RODO w małym salonie kosmetycznym

Czy RODO dotyczy branży kosmetycznej, czy właściciel salonu kosmetycznego jest administratorem w rozumieniu RODO. Czy przetwarzanie danych klientek w salonie kosmetycznym może być ryzykowne z punktu widzenia nowej regulacji. Te i inne pytania stawiają sobie aktualnie właściciele salonów kosmetycznych, fryzjerskich i w ogóle branża beauty.

Wielokrotnie pisałam, że RODO nie przewiduje ogólnych wyłączeń spod swojego reżimu, na przykład dla niektórych branż, sektorów, czy małych firm. RODO dotyczy wszystkich podmiotów, które przetwarzają dane osobowe osób fizycznych w związku z prowadzoną działalnością zawodową, zarobkową, statutową. Zatem RODO w salonie kosmetycznym jak najbardziej będzie miało zastosowanie.

RODO na pewno dotyczy salonów kosmetycznych, fryzjerskich o ile zbierają dane o swoich klientach, przetwarzają te dane czyli wykonują jakiekolwiek operacje na danych np. korzystają z dedykowanych dla salonów programów informatycznych.

Program informatyczny wykorzystywany w pracy salonu kosmetycznego z pewnością umożliwia przetwarzanie danych osobowych klientów. Wykorzystywane programy najczęściej służą właśnie do obsługi klientów.

Czytaj więcej

Jak informować zgodnie z RODO

Jak informować zgodnie z RODO, jak wykonać obowiązki informacyjne to pytanie zadaje sobie każdy administrator a odpowiedź niestety nie zawsze jest łatwa i oczywista.

Wiadomo, że osoby, których dane dotyczą, aby mogły korzystać z przysługujących im w świetle RODO rozlicznych praw, muszą o nich wiedzieć. Obowiązki informacyjne z RODO skorelowane są zatem z prawem do informacji osób, których dane są przetwarzane.

Przekazywanie informacji podmiotom danych i komunikacja z nimi w poszczególnych przypadkach jest zróżnicowana a środowisko przetwarzania danych często determinuje sposoby przekazania informacji.

Jak zatem informować, aby wypełnić obowiązki informacyjne zgodnie z RODO i dostarczyć osobom, których dane są przetwarzane niezbędnych informacji o szczegółach przetwarzania danych osobowych.

Czytaj więcej

Ograniczenie obowiązków informacyjnych dla MŚP

Ostatnio gorącym tematem stały się rzekome wyłączenia w zakresie stosowania obowiązków informacyjnych przewidzianych w RODO dla MŚP. Wyłączenia ma wprowadzić krajowa ustawa o ochronie danych osobowych, która aktualnie jest procedowana.

Informację podały media w taki sposób, że powstało zamieszanie wokół MŚP i w ogóle ich podlegania pod reżim RODO. Jednakże omawiana kwestia dotyczyła nie wszystkich obowiązków przewidzianych w RODO a jedynie obowiązków informacyjnych ciążących na administratorze danych.

Niemniej jednak z punktu widzenia osób, których dane są przetwarzane i zasady przejrzystości przetwarzania danych, obowiązki informacyjne mają kluczowe znaczenie. Podmiot, który nie wie kto, w jakim celu oraz na jakiej podstawie przetwarza jego dane nie ma szans na należytą ochronę a także korzystanie z przyznanych mu praw.

Wszyscy eksperci byli zgodni, iż całkowite wyłączenie jest niezgodne z RODO, gdyż godzi w istotę prawa do ochrony danych osobowych. Niepewność jednak została skutecznie zasiana.

Zamieszanie woków w/w kwestii zaowocowało wydaniem  wspólnego oświadczenia MC i MPiT pt. Stosowanie przepisów RODO do MŚP.

W oświadczeniu czytamy:

“W dużej części przypadków, realizowanie rozbudowanego obowiązku informacyjnego, o którym mowa w art. 13 RODO jest bardzo trudne. Dotyczy to zwłaszcza przypadków, gdy pierwszy kontakt klienta z przedsiębiorcą następuje drogą telefoniczną, która utrudnia kilkuminutowe odczytywanie długich komunikatów i treści prawnych.

Dlatego zgodnie z propozycją Ministerstwa Cyfryzacji uzgodnioną z Ministerstwem Przedsiębiorczości i Technologii, MŚP – firmy zatrudniające mniej niż 250 osób, nie przetwarzające danych wrażliwych oraz nie udostępniające danych innym podmiotom – mają być wyłączone ze stosowania art. 13 ust. 2.  MŚP nie będą więc musiały informować swoich klientów m.in. o prawie do żądania dostępu do danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania. Które to jednak prawa będą obywatelom przysługiwały.

Każdy przedsiębiorca będzie natomiast zobowiązany do poinformowania osób których dane będą przetwarzane (na etapie ich gromadzenia), o swoich danych, celu i podstawie prawnej przetwarzania danych oraz danych kontaktowych inspektora ochrony danych (o ile takiego posiada).”

Reasumując nie ma mowy o wyłączeniu obowiązków informacyjnych dla sektora MŚP a jedynie o ich ograniczeniu. Najważniejsze informacje wymagane przez RODO, każdy przedsiębiorca należący do sektora MŚP, będzie zobowiązany przekazać podmiotowi danych a w przypadku niewywiązania się z tego obowiązku niewątpliwie narazi się na sankcje karne.

