Radio

Radio HairTrendy

Zamów nasz newsletter

newsletter

Kalendarz imprez

eventy

Hair Trendy TV

ht tv

RODO - czyli 10 błędów jakie najczęściej popełniają salony fryzjerskie i kosmetyczne.

data publikacji  2018-12-28  komentarze  dodaj komentarz
RODO - czyli 10 błędów jakie najczęściej popełniają salony fryzjerskie i kosmetyczne.
zdjęcia hairtrendy

25 maja 2018 roku w Polsce i całej Unii Europejskiej zaczęło być stosowane ogólne rozporządzenie o ochronie danych osobowych (RODO).   

Każdy salon fryzjerski i kosmetyczny, który przetwarza (gromadzi/wykorzystuje) dane swoich klientów (np. zapisując ich na wizyty i tworząc karty klienta), czy dane swoich pracowników i współpracowników (niezależnie od tego czy zawarto z nimi umowy o pracę czy są osobami współpracującymi na podstawie umowy zlecenia/osobami prowadzącymi działalność gospodarczą) musi stosować się do przepisów RODO. W związku z tym, nie ma chyba w Polsce salonu, który nie musiałby przygotować swojej działalności do nowej regulacji. Praktyka jednak pokazuje, że nie jest to zadanie proste i nawet korzystając z pomocy firm zewnętrznych często nie udaje się uniknąć błędów, które w razie skargi klienta czy kontroli ze strony urzędu mogą narazić salon na poważne konsekwencje. 

Poniżej zostaną omówione najczęstsze błędy jakie w związku z RODO popełniają salony fryzjerskie i kosmetyczne.

1. Brak przygotowania się do RODO

Pierwszym, najbardziej doniosłym błędem jest brak przygotowania się do nowej regulacji. Choć znaczna część salonów fryzjerskich i kosmetycznych podjęła już działania w związku z przygotowaniem się do RODO, pozostaje jeszcze wiele salonów, które albo w ogóle nie słyszały o RODO, albo słyszały i jeszcze nie rozpoczęły przygotowań. Część salonów uważa, że nie musi tego robić bo np. korzysta z portalu do rezerwacji, który odpowiada za dane klientów rezerwujących wizyty w salonie za jego pośrednictwem, a w zakresie danych pracowników – z usług księgowego czy zewnętrznej kadrowej. Nic bardziej mylnego. Okoliczność korzystania z innych podmiotów (dostarczających system do rezerwacji, czy obsługę księgową) nie oznacza, że salon fryzjerski czy kosmetyczny nie będzie odpowiadał za przestrzeganie przepisów RODO i nie będzie miał w tym zakresie żadnych własnych obowiązków i to zarówno wobec klientów/pracowników (np. spełnienia obowiązku informacyjnego zgodnie z art. 13 i 14 RODO), jak i wobec firm zewnętrznych (zawarcia umowy powierzenia danych do przetwarzania z firmą księgową zgodnie z art. 28 ust. 3 RODO). Salony fryzjerskie i kosmetyczne powinny zatem przygotować się do RODO, niezależnie od współpracy z innymi podmiotami w zakresie przetwarzania danych. Brak spełnienia wymogów RODO może wiązać się z nałożeniem na salon fryzjerski lub kosmetyczny administracyjnej kary pieniężnej – do 4% całkowitego rocznego obrotu lub poniesienia odpowiedzialności cywilnoprawnej wobec osoby, której dane dotyczą (zapłaty na jej rzeczy odszkodowania).

2. Brak informowania klientów o wszystkich niezbędnych kwestiach

Kluczowym obowiązkiem wynikającym z RODO jest spełnienie wobec osób, których dane są przetwarzane obowiązku informacyjnego. Obowiązek informacyjny został uregulowany w art. 13 i odpowiednio i zakłada, że należy przekazać osobom, których dane są przetwarzane określone w przepisach informacje.

Są one następujące:

  • swoja tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;
  • gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;
  • cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania;
  • jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;
  • informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją
  • gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych.

