Jak przechowywać dane osobowe w salonie kosmetycznym i fryzjerskim?

Przechowywanie danych osobowych zawsze było istotnym elementem prowadzenia biznesu, jednak po wejściu w życie przepisów dotyczących RODO jest to bardzo ważna kwestia, o której zapominają mali przedsiębiorcy.

Nie sposób zliczyć salonów fryzjerskich, kosmetycznych, małych saloników gdzie wykonuje się manicure, gdzie dane osobowe są na wyciągnięcie ręki. Przechowywane w segregatorach w łatwo dostępnych regałach.

Na potrzeby tego artykułu pisząc o pracownikach mam na myśli każdą osobę zatrudnioną nie tylko na umowie o pracę (bo co do zasady pracownikiem jest osoba, która jest zatrudniona na umowie o prace zgodnie z Kodeksem Pracy) ale również zleceniobiorcę, czy osoby na umowy o dzieło, działalności gospodarczej itd. Jednym słowem każdy podmiot, który ma styczność z danymi osobowymi salonu kosmetycznego i podlega pod kierownika, właściciela tego salonu.

W czym jest jednak problem? 

Problem polega na tym, że wielokrotnie mali przedsiębiorcy przyzwyczajeni do tego, że w trzymając ankiety klientów odnośnie stanu zdrowia, wagi, czy też innych kwestii związanych z otrzymaniem karty klienta leżą w segregatorach. Te zaś na regałach, które są ogólnie dostępne i wystarczy chwila nieuwagi pracownika, aby ktoś taki segregator schował do torby i wyszedł. Pomijając już odpowiedzialność jaka się wiąże z takim stanem rzeczy i fakt konieczności zgłoszenia tego incydentu to skupmy się na tym w jaki sposób dane takie można odpowiednio zabezpieczyć.

  1. Przygotuj procedury, które ułatwią ci dbanie o dane osobowe
  2. W pomieszczeniu zamykanym na klucz, do którego nie mają dostępu twoje klientki umieść szafę zamykaną na klucz lub komputer zabezpieczony hasłem, który znasz tylko ty.
  3. Przeszkol odpowiednio personel
  4. Kontroluj personel czy przestrzega procedur
  5. Raz na jakiś czas weryfikuj czy procedury są wystarczające i konieczna jest ich modyfikacja

Ad.1

Procedury kojarzą się wyłącznie z dużymi korporacjami, jednak prawda jest taka, że powinny być przygotowywane również przez małe firmy w celu przestrzegania ogólnych zasad. Procedury nie tylko ułatwiają pracę ale również pomagają “panować” nad procesem zmian.

Ad.2

Może to zabrzmi trochę złowieszczo jednak tak ma być. Kary za naruszenie danych osobowych są ogromne i lepiej nie być podmiotem, co do którego zachodzą wątpliwości o poprawność przetwarzania danych. Dlatego też wyobraź sobie taką sytuację w której zostawiasz swój portfel na głównym stoliku w salonie. Każdy ma do niego dostęp i każdy może wyciągnąć z niego pieniądze. Prawda, że niewyobrażalne?

Pomyśl teraz, że takie segregatory z danymi osobowymi Twoich klientów to właśnie ich takie portfele. Ich pesele, informacje wrażliwe (choroby itd) a ty zostawiasz to wszystko bez odpowiedniego zabezpieczenia w swoim salonie.

Zawsze wychodziłam z założenia, że dane należy chronić tak aby nigdy nikt nie mógł niczego zarzucić właścicielowi salonu. Szafa na klucz, czy mały sejf nie oznacza ogromnego wysiłku finansowego jeżeli porównamy go z karami jakie można otrzymać za brak zabezpieczeń danych. Kwestią czasu będzie to jak UODO zacznie interesować się również małymi firmami, które zarządzają danymi osobowymi.

Przygotuj małe miejsce w pomieszczeniu zamykanym na klucz na szafę lub sejf, zabezpiecz dane w odpowiedni sposób i śpij spokojnie.

No tak, ale co jak salon przechowuje dane w komputerze- czy robi to źle? 

