Radio

Radio HairTrendy

Zamów nasz newsletter

newsletter

Kalendarz imprez

eventy

Hair Trendy TV

ht tv

RODO - czyli 10 błędów jakie najczęściej popełniają salony fryzjerskie i kosmetyczne.

data publikacji  2018-12-28  komentarze  dodaj komentarz
RODO - czyli 10 błędów jakie najczęściej popełniają salony fryzjerskie i kosmetyczne.
zdjęcia hairtrendy

25 maja 2018 roku w Polsce i caÅ‚ej Unii Europejskiej zaczęło być stosowane ogólne rozporzÄ…dzenie o ochronie danych osobowych (RODO).   

Każdy salon fryzjerski i kosmetyczny, który przetwarza (gromadzi/wykorzystuje) dane swoich klientów (np. zapisujÄ…c ich na wizyty i tworzÄ…c karty klienta), czy dane swoich pracowników i współpracowników (niezależnie od tego czy zawarto z nimi umowy o pracÄ™ czy sÄ… osobami współpracujÄ…cymi na podstawie umowy zlecenia/osobami prowadzÄ…cymi dziaÅ‚alność gospodarczÄ…) musi stosować siÄ™ do przepisów RODO. W zwiÄ…zku z tym, nie ma chyba w Polsce salonu, który nie musiaÅ‚by przygotować swojej dziaÅ‚alnoÅ›ci do nowej regulacji. Praktyka jednak pokazuje, że nie jest to zadanie proste i nawet korzystajÄ…c z pomocy firm zewnÄ™trznych czÄ™sto nie udaje siÄ™ uniknąć bÅ‚Ä™dów, które w razie skargi klienta czy kontroli ze strony urzÄ™du mogÄ… narazić salon na poważne konsekwencje. 

Poniżej zostaną omówione najczęstsze błędy jakie w związku z RODO popełniają salony fryzjerskie i kosmetyczne.

1. Brak przygotowania siÄ™ do RODO

Pierwszym, najbardziej doniosÅ‚ym bÅ‚Ä™dem jest brak przygotowania siÄ™ do nowej regulacji. Choć znaczna część salonów fryzjerskich i kosmetycznych podjęła już dziaÅ‚ania w zwiÄ…zku z przygotowaniem siÄ™ do RODO, pozostaje jeszcze wiele salonów, które albo w ogóle nie sÅ‚yszaÅ‚y o RODO, albo sÅ‚yszaÅ‚y i jeszcze nie rozpoczęły przygotowaÅ„. Część salonów uważa, że nie musi tego robić bo np. korzysta z portalu do rezerwacji, który odpowiada za dane klientów rezerwujÄ…cych wizyty w salonie za jego poÅ›rednictwem, a w zakresie danych pracowników – z usÅ‚ug ksiÄ™gowego czy zewnÄ™trznej kadrowej. Nic bardziej mylnego. Okoliczność korzystania z innych podmiotów (dostarczajÄ…cych system do rezerwacji, czy obsÅ‚ugÄ™ ksiÄ™gowÄ…) nie oznacza, że salon fryzjerski czy kosmetyczny nie bÄ™dzie odpowiadaÅ‚ za przestrzeganie przepisów RODO i nie bÄ™dzie miaÅ‚ w tym zakresie żadnych wÅ‚asnych obowiÄ…zków i to zarówno wobec klientów/pracowników (np. speÅ‚nienia obowiÄ…zku informacyjnego zgodnie z art. 13 i 14 RODO), jak i wobec firm zewnÄ™trznych (zawarcia umowy powierzenia danych do przetwarzania z firmÄ… ksiÄ™gowÄ… zgodnie z art. 28 ust. 3 RODO). Salony fryzjerskie i kosmetyczne powinny zatem przygotować siÄ™ do RODO, niezależnie od współpracy z innymi podmiotami w zakresie przetwarzania danych. Brak speÅ‚nienia wymogów RODO może wiÄ…zać siÄ™ z naÅ‚ożeniem na salon fryzjerski lub kosmetyczny administracyjnej kary pieniężnej – do 4% caÅ‚kowitego rocznego obrotu lub poniesienia odpowiedzialnoÅ›ci cywilnoprawnej wobec osoby, której dane dotyczÄ… (zapÅ‚aty na jej rzeczy odszkodowania).

