RODO w salonie kosmetycznym i fryzjerskim – czy jest się czego obawiać? RODO obowiązuje wszystkich, czy może da się uniknąć tych przepisów? Sprawdź, w jakich sytuacjach w gabinecie kosmetycznym lub fryzjerskim przetwarzane są dane osobowe! Dowiedz się, czy problem dotyczy również Ciebie!
Na temat RODO powstał już bardzo obszerny artykuł – jeśli jeszcze go nie czytałaś, zerknij koniecznie TUTAJ. Znajdziesz tam bardzo dużo informacji na temat tego czym jest RODO i jakie są jego główne założenia. Dziś zrobimy bardzo praktyczne uzupełnienie tamtych informacji.
RODO w salonie kosmetycznym – czy dotyczy również Ciebie?
Zastanawiasz się, czy RODO w ogóle Cię obowiązuje? Przecież nie jesteś jakąś wielką, światową korporacją, tylko większym lub mniejszym, ale obiektywnie nadal małym gabinetem.
Nie masz skomplikowanych systemów informatycznych itd. Niestety, RODO obowiązuje KAŻDĄ firmę – w praktyce nie ma chyba możliwości, aby prowadząc firmę nie przetwarzać danych osobowych. Zawsze robimy to w mniejszym lub większym zakresie. Aby pokazać Ci, czego dokładnie dotyczy problem i gdzie będzie miało zastosowanie RODO, stworzyłam listę sytuacji, w których w salonie kosmetycznym są przetwarzane dane osobowe.
Niektórzy pewnie odnajdą swoją sytuację tylko w kilku punktach lub nawet w jednym, inni może we wszystkich lub w większości… Ponownie jednak dla RODO nie ma większego znaczenia w jakim zakresie przetwarzasz dane. Oczywiście zabezpieczenia należy dopasować do sposobów i zakresu przetwarzania danych, ale na sam fakt obowiązywania RODO nie ma to wpływu. Przetwarzasz dane = „łapiesz się” na RODO!
Teraz wymienię wszystkie sytuacje, w których w salonie kosmetycznym może dojść do przetwarzania danych osobowych.
RODO w salonie kosmetycznym – pierwszy kontakt z klientką
Do przetwarzania danych osobowych dochodzi już zwykle podczas pierwszego kontaktu z klientką:
- klientka wysyła maila z pytaniem o zabieg lub termin – na Twojej poczcie zapisuje się jej e-mail, czasem również imię i nazwisko, numer telefonu – dane są więc dostępne dla Ciebie, ale znajdują się również na Twoim serwerze – mają do nich (może o tym nie wiesz) dostęp np. pracownicy firmy hostingowej,
- klientka zapisuje się na zabieg przez system rezerwacji online – masz jej imię i nazwisko, być może mail, numer telefonu – te dane zapisują się u Ciebie, a dodatkowo w programie rezerwacyjnym – mają do nich dostęp pracownicy tego systemu,
- klientka dzwoni do gabinetu, aby umówić się na wizytę – zwykle podaje imię i nazwisko, numer kontaktowy – zwróć uwagę na fakt, że numery klientek zapisane w telefonie to również zbiór danych osobowych,
- klientka przychodzi umówić się osobiście – zapisujesz imię, nazwisko i numer telefonu…
Niezależnie od sposobu, w jaki klientka się umawia, gdzieś przechowujesz te wszystkie rezerwacje, będzie to np.:
- papierowy kalendarz – musisz go zabezpieczyć fizycznie – tak, aby nie miały do niego dostępu osoby niepowołane,
- kalendarz na komputerze, np. w Excelu – tutaj dochodzi nam komputer, a więc miejsce, które jest potencjalnie narażone np. na ataki hakerów, wirusy zbierające dane itd. – wymaga dodatkowych zabezpieczeń,
- kalendarz internetowy, np. Google – jak wyżej + do danych klientek dostęp mogą mieć również pracownicy firmy, która udostępnia oprogramowanie,
- program do zarządzania gabinetem – o tym pisałam już powyżej w kontekście systemu rezerwacji online – nie dość, że komputer, internet, to jeszcze pracownicy zewnętrznej firmy – we wszystkich takich sytuacjach nie możesz udostępniać im danych klientek ot tak – bez odpowiedniej umowy.
Klientka nawet jeszcze nie położyła się na fotelu, a Ty już masz całą masę danych osobowych wymagających stworzenia odpowiednich zabezpieczeń, podpisania stosownych umów itd.
Jeśli klientka zapisała się na zabieg i chcesz wysłać jej smsa z przypomnieniem o wizycie, na to również powinnaś mieć na to zgodę.
