Czy salony powinny bać się RODO?

SPA

Monika Matyjasik, adwokat, syndyk, współpracuje z największą siecią klinik medycyny estetycznej w Polsce

Już 25 maja 2018 r. wchodzi w życie RODO, czyli unijne rozporządzenie dotyczące ochrony danych osobowych. W jaki sposób do nowych przepisów mają się przygotować salony beauty i medycyny estetycznej? Czy rzeczywiście będzie to wymagało wiele pracy? Czy naprawdę za niezgodne z wymogami RODO przechowywanie danych osobowych możemy zapłacić ogromne kary?

Okazuje się, że nie taki diabeł straszny jak się go maluje. Wiele z głównych koncepcji i zasad RODO jest w znacznym stopniu zbieżnych z tymi, które występują w obecnej ustawie o ochronie danych osobowych. Stąd też, jeżeli salon stosuje się odpowiednio do obecnego prawa, znaczna część regulacji będzie dalej obowiązywać i może stanowić punkt startowy do stworzenia nowych rozwiązań. Co jednak trzeba będzie zmienić? Między innymi o tym rozmawiamy z Moniką Matyjasik, adwokatem i syndykiem, współpracującym z największą siecią klinik medycyny estetycznej w Polsce.

 

BEAUTY INSPIRATION: Co w związku z wprowadzeniem wymogów RODO ma zrobić salon, który prowadzi bazę klientów w tak zwanym zeszycie albo w excellu? Jest to baza pozyskana przy zapisywaniu klientek na wizytę i salon nie ma żadnej podkładki na piśmie czy w  komputerze, że te osoby wyraziły zgodę na wykorzystanie ich danych…


MONIKA MATYJASIK: Przede wszystkim nie możemy nadużywać definicji, które nakładają na nas konkretne zobowiązania. Aktualnie nie jest to baza danych klientów, lecz dane kontaktowe klientów zapisanych na konkretną wizytę. Dane takie mogły służyć do obsługi jednej wizyty np. do poinformowania o ewentualnym przesunięciu terminu. Zgodnie z taką wykładnią był to zbiór tymczasowy i po wykonaniu usługi dane powinny być usunięte.

Mimo poprawności takiego działania w rozumieniu ochrony danych osobowych, to z biznesowego punktu widzenia było by to działanie co najmniej nierozsądne. Aby osoby to mogły być w naszym zbiorze klientów należy skontaktować się z każdą z nich informując ją skąd posiadamy informacje kontaktowe, czyli spełnić obowiązek informacyjny i złożyć ofertę pozostania naszym klientem, co wiąże się z dalszym przetwarzaniem danych oraz uzyskać zgodę na wykorzystanie tych danych do np. kierowania korzystnej oferty marketingowej. Najlepiej zrobić to pisemnie, może też być mailowo.


BI: W jaki sposób po wejściu w życie nowych regulacji ma się teraz odbywać pozyskiwanie danych? Jakie dane i w  jaki sposób możemy zapisać kiedy mamy klientkę w salonie? A jakie dane  możemy zapisać i w jaki sposób,  kiedy rozmawiamy z klientką przez telefon?

MM: Jest to jakby kontynuacja odpowiedzi na poprzednie pytanie. Można zapisywać dane niezbędne do wykonania usługi, w tym dane kontaktowe. Oczywiście wcześniej należy spełnić obowiązek informacyjny czyli poinformować kto, na jakiej podstawie prawnej przetwarza dane itd.

Mogą to być dane następującej kategorii osób:

– klienci spółki (byli i obecni);

– klienci, którzy sami zapiszą się do newslettera poprzez stronę internetową, wyrażą zgodę do umieszczenia ich w newsletterze w trakcie zakupu voucherów lub w trakcie wypełniania ankiet.