2. Brak informowania klientów o wszystkich niezbędnych kwestiach

Kluczowym obowiązkiem wynikającym z RODO jest spełnienie wobec osób, których dane są przetwarzane obowiązku informacyjnego. Obowiązek informacyjny został uregulowany w art. 13 i odpowiednio i zakłada, że należy przekazać osobom, których dane są przetwarzane określone w przepisach informacje.

Są one następujące:

  • swoja tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;
  • gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;
  • cele przetwarzania danych osobowych, oraz podstawÄ™ prawnÄ… przetwarzania;
  • jeżeli przetwarzanie odbywa siÄ™ na podstawie art. 6 ust. 1 lit. f) – prawnie uzasadnione interesy realizowane przez administratora lub przez stronÄ™ trzeciÄ…;
  • informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istniejÄ…
  • gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do paÅ„stwa trzeciego lub organizacji miÄ™dzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez KomisjÄ™ odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankÄ™ o odpowiednich lub wÅ‚aÅ›ciwych zabezpieczeniach oraz o możliwoÅ›ciach uzyskania kopii danych lub o miejscu udostÄ™pnienia danych.

Poza informacjami, o których mowa powyżej , podczas pozyskiwania danych osobowych administrator podaje osobie, której dane dotyczą, następujące inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania:

  • okres, przez który dane osobowe bÄ™dÄ… przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
  • informacje o prawie do żądania od administratora dostÄ™pu do danych osobowych dotyczÄ…cych osoby, której dane dotyczÄ…, ich sprostowania, usuniÄ™cia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
  • jeżeli przetwarzanie odbywa siÄ™ na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) – informacje o prawie do cofniÄ™cia zgody w dowolnym momencie bez wpÅ‚ywu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofniÄ™ciem;
  • informacje o prawie wniesienia skargi do organu nadzorczego;
  • informacjÄ™, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczÄ…, jest zobowiÄ…zana do ich podania i jakie sÄ… ewentualne konsekwencje niepodania danych;
  • informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczÄ….

Wiele salonów fryzjerskich i kosmetycznych wyposażyÅ‚o siÄ™ w klauzule informacyjne, które wrÄ™czane sÄ… klientom do podpisu. Niemniej jednak, czÄ™sto te klauzule sÄ… bÅ‚Ä™dne lub nie zawierajÄ… wszystkich wymaganych informacji, ograniczajÄ… siÄ™ np. jedynie do odebrania zgody na przesyÅ‚anie e-maili/smsów w celach marketingowych, nie wskazujÄ…c na wszystkie cele do jakich dane osobowe klientów sÄ… wykorzystywane. Tymczasem salony fryzjerskie przetwarzajÄ… dane osobowe przede wszystkim w celu zawarcia i realizacji umowy, w tym dokonania rezerwacji na życzenie klienta (zgodnie z art. 6 ust. 1 lit. b RODO). Jeżeli klient bÄ™dzie niezadowolony z usÅ‚ugi i zdecyduje siÄ™ na zÅ‚ożenie reklamacji – jego dane bÄ™dÄ… przetwarzane w celu rozpatrzenia tej reklamacji (art. 6 ust.1 lit. f RODO).

W takiej sytuacji, dane czÄ™sto sÄ… przechowywane do celu dochodzenia, ustalenia lub obrony przez roszczeniami zwiÄ…zanymi z realizacjÄ… umowy (art. 6 ust. 1 lit. f RODO). Jeżeli salon fryzjerski lub kosmetyczny udostÄ™pnia klientom możliwość kontaktu przez formularz kontaktowy na swojej stronie internetowej – bÄ™dzie dochodziÅ‚o do przetwarzania danych w celu udzielenia odpowiedzi na zadane przez formularz pytanie (art. 6 ust. 1 lit. f RODO). Z korzystaniem ze strony internetowej salonu może być zwiÄ…zane przetwarzanie danych charakteryzujÄ…cych sposób korzystania ze strony przez osoby, które jÄ… odwiedzajÄ… (tzw. danych eksploatacyjnych), które bÄ™dÄ… przetwarzane w celu prowadzenia strony internetowej salonu i dbania o jej jakość (art. 6 ust. 1 lit. f RODO). O wszystkich celach przetwarzania danych klienci powinni być informowani (odnoÅ›nie momentu poinformowania – zob. poniżej), a brak przekazania tych informacji stanowi naruszenie art. 13 RODO. W realizacji powyższych obowiÄ…zków pomocne może być posiadanie polityki prywatnoÅ›ci, która kompleksowo opisuje wszystkie cele przetwarzania oraz zawiera wszystkie wyżej wskazane informacje.

