Czy RODO obowiązuje wszystkie gabinety beauty? Czy jeśli nie masz kart klienta, również musisz się stosować do jego wymogów? O co właściwie chodzi z RODO – co konkretnie trzeba zrobić? Czy trzeba wziąć udział w jakimś szkoleniu? Jak udokumentować wprowadzone zabezpieczenia? Dziś rozprawiam się z największymi mitami na temat RODO!
W związku z promocją PAKIETU RODO dla branży BEAUTY, czyli gotowym zestawem wymaganych przez RODO dokumentów, od jakiegoś czasu na blogu pojawia się sporo materiałów na temat RODO. To z kolei rodzi wiele dyskusji, w których ciągle przewijają się te same nieprawdziwe przekonania. Dziś postanowiłam rozprawić się ze wszystkimi najpopularniejszymi mitami na temat wdrażania RODO w salonie beauty!
Będzie bardzo praktycznie i bez prawniczych formułek – mam nadzieję, że uda mi się wyjaśnić Wasze największe wątpliwości.
MIT 1 – Kupię sobie zamykaną szafkę i mam z głowy!
W przypadku RODO mamy do czynienia z konfrontacją prawniczych formułek z realnym życiem. Jako, że prawnicze formułki są dla wielu osób niezrozumiałe, mamy skłonność do nadmiernego upraszczania tematu, czego symbolicznym przykładem jest szafka zamykana na klucz. Trzeba chronić dane osobowe (np. karty klientek) -> kupię sobie zamykaną szafkę. Chronię? Chronię! I po sprawie!
Niestety w praktyce jest to odrobinę bardziej skomplikowane. TUTAJznajdziesz artykuł, w którym opisuję wszystkie miejsca, w których w salonie BEAUTY mamy do czynienia z danymi osobowymi. Patrząc na tę listę, łatwo dojść do wniosku, że zamykana szafka nie załatwi sprawy. Jeśli nie szafka to co? Alarm, hasło do komputera? Zabezpieczenia są ważne, ale pamiętaj, że są one jedynie elementem, a nie całością wdrożenia RODO!
PRZYKŁAD: jedziesz na wakacje do dalekiego kraju. Inna kultura, klimat, kuchnia… Od czego zaczynasz? Od spakowania plecaka? Co spakujesz? Ciepłe bluzy czy może lekkie sukienki? Warto najpierw zrobić małe rozeznanie… Dowiedzieć się jaka jest tam zwykle pogoda, jakie zachowania nie są akceptowane, na co warto się zaszczepić itd.
Kupowanie szafki zamykanej na klucz to takie pakowanie plecaka przed wyprawą bez wcześniejszego rozeznania. Jeśli wiesz co Ci się przyda, wiesz jakiego plecaka potrzebujesz, co do niego włożyć, na co się przygotować itd. Pakując plecak ot tak narażasz się na błędne decyzję i co najważniejsze w kontekście RODO – jeśli przyjdzie do Ciebie „kontrola plecaka” w żadnym razie nie udowodnisz, że Twój plecak został spakowany w najlepszy z możliwych sposobów!
Właśnie dlatego RODO nakłada na Twój gabinet obowiązek prowadzenia specjalnej dokumentacji. musisz udowodnić, że „rozgryzłaś” temat ochrony danych osobowych. Zakup szafki, czy instalacja alarmu (o ile okażą się potrzebne), są realizacją wniosków, do których doszłaś na etapie robienia dokumentacji, a nie wdrożeniem RODO samym w sobie. Większość z nas nie cierpi dokumentów, ale niestety w tym przypadku musisz je mieć!
Jeśli nie masz ochoty sama ich tworzyć, zerknij do zawartości PAKIETU RODO (TUTAJ) – znajdziesz w nim absolutnie wszystko, czego potrzebujesz.
MIT 2 – Trzeba sobie zorganizować „regulamin RODO”
Gdzieś w dyskusjach na Facebooku padło pytanie: skąd wziąć regulamin RODO? Musisz wiedzieć, że nie ma takiego regulaminu! Nie ma jednego dokumentu, który „załatwi” Ci sprawę RODO – to by było zbyt piękne i zbyt proste! Aby przygotować się do RODO, musisz „wyprodukować” szereg różnych dokumentów. Jeśli potrzebujesz ściągi, zajrzyj TUTAJ – na tej stronie podaję listę dokumentów. Dlaczego potrzeba ich aż tyle?
PRZYKŁAD: chcesz zbudować dom. Prosisz kogoś kto się na tym zna, żeby podał Ci „przepis na dom”. Zapewne spotkasz się z wesołą reakcją – tego nie da się załatwić tak prosto! Dom musi jakoś wyglądać, musisz mieć w nim prąd, wodę, kanalizację itd. Każda z tych dziedzin wymaga osobnego podejścia, oczywiście mając na uwadze całość projektu. Nie znam się na tym, ale doświadczenie życiowe mówi mi, że na pewno nie obędzie się bez architekta, hydraulika, elektryka itd.
