RODO – nowe przepisy dotyczące ochrony danych osobowych


25 maja 2018 roku zaczną obowiązywać nowe przepisy dotyczące ochrony danych osobowych. Wprowadza je Rozporządzenie Parlamentu Europejskiego o Ochronie Danych Osobowych w skrócie RODO.

Wbrew pozorom zmiany te dotkną nie tylko duże firmy i korporacje, ale również małe przedsiębiorstwa, także te funkcjonujące w branży beauty.

Nieznajomość przepisów RODO oraz nie zastosowanie się do zawartych w nich wytycznych,  w razie kontroli w przedsiębiorstwie, może okazać się bardzo bolesne dla przedsiębiorstwa.

Kary przewidziane przez Rozporządzenie sięgają bowiem nawet do 20 mln euro lub 4 % rocznego obrotu działalności.

W celu zabezpieczenia się przed tak dotkliwymi konsekwencjami konieczna jest zmiana podejścia do danych osobowych oraz przyswojenie wiedzy, czym tak naprawdę są takie dane i co wchodzi w zakres ich przetwarzania.

Gabinet zabiegów estetycznych posiadający elektroniczny lub papierowy rejestr przyjmowanych klientów, często nie zdając sobie z tego sprawy, realizuje już kilka z przesłanek przetwarzania danych takich jak np. zbieranie, utrwalanie, modyfikowanie czy udostępnianie.

Gabinety korzystające z systemów rezerwacji online również nie zostają zwolnione z wymogów narzuconych na nie przez RODO, a dodatkowo, powinny zadbać o udokumentowanie korzystania z takich systemów poprzez podpisanie odpowiedniej umowy powierzania z firmami prowadzącymi takie systemy.

Należy zrozumieć, iż podstawowym filarem RODO jest działanie oparte na zasadzie ryzyka, tzn. iż nie otrzymujemy gotowych wytycznych jak postępować z przetwarzanymi przez nas danymi osobowymi, jednakże jesteśmy obowiązani wykazać, iż dane te są przez nas chronione w odpowiedni sposób, czym z kolei jest drugi najważniejszy filar RODO – zasada rozliczalności.

Biorąc pod uwagę specyfikę działalności gabinetów zabiegów estetycznych, z punktu widzenia RODO, niezwykle istotną kwestią pozostaje przetwarzanie danych sensytywnych inaczej wrażliwych, są to np. danych dotyczących stanu zdrowia, przebytych chorób, alergii itp.

W kontekście działalności gabinetów ma to szczególnie istotne znaczenie, gdyż nawet pospolity manicure wykonany klientce ze skórą alergiczną bądź ze stanem grzybicznym dłoni lub  paznokci grozi wystąpieniem podrażnień lub zaostrzeniem  dolegliwości chorobowych.

Wobec takich danych należy podjąć odpowiednie kroki aby zapewnić im ochronę przed jakąkolwiek formą naruszenia.

Podmioty przetwarzające ten rodzaj danych wrażliwych, do których z pewnością należy zaliczyć gabinety zabiegów estetycznych, powinny mocno skupić się na zabezpieczeniu takich danych oraz późniejszej możliwości wykazania podjętych zabezpieczeń i uzyskanych zgód na przetwarzanie danych wrażliwych.

Wysoki priorytet nadany przez RODO otrzymują również zgody na przetwarzanie danych osobowych, które na mocy rozporządzenia zostają wzbogacone o dodatkowe elementy mające zapewnić osoby powierzające swoje dane o możliwie najlepszej ich ochronie.

Należy również pamiętać o konieczności stworzenia klauzul informacyjnych w których osoby powierzające swoje dane zostaną poinformowane o przysługujących im zgodnie z RODO nowych prawach takich jak np. prawo do bycia zapomnianym.

Nie należy mylić jednak zgód na przetwarzanie danych osobowych oraz klauzul informacyjnych z zgodami na przetwarzanie danych wrażliwych. Każdy z tych dokumentów musi zostać uzyskany osobno i zarchiwizowany w odpowiedniej ewidencji.

Mimo, iż RODO ma na celu usprawnienie ochrony danych osobowych i odejście od skomplikowanych procedur rejestrowania zbiorów czy tworzenia niepotrzebnej dokumentacji, w rozporządzeniu wskazane są jednak dokumenty, które należy wdrożyć w firmie w celu realizacji zasady rozliczalności.

Są to: rejestr przetwarzania danych, rejestr naruszeń danych osobowych i wzór raportu z naruszenia, analiza ryzyka, a w niektórych przypadkach również ocena skutków przetwarzania danych osobowych. Dokumenty te stanowią absolutne minimum, które przedsiębiorstwo powinno posiadać w razie kontroli organu nadzoru i uniknięcia dotkliwej kary.

Mimo, iż na realizację założeń RODO składa się wiele czynników należy pamiętać, iż konsekwencje ich nie wypełnienia mogą być bardziej dotkliwe aniżeli utrata czasu i środków na ich realizację.

Zachęcamy do zaczerpnięcia bardziej szczegółowej wiedzy dotyczącej RODO na dedykowanym zmianom szkoleniu (link>)

autor:

dr n. pr. Jarosław Greser