W kontekście obowiązku informowania klientów o przetwarzaniu danych osobowych należy zwrócić uwagę także na obowiązek informacyjny wskazany w art. 14 RODO, który należy spełnić w przypadku zbierania danych nie bezpośrednio od osoby, której dane dotyczą. Zasadniczo zakres informacji, które należy przekazać klientowi będzie zbliżony do tych wskazanych powyżej. Niemniej jednak, należy go jeszcze poinformować o źródle pochodzenia danych i kategoriach pozyskanych danych.

Co to w praktyce oznacza?

Jeżeli pozyskaliÅ›my dane klienta z serwisu do zamawiania wizyt, w którym klient ten ma konto, powinniÅ›my poinformować o tym klienta – należy także wskazać jakie dane pozyskaliÅ›my z tego serwisu. Może to mieć nastÄ™pujÄ…cÄ… postać: Twoje dane osobowe w postaci imienia, nazwiska i numeru telefonu pozyskaliÅ›my z serwisu XYZ, za poÅ›rednictwem którego dokonaÅ‚eÅ› rezerwacji wizyty. OczywiÅ›cie niezależnie od tego, należy poinformować klientów o pozostaÅ‚ych kwestiach wskazanych powyżej.

3. Brak informowanie klientów w odpowiednim momencie i we wszystkich miejscach

Jak już zostaÅ‚o wyżej wskazane, salony fryzjerskie i kosmetyczne mogÄ… zbierać dane osobowe o swoich klientach z różnych źródeÅ‚. Prócz samego obowiÄ…zku poinformowania o przetwarzaniu danych (zgodnie z tym co zostaÅ‚o wskazane w punkcie 2 powyżej), salony te powinny zwrócić uwagÄ™ na odpowiedni moment przekazania informacji – niestety jak pokazuje praktyka, czÄ™sto informacje sÄ… przekazywane za późno (dopiero po zebraniu danych), co jest niezgodne z RODO.

Tymczasem, jeżeli dane sÄ… zbierane bezpoÅ›rednio od klientów należy speÅ‚nić obowiÄ…zki informacyjne z art. 13 RODO (wskazane w punkcie 2 powyżej) w momencie zbierania danych. Można siÄ™ zastanowić w jaki sposób przekazać tyle informacji klientowi, gdy zbieranie danych nastÄ™pujÄ™ droga telefonicznÄ… – np. klient dzwoni by zapisać siÄ™ na wizytÄ™ i wpisujemy go do systemu rezerwacyjnego (a w salonie pojawi siÄ™ dopiero za kilka dni). Choć nie wynika to bezpoÅ›rednio z treÅ›ci RODO – Prezes UrzÄ™du Ochrony Danych Osobowych (organ, który w Polsce czuwa nad przestrzeganiem przepisów RODO), rozwiÄ…zaniem w takim przypadku wydaje siÄ™ być tzw. warstwowe przekazywanie informacji.

Warstwowe przekazywanie informacji polega na wskazaniu osobie, której dane dotyczą, jedynie najistotniejszych elementów wynikających z art. 13 lub 14 RODO (np. kto jest administratorem, w jakim celu dane są przetwarzane), odsyłając jednocześnie do pełnej treści obowiązku informacyjnego, np. na konkretnej stronie internetowej. Takie rozwiązanie jest dopuszczalne w przypadku, gdy administrator z uwagi na kontekst przetwarzania danych oraz narzędzia komunikacji nie ma możliwości, żeby wykonać w pełni obowiązek informacyjny lub byłoby to utrudnione.

Ponadto, jeżeli dane są zbierane nie bezpośrednio od klienta (a np. salon otrzymuje je od portalu do rezerwacji wizyt a nie od samego klienta), informacje mogą być przekazane:

  • w rozsÄ…dnym terminie po pozyskaniu danych osobowych – najpóźniej w ciÄ…gu miesiÄ…ca – majÄ…c na uwadze konkretne okolicznoÅ›ci przetwarzania danych osobowych;
  • jeżeli dane osobowe majÄ… być stosowane do komunikacji z osobÄ…, której dane dotyczÄ… – najpóźniej przy pierwszej takiej komunikacji z osobÄ…, której dane dotyczÄ…; lub
  • jeżeli planuje siÄ™ ujawnić dane osobowe innemu odbiorcy – najpóźniej przy ich pierwszym ujawnieniu.

