fbpx

Rodo dla wizażystki – czy Cię dotyczy?

 

 

Rodo dla wizażystki

Rodo dla wizażystki? Serio?

Oj tak, dziś będzie bardzo serio.

Czego dowiesz się z tego wpisu? 
  1. Czym jest i co oznacza Rodo dla wizażystki?
  2. Kiedy Cię dotyczy?
  3. Jakie obowiązki musisz spełnić?
  4. Jakie dokumenty musisz przygotować?
  5. Czym są dane wrażliwe oraz jak się z nimi obchodzić?
  6. Co Ci grozi w przypadku niestosowania się do przepisów Rodo?
  7. Czy musisz mieć Politykę Prywatności?
  8. Kiedy możesz publikować wizerunek klientki?

Przejdźmy więc do rzeczy. Temat jest bardzo obszerny, dlatego będę skracać gdzie się da 😛

1.Co to jest Rodo?
Rozporządzenie o ochronie danych osobowych. Ma ono na celu poprawę bezpieczeństwa tych danych. Wcześniej bazy danych osobowych mieliśmy obowiązek zgłaszać do GIODO. Teraz nie musimy. Rodo nakazuje nam poznać drogę danych osobowych w naszej firmie i zastanowić się nad sposobami ich ochrony. Nakłada na nas także inne obowiązki o które zapytamy naszego eksperta.
2.Kiedy Rodo mnie dotyczy a kiedy nie?
Rodo dotyczy Cię w każdej sytuacji w której zbierasz oraz przetwarzasz dane osobowe. Żeby to jaśniej określić musimy powiedzieć sobie czym są dane osobowe.  Tutaj mamy na myśli głównie email, numer telefonu, imię i nazwisko ale także wizerunek. Istnieją także dane wrażliwe, które wymagają szczególnego traktowania – ale o tym niżej.
Istnieje więc całkiem sporo sytuacji w których masz z tymi danymi do czynienia, oraz pobierasz je, czyli stajesz się ich administratorem. To sprawia, że Rodo jak najbardziej Cię dotyczy. Kiedy więc pozyskujesz dane osobowe?
Będzie to na pewno zapisywanie klientki – pozyskujesz jej imię , nazwisko, numer telefonu, email. Przeprowadzasz wywiad z klientką w papierowej formie, robisz notatki opatrzone danymi klientki, publikujesz w mediach społecznościowych jej wizerunek. Również kiedy Klientka dzwoni do Ciebie – pozyskujesz jej numer telefonu, wysyła do Ciebie meila – masz jej adres email itd. Pozyskujesz je także w sytuacji kiedy klientka zapisuje się na wizytę przez system rezerwacyjny, którym zarządza inna firma.
.
Sama widzisz – Rodo dla wizażystki jest bardzo ważne, nie uciekniesz przed nim ^^
Warto zapoznać się z głównymi zasadami, które my – wizażystki musimy przestrzegać. 

ZOBACZ TAKŻE: UMOWA SESJI TFP DLA WIZAŻYSTKI – WZÓR DO POBRANIA

PO CO CI TEN MAKIJAŻ PRÓBNY?

