25 maja wchodzi w życie RODO. Jakie obowiązki nakładają na właścicieli gabinetów beauty nowe przepisy o ochronie danych osobowych? Czy RODO obowiązuje każdy, nawet najmniejszy gabinet? Jak się przygotować do zmian w prawie?
W praktyce nie ma możliwości, aby prowadząc działalność nie przetwarzać danych osobowych. Zawsze robimy to w mniejszym lub większym zakresie. W związku z tym każdy właściciel gabinetu beauty powinien zapoznać się z nowymi przepisami w zakresie ochrony danych osobowych.
CZYM JEST RODO I JAKI BYŁ CEL JEGO WPROWADZENIA?
RODO ma na celu poprawę bezpieczeństwa danych naszych klientów. Powinny być one lepiej chronione, w proporcjonalny i przemyślany sposób. Dostajemy sporo wytycznych w tym zakresie, jednak to przede wszystkim my jesteśmy odpowiedzialni za opracowanie odpowiednich, adekwatnych do skali naszej działalności zabezpieczeń. RODO nakazuje nam przemyślenie tego, jakie dane przetwarzamy, jak wygląda u nas przepływ tych danych oraz ich ochrona. Po dokonaniu takiej analizy, każe nam zastanowić się, jak powinniśmy je chronić, żeby były one rzeczywiście bezpieczne, spisać procedury, rejestrować działania i zapewnić odpowiednie środki ochrony. Wiąże się to z koniecznością prowadzenia obszernej dokumentacji, która powinna znaleźć się w każdym gabinecie kosmetycznym.
JAKIE DANE PRZETWARZAMY W SALONIE BEAUTY?
W jakich sytuacjach w gabinecie kosmetycznym mamy do czynienia z przetwarzaniem danych osobowych? Poniżej kilka przykładów:
- klientka wysyła maila z pytaniem o zabieg lub termin — na naszej poczcie zapisuje się jej e-mail, czasem również imię i nazwisko, numer telefonu — dane są więc dostępne dla nas, ale znajdują się również na serwerze poczty — mają do nich dostęp np. pracownicy firmy hostingowej
- klientka zapisuje się na zabieg przez system rezerwacji online — mamy jej imię i nazwisko, być może mail, numer telefonu — te dane zapisują się u nas, a dodatkowo w programie rezerwacyjnym — mają do nich dostęp pracownicy tego systemu
- klientka dzwoni do gabinetu, aby umówić się na wizytę — zwykle podaje imię i nazwisko, numer kontaktowy — zwróćmy uwagę na fakt, że numery klientek zapisane w telefonie to również zbiór danych osobowych
- klientka przychodzi umówić się osobiście — zapisujemy imię, nazwisko i numer telefonu. Jak widzisz do danych klientów masz dostęp nie tylko Ty i Twoi pracownicy, ale również zewnętrzne firmy, z którymi współpracujesz. Z takimi firmami należy podpisać umowy o powierzeniu przetwarzania danych osobowych.
RODO A PRACOWNICY GABINETU BEAUTY
RODO dotyczy także pracowników gabinetu, gdyż w gabinecie mamy do czynienia:
- z danymi osobowymi samych pracowników (np. kwestionariusze osobowe) — warto zadbać o zgodne z RODO zgody na przetwarzanie danych,
- z przetwarzaniem danych klientów przez pracowników — tutaj potrzebne są stosowne upoważnienia, oświadczenia o poufności, a także prowadzenie odpowiednich rejestrów.
Można uznać to za kolejny uciążliwy obowiązek, jednak daje on również jeden pozytywny akcent. Czasami niestety zdarza się, że nielojalni pracownicy wynoszą z gabinetu dane klientek. Podpisanie odpowiednich dokumentów z zakresu RODO da nam zabezpieczenie przed taką sytuacją. Każdy właściciel gabinetu powinien mieć świadomość, co powinno się dziać z danymi osobowymi, żeby to działanie było zgodne z prawem. To on na bieżąco pilnuje i przetwarza dane podczas pracy gabinetu.
RODO wymaga od nas, aby wszystkie osoby, które mają dostęp do danych przetwarzanych w gabinecie, miały odpowiednie przeszkolenie z tego zakresu — niekoniecznie w zewnętrznej firmie. Pracownicy powinni wiedzieć, jak obchodzić się z danymi, jakie procedury i polityki panują w naszej firmie i co zrobić w przypadku naruszenia danych osobowych. Pracowników może przeszkolić również właściciel, o ile posiada stosowną wiedzę.
UWAGA NA DANE WRAŻLIWE!
Informacje o stanie zdrowia klientki, podawane np. w karcie klienta, zaliczamy do tzw. danych wrażliwych, które powinny być chronione w sposób szczególny. Warto zadbać o zgromadzenie odpowiedniej dokumentacji i wdrożyć dodatkowe zabezpieczenia. To szczególnie istotne w przypadku kontroli, ewentualnego wycieku danych lub potencjalnych roszczeń ze strony klientek. Poważne podejście do RODO uchroni nas przed dotkliwymi finansowo konsekwencjami.
Niezależnie od tego, czy karty klienta są w formie papierowej, elektronicznej, czy korzystamy z programu do zarządzania gabinetem, trzeba wdrożyć szereg zabezpieczeń (np. fizyczne zabezpieczenie dokumentów, ochrona komputera itd.), podpisać stosowne umowy oraz wstawić do karty odpowiednie klauzule informacyjne. Wszystko, co robimy w związku z ochroną danych osobowych w gabinecie, należy w odpowiedni sposób dokumentować po to, aby móc udowodnić, że spełniliśmy swoje obowiązki.
Rozliczalność to jedna z podstawowych zasad RODO. Nie posiadając żadnej dokumentacji, nie będziemy w stanie w przypadku kontroli udowodnić, że zrobiliśmy wszystko, żeby odpowiednio chronić dane w naszej firmie.
CZY POWOŁANIE INSPEKTORA OCHRONY DANYCH OSOBOWYCH TO KONIECZNOŚĆ?
Co do zasady, przetwarzanie danych wrażliwych wymaga powołania Inpektora Ochrony Danych Osobowych. Jednakże RODO mówi o jednym elemencie, który może zwolnić niewielkie salony z tego obowiązku — jeśli przetwarzanie danych odbywa się na „małą skalę”. (…)
Czytaj cały artykuł w Beauty Inspiration 3/2018>>>
Anna Wydra-Nazimek,
Gabinet Od Zaplecza,
Specjalistka do spraw beauty marketingu, właścicielka firmy NEZA Group zajmującej się doradztwem i wsparciem marketingowym dla firm działających w branży kosmetycznej
Ilona Przetacznik,
Managerka Umów,
Radca prawny, project manager i team leader. Na swoim blogu managerkaumow.pl uczy małe firmy i biznesy online jak zawierać umowy i działać zgodnie z RODO