Należy także zwrócić uwagÄ™ na obowiÄ…zek przekazania klauzuli informacyjnej we wszystkich miejscach, w których zbierane sÄ… dane. CzÄ™sto salony fryzjerskie czy kosmetyczne przekazujÄ… klauzulÄ™ informacyjnÄ… jedynie w salonie, klientom którzy zapisujÄ… siÄ™ telefonicznie na wizyty. ZapominajÄ… o tym, by poinformować klientów, którzy zapisujÄ… siÄ™ np. przez stronÄ™ internetowÄ… czy np. facebooka. Nie informujÄ… o przetwarzaniu danych poprzez formularz kontaktowych (oraz jak zostaÅ‚o już wyżej wskazane – wszystkich celach przetwarzania).

4. Brak zbierania zgód na przetwarzanie danych dot. stanu zdrowia (alergie, uczulenia)

Zwłaszcza w salonach kosmetycznych, które przed rozpoczęciem zabiegu robią tak zwany wywiad, zbierając do kartoteki pacjenta informację o alergiach, uczuleniach, chorobach skórnych, czy przebytych operacjach dochodzi do przetwarzania tzw. danych osobowych wrażliwych (danych dotyczących stanu zdrowia). Przetwarzanie takich danych jest co do zasady zabronione, chyba że uzyskana zostanie wyraźna zgoda na ich przetwarzanie (art. 9 ust. 2 lit. a rodo). Częstym błędem jest brak zbierania takiej zgody.

Co ważne, zgoda powinna spełnić warunki określone w RODO:

  • Jeżeli przetwarzanie odbywa siÄ™ na podstawie zgody, administrator musi być w stanie wykazać, że osoba, której dane dotyczÄ…, wyraziÅ‚a zgodÄ™ na przetwarzanie swoich danych osobowych.
  • Jeżeli osoba, której dane dotyczÄ…, wyrażą zgodÄ™ w pisemnym oÅ›wiadczeniu, które dotyczy także innych kwestii, zapytanie o zgodÄ™ musi zostać przedstawione w sposób pozwalajÄ…cy wyraźnie odróżnić je od pozostaÅ‚ych kwestii, w zrozumiaÅ‚ej i Å‚atwo dostÄ™pnej formie, jasnym i prostym jÄ™zykiem. Część takiego oÅ›wiadczenia osoby, której dane dotyczÄ…, stanowiÄ…ca naruszenie niniejszego rozporzÄ…dzenia nie jest wiążąca.
  • Osoba, której dane dotyczÄ…, ma prawo w dowolnym momencie wycofać zgodÄ™. Wycofanie zgody nie wpÅ‚ywa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Osoba, której dane dotyczÄ…, jest o tym informowana, zanim wyrazi zgodÄ™. Wycofanie zgody musi być równie Å‚atwe jak jej wyrażenie.

Niezależnie od speÅ‚nienia wyżej wskazanych wymogów, należy przekazać wszystkie informacje wskazane w punkcie 2 powyżej – bÅ‚Ä™dem jest zbieranie samej zgody, bez podania wszystkich wymaganych informacji.

5. Brak zbierania zgód na komunikację marketingową (e-mail, sms)

WÅ›ród bÅ‚Ä™dów które sÄ… popeÅ‚niane przez salony fryzjerskie i kosmetycznie znajduje siÄ™ także wysyÅ‚anie informacji handlowych (marketingowych) bez zgody klienta. Wymogi zwiÄ…zane z uzyskaniem takiej zgody sÄ… okreÅ›lone przez przepisy szczególne – ustawÄ™ o Å›wiadczeniu usÅ‚ug drogÄ… elektronicznÄ… i prawo telekomunikacyjne. CzÄ™sto zdarza siÄ™ tak, że klient udostÄ™pnia numer telefonu na potrzeby rezerwacji wizyty, a tymczasem numer ten trafia do bazy, do której nastÄ™pnie wysyÅ‚ane sÄ… smsy o promocjach.

