RODO w gabinecie kosmetycznym i fryzjerskim – co musisz zrobić, żeby działać zgodnie z przepisami? Jakich dokumentów będziesz potrzebować i co powinno się w nich znaleźć? Czy musisz powołać Inspektora ochrony danych? Jak postępować z wrażliwymi danymi na temat stanu zdrowia klientek? Co zrobić, jeśli używasz oprogramowania do zarządzania gabinetem?

RODO w gabinecie kosmetycznym i fryzjerskim – jak się przygotować?

W ostatnich miesiącach dostałaś pewnie mnóstwo propozycji szkoleń związanych z RODO – czy warto z nich skorzystać? Jak przygotować się do RODO, jeśli wszędzie można znaleźć tylko ogólnikowe informacje, które tak naprawdę niewiele wnoszą do całej sprawy?

Wiem, że ten temat bardzo Was interesuje. Jako że ja w tej dziedzinie zdecydowanie nie czuję się specjalistką, postanowiłam zaprosić do współpracy Ilonę Przetacznik. Ilona jest radcą prawnym. Zgodziła się odpowiedzieć na kilka (no może trochę więcej ;)) moich pytań. Powstało z tego prawdziwe kompendium wiedzy na temat RODO dla kosmetyczek i fryzjerek!

Ilona Przetacznik – radca prawny. Uczy małe firmy i biznesy online, jak podpisywać dobre i skuteczne umowy, prowadzić legalny biznes w Internecie oraz sprawnie wdrożyć RODO. Bez zbędnego “ą – ę” szerzy wiedzę o RODO, m.in. poprzez bezpłatne LIVE’y #LegalnaKawa na swoim fanpage Legalny Biznes Online. Prowadzi konkretne szkolenia i warsztaty. Zarządza blogiem legalnybiznesonline.pl i grupą na Fb #Legalny Biznes Online. Działa pro bono w Fundacji Prawo dla Mam.

RODO w gabinecie kosmetycznym i fryzjerskim – co musisz wiedzieć?

W treści naszej rozmowy znajdziesz odpowiedzi na następujące pytania:

• Czym jest RODO i czym różni się od GIODO?
• Jak wdrożyć RODO w gabinecie kosmetycznym?
• Czym są dane osobowe? Z jakimi konkretnie danymi mamy do czynienia pracując w gabinecie kosmetycznym?
• Czy w sytuacji, w której wdrożyłyśmy wcześniej GIODO, mamy mniej obowiązków?
• Czy w związku z tym, że przetwarzamy dane wrażliwe (o stanie zdrowia klientek) mamy dodatkowe obowiązki?
• Czy musimy powołać Inspektora ochrony danych?
• Co w sytuacji, jeśli korzystamy z programu do zarządzania gabinetem?
• Jak postępować z papierowymi kartami klienta?
• Czym jest rejestr czynności przetwarzania danych osobowych i co powinno się w nim znaleźć
• Czy mamy obowiązek przeszkolić siebie i pracowników?
• Jak wykonać analizę ryzyka i ocenę skutków przetwarzania danych osobowych?
• Jakie nowe uprawnienia zyskają nasze klientki?
• Jakie procedury powinnyśmy stworzyć?
• Z jakimi konsekwencjami muszą liczyć się osoby, które nie dostosują się do nowych przepisów?

Zaczynamy! 🙂

Anna Wydra-Nazimek – Gabinet od zaplecza: Nadchodzi RODO…. To chyba nawet bardziej przerażające niż GIODO, prawda? 😉 Czy właściciele firm są na te zmiany przygotowani?

Ilona Przetacznik – Radca prawny: Może brzmi przerażająco, ale w rzeczywistości powinno być nawet łatwiej, szczególnie dla mniejszych firm. Przerażenie wynika z nieznajomości tego, co nowe. I nie mówię tylko o przedsiębiorcach. Nikt do końca nie wie, jak RODO będzie wyglądać w praktyce. To pokaże czas.

Trzeba oswoić się z pewnymi nowymi elementami tej ustawy, ale samo RODO ma na celu poprawę bezpieczeństwa danych z punktu widzenia osób, których dane przetwarzamy. Przedsiębiorcom ma ułatwić ich przetwarzanie. RODO wymaga troszkę większego „pochylenia” się nad tym jak obecnie przetwarzanie danych wygląda u nas w firmie i jak dostosować je do wymagań prawa.