– osoby upoważnione do informacji o kliencie oraz o udzielonych mu usługach;

– personel

Dane, które zakładam, że możemy przetwarzać to:

– nazwisko i imiona,

– data urodzenia, oznaczenie płci,

– adres miejsca zamieszkania,

– seria i numer dokumentu tożsamości,

– adres IP komputera przyłączonego do sieci lokalnej

– w przypadku gdy klientem jest osoba małoletnia, całkowicie ubezwłasnowolniona lub niezdolna do – świadomego wyrażenia zgody – nazwisko i imię przedstawiciela ustawowego oraz adres jego miejsca zamieszkania;

– informacje dotyczące stanu zdrowia (np. przeciwskazania medyczne, choroby) oraz inne dane istotne dla tych procesów (za pisemną zgodą klienta);

– dane kontaktowe klienta i osób upoważnionych;

– dane dotyczące płatności;

– przysługujące rabaty;

– typ członkostwa (data wydania karty członkowskiej, data utraty ważności karty członkowskiej).

Oczywiście w zależności od rodzaju usługi, im mniej danych przetwarzamy tym lepiej, jednak przy poważnych zabiegach może być ich naprawdę dużo.

BI:  Czy w sytuacji kiedy klientka zadzwoni i powie, że chce się umówić na zabieg, to czy mogę wysłać smsa z przypomnieniem?


MM: Tak, jeżeli spełniony został obowiązek informacyjny przy pozyskaniu danych kontaktowych i uzyskano zgodę klienta na wykorzystanie prywatnego telefonu do uzyskania przypomnienia lub zmiany terminu.

BI: Czy na każdą z form komunikacji z klientem muszę mieć jego osobno wyrażoną zgodę?

MM: Może to być ogólna zgoda z wymienieniem form i powodów komunikacji, na przykład: przypomnienie wizyty, zmiana terminu lub oferta marketingowa.

BI: Co ze zgodą na zabieg, którą klienci wypełniają na papierze? Czy po wejściu w życie ustawy nadal będzie tak samo?

MM: Nie będzie to wyglądać tak samo. RODO nakłada rozdzielania zgód, każda będzie wiec musiała został oddzielnie złożona tj. zgoda na przetwarzanie danych osobowych, zgoda na otrzymywanie informacji handlowych, zgoda na cele marketingowe i w końcu zgoda na ściśle określony cel.

BI: Czy zmieni się też coś jeżeli chodzi o procedury przechowywania tych formularzy?

MM: Przechowywanie oczywiście ma znaczenie. Obecnie dokumenty zawierające dane osobowe powinny być przede wszystkim przetwarzane przez osoby posiadające upoważnienie administratora danych, muszą być uporządkowane w teczkach tematycznych, pomieszczenia muszą być zabezpieczone przed fizycznym dostępem osób nieupoważnionych (co najmniej certyfikowany zamek) i przechowywane w zamykanym meblu biurowym. Oczywiście tych zasad jest dużo więcej – te podane przeze mnie to skrót ale zakładam, że obecnie już się tak przechowuje te dokumenty.

Inną kwestią jest zabezpieczenie sprzętu informatycznego i dokumentów prowadzonych techniką informatyczną, a szczególnie ich przesyłanie. To może nie tak bardzo skomplikowane, ale wymaga udziału informatyka.

BI:  Mówi się też o tym, że do tego aby sprawdzić i dobrze przygotować  wszystkie procedury przechowywania i pozyskiwania danych osobowych niezbędne jest też ustalenie Inspektora ochrony danych osobowych? Czy to będzie też dotyczyło salonów beauty?  Jeżeli tak, to kto może być takim inspektorem?

MM: W pojedynczych salonach, gabinetach lekarskich zadecyduje o tym właściciel. Generalna zasada jest taka, że jeżeli jest bardzo dużo danych podlegających szczególnej ochronie to musi być Inspektor Ochrony Danych i stosowne procedury.

Dziękuję za rozmowę.