Takie dziaÅ‚ania sÄ… niedopuszczalne i naruszajÄ… nie tylko wyżej wskazane ustawy, które zabraniajÄ… wysyÅ‚ki e-maili, smsów czy telefonów marketingowych bez zgody klienta, ale także z przepisami RODO i zasadÄ… ograniczenia celu przetwarzania. Zgodnie z tÄ… zasadÄ… dane sÄ… zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami. Oznacza to, że jeÅ›li ktoÅ› udostÄ™pniÅ‚ nam swoje dane w okreÅ›lonym celu (rezerwacji wizyty), to nie możemy wykorzystywać ich w innych celach (wysyÅ‚ania smsów o promocjach). Należy także speÅ‚nić wymogi o których mowa w punkcie 2 powyżej, a w zakresie warunków udzielania zgody – w punkcie 4 powyżej.

6. Brak zbierania zgód na rozpowszechnianie wizerunku (np. zdjÄ™cia „przed” i „po”)

CzÄ™stÄ… praktykÄ… majÄ…cÄ… miejsce w salonach fryzjerskich i kosmetycznych jest wrzucanie do mediów spoÅ‚ecznoÅ›ciowych zdjęć „przed” i „po” wizycie. W mediach spoÅ‚ecznoÅ›ciowych umieszczane sÄ… także zdjÄ™cia pracowników (przy pracy, z imprez firmowych). Tymczasem wizerunek może stanowić danÄ… osobowÄ…, a ponadto jego rozpowszechnianie podlega ochronie przewidzianej przepisami prawa autorskiego. BÅ‚Ä™dem, który popeÅ‚nia wiele salonów jest brak speÅ‚niania wymogów w zakresie zbierania odpowiednich zgód, które pozwalajÄ… na zgodnÄ… z prawem publikacje zdjęć (klientów/ pracowników).

Oczywiście, jeżeli w internecie umieszczane jest zdjęcie obejmujące wyłącznie fryzurę klienta (z tyłu, bez pokazania twarzy), nie musi dochodzić do rozpowszechniania wizerunku i przetwarzania danych w tym zakresie. Niemniej jednak, często zdjęcia pokazują twarz (profil) danej osoby. W przypadku pracowników umieszczane zdjęcia pokazują już całą podobiznę, co w przypadku opublikowania ich w mediach społecznościowych (facebook, instagram itp.) czy na stronie internetowej salonu stanowi rozpowszechnienie wizerunku.

Zgodnie z art. 81 prawa autorskiego rozpowszechnianie wizerunku wymaga zezwolenia osoby na nim przedstawionej. W braku wyraźnego zastrzeżenia zezwolenie nie jest wymagane, jeżeli osoba ta otrzymała umówioną zapłatę za pozowanie Zezwolenia nie wymaga rozpowszechnianie wizerunku:

  1. osoby powszechnie znanej, jeżeli wizerunek wykonano w związku z pełnieniem przez nią funkcji publicznych, w szczególności politycznych, społecznych, zawodowych;
  2. osoby stanowiącej jedynie szczegół całości takiej jak zgromadzenie, krajobraz, publiczna impreza.

WyjaÅ›nić przy tym należy, że zdjÄ™cie grupki pracowników np. na imprezie firmowej nie może być uznane za fotografowanie „osoby stanowiÄ…cej jedynie szczegół caÅ‚oÅ›ci”. Salony fryzjerskie i kosmetyczne powinny zatem zbierać zgody nie tylko od klientów, których zdjÄ™cia publikujÄ… w internecie, ale także od swoich pracowników. Okoliczność, że ktoÅ› jest zatrudniony w salonie, nie przesÄ…dza o tym, że salon ten jako jego pracodawca może dowolnie dysponować jego wizerunkiem.

7. Brak poinformowania o monitoringu wizyjnym

W dzisiejszych czasach trudno wyobrazić sobie miejsce w którym nie ma monitoringu wizyjnego – jest on czÄ™sto montowany w salonach fryzjerskich i kosmetycznych (np. przed wejÅ›ciem do salonu). Stosowanie monitoringu zostaÅ‚o uregulowane przepisami kodeksu pracy zmienionego ustawÄ… z dnia 10 maja ochronie danych osobowych. Zgodnie z art. 22[2] § 1 kodeksu pracy monitoring wizyjny może być stosowany w celu zapewnienie bezpieczeÅ„stwa pracowników, ochrony mienia, kontroli produkcji oraz zachowania w tajemnicy informacji, których ujawnienie mogÅ‚oby narazić pracodawcÄ™ na szkodÄ™. Przepisy okreÅ›lajÄ… nie tylko dopuszczalne cele stosowania monitoringu, ale także czas przechowywania nagraÅ„ z monitoringu, obszar stosowania monitoringu oraz miejsca w których jego stosowanie jest zakazane.