Gdybyś miała tak prostym językiem powiedzieć, czym w praktyce różnią się obowiązki właścicieli firm związane z RODO, od tych związanych z GIODO, to na które aspekty położyłabyś nacisk?

Przede wszystkim, jest to brak obowiązku zgłoszenia zbiorów danych osobowych do GIODO. To taka różnica techniczna.

Wraz z wejściem w życie RODO, przestaną obowiązywać rozporządzenia, które nakładały na przedsiębiorców sztywne obowiązki, np. konieczność zmiany hasła co 30 dni, brzmienie tego hasła, sporządzenie polityki bezpieczeństwa i instrukcji zarządzania systemami informatycznymi.
RODO nakazuje przemyśleć, jakie dane przetwarzamy i jak to robimy, jak wygląda u nas przepływ tych danych oraz ich ochrona. Po dokonaniu takiej analizy, każe nam zastanowić się jak powinniśmy chronić te dane, żeby były one rzeczywiście bezpieczne, spisać procedury, rejestrować działania i zapewnić odpowiednie środki ochrony. I to wszystko 🙂

Chciałabym, żebyśmy rozłożyły ten temat na czynniki pierwsze. Myślę, że będzie obrazowo, jeśli weźmiemy pod lupę konkretny przykład. Czy możemy porównać co się zmieni na moim przykładzie?

Oczywiście 🙂

RODO dla salonu kosmetycznego lub fryzjerskiego – co się zmieni w porównaniu z GIODO?

Ok. Wysyłam newsletter do moich czytelniczek. Jest to baza danych osobowych więc zgłosiłam ją do GIODO. Przygotowałam:

• treść zgłoszenia (gotowy formularz do wypełnienia na stronie GIODO),
• podpisane umowy o powierzenie przetwarzania danych z firmą, w której mam serwer i drugą firmą, z której wysyłam maile (firmy miały gotowe wzory takich umów, wystarczyło poprosić o ich przesłanie),
• z pomocą prawnika opracowałam politykę bezpieczeństwa przetwarzania danych osobowych i instrukcję zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych oraz listę osób upoważnionych – dostałam od prawnika wzory – musiałam je dostosować do specyfiki mojej działalności,
• opracowałam politykę prywatności na bloga, zamieściłam komunikat o cookies, umieściłam odpowiednie informacje i zgody przy zapisie na newsletter… Trochę tego było, ale większość z tych dokumentów opierała się na gotowcach, które wystarczyło jedynie trochę zmodyfikować. Słyszałam, że w tej chwili kwestia ochrony danych osobowych nie będzie aż tak sformalizowana. Czy to oznacza, że wszystkie te dokumenty mogę wrzucić do niszczarki? A może po prostu zostawić je w teczce i jestem już przygotowana na RODO?

Wow! Jesteś świetnie zorientowana w przepisach i Twoich obowiązkach. Gratuluję 🙂

Dziękuję! 🙂

RODO w gabinecie kosmetycznym i fryzjerskim – jakie dokumenty trzeba przygotować?

Ilona Przetacznik – Radca prawny: Większość z tych dokumentów nie będzie już konieczna, z tego powodu, że przepisy już nie będą narzucać takiego obowiązku. Ja jednak proponuję Ci zostawić te dokumenty i jedynie przejrzeć je pod kątem RODO, dostosować, gdyż one w większości ciągle będą aktualne, jeśli tylko Twoje procesy w firmie nie uległy zmianie.

Zawsze lepiej mieć więcej niż mniej, chociaż oczywiście nie ma sensu tworzyć pewnych dokumentów „sztucznie”, po to tylko, żeby kurzyły się w segregatorach. Tego właśnie chce uniknąć RODO.
W Twojej sytuacji, do tego pakietu warto byłoby dodać certyfikat SSL do domeny. Zgłoszenie do GIODO oczywiście straci znaczenie. Jeżeli nic nie zmieniło się w kwestii upoważnień (nie doszły nowe osoby) to tutaj również nic nie musisz zmieniać. Wszystkie dokumenty należałoby również sprawdzić pod kątem ich aktualności.

To, co trzeba dostosować do RODO to:

• polityka prywatności,
• polityka bezpieczeństwa,
• umowy powierzenia,
• checkboxy i klauzule informacyjne.

