25 maja 2018 roku w Polsce i całej Unii Europejskiej zaczęło być stosowane ogólne rozporządzenie o ochronie danych osobowych (RODO).
Każdy salon fryzjerski i kosmetyczny, który przetwarza (gromadzi/wykorzystuje) dane swoich klientów (np. zapisując ich na wizyty i tworząc karty klienta), czy dane swoich pracowników i współpracowników (niezależnie od tego czy zawarto z nimi umowy o pracę czy są osobami współpracującymi na podstawie umowy zlecenia/osobami prowadzącymi działalność gospodarczą) musi stosować się do przepisów RODO. W związku z tym, nie ma chyba w Polsce salonu, który nie musiałby przygotować swojej działalności do nowej regulacji. Praktyka jednak pokazuje, że nie jest to zadanie proste i nawet korzystając z pomocy firm zewnętrznych często nie udaje się uniknąć błędów, które w razie skargi klienta czy kontroli ze strony urzędu mogą narazić salon na poważne konsekwencje.
Pierwszym, najbardziej doniosÅ‚ym bÅ‚Ä™dem jest brak przygotowania siÄ™ do nowej regulacji. Choć znaczna część salonów fryzjerskich i kosmetycznych podjęła już dziaÅ‚ania w zwiÄ…zku z przygotowaniem siÄ™ do RODO, pozostaje jeszcze wiele salonów, które albo w ogóle nie sÅ‚yszaÅ‚y o RODO, albo sÅ‚yszaÅ‚y i jeszcze nie rozpoczęły przygotowaÅ„. Część salonów uważa, że nie musi tego robić bo np. korzysta z portalu do rezerwacji, który odpowiada za dane klientów rezerwujÄ…cych wizyty w salonie za jego poÅ›rednictwem, a w zakresie danych pracowników – z usÅ‚ug ksiÄ™gowego czy zewnÄ™trznej kadrowej. Nic bardziej mylnego. Okoliczność korzystania z innych podmiotów (dostarczajÄ…cych system do rezerwacji, czy obsÅ‚ugÄ™ ksiÄ™gowÄ…) nie oznacza, że salon fryzjerski czy kosmetyczny nie bÄ™dzie odpowiadaÅ‚ za przestrzeganie przepisów RODO i nie bÄ™dzie miaÅ‚ w tym zakresie żadnych wÅ‚asnych obowiÄ…zków i to zarówno wobec klientów/pracowników (np. speÅ‚nienia obowiÄ…zku informacyjnego zgodnie z art. 13 i 14 RODO), jak i wobec firm zewnÄ™trznych (zawarcia umowy powierzenia danych do przetwarzania z firmÄ… ksiÄ™gowÄ… zgodnie z art. 28 ust. 3 RODO). Salony fryzjerskie i kosmetyczne powinny zatem przygotować siÄ™ do RODO, niezależnie od współpracy z innymi podmiotami w zakresie przetwarzania danych. Brak speÅ‚nienia wymogów RODO może wiÄ…zać siÄ™ z naÅ‚ożeniem na salon fryzjerski lub kosmetyczny administracyjnej kary pieniężnej – do 4% caÅ‚kowitego rocznego obrotu lub poniesienia odpowiedzialnoÅ›ci cywilnoprawnej wobec osoby, której dane dotyczÄ… (zapÅ‚aty na jej rzeczy odszkodowania).
Kluczowym obowiązkiem wynikającym z RODO jest spełnienie wobec osób, których dane są przetwarzane obowiązku informacyjnego. Obowiązek informacyjny został uregulowany w art. 13 i odpowiednio i zakłada, że należy przekazać osobom, których dane są przetwarzane określone w przepisach informacje.