Poza informacjami, o których mowa powyżej , podczas pozyskiwania danych osobowych administrator podaje osobie, której dane dotyczą, następujące inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania:

  • okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
  • informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
  • jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
  • informacje o prawie wniesienia skargi do organu nadzorczego;
  • informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
  • informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Wiele salonów fryzjerskich i kosmetycznych wyposażyło się w klauzule informacyjne, które wręczane są klientom do podpisu. Niemniej jednak, często te klauzule są błędne lub nie zawierają wszystkich wymaganych informacji, ograniczają się np. jedynie do odebrania zgody na przesyłanie e-maili/smsów w celach marketingowych, nie wskazując na wszystkie cele do jakich dane osobowe klientów są wykorzystywane. Tymczasem salony fryzjerskie przetwarzają dane osobowe przede wszystkim w celu zawarcia i realizacji umowy, w tym dokonania rezerwacji na życzenie klienta (zgodnie z art. 6 ust. 1 lit. b RODO). Jeżeli klient będzie niezadowolony z usługi i zdecyduje się na złożenie reklamacji – jego dane będą przetwarzane w celu rozpatrzenia tej reklamacji (art. 6 ust.1 lit. f RODO).

W takiej sytuacji, dane często są przechowywane do celu dochodzenia, ustalenia lub obrony przez roszczeniami związanymi z realizacją umowy (art. 6 ust. 1 lit. f RODO). Jeżeli salon fryzjerski lub kosmetyczny udostępnia klientom możliwość kontaktu przez formularz kontaktowy na swojej stronie internetowej – będzie dochodziło do przetwarzania danych w celu udzielenia odpowiedzi na zadane przez formularz pytanie (art. 6 ust. 1 lit. f RODO). Z korzystaniem ze strony internetowej salonu może być związane przetwarzanie danych charakteryzujących sposób korzystania ze strony przez osoby, które ją odwiedzają (tzw. danych eksploatacyjnych), które będą przetwarzane w celu prowadzenia strony internetowej salonu i dbania o jej jakość (art. 6 ust. 1 lit. f RODO). O wszystkich celach przetwarzania danych klienci powinni być informowani (odnośnie momentu poinformowania – zob. poniżej), a brak przekazania tych informacji stanowi naruszenie art. 13 RODO. W realizacji powyższych obowiązków pomocne może być posiadanie polityki prywatności, która kompleksowo opisuje wszystkie cele przetwarzania oraz zawiera wszystkie wyżej wskazane informacje.

W kontekście obowiązku informowania klientów o przetwarzaniu danych osobowych należy zwrócić uwagę także na obowiązek informacyjny wskazany w art. 14 RODO, który należy spełnić w przypadku zbierania danych nie bezpośrednio od osoby, której dane dotyczą. Zasadniczo zakres informacji, które należy przekazać klientowi będzie zbliżony do tych wskazanych powyżej. Niemniej jednak, należy go jeszcze poinformować o źródle pochodzenia danych i kategoriach pozyskanych danych.

Co to w praktyce oznacza?

Jeżeli pozyskaliśmy dane klienta z serwisu do zamawiania wizyt, w którym klient ten ma konto, powinniśmy poinformować o tym klienta – należy także wskazać jakie dane pozyskaliśmy z tego serwisu. Może to mieć następującą postać: Twoje dane osobowe w postaci imienia, nazwiska i numeru telefonu pozyskaliśmy z serwisu XYZ, za pośrednictwem którego dokonałeś rezerwacji wizyty. Oczywiście niezależnie od tego, należy poinformować klientów o pozostałych kwestiach wskazanych powyżej.

3. Brak informowanie klientów w odpowiednim momencie i we wszystkich miejscach

Jak już zostało wyżej wskazane, salony fryzjerskie i kosmetyczne mogą zbierać dane osobowe o swoich klientach z różnych źródeł. Prócz samego obowiązku poinformowania o przetwarzaniu danych (zgodnie z tym co zostało wskazane w punkcie 2 powyżej), salony te powinny zwrócić uwagę na odpowiedni moment przekazania informacji – niestety jak pokazuje praktyka, często informacje są przekazywane za późno (dopiero po zebraniu danych), co jest niezgodne z RODO.

