Potaknuti neočekivano velikim brojem upita frizerskih salona u posljednjih 24 sata o usklađivanju s obvezama iz GDPR-a, želja nam je pomoći ovim uputama.
Usklađivanje kozmetičkih i frizerskih salona s GDPR obvezama na prvi pogled izgleda jednostavno i lagano.
I vrlo se lako možemo zavarati, posebice ukoliko odlučimo GDPR riješiti putem kupljenih obrazaca, privola, izjava i druge dokumentacije i primjenom "copy-paste" metode. Sami smo vidjeli koliko je salona na taj način pokušalo riješiti GDPR obveze, nakon čega su mnogi osjećali se prevareno.
GDPR usklađivanje ne čine isprintane privole, izjave i drugi obrasci pospremljeni u registrator.
Kada pitamo salone o razlozima zašto se žele uskladiti s GDPR-om, u pravilu je odgovor - izbjegavanje velikih kazni Agencije za zaštitu osobnih podataka (AZOP).
AZOP će otvoriti nadzor (inspekciju) u pravilu u tri slučaja:
- kada netko od klijenata ili bivših klijenata, zaposlenika i bivših zaposlenika ili bilo koja treća osoba podnese prijavu protiv salona da krivo postupa s njegovim osobnim podacima
- kada se bilo koja osoba požali AZOP-u da salon nije postupio prema zahtjevu za pristupom podacima, brisanjem, ispravkama, ograničenjem obrade i ostalim pravima iz GDPR-a
- kada "iscure" osobni podaci klijenata ili bivših klijenata, zaposlenika i bivših zaposlenika, ili se dokumenti s osobnim podacima otkriju neovlaštenim osobama ili završe na otpadu ili na internetu, i u ostalim slučajevima tzv. povreda podataka
Iz prethodno navedenih slučajeva sasvim je jasno da razne privole, izjave i kopirani obrasci neće biti od nikakve pomoći u takvim slučajevima. Njima se ne osigurava usklađivanje s GDPR-om.
Svaki salon je drugačiji. Također i po pitanju osobnih podataka. Razlike mogu biti ogromne.
Usklađivanje frizerskih salona nije nimalo banalno niti jednostavno, pisali smo o toj temi nekoliko puta s obzirom da smo naučili poslovni model od prepoznatih imena u toj branši i održali nekoliko edukacija za beauty salone u Zagrebu u organizaciji SVIM - Imaj uspješan salon.
Ukoliko se salon odluči angažirati vanjske savjetnike i stručne osobe u tom području, nemojte dozvoliti da vam kopiraju obrasce, već tražite da vam daju ponudu na način da im opišete sve detalje na koje je neophodno obratiti pozornost prilikom usklađivanja s GDPR-om, navest ćemo samo neke:
- postupanje sa zdravstvenim podacima zaposlenika (liječnički pregledi, ozljede na radu...)
- reguliranje radnog odnosa sa zaposlenicima, studentima i praktikantima
- usklađivanje internih akata salona u području radno-pravnih odnosa i obavještavanje zaposlenika o svim obradama njihovih podataka
- postupanje s osobnim podacima i dokumentima bivših zaposlenika i bivših kandidata za zapošljavanje koje niste zaposlili
- prikupljanje podataka klijenata u svrhe rezervacije termina i narudžbe preparata, navika i želja klijenata, kupnji preparata
- definiranje rokova zadržavanja podataka klijenata nakon zadnjeg tretmana ili usluge (zadržavanje ne smije biti trajno, već ograničeno na rok koji mora biti opravdan i dokumentiran)
- slanje poruka s podsjetnikom o dogovorenom terminu
- transparentnost prema klijentima na webu i u salonu
- prikupljanje raznih vrsta zdravstvenih podataka klijenata (alergije, uzimanje lijekova, prhuti, opadanje kose...) kao posebnih kategorija osobnih podataka i razdoblje i način pohrane istih, pri čemu se mora znati da se zdravstveni podaci klijenata po defaultu ne smiju prikupljati osim ukoliko je ispunjen jedan od kriterija iz članka 9. GDPR-a
- vođenje kartona klijenata, sadržaj kartona, rokovi pohrane, gdje se spremaju, koriste li se aplikacije i kako se štite podaci u aplikacijama
- izrada profila klijenata putem softvera
- podsjetnici klijentima koji dugo nisu koristili usluge salona, smiju li se više kontaktirati
- anketni listići koje neki saloni daju klijentima
- newsletteri i čestitke klijentima putem poruka ili sms-ova
- ocjenjivanje zaposlenika od strane klijenata
- obrada osobnih podataka potencijalnih klijenata koje su preporučili postojeći klijenti ili dodjela poklon bonova
- video nadzor u salonu, njegove svrhe i njegov legitimitet i što je sve nužno napraviti
- izrada postupaka o rješavanju zahtjeva klijenata, bivših klijenata, zaposlenika, bivših zaposlenika, bivših kandidata za posao, za njihovim pravima iz članaka 15-22. GDPR-a
- otkrivanje, uklanjanje i izvještavanje o povredama podataka
Ukoliko vam GDPR stručnjaci mogu osigurati ispunjenje svih ovih segmenata GDPR usklađivanja, tražite ih da to bude i napisano u ponudama.