Są one następujące:
Poza informacjami, o których mowa powyżej , podczas pozyskiwania danych osobowych administrator podaje osobie, której dane dotyczą, następujące inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania:
Wiele salonów fryzjerskich i kosmetycznych wyposażyÅ‚o siÄ™ w klauzule informacyjne, które wrÄ™czane sÄ… klientom do podpisu. Niemniej jednak, czÄ™sto te klauzule sÄ… bÅ‚Ä™dne lub nie zawierajÄ… wszystkich wymaganych informacji, ograniczajÄ… siÄ™ np. jedynie do odebrania zgody na przesyÅ‚anie e-maili/smsów w celach marketingowych, nie wskazujÄ…c na wszystkie cele do jakich dane osobowe klientów sÄ… wykorzystywane. Tymczasem salony fryzjerskie przetwarzajÄ… dane osobowe przede wszystkim w celu zawarcia i realizacji umowy, w tym dokonania rezerwacji na życzenie klienta (zgodnie z art. 6 ust. 1 lit. b RODO). Jeżeli klient bÄ™dzie niezadowolony z usÅ‚ugi i zdecyduje siÄ™ na zÅ‚ożenie reklamacji – jego dane bÄ™dÄ… przetwarzane w celu rozpatrzenia tej reklamacji (art. 6 ust.1 lit. f RODO).
W takiej sytuacji, dane czÄ™sto sÄ… przechowywane do celu dochodzenia, ustalenia lub obrony przez roszczeniami zwiÄ…zanymi z realizacjÄ… umowy (art. 6 ust. 1 lit. f RODO). Jeżeli salon fryzjerski lub kosmetyczny udostÄ™pnia klientom możliwość kontaktu przez formularz kontaktowy na swojej stronie internetowej – bÄ™dzie dochodziÅ‚o do przetwarzania danych w celu udzielenia odpowiedzi na zadane przez formularz pytanie (art. 6 ust. 1 lit. f RODO). Z korzystaniem ze strony internetowej salonu może być zwiÄ…zane przetwarzanie danych charakteryzujÄ…cych sposób korzystania ze strony przez osoby, które jÄ… odwiedzajÄ… (tzw. danych eksploatacyjnych), które bÄ™dÄ… przetwarzane w celu prowadzenia strony internetowej salonu i dbania o jej jakość (art. 6 ust. 1 lit. f RODO). O wszystkich celach przetwarzania danych klienci powinni być informowani (odnoÅ›nie momentu poinformowania – zob. poniżej), a brak przekazania tych informacji stanowi naruszenie art. 13 RODO. W realizacji powyższych obowiÄ…zków pomocne może być posiadanie polityki prywatnoÅ›ci, która kompleksowo opisuje wszystkie cele przetwarzania oraz zawiera wszystkie wyżej wskazane informacje.
W kontekście obowiązku informowania klientów o przetwarzaniu danych osobowych należy zwrócić uwagę także na obowiązek informacyjny wskazany w art. 14 RODO, który należy spełnić w przypadku zbierania danych nie bezpośrednio od osoby, której dane dotyczą. Zasadniczo zakres informacji, które należy przekazać klientowi będzie zbliżony do tych wskazanych powyżej. Niemniej jednak, należy go jeszcze poinformować o źródle pochodzenia danych i kategoriach pozyskanych danych.
Co to w praktyce oznacza?
Jeżeli pozyskaliÅ›my dane klienta z serwisu do zamawiania wizyt, w którym klient ten ma konto, powinniÅ›my poinformować o tym klienta – należy także wskazać jakie dane pozyskaliÅ›my z tego serwisu. Może to mieć nastÄ™pujÄ…cÄ… postać: Twoje dane osobowe w postaci imienia, nazwiska i numeru telefonu pozyskaliÅ›my z serwisu XYZ, za poÅ›rednictwem którego dokonaÅ‚eÅ› rezerwacji wizyty. OczywiÅ›cie niezależnie od tego, należy poinformować klientów o pozostaÅ‚ych kwestiach wskazanych powyżej.
Jak już zostaÅ‚o wyżej wskazane, salony fryzjerskie i kosmetyczne mogÄ… zbierać dane osobowe o swoich klientach z różnych źródeÅ‚. Prócz samego obowiÄ…zku poinformowania o przetwarzaniu danych (zgodnie z tym co zostaÅ‚o wskazane w punkcie 2 powyżej), salony te powinny zwrócić uwagÄ™ na odpowiedni moment przekazania informacji – niestety jak pokazuje praktyka, czÄ™sto informacje sÄ… przekazywane za późno (dopiero po zebraniu danych), co jest niezgodne z RODO.
