jest na tyle charakterystyczne, że pozwala zidentyfikować osobę. O tym, czy w danym przypadku ustalenie tożsamości gościa restauracji jest możliwe, przesądza jednak nie tylko charakter imienia i nazwiska. Na identyfikację może wpływać jego zestawienie z danymi innych gości powszechnie znanych jako znajomi konkretnej osoby bądź udostępnienie takich informacji w restauracji często odwiedzanej przez konkretną osobę (bo, przykładowo, znajdującej się w pobliżu jej miejsca zamieszkania). O skali naruszenia przesądza to, że do zdecydowanej większości lokali może wejść każdy, mając tym samym możliwość zapoznania się z danymi osób dokonujących rezerwacji.
Przesłanki legalizujące przetwarzanie danych osobowych wskazane zostały w art. 23 u.o.d.o. Które mogą znaleźć tutaj zastosowanie? Zgoda podmiotu danych (gościa restauracji) bądź podejmowanie czynności koniecznych do wykonania umowy, której osoba dokonująca rezerwacji jest stroną. Żadna z restauracji nie odbiera jednak uprzedniej zgody na udostępnianie danych gości na stolikach w swoim lokalu. Z kolei, o ile gromadzenie danych osób dokonujących rezerwacji jest uzasadnione zawartą z nimi umową, o tyle wykaz takich danych powinien być przekazany wyłącznie pracownikom lokalu gastronomicznego. Wyrażona w u.o.d.o. zasada adekwatności nakazuje przetwarzanie danych wyłącznie w sposób i zakresie koniecznym do celu, w jakim zostały zebrane. Wykonywanie umowy o świadczenie usług gastronomicznych nie wymaga jednak przekazywania informacji o dokonanej rezerwacji osobom innym niż pracownicy restauracji, w tym innym gościom. Działanie takie może również zostać zakwalifikowane jako naruszające wyrażony w art. 36 u.o.d.o. obowiązek zastosowania należytych środków zabezpieczenia danych, w tym przed ich nieuprawnionym udostępnieniem. Nawet uznanie jednak, że zamieszczone na stolikach informacje nie stanowią danych osobowych gości (np. „Jan Kowalski”), nie wyłącza możliwości uznania, że doszło do naruszenia prawa do prywatności. Jako jedno z dóbr osobistych podlega ono bowiem szerszej ochronie niż dane osobowe jako takie. Szczególny charakter należy przypisać również naruszeniu prywatności osób publicznych, których identyfikacja po samym imieniu i nazwisku jest znacznie prostsza, a informacja o preferencjach kulinarnych (wybieranych restauracjach) ma dodatkowo wartość komercyjną. W ostatnim czasie pojawia się niezwykle dużo publikacji na tematy tak głośne, jak naruszenie danych osobowych w kontekście monitoringu wizyjnego, nowelizacja u.o.d.o. nakładająca dodatkowe obowiązki na administratora bezpieczeństwa informacji (ABI) czy wreszcie zasadność obejmowania danych osobowych tak szeroką ochroną. Problematyka naruszeń prywatności dotyka jednak wszystkich sektorów, w tym zupełnie pomijanego w tym kontekście sektora usług gastronomicznych.