Tymczasem, jeżeli dane są zbierane bezpośrednio od klientów należy spełnić obowiązki informacyjne z art. 13 RODO (wskazane w punkcie 2 powyżej) w momencie zbierania danych. Można się zastanowić w jaki sposób przekazać tyle informacji klientowi, gdy zbieranie danych następuję droga telefoniczną – np. klient dzwoni by zapisać się na wizytę i wpisujemy go do systemu rezerwacyjnego (a w salonie pojawi się dopiero za kilka dni). Choć nie wynika to bezpośrednio z treści RODO – Prezes Urzędu Ochrony Danych Osobowych (organ, który w Polsce czuwa nad przestrzeganiem przepisów RODO), rozwiązaniem w takim przypadku wydaje się być tzw. warstwowe przekazywanie informacji.

Warstwowe przekazywanie informacji polega na wskazaniu osobie, której dane dotyczą, jedynie najistotniejszych elementów wynikających z art. 13 lub 14 RODO (np. kto jest administratorem, w jakim celu dane są przetwarzane), odsyłając jednocześnie do pełnej treści obowiązku informacyjnego, np. na konkretnej stronie internetowej. Takie rozwiązanie jest dopuszczalne w przypadku, gdy administrator z uwagi na kontekst przetwarzania danych oraz narzędzia komunikacji nie ma możliwości, żeby wykonać w pełni obowiązek informacyjny lub byłoby to utrudnione.

Ponadto, jeżeli dane są zbierane nie bezpośrednio od klienta (a np. salon otrzymuje je od portalu do rezerwacji wizyt a nie od samego klienta), informacje mogą być przekazane:

  • w rozsądnym terminie po pozyskaniu danych osobowych – najpóźniej w ciągu miesiąca – mając na uwadze konkretne okoliczności przetwarzania danych osobowych;
  • jeżeli dane osobowe mają być stosowane do komunikacji z osobą, której dane dotyczą – najpóźniej przy pierwszej takiej komunikacji z osobą, której dane dotyczą; lub
  • jeżeli planuje się ujawnić dane osobowe innemu odbiorcy – najpóźniej przy ich pierwszym ujawnieniu.

Należy także zwrócić uwagę na obowiązek przekazania klauzuli informacyjnej we wszystkich miejscach, w których zbierane są dane. Często salony fryzjerskie czy kosmetyczne przekazują klauzulę informacyjną jedynie w salonie, klientom którzy zapisują się telefonicznie na wizyty. Zapominają o tym, by poinformować klientów, którzy zapisują się np. przez stronę internetową czy np. facebooka. Nie informują o przetwarzaniu danych poprzez formularz kontaktowych (oraz jak zostało już wyżej wskazane – wszystkich celach przetwarzania).

4. Brak zbierania zgód na przetwarzanie danych dot. stanu zdrowia (alergie, uczulenia)

Zwłaszcza w salonach kosmetycznych, które przed rozpoczęciem zabiegu robią tak zwany wywiad, zbierając do kartoteki pacjenta informację o alergiach, uczuleniach, chorobach skórnych, czy przebytych operacjach dochodzi do przetwarzania tzw. danych osobowych wrażliwych (danych dotyczących stanu zdrowia). Przetwarzanie takich danych jest co do zasady zabronione, chyba że uzyskana zostanie wyraźna zgoda na ich przetwarzanie (art. 9 ust. 2 lit. a rodo). Częstym błędem jest brak zbierania takiej zgody.

Co ważne, zgoda powinna spełnić warunki określone w RODO:

  • Jeżeli przetwarzanie odbywa się na podstawie zgody, administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych.
  • Jeżeli osoba, której dane dotyczą, wyrażą zgodę w pisemnym oświadczeniu, które dotyczy także innych kwestii, zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Część takiego oświadczenia osoby, której dane dotyczą, stanowiąca naruszenie niniejszego rozporządzenia nie jest wiążąca.
  • Osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Osoba, której dane dotyczą, jest o tym informowana, zanim wyrazi zgodę. Wycofanie zgody musi być równie łatwe jak jej wyrażenie.

Niezależnie od spełnienia wyżej wskazanych wymogów, należy przekazać wszystkie informacje wskazane w punkcie 2 powyżej – błędem jest zbieranie samej zgody, bez podania wszystkich wymaganych informacji.