Rodo dla wizażystki
.
Jako, że nie jestem specjalistką w sprawach Rodo, porozmawiamy sobie na ten temat z ekspertem – adwokat Joanną Legun, autorką bloga i podcastu Jak zrozumieć prawnika?
.
Joanna Legun jest adwokatem. Prowadzi bloga i podcast Jak zrozumieć prawnika? Wyjaśnia tam przedsiębiorcom zawiłości polskiego porządku prawnego. Specjalizuje się w sporach sądowych oraz tworzeniu umów. Działa też w obszarze prawa cywilnego, autorskiego oraz ochrony danych osobowych. Prowadzi również szkolenia dla przedsiębiorców m.in. z RODO.
.
Marta: Jakie obowiązki wynikają z Rodo dla wizażystki? Z pewnością trzeba przygotować pewne dokumenty a także spełnić obowiązek informacyjny. Chciałabym sprecyzować co konkretnie trzeba zrobić?
Joanna: Ja bym zaczęła od dwóch, kluczowych kwestii. Pierwsza z nich to podstawa prawna, druga – obowiązek informacyjny. Te dwie rzeczy idą w parze – jeśli mamy podstawę prawną do przetwarzania danych to trzeba także spełnić obowiązek informacyjny. Jeżeli np. wizażystka posiada formularz zapisu na wizytę na swojej stronie internetowej, gdzie klientka zostawia swoje imię i nazwisko to dochodzi do zbierania danych osobowych. W takim przypadku podstawą do przetwarzania danych osobowych będzie umowa. Kiedy klientka przychodzi do nas aby korzystać z naszych usług jest to jednoznaczne z zawarciem umowy.  Częstym błędem jest pobieranie zgody na przetwarzanie danych osobowych w zakresie niezbędnym do realizacji umowy. Jest to zdecydowanie nadmiarowe, bo już samo zawarcie umowy jest podstawą do przetwarzania tych danych. Drugi element to obowiązek informacyjny. W momencie pozyskania danych osobowych – w przypadku wizażystek jest to najczęściej moment zapisywania klientki na makijaż – należy spełnić obowiązek informacyjny. To co powinno się znaleźć w obowiązku informacyjnym wynika z Rodo. Przede wszystkim są to: informacja o tym kto jest administratorem danych osobowych, jaka jest podstawa prawna do przetwarzania danych, w jakim celu będą one przetwarzane, jakie uprawnienia przysługują klientce w zakresie przetwarzania jej danych, jak długo będą one przechowywane, etc. 
Ok, czyli wiemy jakie są nasze obowiązki. Jak jednak należy poinformować o tym klientki? Wiele wizażystek umieszcza na swoich stronach regulamin oraz w wiadomości prosi klientkę o zapoznanie się z nim, zaznacza że musi zostać on zaakceptowany przed zapisaniem się.  Czy taka forma wystarczy czy potrzeba jest nam pisemna zgoda? 
Rodo wprowadza zasadę rozliczalności. Tzn. jeśli masz jakiś obowiązek wynikający z Rodo jako administrator to musisz mieć dowód na to, że ten obowiązek spełniłaś. W przypadku obowiązku informacyjnego istotne jest, aby spełnić go z momencie pozyskiwania danych osobowych od osoby, której dane dotyczą. Wizażystka powinna udostępnić klientce, której dane chce przetwarzać, możliwość zapoznania się z tymi informacjami. Można go zawrzeć w regulaminie, jednak lepiej będzie dodać także informacje o polityce prywatności, aby wszyscy mieli jasność że to tutaj należy szukać informacji o przetwarzaniu danych osobowych. Obowiązek informacyjny jest bardzo długi, w związku z tym istnieje idea przedstawiania go w sposób warstwowy. Na początku przekazujemy najważniejsze informacje dotyczące przetwarzania danych osobowych, a później umożliwiamy zapoznanie się z całością takiego obowiązku (czyli np. odsyłamy na naszą stronę internetową do polityki prywatności, czyli dokumentu, w którym znajdują się obowiązki informacyjne). Rodo nie daje jednoznacznych odpowiedzi. Wszystkie przypadki należy rozpatrywać indywidualnie, trzeba jednak pamiętać o tych głównych zasadach.
Czy kiedy mamy stworzoną taką politykę prywatności na naszej stronie internetowej i w momencie kiedy klientka się do nas zapisuje – podajemy jej link do niej i poprosimy, aby się z nią zapoznała, to można traktować to jako dowód spełnienia obowiązku informacyjnego? 