Rozmawiał Mariusz Nieścior

 


SANKCJE JAKIE PRZEWIDUJE RODO ZA NIENALEŻYTE CHRONIENIE DANYCH OSOBOWYCH

Kara administracyjna:

Administracyjnej karze pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (przy czym zastosowanie ma kwota wyższa) podlegają następujące naruszenia przepisów:

  • naruszenie obowiązków administratora i podmiotu przetwarzającego wymienionych w RODO, jak np.: brak weryfikacji wyrażenia zgody przez opiekuna dziecka, które nie ukończyło jeszcze 16 roku życia, na przetwarzanie jego danych osobowych, brak prowadzenia rejestru operacji przetwarzania, brak powołania IOD w przypadkach obligatoryjnych, bark informowania organu nadzorczego o naruszeniach w zakresie ochrony danych osobowych, nieprzestrzeganie obowiązków związanych z certyfikacja przedsiębiorcy przez stosowny podmiot;
  • naruszenie obowiązków podmiotu certyfikującego wymienionych w RODO;
  • naruszenie obowiązków podmiotu monitorującego związanych z podjęciem stosownych działań w przypadku stwierdzenia naruszenia przez danego przedsiębiorcę zatwierdzonego kodeksu postępowania.

Administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (przy czym zastosowanie ma kwota wyższa) podlegają następujące naruszenia przepisów:

  • naruszenie podstawowych zasad przetwarzania, w tym warunków zgód na przetwarzanie określonych w RODO;
  • naruszenie praw osób, których dane są przetwarzane;
  • naruszenie przepisów dotyczących przekazywania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej;
  • nieprzestrzegania nakazu, tymczasowego lub ostatecznego ograniczenia przetwarzania lub zawieszenia przepływu danych orzeczonego przez organ nadzorczy lub niezapewnienie dostępu organowi nadzorczemu;
  • naruszenie obowiązków wynikających z przepisów krajowych danego państwa członkowskiego, uchwalonych na podstawie RODO;
  • nieprzestrzeganie środków naprawczych nałożonych przez organ nadzorczy.

Jeżeli administrator lub podmiot przetwarzający narusza umyślnie lub nieumyślnie w ramach tych samych lub powiązanych operacji przetwarzania kilka przepisów RODO, całkowita wysokość administracyjnej kary pieniężnej nie przekracza wysokości kary za najpoważniejsze naruszenie. Oznacza to, że w przypadku gdy w przypadku jednego procesu przetwarzania zostanie naruszone kilka procesów, to organ nadzorczy nałoży tylko jedną karę, przy czym będzie to kara wyższa.

  • Karę pieniężną uiszcza się w terminie 14 dni od dnia upływu terminu na wniesienie skargi, albo od dnia uprawomocnienia się orzeczenia sądu administracyjnego. Na wniosek ukaranego organ nadzorczy może odroczyć uiszczenie kary pieniężnej albo rozłożyć ją na raty

 

Odpowiedzialność cywilna:

Każdy administrator uczestniczący w przetwarzaniu odpowiada za szkody spowodowane przetwarzaniem naruszającym przepisy RODO, natomiast podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem wyłącznie, gdy nie dopełnił obowiązków, które RODO nakłada bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom.

Zarówno administrator, jak i podmiot przetwarzający zostają jednakże zwolnieni z odpowiedzialności, jeżeli udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody. Jeżeli w tym samym przetwarzaniu uczestniczy więcej niż jeden podmiot i zgodnie z RODO odpowiadają oni za szkodę spowodowaną przetwarzaniem, ponoszą oni odpowiedzialność solidarną za całą szkodę,

 

Odpowiedzialność karna:

W projekcie ustawy przewidziano odpowiedzialność karną za udaremnianie lub utrudnianie kontrolującym prowadzenia kontroli przestrzegani przepisów o ochronie danych osobowych, za co grozi kara grzywny. Orzekanie w tych sprawach ma następować na podstawie przepisów kodeksu postępowania w sprawach o wykroczenia.

Ponadto projekt przewiduje odpowiedzialność w przypadku przetwarzania określonej kategorii danych (tzw. “danych wrażliwych”) bez podstawy prawnej, za co grozi kara grzywny, kara ograniczenia wolności albo pozbawienia wolności.

CZYTAJ TAKŻE:

Musisz wiedzieć, że mamy ciasteczka i możemy ich użyć tylko do tego, byś był bardziej zadowolony z naszych treści. ok więcej