5. Brak zbierania zgód na komunikację marketingową (e-mail, sms)

Wśród błędów które są popełniane przez salony fryzjerskie i kosmetycznie znajduje się także wysyłanie informacji handlowych (marketingowych) bez zgody klienta. Wymogi związane z uzyskaniem takiej zgody są określone przez przepisy szczególne – ustawę o świadczeniu usług drogą elektroniczną i prawo telekomunikacyjne. Często zdarza się tak, że klient udostępnia numer telefonu na potrzeby rezerwacji wizyty, a tymczasem numer ten trafia do bazy, do której następnie wysyłane są smsy o promocjach.

Takie działania są niedopuszczalne i naruszają nie tylko wyżej wskazane ustawy, które zabraniają wysyłki e-maili, smsów czy telefonów marketingowych bez zgody klienta, ale także z przepisami RODO i zasadą ograniczenia celu przetwarzania. Zgodnie z tą zasadą dane są zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami. Oznacza to, że jeśli ktoś udostępnił nam swoje dane w określonym celu (rezerwacji wizyty), to nie możemy wykorzystywać ich w innych celach (wysyłania smsów o promocjach). Należy także spełnić wymogi o których mowa w punkcie 2 powyżej, a w zakresie warunków udzielania zgody – w punkcie 4 powyżej.

6. Brak zbierania zgód na rozpowszechnianie wizerunku (np. zdjęcia „przed” i „po”)

Częstą praktyką mającą miejsce w salonach fryzjerskich i kosmetycznych jest wrzucanie do mediów społecznościowych zdjęć „przed” i „po” wizycie. W mediach społecznościowych umieszczane są także zdjęcia pracowników (przy pracy, z imprez firmowych). Tymczasem wizerunek może stanowić daną osobową, a ponadto jego rozpowszechnianie podlega ochronie przewidzianej przepisami prawa autorskiego. Błędem, który popełnia wiele salonów jest brak spełniania wymogów w zakresie zbierania odpowiednich zgód, które pozwalają na zgodną z prawem publikacje zdjęć (klientów/ pracowników).

Oczywiście, jeżeli w internecie umieszczane jest zdjęcie obejmujące wyłącznie fryzurę klienta (z tyłu, bez pokazania twarzy), nie musi dochodzić do rozpowszechniania wizerunku i przetwarzania danych w tym zakresie. Niemniej jednak, często zdjęcia pokazują twarz (profil) danej osoby. W przypadku pracowników umieszczane zdjęcia pokazują już całą podobiznę, co w przypadku opublikowania ich w mediach społecznościowych (facebook, instagram itp.) czy na stronie internetowej salonu stanowi rozpowszechnienie wizerunku.

Zgodnie z art. 81 prawa autorskiego rozpowszechnianie wizerunku wymaga zezwolenia osoby na nim przedstawionej. W braku wyraźnego zastrzeżenia zezwolenie nie jest wymagane, jeżeli osoba ta otrzymała umówioną zapłatę za pozowanie Zezwolenia nie wymaga rozpowszechnianie wizerunku:

  1. osoby powszechnie znanej, jeżeli wizerunek wykonano w związku z pełnieniem przez nią funkcji publicznych, w szczególności politycznych, społecznych, zawodowych;
  2. osoby stanowiącej jedynie szczegół całości takiej jak zgromadzenie, krajobraz, publiczna impreza.

Wyjaśnić przy tym należy, że zdjęcie grupki pracowników np. na imprezie firmowej nie może być uznane za fotografowanie „osoby stanowiącej jedynie szczegół całości”. Salony fryzjerskie i kosmetyczne powinny zatem zbierać zgody nie tylko od klientów, których zdjęcia publikują w internecie, ale także od swoich pracowników. Okoliczność, że ktoś jest zatrudniony w salonie, nie przesądza o tym, że salon ten jako jego pracodawca może dowolnie dysponować jego wizerunkiem.