Warto także zwrócić uwagę na monitoring – jeśli masz go w gabinecie. Rejestrowanie wizerunku klientek to również przetwarzanie danych osobowych…
Czy jest możliwość, że nie przetwarzasz danych osobowych w swoim salonie kosmetycznym?
Czy jest możliwość, że przy pierwszym kontakcie z klientką, nie będziesz przetwarzać danych osobowych? Tak, jednak są to sytuacje raczej marginalne, np.:
- klientka przychodzi lub dzwoni tylko po to, żeby o coś zapytać – nie umawia się na wizytę, a Ty nie zapisujesz jej danych,
- klientka zostawia swoją wizytówkę, z której nie korzystasz i nie kontaktujesz się z nią.
RODO w salonie kosmetycznym – pracownicy gabinetu
Zanim przejdziemy do omówienia danych przetwarzanych w związku z wykonywaniem zabiegów, przyjrzyjmy się tematowi pracowników (oczywiście w kontekście RODO), który jest ważny z dwóch powodów:
- dane pracowników to również dane osobowe,
- pracownicy mają dostęp do danych osobowych klientów.
Przetwarzanie danych osobowych w kontekście rekrutacji i zatrudniania
Prowadząc proces rekrutacji zwykle zbierasz CV kandydatów – to również są dane osobowe. W związku z zatrudnianiem pracownika masz wiele obowiązków związanych z ewidencjonowaniem czasu pracy, rozliczeniami, szkoleniami. Wszystkie te procesy generują tony dokumentów, które zawierają dane osobowe. Do wielu z nich ma również dostęp Twoja księgowa, z którą powinnaś podpisać umowę powierzenia przetwarzania danych.
Dostęp pracowników do danych osobowych klientek
RODO wymaga od nas, aby wszystkie osoby, które mają dostęp do danych przetwarzanych w gabinecie miały odpowiednie przeszkolenie i podpisały stosowne dokumenty. Kolejny uciążliwy obowiązek, ale tutaj akurat mamy jeden pozytywny akcent. Czasami niestety zdarza się, że nielojalni pracownicy wynoszą z gabinetu dane klientek. Podpisanie odpowiednich dokumentów da Ci dodatkową ochronę przed taką sytuacją.
RODO w salonie kosmetycznym – przed, w trakcie i po zabiegu, DANE WRAŻLIWE
Pierwszą rzeczą, którą robi nowa klientka podczas pierwszej wizyty w gabinecie jest wypełnienie karty klienta. Znajduje się tam naprawdę dużo danych, np.:
- imię i nazwisko,
- adres, telefon, e-mail,
- informacje o stanie cery, zabiegach stosowanych w przeszłości,
- informacje o chorobach, przyjmowanych lekach – w kontekście przeciwwskazań itd.
Zwróć uwagę na fakt, że dane o stanie zdrowia klientki należą do DANYCH WRAŻLIWYCH, które trzeba chronić w sposób szczególny. Tutaj konsekwencje zaniedbania tematu RODO mogą być naprawdę poważne, czyli po prostu dotkliwe finansowo.
Niezależnie od tego, czy karty klienta prowadzisz w formie papierowej, elektronicznej, czy korzystasz z programu do zarządzania gabinetem, będziesz musiała wdrożyć szereg zabezpieczeń (fizyczne zabezpieczenie dokumentów, ochrona komputera itd.), podpisać stosowne umowy oraz wstawić do karty odpowiednie klauzule informacyjne.
Gdzie jeszcze mamy do czynienia z danymi osobowymi w salonie kosmetycznym?
Zwróć również uwagę na następujące sytuacje:
- dokumentacja przebiegu zabiegu – informacje o zastosowanych produktach, reakcji skóry itd. -najczęściej robimy to w ramach karty klienta,
- informacje na temat upodobań, hobby, prywatnych spraw klientki, które mogą być przydatne z punktu widzenia obsługi klienta i marketingu – np. o tym, że jej córka za tydzień bierze ślub,
- obsługa procesu reklamacji – jeśli dostajesz je na piśmie, to również trzeba katalogować i chronić takie dane,
- maile do klientek, np. po wizycie – pamiętaj, że na wysyłanie takich wiadomości powinnaś mieć zgodę,
- dokumentacja przebiegu sterylizacji – niektórzy umieszczają w niej dane klientek,
- zbiór zgód na wykorzystanie wizerunku – jeśli wstawiasz zdjęcia klientek na stronę www lub do mediów społecznościowych,
- zdjęcia (robione do celów marketingowych lub dokumentacji efektów zabiegów) również powinny zostać odpowiednio zabezpieczone, aby nie dostały się w niepowołane ręce.
