Jakie dokumenty powinnaś mieć w gabinecie, aby działać zgodnie z RODO? Czy wystarczy zgoda na przetwarzanie danych osobowych w gabinecie kosmetycznym, czy może potrzeba czegoś więcej? Dowiedz się wszystkiego o niezbędnej dokumentacji RODO dla gabinetów beauty!

RODO nakłada na gabinety kosmetyczne obowiązek prowadzenia obszernej dokumentacji. Musimy dokładnie opisać, w jaki sposób postępujemy z danymi klientek i w jaki sposób je chronimy.

Będę się posługiwać przykładami zaczerpniętymi z PAKIETU RODO DLA BRANŻY BEAUTY. Jeśli nie chcesz samodzielnie tworzyć dokumentacji RODO, możesz rozważyć zakup pakietu, w którym znajdziesz gotowe wzory wszystkich dokumentów przygotowanych właśnie z myślą o gabinetach działających w branży beauty (kosmetyczne, fryzjerskie, medycyny estetycznej itd.) – 23 dokumenty, w sumie 82 strony. Pakiet znajdziesz TUTAJ. Ok, przejdźmy do listy dokumentów.

Polityka bezpieczeństwa informacji – „instrukcja obsługi danych osobowych”

POLITYKA BEZPIECZEŃSTWA INFORMACJI to ogólny dokument, który opisuje sposób ochrony danych osobowych w gabinecie. Można powiedzieć, że jest to taka podstawa RODO. W pakiecie Gabinetu od zaplecza ten dokument ma 16 stron, więc całkiem sporo. Wszystko dlatego, że należy tam dokładnie opisać zasady postępowania z danymi klientek i inne dokumenty, które zostały wdrożone, będę o nich pisać za chwilę.

Uzupełnieniem polityki bezpieczeństwa jest REJESTR CZYNNOŚCI PRZETWARZANIA, w którym zapisujemy wszystko, co dzieje się w naszym gabinecie z danymi osobowymi. Rejestr jest niezbędny w przypadku przetwarzania danych wrażliwych, jakimi są dane o stanie zdrowia klientek.

Instrukcja zarządzania systemem informatycznym, Umowy powierzenia

Jeśli masz komputer, tablet lub smartfon firmowy, korzystasz z programu do rezerwacji online lub innych internetowych narzędzi, w których znajdują się dane klientek, potrzebna będzie również INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM. Czyli w zasadzie coś podobnego do polityki bezpieczeństwa, ale bardziej w kontekście komputera i internetu. W tym dokumencie należy opisać zabezpieczenia, które stosujemy, aby ochronić dane znajdujące się w urządzeniach elektronicznych (np. hasła, szyfrowanie, certyfikat SSL itd.).

Jeśli współpracujesz z zewnętrznymi firmami, np. systemem do zarządzania gabinetem, masz stronę www, która jest umieszczona na serwerze z firmy hostingowej lub nawet przekazujesz faktury swojej księgowej, jesteś zobowiązana do podpisania z tymi firmami UMOWY POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH. Wzór takiej umowy również jest w pakiecie. Chodzi o to, abyś w razie kontroli miała na piśmie, że udostępniasz dostęp do danych swoich klientek zewnętrznej firmie i ta firma zobowiązuje się chronić dane zgodnie z wymogami RODO.

Wszystkie umowy powierzenia należy spisać w REJESTRZE UMÓW POWIERZENIA – wzór rejestru również jest w pakiecie.

Analiza ryzyka – o co chodzi?

ANALIZA RYZYKA DLA PRAW I WOLNOŚCI PODMIOTÓW DANYCH – brzmi okropnie, wiem. W rzeczywistości chodzi o to, żeby wypisać jakie dane przetwarzasz w swoim gabinecie, np.:

  • papierowe karty klienta,
  • maile z newslettera,
  • telefony i nazwiska w firmowym smartfonie itd.

i zastanowić się w jaki sposób te dane mogą dostać się w niepowołane ręce, ulec zniszczeniu itd.  Tworzenie analizy nie jest obowiązkowe, ale w przypadku danych wrażliwych (o stanie zdrowia klientek) naprawdę warto to zrobić. Musisz przewidzieć takie czarne scenariusze i wypisać co dokładnie robisz aby im zapobiec. Taki dokument wraz z mnóstwem przykładów również mamy w pakiecie. Dodatkowo znajdziesz w nim: LISTĘ FIZYCZNYCH, TECHNICZNYCH I ORGANIZACYJNYCH ŚRODKÓW OCHRONY DANYCH OSOBOWYCH STOSOWANYCH PRZEZ ADMINISTRATORA DANYCH – czyli naprawdę sporo praktycznych przykładów do wykorzystania.

Pracownicy gabinetu a RODO

RODO dotyczy nie tylko klientek, ale również pracowników gabinetu. Musisz zapoznać swoich pracowników z zasadami RODO i dać im odpowiednie upoważnienia. Przyda się:

  • UPOWAŻNIENIE DO PRZETWARZANIA DANYCH OSOBOWYCH,
  • WNIOSEK O NADANIE DOSTĘPU DO SYSTEMU INFORMATYCZNEGO,
  • OŚWIADCZENIE O POUFNOŚCI.

