- Po co nam RODO? Kogo dotyczy?
Przede wszystkim uchwalenie Rozporządzenia o Ochronie Danych Osobowych (RODO)[1] to największa zmiana ustawodawcza w zakresie danych osobowych w ustawodawstwie krajowym od 21 lat, czyli od czasu uchwalenia pierwszej ustawy o ochronie danych osobowych w 1997 r.
Od tego czasu nastąpił olbrzymi postęp technologiczny, który jednocześnie sprawił, że utracono kontrolę nad przetwarzaniem danych osób fizycznych (albo danych osób fizycznych prowadzących jednoosobową działalność osobową, bądź też danych pracowników skupionych w spółkach kapitałowych – te podmioty także są objęte „ochroną RODO”).
Aktualnie ochrona danych jest niezwykle istotna z punktu widzenia tzw. praw i wolności obywatela, a już szczególnego wymiaru nabiera, kiedy mamy do czynienia z przetwarzaniem tzw. danych wrażliwych (tzw. „danych szczególnie chronionych” wg RODO).
- Jaki rodzaj danych przetwarzamy w branży beauty? Co oznaczają „dane szczególnie chronione”?
Niemalże w każdym przypadku wdrożenie RODO przebiega „dwutorowo”, tj. w aspekcie wewnętrznym, kiedy gabinet musi zadbać o dane osobowe naszych pracowników (poprzez zawarcie odpowiednich upoważnień oraz przeszkolenie personelu), jak i „na zewnątrz”, tj. w stosunku do swoich klientów, kontrahentów, dostawców, itp. – w takim zakresie, w jakim przetwarzamy dane.
Pojęcie danych osobowych jest jednym z filarów, na którym opiera się obecne prawo dotyczące ochrony danych osobowych. Na jego gruncie możemy wyróżnić dane zwykłe oraz dane szczególnie chronione.
Do pierwszej kategorii zaliczamy takie dane jak np. imię i nazwisko, numer telefonu, natomiast do drugiej, tej szczególnej kategorii będziemy brali pod uwagę dane, które równie często są przetwarzane w gabinetach kosmetologicznych, np. poprzez wypełnienie odpowiedniej zgody o stanie zdrowia („Zgoda na wykonanie zabiegu”).
Mimo iż branża kosmetologiczna nie zajmuje się stricte leczeniem, to jednak z praktycznego punktu widzenia, tak samo jak branża medyczna, przetwarza dane osobowe dotyczące zdrowia i leczenia ludzi (np. informacje o przebytych chorobach, zażywanych lekach, uczuleniach, itp.).
Z tego względu przetwarzanie takich danych osobowych niesie za sobą konieczność lepszego ich zabezpieczenia – poprzez odpowiednie wdrożenie RODO przez kompetentny do tego podmiot, utrzymywanie wysokiej kultury świadomości ochrony danych wśród personelu, czuwanie nad zmianami w obrębie przetwarzania danych i ich udokumentowanie zgodnie z tzw. zasadą rozliczalności (np. poprzez odpowiednie prowadzenie dokumentacji wewnętrznej przez powołanego Inspektora Ochrony Danych).
- Jakie obowiązki dokumentacyjne spoczywają na właścicielach gabinetów w zakresie wdrożenia RODO (tzw. „zasada rozliczalności”)
Z moich obserwacji wynika, że gabinety dość rzadko zdają sobie sprawę, iż należy uzyskać zgodę na przetwarzanie danych – każdą z osobna, dla „innego celu”. Innym celem będzie wykonanie zabiegu, innym celem przesyłanie informacji handlowej, np. poprzez wiadomość SMS. Zupełnie odmiennym celem będzie rekrutowanie nowego kosmetologa, innym zapisanie do newslettera – dla każdego z tych celów należy pozyskać odpowiednio skonstruowaną pod potrzeby danego gabinetu zgodę.
Aby zgodnie z prawem przesyłać informację handlową (marketingową) należy również pamiętać o dwóch dodatkowych zgodach, tj. wynikających z przepisów ustawy o świadczeniu usług drogą elektroniczną oraz prawa telekomunikacyjnego – takie zgody pozwolą na przesyłanie, zgodnie z przepisami, np. reklam za pomocą poczty elektronicznej.