To, co musiałabyś uzupełnić to:

• rejestr czynności przetwarzania danych osobowych (najważniejsze!),
• analiza ryzyka i ocena skutków przetwarzania danych osobowych,
• ewidencja incydentów naruszeń ochrony danych osobowych i wzór raportu z naruszenia.

Możesz zastanowić się też nad powołaniem Inspektora Ochrony Danych Osobowych, chyba, że masz taki obowiązek. Oczywiście, są to zalecenia pobieżne. Dokładnie będziesz wiedzieć czego potrzebujesz, gdy dokonasz pełnej i szczegółowej analizy swojej indywidualnej sytuacji.

Co w sytuacji, w której ktoś wcześniej nie zgłaszał swojego zbioru danych do GIODO? Musi zacząć wszystko od zera? Może się opierać na wytycznych z GIODO? Czy one są wystarczające w przypadku RODO?

Większość obecnych wytycznych jest wystarczająca np. co do pojęcia danych osobowych (np. adres e-mail z imieniem i nazwiskiem to dana osobowa). Wszystkie dotychczasowe wytyczne co do zasady obowiązują do 25 maja 2018 r.

Na ten moment, to co możemy śledzić dodatkowo, poza treścią samego RODO, to wytyczne Grupy Roboczej art. 29. Jest to niezależny podmiot o charakterze doradczym, w skład którego, mówiąc prosto, wchodzą przedstawiciele z każdego Państwa Członkowskiego Unii Europejskiej. Nie są one jednak wiążące i już teraz z różnych stron pojawiają się informacje o zmianach objaśnień przepisów jakie wyszły od Grupy Roboczej.

Niestety, na ten moment, najlepiej skupić się tylko na RODO i czekać na dodatkowe wytyczne, ułatwiające wprowadzanie przepisów, które na pewno będzie publikował Prezes Urzędu Ochrony Danych Osobowych. Co warto również podkreślić, ciągle czekamy na nową ustawę o ochronie danych osobowych. Nie wiadomo kiedy wejdzie w życie, ale powinna zanim pojawi się RODO. Prace nad nią, mocno się jednak przeciągają. Możecie je śledzić TUTAJ

Wszyscy więc działamy jeszcze trochę po omacku, ale jeśli będzie to zgodne z treścią samego RODO (czyli z treścią dostępnego już rozporządzenia) nie mamy się czego obawiać.

Dopóki nie wejdą w życie przepisy RODO, to nadal trzeba dokonać zgłoszenia zbiorów danych osobowych do GIODO. Jeśli tego nie zrobimy, działamy niezgodnie z prawem.

RODO w gabinecie beauty – Rejestr czynności przetwarzania danych osobowych

Wróćmy jeszcze na chwilę do dokumentów. Rejestr czynności przetwarzania danych osobowych – brzmi strasznie, ale tak na „chłopski” rozum, mogę sobie usiąść z kartką papieru i wypisać np.:

Dane w mojej firmie przetwarzane są w następujących sytuacjach:

• klientka wchodzi do gabinetu i otrzymuje do wypełnienia kartę klienta,
• klientka dzwoni, żeby umówić się na wizytę – jej imię, nazwisko i telefon zapisywane są w kalendarzu itd.

Czy chodzi o coś takiego? Czy możemy to opisać w ten sposób, czy to jednak powinno być napisane bardziej oficjalnym, prawniczym językiem? Co jeszcze powinno się znaleźć w takim rejestrze? Czy tutaj piszemy już o tym, w jaki sposób zabezpieczamy te dane, tzn., np. że kalendarz, w którym zapisujemy wizyty jest zamknięty w szafce na klucz?

To co powinno znaleźć się w rejestrze czynności przetwarzania określa art. 30 RODO. Odsyłam do niego, gdyż nie ma sensu powtarzać jego treści, żeby nie rozwlekać tego wywiadu.

W takim rejestrze, przede wszystkim, zamieszcza się „kategorie” osób i „kategorie” danych osobowych. W przypadku salonu kosmetycznego do takich kategorii będzie można zapewne zaliczyć dane osobowe klientek zbierane podczas ich osobistej wizyty, czy dane osobowe klientek zbierane podczas rozmowy telefonicznej.

To o co pytasz, to już procedura, w jaki sposób z tymi danymi należy się obchodzić. I dobrze takie procedury mieć. Dobrze jest też przewidzieć procedurę aktualizacji rejestru, gdy na przykład zaczniemy zbierać dane w inny sposób.
Sam rejestr stanowi realizację obowiązku rozliczalności (art. 5 ust. 2 RODO) oraz wypełnienie klauzuli generalnej art. 24 ust. 1 RODO (obowiązki Administratora). Dlatego też jest taki ważny.

