ASPEKTY RODO

2/2018 (21) lato | BIZNES

RODO – co należy zrobić, żeby dostosować salon?

Od 25 maja br. obowiązuje RODO – czy Twój gabinet jest przygotowany na nowe regulacje prawne? Sprawdź co zrobić, aby dostosować salon kosmetyczny do nowych przepisów o ochronie danych osobowych.

RODO to unijne rozporządzenie, które reguluje sposób ochrony danych osobowych w całej Unii Europejskiej. Dotyczy wszystkich, którzy w związku z działalnością przetwarzają dane osobowe. Już w tym miejscu często pojawiają się wątpliwości. Czy jeśli prowadzę mały gabinet kosmetyczny, to RODO również mnie obowiązuje?

Przecież nie jestem dużą firmą, która przetwarza mnóstwo danych.

KOGO OBOWIĄZUJE RODO?

W praktyce wielkość firmy nie ma większego znaczenia. Kluczowy jest tak naprawdę fakt przetwarzania danych. Należy więc zastanowić się nad tym, czy i jakie dane przetwarzasz w swojej codziennej pracy.

W jakich sytuacjach mamy do czynienia z przetwarzaniem danych w gabinecie kosmetycznym? Jeśli masz np.:

• papierowy kalendarz, w którym zapisujesz imiona, nazwiska klientek, numery telefonów, terminy wizyt itd.;
• program do zarządzania gabinetem, w którym notujesz podstawowe dane, historię wizyt itd.;
• firmowy telefon z numerami klientek;
• firmowy tablet lub komputer, przy pomocy którego logujesz się np. do systemu rezerwacji online;
• newsletter lub system do wysyłki SMS-ów z reklamami lub przypomnieniami o wizycie;
• formularz kontaktowy lub system komentarzy na stronie www gabinetu;
• pracowników, współpracowników, stażystów, praktykantów

obowiązuje Cię RODO. Nie musisz przetwarzać danych w każdy z wymienionych wyżej sposobów. Wystarczy tak naprawdę tylko jeden z nich. Łatwo zauważyć, że w praktyce bardzo ciężko byłoby prowadzić gabinet i nie przetwarzać danych osobowych. Co w takim razie trzeba zrobić w gabinecie w związku z wejściem w życie RODO?

SPRAWDŹ JAKIE DANE PRZETWARZASZ

Wdrażanie RODO w gabinecie kosmetycznym warto rozpocząć od szczegółowej analizy sytuacji, w których przetwarzamy dane.

PRZYKŁAD

Klientki, które dzwonią do gabinetu są zapisywane w programie do zarządzania gabinetem. Przed wizytą system wysyła im SMS-a z przypomnieniem.

W takim przypadku powinnaś odpowiedzieć sobie np. na następujące pytania:

• Czy klientka wyraża zgodę na to, aby wprowadzić jej dane do systemu?
• Czy możesz udowodnić, że klientka wyraziła taką zgodę?
• Czy klientka wie kto jest administratorem jej danych, czy została poinformowana o prawach, jakie jej przysługują?
• Czy klientka wyraziła zgodę na otrzymywanie SMS-ów z przypomnieniem o wizycie?
• Czy możesz udowodnić, że klientka wyraziła taką zgodę?
• Czy masz podpisaną umowę powierzenia z firmą obsługującą program do zarządzania gabinetem?
• Czy zabezpieczasz dostęp do komputera, z którego logujesz się do programu?
• Czy masz udokumentowane w jaki sposób zabezpieczasz ten dostęp?
• Czy masz listę osób, które są upoważnione do dostępu do tych danych?
• Jak długo i w jakim celu będziesz przechowywać dane klientki w programie? W jakiej sytuacji je usuniesz?

Na powyższym przykładzie świetnie widać, że zwykłe zapisanie klientki w programie do zarządzania gabinetem niesie za sobą szereg obowiązków związanych z ochroną danych. Podobnie będzie np. w przypadku zapisu na newsletter, zakupów online w gabinetowym sklepie czy dokumentowania efektów zabiegów w formie zdjęć.

Musisz zastanowić się:

• jakie dane i w jakich sytuacjach przetwarzasz;
• w jakim celu to robisz;
• czy klientki wyrażają na to zgodę, czy jesteś w stanie udokumentować te zgody;
• jakie postronne osoby mogą mieć dostęp do danych klientek;
• co może się stać, jeśli dane dostaną się w niepowołane ręce;
• w jaki sposób zabezpieczasz dane itd.

