Od wprowadzenia Rozporządzenia o Ochronie Danych Osobowych mijają już prawie dwa lata. RODO definiuje zasady przetwarzania danych osobowych w trochę odmienny sposób niż dotychczas. Przepisy wprowadzają szereg nowych obowiązków,nowy rodzaj odpowiedzialności, ale tez sankcje finansowe, których dotychczas nie było.
Sprawdźmy, czy i w jakim stopniu nowe przepisy dotyczą Twojego gabinetu kosmetycznego? Jako specjalista ds. RODO często dostaje pytania:Czy RODO dotyczy branży kosmetycznej?Czy właściciel salonu kosmetycznego jest administratorem w rozumieniu RODO? Czy przetwarzanie danych klientek w salonie kosmetycznym może być ryzykowne z punktu widzenia nowej regulacji RODO?
RODO nie przewiduje ogólnych wyłączeń spod swojego reżimu, na przykład dla niektórych branż, sektorów, czy małych firm. RODO dotyczy wszystkich podmiotów, które przetwarzają dane osobowe osób fizycznych w związku z prowadzoną działalnością zawodową, zarobkową, statutową. Zatem RODO w salonie kosmetycznym jak najbardziej będzie miało zastosowanie.
RODO na pewno dotyczy salonów kosmetycznych, ponieważ zbierają dane o swoich klientach, pracownikach i współpracownikach. Przetwarzając te dane wykonują operacje na danych np: prowadzą karty klienta, korzystają z dedykowanych dla salonów programów informatycznych.
Program informatyczny wykorzystywany w pracy salonu kosmetycznego z pewnością umożliwia przetwarzanie danych osobowych klientów. Wykorzystywane programy najczęściej służą właśnie do obsługi klientów: tworzenie harmonogramu wizyt klientów, tworzenie bazy klientów wraz z historią finansową klienta, rejestrowanie historii wizyt klienta z informacją o wykonanych zabiegach, wysyłanie SMS-ów przypominających oraz reklamowych, powiadamianie za pomocą poczty elektronicznej, kupony rabatowe, obsługa karty stałego klienta, rabaty procentowe i kwotowe, wizyty darmowe, prowadzenie programu lojalnościowego, zbieranie punktów, płacenie punktami. Funkcjonalności programu związane są z przetwarzaniem danych klientów.
Dodatkowo salony kosmetyczne prowadzą karty klienta, w których notują informacje dotyczące stanu zdrowia, sposoby odżywiania, informacje o przebytych chorobach, trybie życia, warunkach odpoczynku, opisują rodzaj wykonanego zabiegu, użyte preparaty, zalecenia do domu.
Zakres zbieranych przez salony kosmetyczne danych osobowych jest bardzo szeroki. Dodatkowo wiele z tych danych to dane wrażliwe, których przetwarzanie co do zasady jest zabronione, chyba, że administrator posiada odpowiednią podstawę prawną, czyli w tym przypadku zgodę na przetwarzanie danych wrażliwych.
Taka zgoda, aby zachować zgodność z RODO, powinna być zgodą świadomą, dobrowolną, konkretną i jednoznaczną. Zgoda musi mieć charakter uprzedni a zatem zostać wyrażona przed przetwarzaniem danych przez salon.
Pamiętaj, że aby zgoda była konkretna, musi określać wyraźnie i precyzyjnie cel oraz zakres przetwarzania. Ponadto na przetwarzanie danych wrażliwych musisz jako właściciel salonu pozyskiwać zgodę wyraźną. Niezbędne tutaj będzie okazanie woli przez klientkę salonu poprzez złożenie wyraźnego oświadczenia z użyciem słów. Niewystarczające będzie w tym przypadku wyraźne działalnie potwierdzające.
Jak widać powyżej już samo odebranie od klientki salonu ważnej i zgodnej z RODO zgody może nie być łatwą i oczywistą czynnością. A można powiedzieć, że jest to pierwsza najważniejsza czynność, od której zależeć będzie legalność przetwarzania danych klientek salonu.
Jeśli już na tym etapie nie odbierzesz zgody lub zgodę niespełniającą wymagań RODO to nie pomoże zapewnienie nawet najwyższych standardów bezpieczeństwa, gdyż będziesz przetwarzał dane nielegalnie. Przetwarzanie danych bez ważnej podstawy prawnej jest zagrożone wyższą karą finansową przewidzianą przez RODO, może być przyczyną roszczeń cywilnoprawnych podmiotów danych oraz odpowiedzialności karnej.
Pamiętaj, że świadomość prawna związana z przetwarzaniem danych osobowych wzrasta, że klient ma szereg środków prawnych, aby dochodzić swoich praw w związku z niezgodnym z RODO przetwarzaniem jego danych osobowych.