To jednak nie wszystko. Oprócz odpowiednio skonstruowanej zgody, RODO nakazuje wypełnienie tzw. „obowiązku informacyjnego” (art. 13 RODO). Aby uczynić zadość temu obowiązkowi należy poinformować klienta w sposób jasny i zrozumiały o:
- pełnej nazwie i adresie swojej siedziby;
- celu zbierania danych, a w szczególności o znanych lub przewidywanych odbiorcach lub kategoriach odbiorców danych;
- prawie dostępu do treści swoich danych oraz ich poprawiania;
- dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej;
- danych kontaktowych;
- danych kontaktowych inspektora ochrony danych;
- celach przetwarzania danych osobowych i o podstawie prawnej przetwarzania;
- prawnie uzasadnionych interesach realizowanych przez administratora (w przypadku, gdy są one podstawą przetwarzania);
- odbiorcach danych osobowych lub o kategoriach odbiorców;
- zamiarze przekazania danych osobowych do państwa trzeciego;
Jednak nie tylko odpowiednia zgoda oraz wypełnienie obowiązku informacyjnego pozwolą „żyć zgodnie z RODO”. Przepisy mające obowiązywać od dnia 25 maja 2018 r. niosą za sobą inne obowiązki w zakresie dokumentowania prawidłowej ochrony danych osobowych. Z uwagi na to, że gabinety prowadzą różną działalność mogącą wpływać na ostateczne obowiązki Administratora Danych Osobowych (np. wpływ mają przetwarzanie danych tylko w formie papierowej, bądź też w formie papierowej i elektronicznej, prowadzenie bloga, przy okazji sklepu internetowego z kosmetykami, poddzierżawa miejsc do pracy), to jednak jest wiele dokumentów, które co do zasady każda placówka z branży beauty powinna sporządzić, a będą to:
- podpisane umowy o powierzenie przetwarzania danych (np. z firmą IT, na której serwerze przetwarzane są dane, z firmą, którą pomaga w umawianiu wizyt, zaleca się również dodanie tzw. certyfikatu SSL do domeny.)
- lista osób upoważnionych do wglądu do danych osobowych Administratora (dla pracowników)
- sporządzenie dokumentów wewnętrznych:
– rejestr czynności przetwarzania danych osobowych,
– analizę ryzyka i ocenę skutków przetwarzania danych osobowych,
– ewidencję incydentów naruszeń ochrony danych osobowych i wzór raportu z naruszenia,
– politykę bezpieczeństwa przetwarzania danych osobowych,
– instrukcję zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych
- w przypadku prowadzenia bloga – polityka prywatności, komunikat o cookies, a także odpowiednie informacje i zgody przy zapisie na newsletter na bloga (o ile jest).
[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.
Należy pamiętać, że nie ma jednolitego wzoru pozwalającego ma pewne wdrożenie RODO. Wynika to z faktu, że rozporządzenie to ujmuje w formie „wskazówek prawnych”, a nie daje gotowych odpowiedzi – wszystko bowiem zależy od tego, z jakim typem organizacji mamy do czynienia i to na administratorach danych osobowych (najczęściej właścicielach gabinetów kosmetycznych) spoczywa ocena ryzyka i odpowiedni dobór specjalistów.
Jeżeli posiłkujemy się wiedzą fachową, najlepiej byłoby zweryfikować, czy podmiot wdrażający posiada odpowiednią znajomość branży oraz jak dokładnie dokonuje analizy „każdego składnika” funkcjonowania placówki, w której dochodzi do przetwarzania danych osobowych.
Ze swoich obserwacji odradzam posiłkowanie się „gotowcami”, warto zainwestować w proces wdrożenia, poprzez wyszukanie odpowiedniej firmy i ewentualnie negocjowanie cen. W sytuacji, kiedy wdrożenie nastąpi nieprawidłowo, właściciel gabinetu może nawet nie mieć na ten temat wiedzy, zaś w przypadku kontroli organu nadzorczego, to właśnie administrator danych poniesie odpowiedzialność, a nie firma, która dokonała nieprawidłowego wdrożenia.
Warto również we własnym interesie zacząć pogłębiać wiedzę, choćby w niewielkim zakresie pozwalającym w pełni panować nad procesem przetwarzania danych w obrębie własnej organizacji.
Autorem materiału jest Patrycja Lubieniecka, Radca prawny, Inspektor Ochrony danych