Przepisy regulują także w sposób złożony obowiązek informowania o monitoringu. Należy tego dokonać poprzez:

  • podanie informacji o celach, zakresie oraz sposobie zastosowania monitoringu w regulaminie pracy lub obwieszczeniu,
  • podanie informacji o celach, zakresie oraz sposobie zastosowania monitoringu pracownikowi na piÅ›mie przed dopuszczeniem go do pracy,
  • poinformowania o stosowaniu monitoringu w sposób zwyczajowo przyjÄ™ty u danego pracodawcy,
  • oznaczenia pomieszczeÅ„ i terenu monitorowanego,
  • speÅ‚nienie obowiÄ…zek informacyjny na zasadach wynikajÄ…cych z art. 13 RODO (zob. pkt 2 powyżej)

Z racji tego, że obowiÄ…zki wskazane powyżej sÄ… skomplikowane, a ponadto nie wynikajÄ… z samego RODO a ze zmian wprowadzonych w kodeksie pracy nowÄ… ustawÄ… o ochronie danych osobowych, wiele salonów fryzjerskich i kosmetycznych zapomina o ich realizacji lub realizuje je w sposób niepeÅ‚ny - np. wyÅ‚Ä…cznie oznaczajÄ…c pomieszczenie monitorowane „naklejkÄ…” z obrazkiem kamery. Takie postÄ™powanie jest nieprawidÅ‚owe.

8. Brak spełnienia obowiązków wobec pracowników salonu

Częstym błędem we wdrożeniu RODO przez salony fryzjerskie i kosmetyczne jest skupienie się w podejmowanych działaniach wyłącznie na klientach salonu. Salony zapominają, że prócz danych klientów przetwarzają także dane osobowe swoich pracowników i z tym również związane są obowiązki wynikające z RODO. Analogicznie jak w przypadku klientów, tak w przypadku pracowników, salon fryzjerski i kosmetyczny powinien spełnić obowiązek informacyjny wskazany w art. 13 RODO, zawierający wszystkie wskazane tam elementy, powinien odebrać od nich zgody (tam gdzie jest to niezbędne np. na wykorzystanie ich wizerunku) oraz odpowiednio zabezpieczyć ich dane (art. 32 RODO).

9. Brak wypełnienia dokumentów i procedur, które wymaga RODO.

RODO to nie tylko klauzule informacyjne, zgody, polityki prywatności (to co widoczne na zewnątrz), ale także wiele innych wymogów, o czym często zapominają salony fryzjerskie i kosmetyczne. Zgodnie z art. 24 ust. 1 RODO administrator ma obowiązek wdrożyć odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z RODO i aby móc to wykazać. Środki te mogą przy tym obejmować, zgodnie z art. 24 ust. 2 rodo, wdrożenie przez administratora odpowiednich polityk ochrony danych. RODO wskazuje także bezpośrednio na pewne obowiązki dokumentacyjne administratora. I tak, zgodnie z rodo, administrator danych:

  • dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okolicznoÅ›ci naruszenia ochrony danych osobowych, jego skutki oraz podjÄ™te dziaÅ‚ania zaradcze. Dokumentacja ta musi pozwolić organowi nadzorczemu weryfikowanie przestrzegania artykuÅ‚u 33 rodo,
  • dokumentuje polecenie przetwarzania danych podmiotowi przetwarzajÄ…cemu,
  • zawiera umowÄ™ powierzenia danych do przetwarzania w formie pisemnej, w tym elektronicznej,
  • wyraża pisemnÄ… zgodÄ™ na skorzystanie z dalszego podmiotu przetwarzajÄ…cego,
  • prowadzi rejestr czynnoÅ›ci przetwarzania w formie pisemnej, w tym elektronicznej,
  • w przypadku przekazaÅ„ do paÅ„stwa trzeciego, o których mowa w art. 49 ust. 1 akapit drugi, dokumentuje ocenÄ™ oraz stosowanie odpowiednich zabezpieczeÅ„,
  • wyznacza przedstawiciela za pomocÄ… pisemnego upoważnienia do podejmowania dziaÅ‚aÅ„ w jego imieniu w odniesieniu do obowiÄ…zków wynikajÄ…cych z rozporzÄ…dzenia,
  • udziela na piÅ›mie lub w inny sposób, w tym w stosownych przypadkach – elektronicznie informacji podmiotom danych w ramach wykonywania ich praw.