Tak, będziemy miały dowód w postaci wiadomości i spełnimy obowiązek w sposób warstwowy.
Chciałabym poruszyć także temat dokumentacji jaką musimy posiadać. Jakie dokumenty są nam potrzebne, abyśmy w razie kontroli mogły wykazać, że traktujemy temat Rodo poważnie?
Najważniejszy tutaj jest obowiązek informacyjny oraz podstawa prawna przetwarzania danych osobowych. Z Rodo nie wynika, że każda osoba musi mieć politykę ochrony danych osobowych, czyli dokument który zawiera wszystkie zasady przetwarzania tych danych. Dobrze jest jednak go mieć, jest on bardzo przydatny z punktu widzenia zasady rozliczalności. Mamy dowód na to że wdrożyliśmy Rodo i traktujemy ten temat poważnie. Dodatkowo można mieć rejestr kategorii przetwarzania, rejestr czynności przetwarzania ale w przypadku małych działalności nie są to dokumenty konieczne. Trzeba rozważyć indywidualnie czy w danym przypadku trzeba wdrożyć te dokumenty. Na pewno za to należy wprowadzić rejestr naruszeń. W momencie kiedy dojdzie do naruszenia przetwarzania danych osobowych, musimy udokumentować to naruszenie.
Co w sytuacji gdy dojdzie do takiego naruszenia? Co powinniśmy zrobić poza rejestracją takiego zdarzenia?
Jeżeli dojdzie do znaczącego naruszenia, należy taką sytuację jak najszybciej zgłosić do Prezesa Urzędu Ochrony Danych Osobowych. Trzeba przedstawić informacje o tym co się stało, jakie środki zostały podjęte aby zmniejszyć skalę naruszenia. W pewnym sensie trzeba donieść na siebie. Jest to nasz obowiązek, tak wynika z przepisów Rodo. W przypadku jeśli tego nie zrobimy, to kara nałożona przez Prezesa Urzędu Ochrony Danych Osobowych z pewnością będzie większa niż gdybyśmy to naruszenie zgłosili. 
No właśnie, co z karami? Jakich kar możemy się spodziewać w przypadku niestosowania się do tych przepisów?
Kary wynikające z Rodo są bardzo wysokie – sięgają nawet 20mln euro. Jak pokazuje przykład ostatnich tygodni Prezes Urzędu Ochrony Danych Osobowych nałożył pierwszą karę na firmę która nie spełniała obowiązku informacyjnego. Kara ta wyniosła prawie milion złotych. 
.
Rodo dla wizażystki
Wracając do dokumentów – warto mieć dokumenty w których określimy procedury postępowania z danymi osobowymi? Tzn opis tego jak się z tymi danymi obchodzimy oraz w jaki sposób je chronimy? To chyba powinno nam pomóc np. w razie kontroli?
Tak, powinno, jednak nic nam tak nie pomoże jak wykonywanie tych procedur. Jeśli np. napiszemy, że aktualizujemy hasła, czy chowamy dokumenty w szafce zamykanej na klucz, a nie będziemy się do tego stosować to nic nam to nie da.
Co w przypadku gdy przekazujemy dane innym firmom np. księgowej, czy firmie meilingowej? Czy konieczne jest podpisywanie umowy powierzania danych? 
Administratorem danych osobowych jest osoba która wyznacza cel i sposób przetwarzania danych osobowych. I tak np. wizażystka zbiera dane klientek, aby świadczyć na ich rzecz usługi. Jest ona odpowiedzialna za swój cel ich przetwarzania oraz wyznacza sposoby tego przetwarzania. Może ona jednak część swoich obowiązków i czynności wchodzących w zakres jej celu przetwarzania powierzyć innym osobom. I to np. będzie meiling. My jesteśmy administratorem, bo zbieramy te dane w celu wysyłki newslettera, ale korzystamy z podwykonawcy, który ma dostęp do tych danych osobowych w celu wysyłania meili. W takim przypadku, kiedy powierzamy fragment realizacji naszego celu komuś innemu musimy zawrzeć umowę powierzenia przetwarzania danych osobowych. Innym przykładem jest korzystanie z księgowości.  Księgowa ma przecież dostęp nie tylko do danych naszych klientów ale także dostawców. Tutaj również należy zawrzeć taką umowę. Możemy też przekazywać dane osobowe odrębnemu administratorowi. Np przekazujemy dane klientki fryzjerce, z którą współpracujemy. To ona staje się administratorem danych w zakresie wykonywanej przez nią usługi.  Jeżeli przekazujemy dane do odrębnego administratora, to nie musimy zawierać umowy powierzenia przetwarzania danych osobowych.