Każda firma, nawet mały salon kosmetyczny musi mieć świadomość ryzyka, jakie związane jest z przetwarzaniem danych osobowych w szczególności danych wrażliwych. Tylko poważne podejście właścicieli salonów do ochrony danych osobowych jest w stanie uchronić ich przed dotkliwymi finansowymi konsekwencjami.
W tym miejscu dodam trochę statystki, do końca 2019 roku do UODO wpłynęło 4,5 tys. odnotowanych skarg dotyczących nieprzestrzegania przepisów RODO. Jeden z najwyższych wyników w Europie. Jak dotąd polski regulator, Prezes Urzędu Ochrony Danych Osobowych wydał 107 decyzji i wymierzył kilka dotkliwych kary finansowe związane z naruszeniami RODO. 1 973 zł (460 euro) kary dla wspólnoty mieszkaniowej8 148 zł (1 900 euro) kary dla spółka zarządzająca nieruchomościami
30 019, 5 zł (7 000 euro) dla agencja ochrony mienia.
Pozostałe upublicznione kary, to prawie milion zł kary dla spółki Bisnode, 56 tys. zł dla Dolnośląskiego Związku Piłki Nożnej, 3 mln zł dla spółki z branży e-commerce morele.net za wyciek danych, 201 tys. zł dla spółki z branży reklamowej ClickQuickNow i 40 tys. zł dla burmistrza Aleksandrowa Kujawskiego.
Aby skutecznie zabezpieczyć się przed karami z RODO należy je wdrożyć i to niezależnie od tego czy dane przetwarzane są w formie papierowej czy elektronicznej. Przede wszystkim należy przyjrzeć się sposobom przetwarzania danych osobowych,przygotować wymaganą dokumentację, wdrożyć szereg zabezpieczeń, podpisać stosowne umowy,stworzyć odpowiednie klauzule informacyjne. O tym jakie dokumenty są obowiązujące informuje nas Urząd Ochrony Danych Osobowych na swojej stronie:
https://uodo.gov.pl/pl/138/273
Uwierz, to wcale nie jest takie skomplikowane, jednak nie ukrywam,że będzie wymagało od Ciebie zaangażowania i czasu. Chętnie Ci w tym pomogę. Polecam usługę: RODO DLA BRANŻY BEATUY realizowaną przeze mnie.
Katarzyna Mróz. Jestem Absolwentką Wydziału Prawa i Administracji. Ukończyłam też studia podyplomowe na Wydziale Prawa i Administracji Uniwersytetu Jagiellońskiego „Bezpieczeństwo informacji w administracji i biznesie” Jestem certyfikowanym audytorem wewnętrznym systemu zarządzania bezpieczeństwem informacji wg. ISO IEC 27001/2017.Na co dzień świadczę usługi w zakresie ochrony danych osobowych, począwszy od wdrożenia, szkolenia, aż po późniejsze utrzymanie i nadzór. Mam doświadczenie z bardzo różnych branż w sektorze prywatnym:w stowarzyszeniach i spółkach jednoosobowych działalnościach gospodarczych. Posiadam doświadczenie w prowadzeniu szkoleń z zakresu ochrony danych osobowych, przeprowadzaniu audytów, sporządzaniu oraz weryfikacji umów.
Co mogę dla Ciebie zrobić:
- Przeanalizuje wraz z Tobą jakie dane osobowe zbierasz w swoim gabinecie, gdzie i w jaki sposób je przetwarzasz (tzw. audyt RODO).
- Ocenię ryzyko dla praw i wolności podmiotów danych.
- Wskażę jakie środki należy zastosować by odpowiednio chronić dane osobowe.
- Przeszkolę Ciebie i Twój personel: wyjaśnię podstawowe pojęcia dotyczące ochrony danych osobowych, przedstawię zasady przetwarzania danych osobowych, omówię obowiązki Twoich pracowników i współpracowników, przedstawia prawa klientów pracowników i współpracowników, przedstawię przykład naruszeń dotyczący ochrony danych osobowych, opowiem co zrobić w razie kontroli Prezesa UODO.
- Przygotuję wymagane przez RODO dokumenty i opowiem Ci jak z nich korzystać: politykę ochrony danych, instrukcję zarządzania systemem informatycznym, obowiązki informacyjne, odpowiednie zgody na przetwarzanie danych osobowych, upoważnienia, rejestr upoważnień, oświadczenia o poufności, procedury, umowy powierzenia danych osobowych, rejestr czynności przetwarzania danych i wiele innych indywidualnych dokumentów dostosowanych do Twojego gabinetu.
Jeśli jesteś zainteresowana usługą RODO DLA BRANŻY BEATUY dzwoń lub napisz na e-mail i dowiedz się więcej.
Możemy zacząć online, jeśli tylko zechcesz.
Katarzyna Mróz