Tymczasem, jeżeli dane sÄ… zbierane bezpoÅ›rednio od klientów należy speÅ‚nić obowiÄ…zki informacyjne z art. 13 RODO (wskazane w punkcie 2 powyżej) w momencie zbierania danych. Można siÄ™ zastanowić w jaki sposób przekazać tyle informacji klientowi, gdy zbieranie danych nastÄ™pujÄ™ droga telefonicznÄ… – np. klient dzwoni by zapisać siÄ™ na wizytÄ™ i wpisujemy go do systemu rezerwacyjnego (a w salonie pojawi siÄ™ dopiero za kilka dni). Choć nie wynika to bezpoÅ›rednio z treÅ›ci RODO – Prezes UrzÄ™du Ochrony Danych Osobowych (organ, który w Polsce czuwa nad przestrzeganiem przepisów RODO), rozwiÄ…zaniem w takim przypadku wydaje siÄ™ być tzw. warstwowe przekazywanie informacji.
Warstwowe przekazywanie informacji polega na wskazaniu osobie, której dane dotyczą, jedynie najistotniejszych elementów wynikających z art. 13 lub 14 RODO (np. kto jest administratorem, w jakim celu dane są przetwarzane), odsyłając jednocześnie do pełnej treści obowiązku informacyjnego, np. na konkretnej stronie internetowej. Takie rozwiązanie jest dopuszczalne w przypadku, gdy administrator z uwagi na kontekst przetwarzania danych oraz narzędzia komunikacji nie ma możliwości, żeby wykonać w pełni obowiązek informacyjny lub byłoby to utrudnione.
Ponadto, jeżeli dane są zbierane nie bezpośrednio od klienta (a np. salon otrzymuje je od portalu do rezerwacji wizyt a nie od samego klienta), informacje mogą być przekazane:
Należy także zwrócić uwagÄ™ na obowiÄ…zek przekazania klauzuli informacyjnej we wszystkich miejscach, w których zbierane sÄ… dane. CzÄ™sto salony fryzjerskie czy kosmetyczne przekazujÄ… klauzulÄ™ informacyjnÄ… jedynie w salonie, klientom którzy zapisujÄ… siÄ™ telefonicznie na wizyty. ZapominajÄ… o tym, by poinformować klientów, którzy zapisujÄ… siÄ™ np. przez stronÄ™ internetowÄ… czy np. facebooka. Nie informujÄ… o przetwarzaniu danych poprzez formularz kontaktowych (oraz jak zostaÅ‚o już wyżej wskazane – wszystkich celach przetwarzania).
Zwłaszcza w salonach kosmetycznych, które przed rozpoczęciem zabiegu robią tak zwany wywiad, zbierając do kartoteki pacjenta informację o alergiach, uczuleniach, chorobach skórnych, czy przebytych operacjach dochodzi do przetwarzania tzw. danych osobowych wrażliwych (danych dotyczących stanu zdrowia). Przetwarzanie takich danych jest co do zasady zabronione, chyba że uzyskana zostanie wyraźna zgoda na ich przetwarzanie (art. 9 ust. 2 lit. a rodo). Częstym błędem jest brak zbierania takiej zgody.
Co ważne, zgoda powinna spełnić warunki określone w RODO:
Niezależnie od speÅ‚nienia wyżej wskazanych wymogów, należy przekazać wszystkie informacje wskazane w punkcie 2 powyżej – bÅ‚Ä™dem jest zbieranie samej zgody, bez podania wszystkich wymaganych informacji.
WÅ›ród bÅ‚Ä™dów które sÄ… popeÅ‚niane przez salony fryzjerskie i kosmetycznie znajduje siÄ™ także wysyÅ‚anie informacji handlowych (marketingowych) bez zgody klienta. Wymogi zwiÄ…zane z uzyskaniem takiej zgody sÄ… okreÅ›lone przez przepisy szczególne – ustawÄ™ o Å›wiadczeniu usÅ‚ug drogÄ… elektronicznÄ… i prawo telekomunikacyjne. CzÄ™sto zdarza siÄ™ tak, że klient udostÄ™pnia numer telefonu na potrzeby rezerwacji wizyty, a tymczasem numer ten trafia do bazy, do której nastÄ™pnie wysyÅ‚ane sÄ… smsy o promocjach.