To zależy. Żyjemy w XXI wieku, gdzie technologia niesie prymat nad tradycyjnym papierem. Jednak istotne jest to, aby komputer spełniał odpowiednie przesłanki zabezpieczające te dane. Są nimi m.in:

  • dostęp tylko uprawnionych osób do komputera
  • komputer zabezpieczony hasłem – najlepiej aby każdy z pracowników miał inne oraz specjalne uprawnienia
  • dane zawarte w komputerze powinny być również widoczne tylko w części dla pracowników – tylko na tyle na ile jest to potrzebne do obsługi przez nich
  • komputer z danymi nie powinien być używany do prywatnych działań pracowników (przeglądania stron, facebooka)
  • na komputer na którym są dane osobowe nie powinno być możliwości instalowania jakiegokolwiek oprogramowania nieautoryzowanego przez administratora (kazda instalacja obcego oprogramowania może doprowadzić do zaciągnięcia wirusa)
  • na komputerze z danymi nie powinno się otwierać maili z nieznanych źródeł (spam) zaproszenia itd
  • pracownicy nie powinni korzystać ze służbowego komputera w celu sprawdzania swojej poczty prywatnej – takie strony powinny być blokowane w celu zabezpieczenia przed kradzieżą bazy danych
  • oprogramowanie do przetwarzania danych czy wsparcia biznesowego salonu powinno również posiadać odpowiednie certyfikaty i zapewnienia, że chroni dane osobowe.
  • dodatkowo warto tu wskazać, że dostawca serwera, strony www lub jeżeli jest to zewnętrzna firma IT powinna popisać umowę z salonem w tym zakresie lub wykazać, że spełnia odpowiednie wymagane normy

Jest jeszcze cała masa zasad bezpieczeństwa związanych z zabezpieczaniem danych w salonach kosmetycznych. Oczywiście w zależności jak duży jest salon kosmetyczny czy fryzjerski wymagania mogą być większe lub mniejsze. Istotne jest jednak to, aby mieć świadomość tego aby dane były w odpowiedni sposób chronione i mieć świadomość, że zrobiliśmy wszystko co w naszej mocy aby te dane chronić.

Ale co z tego, że właściciel salonu spełnia wszelkie przesłanki ochrony jeżeli pracownicy czasami nie stosują się do nich?

Warto wskazać, że ciężar dowodu w przypadku naruszeń spoczywa na właścicielu salonu. To on będzie musiał udowodnić przed UODO, że odpowiednio zabezpieczał te dane. Dlatego koniecznym jest:

  • sporządzenie procedury, o której wspomniałam wcześniej aby pracownicy mieli świadomość ochrony danych
  • w umowach o pracę, zlecenia, kontraktach itd koniecznie należy zawrzeć dodatkowe postanowienie dotyczące odpowiedniego przestrzegania danych osobowych, jeżeli pracownicy, zleceniobiorcy itd będą mieli do nich dostęp i oczywiście jeżeli klient na to wyraził zgodę.
  • przygotowanie i przeprowadzenie odpowiedniego szkolenia z pracownikami na temat przetwarzania danych osobowych i zabezpieczenia i ochrony
  • przeprowadzenie testu weryfikacji wśród pracowników czy dobrze zrozumieli zasady
  • przeprowadzać cykliczne kontrole czy procedury są przestrzegane

Klient w dzisiejszych czasach jest bardzo świadomy swoich praw. Im bardziej zadowolony klient z tego, że salon z którego korzystają chroni jego dane i pobiera ich jak najmniej tym lepiej zgodnie z celem jaki powinien być zrealizowany. Nic ponadto.

Wszystko super, ale co w przypadku jak fryzjerka czy kosmetyczka nie posiadają salonu tylko wykonują usługi u klientów lub u siebie w domu?

Jedno nie wyklucza drugiego. Nie ma znaczenia czy ktoś prowadzi salon czy też nie. Jeżeli prowadzi działalność gospodarczą lub działalność nierejestrową i przetwarza dane osobowe w celach związanych ze świadczeniem swoich usług obowiązują go przepisy RODO i powinien ich przestrzegać.

Spotkałam się z błędnym myśleniem, że osoby które prowadzą działalność nierejestrową nie muszą stosować rodo co jest błędnym myśleniem. Osoby prowadzące działalność nierejestrową mają obowiązek traktować klientów jak konsumentów oraz przestrzegać do nich wszystkich praw tak jakby prowadziły normalną działalność. Poza tym przepisy RODO wskazują, że przepisy te nie mają zastosowania do osób fizycznych podczas czynności o charakterze czysto osobistym lub domowym. Świadczenie usług kosmetycznych, fryzjerskich czy też kosmetologicznych, makijażowych jeżeli przetwarzamy dane, umawiamy klientki lub pobieramy opłaty nie ma charakteru czysto domowym lub osobistym a co za tym idzie obowiązkiem jest przestrzeganie przepisów RODO.