ZABEZPIECZ DANE KLIENTEK

Z analizą, którą opisałam w powyższym punkcie, będzie Ci dużo łatwiej zastosować się do wymogów RODO. W tym artykule nie jestem w stanie przedstawić Ci wszystkich aspektów tego tematu (odsyłam Cię do bazy wiedzy o RODO na blogu Gabinet od zaplecza), niemniej jednak najważniejsze dla Ciebie będzie:

• opracowanie procedur zbierania zgód od klientek i informowania ich o rzeczach, których wymaga od nas RODO (np. kto jest administratorem danych, jakie dane i w jakim celu są zbierane, kto ma do nich dostęp, jakie prawa przysługują klientce itd.);
• opracowanie treści tych „formułek”, czyli np. obowiązku informacyjnego, dodatkowych zgód marketingowych, jeśli do tej pory ich nie miałaś;
• fizyczne zabezpieczenie danych – np. hasło na komputer, telefon, sposób przechowywania papierowych dokumentów (np. szafa zamykana na klucz), certyfikat SSL na stronie internetowej, zapis do newslettera w formie double opt-in itd.;
• przeszkolenie pracowników;
• opracowanie procedur postępowania z danymi i zabezpieczania ich (np. kto ma do czego dostęp, kto co zamyka, kto i w jaki sposób rozmawia z klientką, zbiera zgody itd.).

PRZYGOTUJ DOKUMENTACJĘ WEWNĘTRZNĄ

Wszystkie opisane powyżej aspekty przygotowania gabinetu do RODO powinnaś odpowiednio udokumentować. Jedną z najważniejszych zasad RODO jest rozliczalność. W praktyce oznacza to, że nie wystarczy po prostu chronić dane. Trzeba mieć tę ochronę odpowiednio udokumentowaną, aby w przypadku kontroli móc pokazać, że wykonałaś stosowne analizy, przemyślałaś temat i wdrożyłaś odpowiednie zabezpieczenia.

Co może się znaleźć w takiej dokumentacji? Np.:

• POLITYKA BEZPIECZEŃSTWA – ogólny dokument, który opisuje sposób ochrony danych osobowych w gabinecie.
• REJESTR CZYNNOŚCI PRZETWARZANIA – w którym zapisujemy wszystko, co dzieje się w naszym gabinecie z danymi osobowymi – ważny szczególnie w przypadku przetwarzania danych wrażliwych, np. informacji o zdrowotnych przeciwwskazaniach do zabiegów.
• INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM – jeśli masz komputer, tablet lub smartfon firmowy, korzystasz z programu do rezerwacji online lub innych internetowych narzędzi, w których znajdują się dane klientek w osobnym dokumencie opisz, w jaki sposób chronisz system komputerowy.
• UMOWY POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH – np. z dostawcą oprogramowania do zarządzania gabinetem, firmą hostingową, biurem rachunkowym, informatykiem itd.
• REJESTR UMÓW POWIERZENIA – w którym spiszesz wszystkie podpisane umowy powierzenia.
• UPOWAŻNIENIA I OŚWIADCZENIA O POUFNOŚCI DLA PRACOWNIKÓW – musisz dać im formalnie dostęp do danych klientek i zobowiązać pracowników do zachowania tych danych w poufności – takie dokumenty również warto ewidencjonować w formie rejestrów.

RODO nakłada na nas obowiązek dokumentowania i w niektórych przypadkach zgłaszania sytuacji, w których mogło dojść np. do wycieku danych. Na taką sytuację powinniśmy być przygotowani, np. tworząc:

• Instrukcję postępowania w przypadku wystąpienia incydentu związanego z naruszeniem zasad ochrony danych osobowych.
• Wzór zgłoszenia incydentu naruszenia ochrony danych osobowych.
• Rejestr naruszeń ochrony danych osobowych.

Dokumenty oczywiście trzeba aktualizować, jeśli następują zmiany w funkcjonowaniu gabinetu, niemniej jednak większość pracy, którą musimy wykonać to działania jednorazowe. Raz przygotowane dokumenty będziemy jedynie uzupełniać w razie wystąpienia nowych sytuacji przetwarzania danych, wprowadzania nowych pracowników do zespołu itd.

CO GROZI ZA BRAK PRZESTRZEGANIA RODO?

Za brak stosowania się do wymogów RODO grożą kary finansowe. Ostatnio bardzo głośno jest o wielomilionowych karach, niemniej jednak warto pamiętać, że takie sankcje grożą wielkim firmom, które przetwarzają dane na ogromną skalę.

Poważniejszym ryzykiem dla właścicieli gabinetów kosmetycznych mogą być ewentualne roszczenia klientów, którzy słusznie (lub nie) stwierdzą, że ich dane nie są właściwie chronione i mogą zażądać od nas rozmaitych rekompensat. Jeśli posiadamy odpowiednią dokumentację i stosujemy się do opracowanych przez siebie procedur w codziennej pracy, będzie nam łatwo udowodnić, że działamy zgodnie z prawem.

Więcej informacji na temat RODO w gabinecie kosmetycznym znajdziesz w bazie wiedzy na blogu Gabinet od zaplecza.

Anna Wydra-Nazimek