RODO dla kosmetyczek i fryzjerek – Analiza ryzyka i ocena skutków przetwarzania danych osobowych

Przejdźmy do kolejnego dokumentu: analiza ryzyka i ocena skutków przetwarzania danych osobowych. Czy to ma być osobny dokument, czy możemy dołączyć te informacje do poprzedniego? I znów: jak to ma wyglądać w praktyce? Przepraszam, za taki łopatologiczny przykład, ale mamy spisać np., że:

Papierowy kalendarz z imionami, nazwiskami i telefonami klientek może zostać ukradziony przez osobę, która wejdzie do gabinetu lub pracownika, albo, że dane z kalendarza mogą zostać spisane przez wymienione osoby i w tej sytuacji postronne osoby mogą mieć dostęp do tych danych…

Czy coś takiego wystarczy, jeśli wypiszemy to w kontekście wszystkich danych: telefon, komputer, karty klienta itd.?

O wymaganiach dotyczących analizy ryzyka mówi art. 32 RODO. Odsyłam do niego, bo nie da się tego powiedzieć w kilku zdaniach niestety.

Dla każdego rozpoznanego ryzyka (to o czym piszesz wyżej) opisz i udokumentuj: źródła ryzyka, ryzyko, potencjalne skutki, istniejące środki bezpieczeństwa, poziom bezpieczeństwa i wpływ skutków przy obecnych środkach bezpieczeństwa, rekomendowane środki, poziom prawdopodobieństwa i wpływ skutków po zastosowaniu rekomendowanych środków (to co może się zdarzyć). Następnie dobierz odpowiednie środki zaradcze, opierając się na ocenie skuteczności poszczególnych rozwiązań. Wybierz te, które są najbardziej korzystne dla podmiotów danych i administratora. To tak w skrócie.

Ok, czyli każdą taką sytuację (np. osobista wizyta w gabinecie) musimy po prostu rozbić na czynniki pierwsze i dokładnie przeanalizować?

Dokładnie tak 🙂 A następnie wszystko zapisać.

RODO w gabinecie kosmetycznym i fryzjerskim – ewidencja incydentów naruszenia ochrony danych osobowych i wzór raportu z naruszenia

Omówmy jeszcze ostatni dokument – ewidencja incydentów naruszenia ochrony danych osobowych i wzór raportu z naruszenia. Czy taką ewidencję, znowu na „chłopski rozum” możemy zrobić np. w formie pustej tabelki? Bo jak rozumiem będziemy ją wykorzystywać (oby nie!) tylko w sytuacji, w której ktoś np. ukradnie nam taki notes z adresami? Jakie „rubryczki” powinny się znaleźć w takiej tabelce? Czy będzie można skąd wziąć gotowy wzór raportu z naruszenia?

Warto na początek mieć instrukcję postępowania w przypadku wystąpienia incydentu związanego z naruszeniem zasad ochrony danych osobowych, czyli co robić krok po kroku, gdy wystąpi takie naruszenie.

Rejestr naruszeń ochrony danych może zawierać takie rubryki jak: rodzaj naruszenia, czy jest obowiązek zgłoszenia organowi nadzorczemu, obowiązek zawiadomienia osoby, której dane dotyczą, okoliczności naruszenia, skutki naruszenia, podjęte działania zaradcze.

Póki co, GIODO takiego wzoru nie udostępnia. Trzeba to stworzyć samemu lub zlecić przygotowanie dokumentacji prawnikowi. Obecnie, w związku z tym, że RODO to coś nowego, trzeba tworzyć wszystko poniekąd od nowa.

RODO w gabinecie kosmetycznym i fryzjerskim – jak postępować z danymi wrażliwymi?

Myślę, że w tym momencie warto się pochylić nad tym, czym są w ogóle dane osobowe naszych klientów. Do większości firm przez ostatnie lata zdążyła dotrzeć informacja, że takim zbiorem wymagającym zgłoszenia jest baza maili klientów. Ale czy są nim również dane klientów służące realizacji usług? Do tej pory nie było obowiązku zgłaszania takich zbiorów, prawda? Co się zmieni w tym zakresie. Jednym słowem, czy gabinet, który się w ogóle nie reklamuje ma się czym martwić?