Takie dziaÅ‚ania sÄ… niedopuszczalne i naruszajÄ… nie tylko wyżej wskazane ustawy, które zabraniajÄ… wysyÅ‚ki e-maili, smsów czy telefonów marketingowych bez zgody klienta, ale także z przepisami RODO i zasadÄ… ograniczenia celu przetwarzania. Zgodnie z tÄ… zasadÄ… dane sÄ… zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami. Oznacza to, że jeÅ›li ktoÅ› udostÄ™pniÅ‚ nam swoje dane w okreÅ›lonym celu (rezerwacji wizyty), to nie możemy wykorzystywać ich w innych celach (wysyÅ‚ania smsów o promocjach). Należy także speÅ‚nić wymogi o których mowa w punkcie 2 powyżej, a w zakresie warunków udzielania zgody – w punkcie 4 powyżej.
CzÄ™stÄ… praktykÄ… majÄ…cÄ… miejsce w salonach fryzjerskich i kosmetycznych jest wrzucanie do mediów spoÅ‚ecznoÅ›ciowych zdjęć „przed” i „po” wizycie. W mediach spoÅ‚ecznoÅ›ciowych umieszczane sÄ… także zdjÄ™cia pracowników (przy pracy, z imprez firmowych). Tymczasem wizerunek może stanowić danÄ… osobowÄ…, a ponadto jego rozpowszechnianie podlega ochronie przewidzianej przepisami prawa autorskiego. BÅ‚Ä™dem, który popeÅ‚nia wiele salonów jest brak speÅ‚niania wymogów w zakresie zbierania odpowiednich zgód, które pozwalajÄ… na zgodnÄ… z prawem publikacje zdjęć (klientów/ pracowników).
Oczywiście, jeżeli w internecie umieszczane jest zdjęcie obejmujące wyłącznie fryzurę klienta (z tyłu, bez pokazania twarzy), nie musi dochodzić do rozpowszechniania wizerunku i przetwarzania danych w tym zakresie. Niemniej jednak, często zdjęcia pokazują twarz (profil) danej osoby. W przypadku pracowników umieszczane zdjęcia pokazują już całą podobiznę, co w przypadku opublikowania ich w mediach społecznościowych (facebook, instagram itp.) czy na stronie internetowej salonu stanowi rozpowszechnienie wizerunku.
Zgodnie z art. 81 prawa autorskiego rozpowszechnianie wizerunku wymaga zezwolenia osoby na nim przedstawionej. W braku wyraźnego zastrzeżenia zezwolenie nie jest wymagane, jeżeli osoba ta otrzymała umówioną zapłatę za pozowanie Zezwolenia nie wymaga rozpowszechnianie wizerunku:
WyjaÅ›nić przy tym należy, że zdjÄ™cie grupki pracowników np. na imprezie firmowej nie może być uznane za fotografowanie „osoby stanowiÄ…cej jedynie szczegół caÅ‚oÅ›ci”. Salony fryzjerskie i kosmetyczne powinny zatem zbierać zgody nie tylko od klientów, których zdjÄ™cia publikujÄ… w internecie, ale także od swoich pracowników. Okoliczność, że ktoÅ› jest zatrudniony w salonie, nie przesÄ…dza o tym, że salon ten jako jego pracodawca może dowolnie dysponować jego wizerunkiem.
W dzisiejszych czasach trudno wyobrazić sobie miejsce w którym nie ma monitoringu wizyjnego – jest on czÄ™sto montowany w salonach fryzjerskich i kosmetycznych (np. przed wejÅ›ciem do salonu). Stosowanie monitoringu zostaÅ‚o uregulowane przepisami kodeksu pracy zmienionego ustawÄ… z dnia 10 maja ochronie danych osobowych. Zgodnie z art. 22[2] § 1 kodeksu pracy monitoring wizyjny może być stosowany w celu zapewnienie bezpieczeÅ„stwa pracowników, ochrony mienia, kontroli produkcji oraz zachowania w tajemnicy informacji, których ujawnienie mogÅ‚oby narazić pracodawcÄ™ na szkodÄ™. Przepisy okreÅ›lajÄ… nie tylko dopuszczalne cele stosowania monitoringu, ale także czas przechowywania nagraÅ„ z monitoringu, obszar stosowania monitoringu oraz miejsca w których jego stosowanie jest zakazane.