Podobnie jest z RODO. Na szczęście w tym przypadku nie trzeba zatrudniać sztabu ekspertów, ale musisz spojrzeć na swój salon beauty z różnych stron. Musisz sprawdzić np.:
gdzie w ogóle pojawiają się dane osobowe,
kto i w jakiej sytuacji ma do nich dostęp,
jakie jest ryzyko w każdej z tych sytuacji, że dane mogą wpaść w niepowołane ręce,
co można zrobić, żeby zmniejszyć to ryzyko itd.
Każda z tych rzeczy wymaga osobnej dokumentacji. Musisz rozłożyć temat danych osobowych na czynniki pierwsze i zachować te swoje rozważania, żeby w przypadku kontroli móc powiedzieć…
Szanowna pani kontrolująca:
tu jest moja dokumentacja RODO,
w moim gabinecie dane osobowe są przetwarzane w takich i takich sytuacjach sytuacjach…
w związku z tym, że istnieje ryzyko wycieku danych (tutaj je przeanalizowałam), wdrożyłam następujące zabezpieczenia…
wszystkie zabezpieczenia spisałam w tym i tym dokumencie,
oczywiście pracownicy są o wszystkim poinformowani (tutaj ma pani podpisane oświadczenia) i wszystko stosują w praktyce,
uznałam, że takie zabezpieczenia są wystarczające.
Pani powie ok i sobie pójdzie, albo powie, że jej zdaniem to jednak powinnaś zrobić jeszcze to i to, da Ci to na piśmie i sobie pójdzie.
To oczywiście duże uproszczenie, ale chciałam Ci po prostu pokazać mniej więcej o co w tym wszystkim chodzi.
MIT 3 – Trzeba zatrudnić sztab prawników i zrobić sobie 10 szkoleń po 15 tysięcy każde
Podejściem odwrotnym do kupowania zamykanej szafki i zamykania tematu RODO, jest uleganie zbiorowej histerii i robienie z RODO potwora, którego może poskromić wyłącznie sztab najlepszych prawników. Owszem temat jest trudny, ale nie należy przesadzać w drugą stronę.
Warto wiedzieć, że:
1) Masz wdrożyć RODO i koniec – to czy wybierzesz się na szkolenie jest wyłącznie Twoją sprawą. Jeśli zdobędziesz wiedzę o RODO w inny sposób i spełnisz wszystkie wymagania, nikt nie będzie od Ciebie wymagał żadnych certyfikatów. Oczywiście od wiedzy się nie umiera, a certyfikat będzie ładnie wyglądał w dokumentacji (zyskasz dodatkowy plusik), niemniej jednak nie jest to wymagane.
2) Pracownicy mają być przeszkoleni w zakresie ochrony danych osobowych – ale tutaj znów: nie musisz ich wysyłać na drogie szkolenie. Jeśli sama wdrożysz się w temat, równie dobrze możesz przeszkolić ich osobiście. W RODO (wbrew pozorom) nie chodzi wyłącznie o generowanie papierów, ale o efekt w postaci chronionych danych. Jeśli sama sprawisz, że Twoi pracownicy będą je chronić, chwała Ci za to! Oczywiście przy okazji musisz wyprodukować trochę dokumentów, np. zobowiązania pracowników do przestrzegania zasad, które ustalisz, ale papier to znowu wniosek-efekt, a nie cel sam w sobie.
3) Musisz skorzystać z usług zewnętrznej firmy, która „wdroży Ci RODO” – RODO musisz wdrożyć sama! Musisz wiedzieć gdzie są dane klientek, w jakiej sytuacji mogą dostać się w niepowołane ręce itd. (pisałam o tym powyżej) – nikt tego nie wie lepiej niż Ty!
Oczywiście duże firmy często zatrudniają ekspertów, którzy wdrażają się w funkcjonowanie firmy i pomagają to wszystko zrobić, ale znowu – nie jest to konieczne! Twoim zadaniem jest ochrona danych, a to możesz zrealizować w dowolny, zgodny z prawem sposób. Możesz wziąć kartkę papieru i wszystko rozpisać sama. Możesz również skorzystać z gotowych dokumentów, np. PAKIETU RODO DLA BRANŻY BEAUTY (znajdziesz go TUTAJ). Możesz wybrać się na szkolenie, posłuchać webinarów… Możliwości jest dużo – najważniejszy jest efekt, czyli zabezpieczenie danych!