Baza klientów to również dane osobowe, na których wykonujemy pewne czynności, w związku z czym podlega ochronie.

RODO mówi o „czynnościach z danymi”, a nie o zbiorach, co nie zmienia faktu, że istotne jest wyodrębnienie tych zbiorów w celu ich lepszej ochrony i wypełnienia wymagań, o których mówimy. Klienci to też zbiór, na których dokonuje się czynności z danymi osobowymi. Wcześniej, była mowa o zwolnieniu ze zgłoszenia zbiorów „papierowych”. Ale nie dotyczyło to tych z danymi wrażliwymi.
Ktoś kto się nie reklamuje, prowadzi stacjonarny salon kosmetyczny, również przetwarza dane osobowe takie jak imię, nazwisko, numer telefonu. Salony kosmetyczne przetwarzają informacje o zdrowiu klienta, czyli dane tzw. wrażliwe.

W kartach klientów często znajdują się tzw. dane wrażliwe, czyli np. dane o stanie zdrowia klientów (przeciwwskazania do zabiegów). Co mówiły na ten temat przepisy związane z GIODO? Jakie konkretnie dodatkowe działania powinna była podjąć właścicielka gabinetu kosmetycznego w związku z tym, że przetwarza takie dane?

Za czasów GIODO obowiązkowe było zgłoszenie zbiorów zawierających dane wrażliwe, nawet jeśli powołany był administrator bezpieczeństwa informacji. Konieczne było też wdrożenie odpowiedniej dokumentacji, określenie poziomów bezpieczeństwa danych wrażliwych, monitorowanie czynności wykonywanych na zbiorze danych czy poszanowanie praw osób, których dane dotyczą.
Nie ma wątpliwości, że informacje o stanie zdrowia jakie przetwarzają salony kosmetyczne są danymi wrażliwymi (oczywiście jeśli takie przetwarzają).

Co się zmieni w tej kwestii po wejściu w życie RODO?

Co do zasady, przetwarzanie danych wrażliwych wymaga powołania Inspektora Ochrony Danych Osobowych! Na szczęście, RODO mówi o jednym elemencie, który może zwolnić niewielkie salony z tego obowiązku – jeśli przetwarzanie danych odbywa się na małą skalę.

Jak możemy interpretować „małą skalę”? Czy każdy gabinet kosmetyczny można podciągnąć pod ten wyjątek?

W RODO mowa jest o „dużej skali”. Niestety, nie ma jasnego wyjaśnienia co to oznacza. Grupa Robocza Art. 29 daje pewne wskazówki, które należy interpretować w odniesieniu do konkretnego przypadku. Są to: liczba osób, których dane są przetwarzane, zakres przetwarzanych danych, obszar, czas przez jaki dane są przetwarzane.

Moim zdaniem, statystyczny, mały gabinet kosmetyczny powinien zmieścić się w pojęciu „małej skali”, jednak dobrze byłoby wyjaśnić w analizie ryzyka lub innych dokumentach dlaczego administrator tak uważa i jak to uzasadnia.

Czy w takim razie w związku z przetwarzaniem danych wrażliwych musimy robić coś więcej niż gdybyśmy tych danych wrażliwych nie przetwarzali, tzn. czy nasze obowiązki będą inne niż np. mechanika samochodowego?

Co do zasady wtedy istnieje obowiązek powołania Inspektora Ochrony Danych Osobowych, ale tak jak mówiłam wyżej, można tego uniknąć w pewnych sytuacjach. Z danymi wrażliwymi salony kosmetyczne powinny obchodzić się w szczególny sposób.

Przepraszam, że tak Cię dopytuję, ale to jest wszystko strasznie skomplikowane … 🙂 Czyli podsumowując: w praktyce nie musimy robić nic więcej, ale dobrze by było np. gdzieś w tych dokumentach o tym wspominać, żeby w razie kontroli osoba kontrolująca wiedziała, że mamy to na uwadze?

Zgadza się 🙂 Oczywiście, podkreślam, że należy każdy przypadek rozpatrywać i analizować indywidualnie. Nie każdy salon kosmetyczny jest taki sam i robi to samo, w ten sam sposób.

RODO w gabinecie kosmetycznym i fryzjerskim – programy do zarządzania gabinetem i rezerwacji online

Wiele gabinetów korzysta z różnych systemów rezerwacji online, w których znajdują się dane na temat klientek. Czy wystarczy podpisać z taką firmą umowę o powierzeniu przetwarzania danych, czy powinnyśmy zrobić coś jeszcze?