7. Brak poinformowania o monitoringu wizyjnym

W dzisiejszych czasach trudno wyobrazić sobie miejsce w którym nie ma monitoringu wizyjnego – jest on często montowany w salonach fryzjerskich i kosmetycznych (np. przed wejściem do salonu). Stosowanie monitoringu zostało uregulowane przepisami kodeksu pracy zmienionego ustawą z dnia 10 maja ochronie danych osobowych. Zgodnie z art. 22[2] § 1 kodeksu pracy monitoring wizyjny może być stosowany w celu zapewnienie bezpieczeństwa pracowników, ochrony mienia, kontroli produkcji oraz zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę. Przepisy określają nie tylko dopuszczalne cele stosowania monitoringu, ale także czas przechowywania nagrań z monitoringu, obszar stosowania monitoringu oraz miejsca w których jego stosowanie jest zakazane.

Przepisy regulują także w sposób złożony obowiązek informowania o monitoringu. Należy tego dokonać poprzez:

  • podanie informacji o celach, zakresie oraz sposobie zastosowania monitoringu w regulaminie pracy lub obwieszczeniu,
  • podanie informacji o celach, zakresie oraz sposobie zastosowania monitoringu pracownikowi na piśmie przed dopuszczeniem go do pracy,
  • poinformowania o stosowaniu monitoringu w sposób zwyczajowo przyjęty u danego pracodawcy,
  • oznaczenia pomieszczeń i terenu monitorowanego,
  • spełnienie obowiązek informacyjny na zasadach wynikających z art. 13 RODO (zob. pkt 2 powyżej)

Z racji tego, że obowiązki wskazane powyżej są skomplikowane, a ponadto nie wynikają z samego RODO a ze zmian wprowadzonych w kodeksie pracy nową ustawą o ochronie danych osobowych, wiele salonów fryzjerskich i kosmetycznych zapomina o ich realizacji lub realizuje je w sposób niepełny - np. wyłącznie oznaczając pomieszczenie monitorowane „naklejką” z obrazkiem kamery. Takie postępowanie jest nieprawidłowe.

8. Brak spełnienia obowiązków wobec pracowników salonu

Częstym błędem we wdrożeniu RODO przez salony fryzjerskie i kosmetyczne jest skupienie się w podejmowanych działaniach wyłącznie na klientach salonu. Salony zapominają, że prócz danych klientów przetwarzają także dane osobowe swoich pracowników i z tym również związane są obowiązki wynikające z RODO. Analogicznie jak w przypadku klientów, tak w przypadku pracowników, salon fryzjerski i kosmetyczny powinien spełnić obowiązek informacyjny wskazany w art. 13 RODO, zawierający wszystkie wskazane tam elementy, powinien odebrać od nich zgody (tam gdzie jest to niezbędne np. na wykorzystanie ich wizerunku) oraz odpowiednio zabezpieczyć ich dane (art. 32 RODO).

9. Brak wypełnienia dokumentów i procedur, które wymaga RODO.

RODO to nie tylko klauzule informacyjne, zgody, polityki prywatności (to co widoczne na zewnątrz), ale także wiele innych wymogów, o czym często zapominają salony fryzjerskie i kosmetyczne. Zgodnie z art. 24 ust. 1 RODO administrator ma obowiązek wdrożyć odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z RODO i aby móc to wykazać. Środki te mogą przy tym obejmować, zgodnie z art. 24 ust. 2 rodo, wdrożenie przez administratora odpowiednich polityk ochrony danych. RODO wskazuje także bezpośrednio na pewne obowiązki dokumentacyjne administratora. I tak, zgodnie z rodo, administrator danych:

  • dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta musi pozwolić organowi nadzorczemu weryfikowanie przestrzegania artykułu 33 rodo,
  • dokumentuje polecenie przetwarzania danych podmiotowi przetwarzającemu,
  • zawiera umowę powierzenia danych do przetwarzania w formie pisemnej, w tym elektronicznej,
  • wyraża pisemną zgodę na skorzystanie z dalszego podmiotu przetwarzającego,
  • prowadzi rejestr czynności przetwarzania w formie pisemnej, w tym elektronicznej,
  • w przypadku przekazań do państwa trzeciego, o których mowa w art. 49 ust. 1 akapit drugi, dokumentuje ocenę oraz stosowanie odpowiednich zabezpieczeń,
  • wyznacza przedstawiciela za pomocą pisemnego upoważnienia do podejmowania działań w jego imieniu w odniesieniu do obowiązków wynikających z rozporządzenia,
  • udziela na piśmie lub w inny sposób, w tym w stosownych przypadkach – elektronicznie informacji podmiotom danych w ramach wykonywania ich praw.