Wdrażanie RODO – zgoda na przetwarzanie danych osobowych

W świetle RODO zgoda osoby, której dane dotyczą, oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.

Zgodnie z RODO nowością będzie wyrażenie zgody przez „wyraźne działanie potwierdzające” z tym jednak zastrzeżeniem, iż przyzwolenie na przetwarzanie danych powinno być jednoznaczne, a więc nie budzić wątpliwości co do zamiaru osoby, która takie działanie podejmuje.

Zgodnie z dotychczasowymi przepisami zgoda nie może być dorozumiana lub domniemana z oświadczeń woli innej treści. Co do zasady więc musi stanowić odrębną klauzulę od na przykład regulaminu świadczenia usługi.

Jednakże również na podstawie RODO w przypadku zgody wyrażanej w pisemnym oświadczeniu, które dotyczy także innych kwestii, zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem.

Oznacza to, że nie będzie można ukrywać oświadczenia o zgodzie pośród innych oświadczeń, treść oświadczenia dotyczącego zgody powinna być czytelna.

W RODO nie ma wymogu pisemności nawet dla zgody na przetwarzanie danych wrażliwych, jednakże jeżeli przetwarzanie odbywa się na podstawie zgody, administrator musi być w stanie  wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych.

Zgoda może być więc wyrażona ustnie a także pisemnie w tym w formie elektronicznej poprzez zaznaczenie okienka wyboru podczas przeglądania strony internetowej lub poprzez dokonanie wyboru ustawień technicznych korzystania z usługi.

W każdym przypadku jednak administrator musi być w stanie  wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych

Milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie będą oznaczać zgody.

Wdrażanie RODO – zakres danych i obowiązki informacyjne

Przetwarzanie, które w dniu rozpoczęcia stosowania  RODO już się toczy, powinno w terminie dwóch lat od wejścia go w życie, zostać dostosowane do jego przepisów.

Zgodnie z powyższym czas na wdrażanie postanowień RODO właśnie płynie, co oznacza, że przegląd stanu ochrony danych osobowych należy rozpocząć tak, aby za rok móc wykazać zgodność z nowymi przepisami.

GIODO podpowiada jak powinien wyglądać prawidłowy przegląd stanu ochrony danych osobowych publikując systematycznie kolejne zagadnienia, które należy sprawdzić w firmie. Zachęcam do lektury.

Zgodnie z zasadą rozliczalności za rok ADO będzie musiał wykazać, że przetwarza dane osobowe w zgodzie z zasadami przyjętymi w rozporządzeniu. Tę zgodność można wykazać na przykład poprzez wdrożenie polityk i procedur przetwarzania danych.

I to teraz właśnie jest czas na przeglądy, audyty, sprawdzenia na przykład w zakresie  jakie dane osobowe przetwarzasz, skąd pochodzą i co cię uprawnia do ich wykorzystywania, czy i komu je udostępniasz oraz jak zabezpieczasz”.

Kolejne istotne zagadnienie, które należy dokładnie sprawdzić to wywiązywanie się z obowiązków informacyjnych wobec podmiotów danych.  Rozporządzenie zwiększa zakres informacji, które należy przekazać.

Od 25 maja 2018 r. administratorzy danych będą musieli poinformować również m.in. o okresie, przez który dane osobowe będą przetwarzane (retencja danych), o ewentualnym fakcie profilowania i jego konsekwencjach czy też o danych kontaktowych inspektora ochrony danych, jeśli został on wyznaczony. Szerszy katalog informacji, które należy przekazać wymusza aktualizację obecnie stosowanych klauzul informacyjnych.

Począwszy do 25 maja 2018 r. będziesz zobowiązany wykazać już zgodność z RODO. Niestety w przypadku braku takiej zgodności organ nadzorczy będzie uprawniony do rozliczenia ADO ze stwierdzonych uchybień i nałożenia stosownych kar pieniężnych. Z tego powodu jest tak ważne, aby przegląd w obszarze danych osobowych rozpocząć już dziś.

Czy jesteś gotowy na RODO?

W ramach sprawdzianu gotowości do RODO na stronach GIODO publikowane są w odcinkach pomocne we wdrażaniu RODO wyjaśnienia.

Czy RODO to rewolucja, czy zmiany będą zasadnicze, na czym będą polegały i co to oznacza dla administratora danych tego dowiemy się w kolejnym odcinku pomocnych wyjaśnień GIODO, które znajdziesz Tutaj.

Z mojej praktyki wynika, że ogólny stan świadomości o RODO jest w dalszym ciągu bardzo niski, dlatego takie edukacyjne akcje GIODO są bardzo ważne. Administratorzy danych zwłaszcza Ci mali i średni, ale więksi też często nie mają świadomości o istnieniu RODO a jeśli nawet niektórzy coś słyszeli, to już na pewno nie zdają sobie sprawy z wagi problemu.

Został rok, aż rok a może tylko rok, aby się przygotować na rewolucję. W przygotowaniu na pewno bardzo pomocne są wszelkie wytyczne i wyjaśnienia GIODO.