Co z wywiadem o stanie zdrowia i cery klientki? Wiem, że są to dane wrażliwe, które wymagają specjalnego traktowania. Jak się z nimi obchodzić? 
Musimy wrócić do podstawy prawnej przetwarzania danych osobowych – umowy jaką zawieramy z klientką w celu realizacji usługi. Nie dotyczy ona danych o stanie zdrowia klientki. Dane osobowe możemy podzielić na “zwykłe” jak imię, nazwisko itd., oraz dane wrażliwe czyli informacje np. o stanie zdrowia, seksualności, poglądach politycznych. Inne są podstawy prawne co do tych dwóch kategorii. W przypadku danych wrażliwych nie można ich przetwarzać, chyba że następuje jedna z podstaw wynikających z Rodo. Polecam zbierać zgodę na przetwarzanie tego typu danych osobowych w wywiadzie lub formularzu. Należy dodać treść zgody na przetwarzanie danych osobowych wrażliwych oraz przedstawić cały obowiązek informacyjny. Krótka informacja o przetwarzaniu tych danych tutaj nie wystarczy.
Ok, wiemy już w jaki sposób te dane uzyskać. Co jednak z nimi zrobić dalej? Jak je przechowywać, zabezpieczać?
Na pewno należy je przechowywać w sposób bezpieczny. Nie mogą leżeć w miejscu, gdzie osoba nieuprawniona będzie miała do nich dostęp. Dane osobowe w zakresie stanu zdrowia są potrzebne wizażystce także na wypadek roszczeń, które klientka może mieć do niej powiedzmy za rok czy dwa. Wizażystka będzie mogła się obronić przed zarzutami na podstawie wywiadu, który zebrała przed wykonaniem usługi. Np. kiedy klientka nie poinformowała jej o schorzeniach, które były istotne przy wykonaniu danego zabiegu. Możemy więc przechowywać te dane tak długo, aż nie minie termin przedawnienia roszczeń. Po tym okresie należy je usunąć. To samo dotyczy upływu przedawnienia roszczeń podatkowych. 
.
Rodo dla wizażystki
Co z publikacją wizerunku klientki? W jaki sposób powinnyśmy ją uzyskać? 
Tutaj mamy do czynienia nie tylko z Rodo, ale także z ustawą o prawie autorskim i prawach pokrewnych. Aby rozpowszechniać czyjś wizerunek, musimy mieć zgodę takiej osoby chyba że zachodzi jedna z przesłanek wyrażenia takiej zgody. Dzieje się tak np. gdy osoba otrzymała wynagrodzenie za pozowanie nam do zdjęć, które udostępniamy . Wtedy możemy rozpowszechniać zdjęcia tej osoby bez uzyskania zgody. 
Czy wystarczy nam zgoda ustna, czy potrzebujemy zgody pisemnej?
Zgody ustnej nie jesteśmy w stanie później udowodnić. Warto jest mieć zgodę pisemną, może być także w meilach. Klientka może w każdej chwili cofnąć taką zgodę, nawet jeśli wyraziła nam ją pisemnie. Mamy wtedy obowiązek zdjęcia z jej wizerunkiem usunąć .
Podsumowując: 
Przestrzeganie Rodo dla wizażystki jest bardzo istotne, szczególnie że przetwarza ona także dane wrażliwe.
Musisz przestrzegać przepisów Rodo, przede wszystkim spełniać obowiązek informacyjny oraz odpowiednio przechowywać oraz zabezpieczać dane.
Warto przygotować politykę prywatności oraz politykę ochrony danych osobowych, pomoże Ci ona udowodnić, że wdrożyłaś Rodo, oraz że go przestrzegasz.
Warto również uzyskiwać wszystkie zgody w taki sposób aby można było je później udowodnić (na papierze, w wiadomościach, meilach).
W przypadku znaczących naruszeń należy zgłosić je do Prezesa Urzędu Ochrony Danych Osobowych.
Dane wrażliwe należy traktować szczególnie uważnie. Publikacja wizerunku klientki wymaga jej zgody oraz w każdej chwili klientka może ją wycofać.
.
Udało Ci się przebrnąć przez cały tekst? 😛
To teraz bierz się za swoją politykę prywatności  ^^
.
PS. Tworząc politykę prywatności warto skorzystać z pomocy specjalisty 🙂
.

Marta 💄

lub udostępnij

Begin typing your search term above and press enter to search. Press ESC to cancel.

Back To Top