Ponadto, jak wskazał Prezes Urzędu Ochrony Danych Osobowych (Dokumentacja przetwarzania danych osobowych zgodnie z RODO) niezależnie od obowiązków dokumentacyjnych (wskazanych powyżej) administrator ma być w stanie wykazać całościowo zgodność przetwarzania danych, co w praktyce oznacza, że ma on obowiązek wykazać, że:

  • stosuje się do ogólnych zasad przetwarzania określonych w art. 5 RODO,
  • zapewnia, aby dane przetwarzane były zgodnie z prawem – art. 6 – 11 RODO,
  • zapewnia, aby przestrzegane były prawa osób, których dane są przetwarzane – art. 12-23 RODO
  • zapewnia wypełnianie ogólnych obowiązków w zakresie przetwarzania danych ciążących na administratorze i podmiocie przetwarzającym – art. 24 – 31 RODO,
  • zapewnia bezpieczeństwo przetwarzania danych uwzględniając charakter zakres, kontekst i cele przetwarzania danych – art. 32- 36 RODO,
  • zapewnia kontrolę nad przetwarzaniem danych w postaci monitorowanie przestrzegania przepisów i przyjętych procedur przetwarzania przez Inspektora Ochrony Danych lub podmioty certyfikujące, czy monitorujące przestrzeganie przyjętych kodeksów postepowania – art. 27- 43,
  • stosuje się do wymagań w zakresie przekazywania danych do państw trzecich i instytucji międzynarodowych – art. 44 – 49 RODO.

W konsekwencji, salony fryzjerskie i kosmetyczne powinny przyjąć także dokumenty wewnętrzne by zapewnić zgodność z RODO (wykazać, że stosują wskazane zasady). Kluczowe będzie wypełnienie rejestru czynności przetwarzania, przygotowanie rejestru naruszeń oraz przygotowanie ogólnej polityki ochrony danych, która opisze kwestie realizacji pozostałych zasad.

10. Brak odpowiedniego uregulowania współpracy z podwykonawcami.

Salony fryzjerskie i kosmetyczne często zapominają o uregulowaniu współpracy z podmiotami zewnętrznymi, które świadczą usługi na ich rzecz i w związku z tym przetwarzają dane osobowe w ich imieniu. Do takich podmiotów należeć będzie np. zewnętrzna księgowość, zewnętrzne prowadzenie spraw kadrowych czy hosting strony internetowej przez firmę informatyczną. Firmy te, świadcząc swoje usługi na rzecz salonu uzyskują dostęp do jego danych osobowych (zawartych na fakturach, w teczkach pracowniczych, czy na stronie internetowej).

Z takimi podmiotami należy zawrzeć umowę powierzenia danych do przetwarzania o której mowa w art. 28 RODO, która będzie zawierała wszystkie wskazane tam elementy i na mocy której będą oni mogli przetwarzać dane w imieniu salonu. Co więcej salon ponosi odpowiedzialność za naruszenie przepisów o ochronie danych dokonane przez takiego podwykonawcę. Dlatego też, salony nie powinny bagatelizować tej kwestii.

Radca prawny Patrycja Kozik – GKK Gumularz Kozik Radcowie Prawni (www.gkklegal.pl)

 


 


Komentarze

Adrion 2
Davines
Montibello
RoKoKo facet
ab Goldwell
Keune Jott

przejdź do galerii fryzurprzejdź do galeri fryzur


wydarzeniaNadchodzące wydarzenia

Marzec

1Warszawa - Targi kosmetyczne BEAUTY FORUM 2025 (01-02 marca 2025)

Kwiecień

5Poznań - Targi fryzjerskie LOOK i beautyVISION 2025 (05-06 kwietnia 2025)

Wrzesień

5Warszawa - Targi kosmetyczne BEAUTY DAYS 2025 (05-07 września 2025)

12Warszawa - Kongres i Międzynarodowe Targi Kosmetyczno-Fryzjerskie BEAUTY FORUM & HAIR 2025 (13-14 września 2025)

pełne kalendariumprzejdź do galeri fryzur


Copyrights © 2025 Hair Trendy    |   polityka prywatności

wykonanie portalu
webSylium