Przepisy regulują także w sposób złożony obowiązek informowania o monitoringu. Należy tego dokonać poprzez:
Z racji tego, że obowiÄ…zki wskazane powyżej sÄ… skomplikowane, a ponadto nie wynikajÄ… z samego RODO a ze zmian wprowadzonych w kodeksie pracy nowÄ… ustawÄ… o ochronie danych osobowych, wiele salonów fryzjerskich i kosmetycznych zapomina o ich realizacji lub realizuje je w sposób niepeÅ‚ny - np. wyÅ‚Ä…cznie oznaczajÄ…c pomieszczenie monitorowane „naklejkÄ…” z obrazkiem kamery. Takie postÄ™powanie jest nieprawidÅ‚owe.
Częstym błędem we wdrożeniu RODO przez salony fryzjerskie i kosmetyczne jest skupienie się w podejmowanych działaniach wyłącznie na klientach salonu. Salony zapominają, że prócz danych klientów przetwarzają także dane osobowe swoich pracowników i z tym również związane są obowiązki wynikające z RODO. Analogicznie jak w przypadku klientów, tak w przypadku pracowników, salon fryzjerski i kosmetyczny powinien spełnić obowiązek informacyjny wskazany w art. 13 RODO, zawierający wszystkie wskazane tam elementy, powinien odebrać od nich zgody (tam gdzie jest to niezbędne np. na wykorzystanie ich wizerunku) oraz odpowiednio zabezpieczyć ich dane (art. 32 RODO).
RODO to nie tylko klauzule informacyjne, zgody, polityki prywatności (to co widoczne na zewnątrz), ale także wiele innych wymogów, o czym często zapominają salony fryzjerskie i kosmetyczne. Zgodnie z art. 24 ust. 1 RODO administrator ma obowiązek wdrożyć odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z RODO i aby móc to wykazać. Środki te mogą przy tym obejmować, zgodnie z art. 24 ust. 2 rodo, wdrożenie przez administratora odpowiednich polityk ochrony danych. RODO wskazuje także bezpośrednio na pewne obowiązki dokumentacyjne administratora. I tak, zgodnie z rodo, administrator danych:
Ponadto, jak wskazał Prezes Urzędu Ochrony Danych Osobowych (Dokumentacja przetwarzania danych osobowych zgodnie z RODO) niezależnie od obowiązków dokumentacyjnych (wskazanych powyżej) administrator ma być w stanie wykazać całościowo zgodność przetwarzania danych, co w praktyce oznacza, że ma on obowiązek wykazać, że:
W konsekwencji, salony fryzjerskie i kosmetyczne powinny przyjąć także dokumenty wewnętrzne by zapewnić zgodność z RODO (wykazać, że stosują wskazane zasady). Kluczowe będzie wypełnienie rejestru czynności przetwarzania, przygotowanie rejestru naruszeń oraz przygotowanie ogólnej polityki ochrony danych, która opisze kwestie realizacji pozostałych zasad.
Salony fryzjerskie i kosmetyczne często zapominają o uregulowaniu współpracy z podmiotami zewnętrznymi, które świadczą usługi na ich rzecz i w związku z tym przetwarzają dane osobowe w ich imieniu. Do takich podmiotów należeć będzie np. zewnętrzna księgowość, zewnętrzne prowadzenie spraw kadrowych czy hosting strony internetowej przez firmę informatyczną. Firmy te, świadcząc swoje usługi na rzecz salonu uzyskują dostęp do jego danych osobowych (zawartych na fakturach, w teczkach pracowniczych, czy na stronie internetowej).
Z takimi podmiotami należy zawrzeć umowę powierzenia danych do przetwarzania o której mowa w art. 28 RODO, która będzie zawierała wszystkie wskazane tam elementy i na mocy której będą oni mogli przetwarzać dane w imieniu salonu. Co więcej salon ponosi odpowiedzialność za naruszenie przepisów o ochronie danych dokonane przez takiego podwykonawcę. Dlatego też, salony nie powinny bagatelizować tej kwestii.
Radca prawny Patrycja Kozik – GKK Gumularz Kozik Radcowie Prawni (www.gkklegal.pl)