Żeby było weselej te wszystkie dokumenty dodatkowo ewidencjonujesz w formie:

  • REJESTRU OSÓB UPOWAŻNIONYCH DO PRZETWARZANIA DANYCH OSOBOWYCH,
  • REJESTRU KONT, OSÓB I SYSTEMÓW PRZETWARZAJĄCYCH DANE OSOBOWE.

Podejrzewam, że w tym miejscu masz już dość. Pomysł na gotowy pakiet dokumentów RODO dla gabinetów beauty powstał z myślą o odciążeniu Cię od konieczności samodzielnego tworzenia takiej dokumentacji. W pakiecie masz gotowe wzory dokumentów, wprawdzie co nieco trzeba tam uzupełnić, ale masz naprawdę dużo instrukcji i przykładów, więc to nie powinno sprawić Ci większego problemu. Jeśli chcesz dowiedzieć się więcej na temat pakietu, zerknij TUTAJ.

Wzory zgód na przetwarzanie danych osobowych

Dotarłyśmy wreszcie do punktu, który jest chyba wszystkim najbardziej znany, mianowicie do zgód wszelkiej maści. Wzory należy dostosować do sposobu postępowania z danymi w Twoim gabinecie. Dla przykładu podaję jakie zgody znajdziesz w PAKIECIE RODO DLA BRANŻY BEAUTY:

  • w związku z wykonaniem zabiegu,
  • w związku z wysyłką newslettera,
  • w związku z kontaktem przez formularz na stronie www,
  • w związku z procesem rekrutacji,
  • zgoda do kwestionariusza osobowego,
  • w związku ze sprzedażą zabiegów/kosmetyków przez sklep internetowy.

Warto dodać, że nie zawsze jest nam potrzebna zgoda, albo raczej nie zawsze dokument, który przedstawiasz klientce będzie nazywany “zgodą”, choć potocznie często właśnie tak to jest określane.

Precyzyjnie mówiąc, główny dokument, który przedstawiasz klientkom to obowiązek informacyjny. Przedstawiasz klientce dokument, w którym informujesz ją w jakim celu zbierasz dane, w jaki sposób będziesz je wykorzystywać itd.

Klientka nie musi wyrażać zgody – musi jedynie zapoznać się z treścią dokumentu, który jej przedstawiłaś. Ciężko udowodnić, że się zapoznała inaczej, niż w formie podpisu, dlatego zwykle odbywa się to właśnie w ten sposób. Stąd pewnie powszechne określanie tej czynności, jako “podpisywanie zgody na przetwarzanie danych”.

Kiedy będziesz potrzebować “prawdziwej” zgody? W uproszczeniu np. wtedy, kiedy zbierasz dane, które będziesz wykorzystywać dla celów marketingowych, czyli np. wysyłać klientce maile lub smsy reklamowe.

Dokumentacja związana z prawami klientek

RODO daje naszym klientom szereg praw, np. usunięcia lub poprawienia swoich danych. Na taką okoliczność trzeba mieć spisane zasady postępowania. W PAKIECIE RODO opracowałyśmy je w formie dokumentu: PROCEDURA REALIZACJI PRAW OSÓB, KTÓRYCH DANE DOTYCZĄ. Kolejna groźna nazwa, ale w skrócie chodzi o wypisanie krok po kroku postępowania np. w sytuacji, w której klientka wchodzi do gabinetu i mówi: proszę usunąć moje dane z Waszej bazy. Taką prostą czynność też niestety trzeba zrobić w pewien ściśle określony sposób.

Przygotuj się na ewentualne problemy!

Ostatnim tematem jest sposób postępowania w przypadku ewentualnych naruszeń. Jeśli z Twojego gabinetu wyciekną dane, np. w związku z awarią lub wirusem na komputerze, musisz mieć wcześniej opracowane schematy postępowania na taką okoliczność, żeby w razie kontroli pokazać, że wiesz co robić. W PAKIECIE RODO dla gabinetów BEAUTY znajdziesz:

  • INSTRUKCJA POSTĘPOWANIA W PRZYPADKU WYSTĄPIENIA INCYDENTU ZWIĄZANEGO Z NARUSZENIEM ZASAD OCHRONY DANYCH OSOBOWYCH,
  • ZGŁOSZENIE INCYDENTU NARUSZENIA OCHRONY DANYCH OSOBOWYCH,
  • REJESTR NARUSZEŃ OCHRONY DANYCH OSOBOWYCH.

To tyle…

Często czytam opinie, że przecież można samodzielnie przygotować się do RODO. Załatwić sobie jakąś nową zgodę i tyle. Jak widzisz jest to „odrobinę” bardziej skomplikowane, niż się wydaje.

Oczywiście możesz sama to wszystko zrobić. Jeśli nie czujesz się na siłach, rozważ zakup PAKIETU RODO DLA BARNŻY BEAUTY. Otrzymasz mnóstwo dokumentów, wskazówek i materiałów edukacyjnych. Nie jest to mała kwota, ale biorąc pod uwagę fakt, że indywidualna pomoc prawnika w tym zakresie kosztuje kilka, a nawet kilkanaście tysięcy złotych, to cena naprawdę nie jest wygórowana. Podobne pakiety w internecie (bez dostosowania do specyfiki pracy w gabinecie beauty) kosztują nawet kilka tysięcy złotych.

Jeśli chcesz dowiedzieć się więcej na temat pakietu RODO – przejdź koniecznie na tę stronę: PAKIET RODO – OPIS.