Ponadto, jak wskazał Prezes Urzędu Ochrony Danych Osobowych (Dokumentacja przetwarzania danych osobowych zgodnie z RODO) niezależnie od obowiązków dokumentacyjnych (wskazanych powyżej) administrator ma być w stanie wykazać całościowo zgodność przetwarzania danych, co w praktyce oznacza, że ma on obowiązek wykazać, że:

  • stosuje siÄ™ do ogólnych zasad przetwarzania okreÅ›lonych w art. 5 RODO,
  • zapewnia, aby dane przetwarzane byÅ‚y zgodnie z prawem – art. 6 – 11 RODO,
  • zapewnia, aby przestrzegane byÅ‚y prawa osób, których dane sÄ… przetwarzane – art. 12-23 RODO
  • zapewnia wypeÅ‚nianie ogólnych obowiÄ…zków w zakresie przetwarzania danych ciążących na administratorze i podmiocie przetwarzajÄ…cym – art. 24 – 31 RODO,
  • zapewnia bezpieczeÅ„stwo przetwarzania danych uwzglÄ™dniajÄ…c charakter zakres, kontekst i cele przetwarzania danych – art. 32- 36 RODO,
  • zapewnia kontrolÄ™ nad przetwarzaniem danych w postaci monitorowanie przestrzegania przepisów i przyjÄ™tych procedur przetwarzania przez Inspektora Ochrony Danych lub podmioty certyfikujÄ…ce, czy monitorujÄ…ce przestrzeganie przyjÄ™tych kodeksów postepowania – art. 27- 43,
  • stosuje siÄ™ do wymagaÅ„ w zakresie przekazywania danych do paÅ„stw trzecich i instytucji miÄ™dzynarodowych – art. 44 – 49 RODO.

W konsekwencji, salony fryzjerskie i kosmetyczne powinny przyjąć także dokumenty wewnętrzne by zapewnić zgodność z RODO (wykazać, że stosują wskazane zasady). Kluczowe będzie wypełnienie rejestru czynności przetwarzania, przygotowanie rejestru naruszeń oraz przygotowanie ogólnej polityki ochrony danych, która opisze kwestie realizacji pozostałych zasad.

10. Brak odpowiedniego uregulowania współpracy z podwykonawcami.

Salony fryzjerskie i kosmetyczne często zapominają o uregulowaniu współpracy z podmiotami zewnętrznymi, które świadczą usługi na ich rzecz i w związku z tym przetwarzają dane osobowe w ich imieniu. Do takich podmiotów należeć będzie np. zewnętrzna księgowość, zewnętrzne prowadzenie spraw kadrowych czy hosting strony internetowej przez firmę informatyczną. Firmy te, świadcząc swoje usługi na rzecz salonu uzyskują dostęp do jego danych osobowych (zawartych na fakturach, w teczkach pracowniczych, czy na stronie internetowej).

Z takimi podmiotami należy zawrzeć umowę powierzenia danych do przetwarzania o której mowa w art. 28 RODO, która będzie zawierała wszystkie wskazane tam elementy i na mocy której będą oni mogli przetwarzać dane w imieniu salonu. Co więcej salon ponosi odpowiedzialność za naruszenie przepisów o ochronie danych dokonane przez takiego podwykonawcę. Dlatego też, salony nie powinny bagatelizować tej kwestii.

Radca prawny Patrycja Kozik – GKK Gumularz Kozik Radcowie Prawni (www.gkklegal.pl)

 


 


Komentarze

Davines
Montibello
Kaaral manniskan
RoKoKo facet
ab Moroccanoil
Keune Jott

przejdź do galerii fryzurprzejdź do galeri fryzur


wydarzeniaNadchodzÄ…ce wydarzenia

pełne kalendariumprzejdź do galeri fryzur