Indywidualne wdrożenia RODO dla firm, obejmujące również dane wrażliwe (dane o stanie zdrowia klientek) to koszt nawet 10-15 tysięcy złotych! Nie dlatego, że to jest wiedza tajemna i zakazana, ale dlatego, że trochę w tym podłubać trzeba (szczególnie jeśli robi to ktoś, kto nie ma pojęcia o tym jak funkcjonuje Twój gabinet), a prawnicy zwykle mają dużo większe stawki (np. za godzinę), niż eksperci innych dziedzin… Nie ma również co ukrywać, że temat jest bardzo gorący, ludzie skołowani i łatwiej zdobyć klientów nawet na najdroższe usługi…
Pakiet RODO dostępny w sklepie Gabinetu od zaplecza to znacznie niższy koszt – w zależności od wybranej opcji od 597 do 897 zł. W tej cenie otrzymujesz 135 stron gotowych dokumentów – wszystko, czego wymaga RODO + mnóstwo materiałów pomocniczych i edukacyjnych. Jeśli chcesz poczytać o pakiecie, przejdź TUTAJ.
MIT 4 – RODO to tylko ochrona danych klientek
W dyskusjach o RODO często pada argument:nie prowadzę bazy danych klientek, więc RODO mnie nie obowiązuje.
Warto wiedzieć, że dane osobowe w firmie, to nie tylko dane klientów. Oprócz tego mamy jeszcze np.:
dane pracowników,
dane subskrybentów newslettera,
dane kandydatów do pracy – CV,
dane przedstawicieli handlowych,
dane sprzedawców kosmetyków i sprzętu itd.
W tym ostatnim przypadku, nie dość, że sama gromadzisz dane, to jeszcze pewnie przekazujesz je wraz z fakturami swojej księgowej – tutaj dla przykładu musisz mieć podpisaną z księgową specjalną umowę.
Dane wymienione powyżej również należy chronić i tu też mają zastosowanie przepisy RODO! Niestety, nie tak łatwo wyrwać się spod obowiązywania RODO… W praktyce dla gabinetu kosmetycznego czy fryzjerskiego jest to w zasadzieniemożliwe.
MIT 5 – Nikt nie jest w stanie skontrolować wszystkich firm w Polsce, więc nic mi nie grozi
Rzeczywiście ciężko byłoby skontrolować wszystkie firmy w Polsce, niemniej jednak kontrole będą i na kogoś padnie. Nawet jeśli prawdopodobieństwo jest małe, mając na uwadze wysokie kary lepiej się zabezpieczyć i spać spokojnie. Prowadząc gabinet masz już wystarczająco dużo niepewności i stresu – po co dokładać sobie kolejne problemy?
Kontrola kontrolą, ale prawdziwy problem będziesz mieć, jeśli z Twojego gabinetu wyciekną dane klientek, a Ty nie będziesz w stanie udowodnić, że zrobiłaś wszystko, aby zapewnić im odpowiednią ochronę. Jeśli wyciekną dane wrażliwe, np. dane o stanie zdrowia klientek, będziesz już w naprawdę kiepskiej sytuacji, bo RODO każe chronić takie dane w wyjątkowy sposób. I znów, prawdopodobieństwo, że jakiś haker włamie się do Twojego komputera w celu pozyskania danych o problemach zdrowotnych pani Krysi jest znikome.
Weź jednak pod uwagę, że oprócz hakerów możesz mieć do czynienia np. z nieuczciwą konkurencją lub wściekłym pracownikiem – to już jest znacznie bardziej prawdopodobny scenariusz. Co zrobisz, jeśli pracownik wyniesie z Twojego gabinetu dane klientek? Takie sytuacje zdarzają się stosunkowo często.
Ostatnia, ale jednocześnie najbardziej pomijana przez wszystkich sprawa. W grupie Gabinet kosmetyczny od zaplecza na Facebooku często piszecie o nieuczciwych klientkach, które próbują Was na różne rzeczy naciągnąć. RODO świetnie się do tego nadaje. Co zrobisz, jeśli pewnego pięknego dnia ktoś zażąda od Ciebie odszkodowania, bo zauważył, że jego dane nie są właściwie chronione?
Jak przygotować do RODO swój salon beauty?
Zdaję sobie sprawę, że dla osoby, która nie siedzi w tym temacie, RODO może wydawać się wyzwaniem nie do przejścia. Właśnie dlatego wraz z radcą prawnym Iloną Przetacznik stworzyłyśmy PAKIET DOKUMENTÓW dedykowany właścicielom gabinetów z branży BEAUTY. Znajdziesz tam absolutnie wszystko, czego potrzebujesz. Wszystko dokładnie opisałyśmy naTEJ stronie. Zachęcam Cię serdecznie do wejścia i zapoznania się z zawartością pakietu RODO!
mgr kosmetolog, specjalistka do spraw marketingu i zarządzania w branży beauty. Właścicielka firmy NEZA Group zajmującej się doradztwem i wsparciem marketingowym dla firm działających w branży kosmetycznej oraz bloga Gabinet od zaplecza. Autorka kilku tysięcy artykułów publikowanych w najlepszych mediach branżowych, a także kilkudziesięciu e-booków na temat marketingu i zarządzania salonem beauty. Prywatnie żona i mama.