Pamiętaj o tym, że samo wprowadzenie zabezpieczeń nie wystarczy. Trzeba również to wszystko odpowiednio dokumentować i aktualizować w razie wystąpienia zmian – np. kolejny zbiór danych, inne zabezpieczenia, nowa firma do wysyłki newsletterów itd.
RODO w salonie kosmetycznym – strona internetowa
Jeśli na Twojej stronie internetowej znajduje się formularz kontaktowy, powinnaś zadbać o odpowiednie zgody na przetwarzanie danych osobowych. Jeśli udostępniasz możliwość zapisania się do newslettera, konieczne będzie również udzielenie odrębnej zgody na przetwarzanie danych do celów marketingowych. W przypadku, w którym wcześniej umieściłaś odpowiednie checkboxy, będziesz musiała tylko uaktualnić zgody zgodnie z nowymi wymogami RODO.
W przypadku, w którym sprzedajesz kosmetyki lub zabiegi online, musisz się zająć nie tylko podstawową ochroną danych i osobnymi zgodami, ale również zatroszczyć się o umowę powierzenia dla firmy obsługującej płatności online, programu do fakturowania online lub biura rachunkowego – jeśli korzystasz z takich narzędzi.
Warto również zwrócić uwagę na komentarze na stronie internetowej, które mogą być kolejnym zbiorem danych osobowych podlegającym ochronie. Znajdują się tam przecież informacje o numerach IP i mailach komentujących osób. Na zwykłych gabinetowych stronach komentarze są raczej rzadkością, ale jeśli prowadzisz np. gabinetowego bloga, możesz mieć kolejny „problem” do rozwiązania.
Jeśli korzystasz np. z programów śledzących wejścia klientek na stronę internetową gabinetu (czyli jesteś w stanie zidentyfikować, jakie konkretnie podstrony odwiedziła dana klientka), to również wymaga podjęcia pewnych działań związanych np. z obowiązkiem informacyjnym.
Przykład: rejestrowanie (w specjalnym programie) informacji, że klientka Kasia, odwiedziła stronę zabiegu antycellulitowego to również przetwarzanie danych osobowych. Kolejny zbiór danych, które trzeba odpowiednio opisać i wdrożyć skuteczne działania, które zabezpieczą takie dane przed dostaniem się w niepowołane ręce. Działania takich programów mogą też ocierać się o tzw. profilowanie.
Dodatkowo w różnych sytuacjach będziemy miały do czynienia ze zbiorami danych powstającymi w wyniku różnych działań marketingowych, np.:
- lista osób, którym rozdano vouchery,
- lista uczestników konkursu,
- lista osób zapisanych na dzień otwarty czy prezentację w gabinecie itd.
RODO w salonie kosmetycznym – jak się przygotować?
W tym momencie dochodzimy do kluczowej sprawy związanej z RODO. Co musisz zrobić, żeby prowadzić gabinet zgodnie z RODO?
Twoje przygotowania muszą objąć kilka obszarów:
- musisz zdobyć wiedzę na temat wymogów RODO – inaczej nie będziesz w stanie wdrożyć tych wymogów w praktyce,
- musisz zabezpieczyć dane – tutaj mam na myśli wszystkie działania, które zwiększą bezpieczeństwo Twoich danych – zgodne z RODO, ale jednocześnie adekwatne do działalności którą wykonujesz i sposobów w jaki przetwarzasz dane; mówiąc prościej, nikt nie będzie od Ciebie wymagał dodatkowego pomieszczenia z alarmem tylko do przechowywania danych, ale w razie kontroli musisz umieć uzasadnić (w oparciu o obowiązujące prawo), że zabezpieczenia, które wdrożyłaś są wystarczające,
- musisz zgromadzić dokumenty, które w razie kontroli pomogą Ci udowodnić, że postępujesz z danymi w sposób właściwy i traktujesz ten temat poważnie.
Z takim przygotowaniem (wedle wszystkich sygnałów na niebie i ziemi) nikt nie powinien nałożyć na Ciebie kary. Ewentualnie dostaniesz jakieś zalecenia, co należy poprawić. W najgorszej sytuacji są firmy, które zignorowały temat RODO i nie zrobiły zupełnie nic!
Gotowy PAKIET RODO dla gabinetów BEAUTY (kosmetyczne, fryzjerskie, podologiczne, SPA itd.)
Jeśli nie masz ochoty samodzielnie tworzyć tych wszystkich dokumentów, możesz kupić gotowy PAKIET RODO dla gabinetów beauty, stworzony we współpracy z doświadczonym radcą prawnym Iloną Przetacznik. Więcej informacji o pakiecie znajdziesz TUTAJ.