Ugodno smo iznenađeni koliko nam je naših vjernih čitatelja skrenulo pozornost na vijesti u medijima koje prenose dijelove novih Preporuka HZJZ-a za rad frizerskih salona i brijačnica tijekom epidemije COVID-19.
 
Preporuke HZJZ javno su dostupne na ovoj stranici:
 
https://www.hzjz.hr/wp-content/uploads/2020/03/Frizerska-djelatnost-finalno-30-04-2020.pdf
 
Prvo bismo htjeli otkloniti svaku sumnju - bez COVID-19 okolnosti ili s njima, frizerski saloni dužni su u cijelosti se uskladiti s obvezama iz GDPR-a.
 
Usklađivanje frizerskih salona nije nimalo banalno niti jednostavno, pisali smo o toj temi nekoliko puta, s obzirom da smo naučili poslovni model od najpoznatijih imena u toj branši i održali nekoliko edukacija za beauty salone u Zagrebu.
 
A o detaljima "neregularnog" usklađivanja moramo sada skrenuti pozornost na sam tekst Preporuka HZJZ-a za rad frizerskih salona i brijačnica tijekom epidemije COVID-19.
 
1. Preporuča se salonima da zabilježe vrijeme ULASKA osobe u salon, kontakt podatke (BROJ MOBITELA) i vrijeme NAPUŠTANJA salona.
 
2. U Preporukama se navodi, citiramo: "Stranke treba pravovremeno upozoriti da će im se usluga pružiti samo ako su suglasni ostaviti podatke za kontakt"
 
U normalnim okolnostima frizerski saloni u pravilu obrađuju osobne podatke svojih naručenih klijenata, počevši od imena i/ili prezimena i dogovorenog termina, telefonskog broja radi rezervacije termina ili eventualnog naknadnog javljanja promjena u terminu ili podsjećivanja o dolazećem terminu, pa sve do podataka o zdravlju, odnosno, eventualnim alergijama na preparate, podacima o preparatima koje su do sada koristili ili su se pokazali lošima, boji kose, željama klijenata za budućim terminom u određeno doba dana ili tjedna, i za takve obrade osobnih podataka moraju pronaći valjani pravni temelj (ugovorna obveza, legitimni interes, privola...) i izvršiti GDPR usklađivanje na ispravan način, što je vrlo kompleksno.
 
Današnje Preporuke HZJZ preporučuju da saloni prikupljaju osobne podatke o ulasku i napuštanju salona, odnosno, o terminu, kao i mobilne brojeve klijenata.
 
Budimo objektivni, te podatke više-manje frizerski saloni ionako prikupljaju, drže ih u svojim bilježnicama i aplikacijama, i ne smiju ih nikome izvan salona otkriti dok god ih zadržavaju, a rokovi zadržavanja tih podataka moraju biti vrlo kratki i jasno opravdani s obzirom na svrhe zbog kojih se zadržavaju.
 
Podaci o terminu i broju mobitela bi se trebali zadržati u salonima do trenutka izvršenja ili otkazivanja usluge. Temelj za isto je ispunjenje ugovorne obveze salona i pružanje usluge, a samim završetkom pružanja ili otkazivanjem usluge u rijetkim slučajevima se može opravdati daljnje zadržavanje podataka o proteklom terminu i broju mobitela sada već bivšeg klijenta s obzirom na GDPR.
 
Radi li se tako i u stvarnoj praksi, o tom više nekom drugom prilikom...
 
Međutim, rečenicu koju smo citirali u gornjoj točki 3. ne možemo objasniti u kontekstu GDPR-a:
 
"Stranke treba pravovremeno upozoriti da će im se usluga pružiti samo ako su suglasni ostaviti podatke za kontakt"
 
Ovdje se spominje termin suglasnosti, ili kako to GDPR kaže - privole na obradu podataka.
 
