Može li se usklađivanje poslovanje bilo koje organizacije napraviti kako treba bez detaljnog uvida u poslovanje iste, bez izravnog posjeta poslovnim prostorima, uvida u poslovne procese i stanje informacijske sigurnosti, bez razgovora sa zaposlenicima i odgovornim osobama i nalaženja neusklađenosti i svih potrebnih detalja koji će nam ukazivati na postojanje rizika i neusklađenosti, kao i bez neophodne edukacije managementa i svih zaposlenika koji rade s osobnim podacima zaposlenika, klijenata, posjetitelja i drugih osoba?

Ako nas pitate, odgovor je - ni slučajno. Ključ stvarnog usklađivanja s GDPR obvezama upravo leži u otkrivanju "prave istine" i pronalaženju svih nedostataka i neusklađenosti, ništa se ne smije prepustiti slučaju niti stavljati pod tepih.

Da ne govorimo o educiranosti zaposlenika i spremnosti organizacije na upravljanje zahtjevima pojedinaca za njihovim pravima iz GDPR-a i na upravljanje incidentima koji se odnose na osobne podatke - povredama podataka.

No, ako pitate HOK, usklađivanje frizerskih i kozmetičkih salona može se izvesti u potpunosti bez prethodno opisanih postupaka i mjera.

Nažalost, ne čudi nas ova razina HOK-ovog razumijevanja GDPR-a, imali smo prilike vidjeti kako su potpuno pogrešnim obrascima za vrijeme prvog vala koronavirusa gurnuli frizerske salone u kršenje GDPR-a.

****************
Usklađivanje kozmetičkih i frizerskih salona s GDPR obvezama na prvi pogled izgleda jednostavno i lagano.

I vrlo se lako možemo zavarati, posebice ukoliko odlučimo GDPR riješiti putem kupljenih obrazaca, privola, izjava i druge dokumentacije i primjenom "copy-paste" metode. Sami smo vidjeli koliko je salona na taj način pokušalo riješiti GDPR obveze, nakon čega su mnogi osjećali se prevareno.

GDPR usklađivanje ne čine isprintane privole, izjave i drugi obrasci pospremljeni u registrator.

*******************
Kada pitamo salone o razlozima zašto se žele uskladiti s GDPR-om, u pravilu je odgovor - izbjegavanje velikih kazni Agencije za zaštitu osobnih podataka (AZOP).

AZOP će otvoriti nadzor (inspekciju) u pravilu u tri slučaja:

- kada netko od klijenata ili bivših klijenata, zaposlenika i bivših zaposlenika ili bilo koja treća osoba podnese prijavu protiv salona da krivo postupa s njegovim osobnim podacima

- kada se bilo koja osoba požali AZOP-u da salon nije postupio prema zahtjevu za pristupom podacima, brisanjem, ispravkama, ograničenjem obrade i ostalim pravima iz GDPR-a

- kada "iscure" osobni podaci klijenata ili bivših klijenata, zaposlenika i bivših zaposlenika, ili se dokumenti s osobnim podacima otkriju neovlaštenim osobama ili završe na otpadu ili na internetu, i u ostalim slučajevima tzv. povreda podataka

Iz prethodno navedenih slučajeva sasvim je jasno da razne privole, izjave i kopirani obrasci neće biti od nikakve pomoći u takvim slučajevima. Njima se ne osigurava usklađivanje s GDPR-om.

*******************
Svaki salon je drugačiji. Također i po pitanju osobnih podataka. Razlike mogu biti ogromne.

Ukoliko se salon odluči angažirati vanjske savjetnike i stručne osobe u tom području, nemojte dozvoliti da vam kopiraju obrasce, već tražite da vam daju ponudu na način da im opišete sve detalje na koje je neophodno obratiti pozornost prilikom usklađivanja s GDPR-om, navest ćemo samo neke:

- postupanje sa zdravstvenim podacima zaposlenika (liječnički pregledi, ozljede na radu...)

- reguliranje radnog odnosa sa zaposlenicima, studentima i praktikantima

- usklađivanje internih akata salona u području radno-pravnih odnosa i obavještavanje zaposlenika o svim obradama njihovih podataka

- postupanje s osobnim podacima i dokumentima bivših zaposlenika i bivših kandidata za zapošljavanje koje niste zaposlili

- prikupljanje podataka klijenata u svrhe rezervacije termina i narudžbe preparata, navika i želja klijenata, kupnji preparata

- definiranje rokova zadržavanja podataka klijenata nakon zadnjeg tretmana ili usluge (zadržavanje ne smije biti trajno, već ograničeno na rok koji mora biti opravdan i dokumentiran)

- slanje poruka s podsjetnikom o dogovorenom terminu

- transparentnost prema klijentima na webu i u salonu

- prikupljanje raznih vrsta zdravstvenih podataka klijenata (alergije, uzimanje lijekova, prhuti, opadanje kose...) kao posebnih kategorija osobnih podataka i razdoblje i način pohrane istih, pri čemu se mora znati da se zdravstveni podaci klijenata po defaultu ne smiju prikupljati osim ukoliko je ispunjen jedan od kriterija iz članka 9. GDPR-a

- vođenje kartona klijenata, sadržaj kartona, rokovi pohrane, gdje se spremaju, koriste li se aplikacije i kako se štite podaci u aplikacijama

- izrada profila klijenata putem softvera

- podsjetnici klijentima koji dugo nisu koristili usluge salona, smiju li se više kontaktirati

- anketni listići koje neki saloni daju klijentima

- newsletteri i čestitke klijentima putem poruka ili sms-ova

- ocjenjivanje zaposlenika od strane klijenata

- obrada osobnih podataka potencijalnih klijenata koje su preporučili postojeći klijenti ili dodjela poklon bonova

- video nadzor u salonu, njegove svrhe i njegov legitimitet i što je sve nužno napraviti

- izrada postupaka o rješavanju zahtjeva klijenata, bivših klijenata, zaposlenika, bivših zaposlenika, bivših kandidata za posao, za njihovim pravima iz članaka 15-22. GDPR-a

- otkrivanje, uklanjanje i izvještavanje o povredama podataka


Ukoliko vam GDPR stručnjaci mogu osigurati ispunjenje svih ovih segmenata GDPR usklađivanja, tražite ih da to bude i napisano u ponudama.

Nemojte dozvoliti da vam najjeftinije rješenje postane uskoro najskuplje.