Właściciele salonów powinni prowadzić pełną dokumentację, o której wspomniałam już wyżej. To Administrator odpowiedzialny jest za prowadzenie rejestru czynności przetwarzania danych osobowych. Firmy prowadzące systemy rezerwacji online to tzw. podmioty przetwarzające dane, procesorzy, którzy powinni prowadzić rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora.

Najlepiej jest podpisać umowę przetwarzania, w której zawrą się wszystkie obowiązki procesora. Myślę, że oni powinni już być na to przygotowani, więc polecam już teraz wysyłać do nich e-maile z prośbą o taką umowę lub z zapytaniem w jaki sposób przygotowani są do RODO.

W wewnętrznej analizie ryzyka administratora oraz w rejestrze czynności przetwarzania administratora też powinna znaleźć się taka informacja.

Czy mamy obowiązek sprawdzić, czy taka firma przestrzega nowego prawa, czy wystarczy jej pisemna deklaracja, np. w takiej umowie?

Wszystko zależy od naszych procedur. Procesor i Administrator ponoszą odpowiedzialność solidarną za prowadzenie rejestrów czynności przetwarzania.

Jeśli chcemy mieć pewność, że procesor obchodzi się z naszymi danymi w sposób odpowiedni – przyznajmy sobie prawo do kontroli w umowie powierzenia.

Ok, czyli możemy napisać po prostu w tych naszych gabinetowych dokumentach, że dane klientów przetwarza firma x, która na mocy zawartej z nami umowy dokłada wszelkiej staranności, żeby dane były bezpieczne i załączyć umowę podpisaną z firmą x – czy to w praktyce wystarczy? Chyba powinniśmy jeszcze napisać w jaki sposób chronimy nasz komputer, tzn. np. że mamy program antywirusowy, że do systemu są hasła zmieniane np. raz na 3 miesiące – czy taka dokumentacja będzie wystarczająca w razie kontroli?

Te dwa zdania nie wystarczą 😉 ale idziesz w dobrym kierunku.

To już jakiś plus 🙂 A co w sytuacji, w której korzystamy wyłącznie z takiego systemu, czyli nie przechowujemy żadnych danych na papierze czy na własnym dysku? Czy musimy wprowadzać jakieś dodatkowe zabezpieczenia w związku z RODO?

Praktycznie wszystkie powyższe obowiązki będą aktualne. Musimy dokonać analizy ryzyka, wskazać, że zawieramy umowę powierzenia z procesorem, spisać procedurę odbioru danych od klientki i wpisywania ich do bazy elektronicznej w systemie procesora. Jeśli mamy pracowników, należy upoważnić ich do odbioru danych od klientek.

A i tak pewnie, numery telefonów znajdują się gdzieś w komórce właścicielki lub w jej kalendarzu.

Czy procedura odbioru danych od klientki powinna się znaleźć we wspomnianym wcześniej rejestrze czynności przetwarzania danych osobowych? I znowu, czy możemy to opisać normalnie, na zasadzie opisu sytuacji jak to wygląda, tzn. klientka wchodzi, dostaje kartę klienta itd.?

Procedurę tak – można zrobić w taki sposób.

Rejestr, tak jak mówiłam wyżej, zawiera określone kategorie i to one powinny się tam znaleźć. Procedury są uzupełnieniem całej dokumentacji i de facto wytycznymi jak postępować z danymi.

RODO dla gabinetów beauty – co z papierowymi kartami klienta?

Co z kolei w sytuacji, w której mamy tylko papierowe karty klienta z odpowiednimi zgodami, znajdziemy gdzieś wytyczne jak powinnyśmy je zabezpieczyć? Trzymać w szafce pod kluczem? Gdzie szukać takich wytycznych?

Obecnie, w związku z wprowadzeniem zasady design thinking, to właściciel salonu kosmetycznego powinien pomyśleć, jakie zabezpieczenia będą najlepsze w jego konkretnym przypadku. Zaraz po tym, najlepiej to zapisać np.:

Klientka przychodzi do salonu → rozmowa odbywa się w obecności klientki i właścicielki lub osoby upoważnionej → jeśli jest to upoważniony pracownik, jego upoważnienie znajduje się w teczce nr 1 w szafie nr 2 → Klientka ma prawo żądać upoważnienia do wglądu → Wywiad z Klientką zapisywany jest na kartce papieru A4 poprzez uzupełnienie odpowiednich pól → Dane przekazane przez Klientkę przechowywane są w teczce oznaczonej numerem XYZ w zamkniętej szafie, znajdującej się w zamkniętym pokoju. Wgląd do danych posiada tylko właścicielka salonu oraz osoby przez nią upoważnione.