Privola za obradu podataka, kao jedan od mogućih pravnih temelja za prikupljanje podataka, mora prema GDPR-u biti izraz slobodne volje klijenta i ne smije biti uvjet pružanja usluge. Štoviše, mora se moći slobodno i bez posljedica povući u svakom trenutku. Sad damo privolu, za pola sata je povučemo i podaci se brišu. Privola ovdje ne dolazi u obzir.
 
Stoga je navedena rečenica bitno u suprotnosti s GDPR-om.
 
Postoji još 5 mogućih pravnih temelja koje treba razmotriti u članku 6. GDPR-a i jasno odrediti radi li se o ključnom interesu fizičkih osoba ili o propisanoj obvezi frizerskim salonima, a klijente o tome naravno informirati prije same narudžbe termina telefonom.
 
A jedna od takvih informacija mora biti i ROK na koji će se zadržavati osobni podaci klijenata frizerskih salona s obzirom na COVID-19 mjere.
 
Ukoliko će saloni poštivati GDPR načela, izbrisati će podatke o terminu i broju mobitela u vrlo kratkom roku, a tada epidemiolozi ostaju bez važnih informacija u borbi protiv širenja epidemije s obzirom na dulje rokove inkubacije ili kasne pojave simptoma.
 
Ne mogu se podaci čuvati u nedogled bez jasnog temelja u GDPR-u.
 
-----------------------------------------------------------
Da budemo što konkretniji i od pomoći, pokušat ćemo dati praktične savjete.
Ne možemo ulaziti u tumačenje pravne snage Preporuka HZJZ-a, ali smo mišljenja da ih se treba i mora poštivati.
 
Pri tom se radi o osobnim podacima koje salon ionako prikuplja po telefonskoj rezervaciji termina: ime ili prezime, mobilni broj, datum i vrijeme termina i vrsta usluge. Na temelju vrste usluge salon već unaprijed zna i kad će ista završiti.
 
To znači da salon u svrhu narudžbe usluge i izvršenja ugovorne obveze te podatke ima. Stoga je potrebno prije uzimanja osobnih podataka klijenata dati unaprijed informacije svojim klijentima o tome:
 
# koje ćete podatke prikupiti (termin, vrijeme dolaska, ime ili prezime, broj mobitela, vrijeme odlaska),
 
# da vam isti trebaju za rezervaciju termina (ukoliko je telefonska narudžba ime ili prezime, termin i sve ostalo neophodno za samu vrstu usluge)
 
# da ste obvezni ih na zahtjev epidemioloških službi dati im na uvid za ispunjenje obveza iz Preporuka HZJZ-a (vrijeme dolaska, vrijeme odlaska, broj mobitela)
 
# da ćete ih brižno čuvati za vrijeme trajanja valjanosti ovih preporuka HZJZ-a ili njihovih izmjena, a nakon toga trajno i na siguran način izbrisati
 
# da osiguravate klijentima pravo na pristup svojim podacima, ispravkama podataka, brisanje i ograničavanje obrade podataka i putem kojih kontakata ih mogu ostvariti
 
# naglasite da svaki klijent ima pravo podnijeti i prigovor Agenciji za zaštitu osobnih podataka
 
Ako je narudžba termina putem telefona, prethodna informacija daje se, naravno, usmenim putem
 
Na ulaz salona stavite pisanu obavijest o istome (ionako imate obvezu prije ili neposredno nakon ulaska, na vidljivom mjestu postaviti i informacije o higijenskim postupcima), osigurajte da su informacije u vezi zaštite osobnih podataka odvojene i jasno uočljive od informacija o higijenskim mjerama. Možete i na vaše web stranice ukoliko ih imate i ukoliko tamo primate rezervacije.
 
Ako klijenti dolaze bez narudžbe termina, tada bi trebalo takvu obavijest staviti na ulaz salona, i prije početka pružanja usluge zatražiti tražene podatke.
 
Nemojte prikupljati podatke o zdravlju klijenata i da li imaju simptome zaraze niti podatke da li su u samoizolaciji ili bili na putovanju u inozemstvu, smanjite opseg prikupljanja osobnih podataka klijenata s obzirom na svrhu u koje ih prikupljate i time poštujte članak 5. GDPR-a.