Oczywiście to bardzo ogólny i uproszczony zarys – po to, żeby pokazać, o co chodzi w pisaniu procedur. To nie jest lukrowanie rzeczywistości, tylko spisanie tego jak jest, a następnie decyzja, czy tak powinno być. Może warto coś ulepszyć, poprawić i jeszcze raz zapisać.

Procedury warto tworzyć z pracownikami, bo oni często wiedzą jak proces wygląda od kuchni (właściciele często myślą, że wiedzą…).

RODO dla kosmetyczek i fryzjerek – czy zgody na przetwarzanie danych pozostaną aktualne?

Dziękuję, że podałaś taki konkretny przykład! To na pewno przyda się wielu osobom! 🙂 Teraz chciałabym jeszcze dopytać o zgody na przetwarzanie danych osobowych. Czy udzielone nam dotychczas przez klientki zgody pozostaną aktualne?

Tak, te zgody pozostają aktualne, jeśli spełniają warunki określone w RODO. Ważność zachowuje więc zgoda, która była: dobrowolna, świadoma, konkretna, jednoznaczna. Co bardzo ważne, należy zapewnić wycofanie tej zgody w każdym momencie, w łatwy sposób (co najmniej tak łatwy, w jaki została ona wyrażona).

RODO dla gabinetu beauty – nowe uprawnienia klientek

Jakie dodatkowe prawa nabędą nasze klientki w związku z wprowadzeniem RODO?

Mogą na przykład żądać całkowitego usunięcia ich danych z bazy danych salonu kosmetycznego, mogą je zmieniać i poprawiać, żądać ich przeniesienia do innego salonu kosmetycznego, mogą wnieść sprzeciw wobec przetwarzania ich danych. Przynajmniej na razie, bo właściciele małych firm (do 250 osób) prawdopodobnie zostaną zwolnieni z części obowiązków.

RODO w gabinecie kosmetycznym i fryzjerskim – czy musimy przejść szkolenia?

Czy możesz polecić wiarygodne źródła informacji, w których możemy znaleźć więcej informacji na temat RODO? Komu ufać? Czy jesteśmy w stanie poradzić sobie z tym tematem same, czy trzeba korzystać z pomocy ekspertów? Tylko właśnie, jakich ekspertów – prawnika, informatyka?

Najlepiej śledzić informację na stronie obecnego GIODO. Są one najbardziej aktualne. Na ten moment, nie ma nic poza oficjalnymi dokumentami czy wytycznymi Grupy Roboczej Art. 29. Ciągle czekamy na kodeksy dobrych praktyk i inne wskazówki od GIODO dla administratorów danych, jednakże jak informuje sam GIODO, może to się mocno opóźnić ze względów finansowych (GIODO potrzebuje ogromnych środków finansowych na właściwą organizację pracy zgodnie z RODO).

Dziewczyny piszą mi, że dostają na ten temat mnóstwo telefonów od firm oferujących szkolenia. Czy takie szkolenia są potrzebne? Jak znaleźć wiarygodną firmę?

To administrator danych odpowiada za przetwarzanie danych osobowych. Dobrze byłoby więc, gdyby orientował się, przynajmniej w podstawowym zakresie, co to jest RODO, jakie są jego obowiązki jako administratora i czy musi powołać Inspektora Ochrony Danych, jakie dokumenty powinien mieć. Takie szkolenie zazwyczaj daje pewne podstawy. Ja zawsze polecam rozwijać swoją wiedze 🙂
Co więcej, administrator odpowiada za rejestr czynności przetwarzania danych osobowych i za całość czynności przetwarzania, tym bardziej, jeśli nie powoła Inspektora Ochrony Danych Osobowych.

Czy powinnyśmy przeszkolić również swoich pracowników w tym zakresie? Czy możemy to zrobić same, czy musi być to profesjonalne szkolenie? Czy fakt odbycia takiego szkolenia trzeba jakoś udokumentować?

Myślę, że warto przejść chociaż jedno szkolenie w tym zakresie. Szczególnie, że mamy do czynienia z jednoosobowymi działalnościami gospodarczymi. RODO to stan umysłu. Właścicielka jako administrator danych osobowych odpowiada za dane, nawet jeśli powierzy ich przetwarzanie pracownikowi czy też firmie zewnętrznej. To ona ustala cele i sposoby przetwarzania danych osobowych.

Uważam, że każda właścicielka powinna mieć świadomość, co z danymi osobowymi powinno się dziać, żeby to działanie było zgodne z prawem. Zresztą to ona pilnuje na bieżąco i przetwarza na bieżąco dane podczas pracy.

Dobrze byłoby, gdyby miała w swojej dokumentacji jakiekolwiek zaświadczenie o ukończeniu kursu. Świadczyć to będzie o tym, że podejmuje kroki w celu ochrony danych w jej firmie (na pewno będzie też mieć wpływ na ewentualną niższą karę 😉 ).
Administrator danych może, a nawet powinien przeszkolić pracowników. Może to zrobić samodzielnie, jeśli posiada stosowną wiedzę.

Jeśli administrator powołał Inspektora (IODO), to on powinien zapoznawać administratora i osoby upoważnione z przepisami.

RODO dla gabinetu beauty – czy trzeba powołać Inspektora ochrony danych osobowych?

No właśnie, mówiłyśmy już o obowiązku ustalenia Inspektora ochrony danych osobowych, doprecyzujmy jeszcze – czy to dotyczy również tak małych firm, jak gabinety kosmetyczne? Jak to ma wyglądać w praktyce? Czy to ma być osoba z zewnątrz, czy możemy ją ustanowić we własnym zespole? Co w sytuacji, w której gabinet jest prowadzony osobiście przez właściciela, który nikogo nie zatrudnia?

Małe, średnie i mikro przedsiębiorstwa, w tym osoby fizyczne prowadzące jednoosobową działalność gospodarczą maja możliwość, ale nie muszą powoływać IODO. W przypadku przetwarzania danych wrażliwych jest to konieczne, gdy przetwarzanie odbywa się na dużą skalę. Zakładam więc, że w przypadku salonów kosmetycznych, mamy do czynienia z „małą skalą”.

RODO dla salonu kosmetycznego lub fryzjerskiego – co grozi za nieprzestrzeganie nowych przepisów?

Słyszałam, że za niedostosowanie się do nowych wymogów grożą jakieś kosmiczne kary finansowe… Czy dotyczą one tylko dużych firm? Z jaką odpowiedzialnością powinien się liczyć właściciel gabinetu kosmetycznego?

Kary dotyczą wszystkich, którzy podlegają RODO. Wysokość kar finansowych uzależniona jest od tego, które przepisy zostały naruszone. Kary te sięgają nawet do 20 milionów euro lub w przypadku przedsiębiorstwa – do 4% światowego rocznego obrotu z poprzedniego roku obrotowego.
Projekt nowej ustawy o ochronie danych osobowych przewiduje odpowiedzialność karną, cywilną, administracyjną oraz stosowanie środków naprawczych, takich jak np. upomnienie. Wszystkie one dotyczą właścicieli salonów kosmetycznych, tym bardziej, że przetwarzają oni dane wrażliwe.
Nie popadajmy jednak w paranoję! Na pewno, nikt nie nałoży na jednoosobową działalność gospodarczą kary 10 milionów (chociażby) złotych.

Musimy jednak pamiętać, że zwiększają się uprawnienia osób, których dane są przetwarzane, a kary będzie łatwiej niż do tej pory nakładać i egzekwować. Dlatego warto wziąć się za RODO i zastosować polecaną przeze mnie zasadę 3xM – MYŚL-MINIMALIZUJ-MONITORUJ, o której to mówiłam na moich lajwach o RODO, na które oczywiście zapraszam.

Bardzo serdecznie dziękuję za wyczerpujące odpowiedzi!

Również dziękuję! 🙂

Gotowy PAKIET RODO dla gabinetów BEAUTY (kosmetyczne, fryzjerskie, podologiczne, SPA itd.)

Jeśli nie masz ochoty samodzielnie tworzyć tych wszystkich dokumentów, skorzystaj z PAKIETU RODO dla gabinetów beauty!  Znajdziesz w nim wszystkie niezbędne dokumenty, wzory i instrukcje!