Može li se usklađivanje poslovanje bilo koje organizacije napraviti kako treba bez detaljnog uvida u poslovanje iste, bez izravnog posjeta poslovnim prostorima, uvida u poslovne procese i stanje informacijske sigurnosti, bez razgovora sa zaposlenicima i odgovornim osobama i nalaženja neusklađenosti i svih potrebnih detalja koji će nam ukazivati na postojanje rizika i neusklađenosti, kao i bez neophodne edukacije managementa i svih zaposlenika koji rade s osobnim podacima zaposlenika, klijenata, posjetitelja i drugih osoba?
Ako nas pitate, odgovor je - ni slučajno. Ključ stvarnog usklađivanja s GDPR obvezama upravo leži u otkrivanju "prave istine" i pronalaženju svih nedostataka i neusklađenosti, ništa se ne smije prepustiti slučaju niti stavljati pod tepih.
Da ne govorimo o educiranosti zaposlenika i spremnosti organizacije na upravljanje zahtjevima pojedinaca za njihovim pravima iz GDPR-a i na upravljanje incidentima koji se odnose na osobne podatke - povredama podataka.
No, ako pitate HOK, usklađivanje frizerskih i kozmetičkih salona može se izvesti u potpunosti bez prethodno opisanih postupaka i mjera.
Nažalost, ne čudi nas ova razina HOK-ovog razumijevanja GDPR-a, imali smo prilike vidjeti kako su potpuno pogrešnim obrascima za vrijeme prvog vala koronavirusa gurnuli frizerske salone u kršenje GDPR-a.
****************
Usklađivanje kozmetičkih i frizerskih salona s GDPR obvezama na prvi pogled izgleda jednostavno i lagano.
I vrlo se lako možemo zavarati, posebice ukoliko odlučimo GDPR riješiti putem kupljenih obrazaca, privola, izjava i druge dokumentacije i primjenom "copy-paste" metode. Sami smo vidjeli koliko je salona na taj način pokušalo riješiti GDPR obveze, nakon čega su mnogi osjećali se prevareno.
GDPR usklađivanje ne čine isprintane privole, izjave i drugi obrasci pospremljeni u registrator.
*******************
Kada pitamo salone o razlozima zašto se žele uskladiti s GDPR-om, u pravilu je odgovor - izbjegavanje velikih kazni Agencije za zaštitu osobnih podataka (AZOP).
AZOP će otvoriti nadzor (inspekciju) u pravilu u tri slučaja:
- kada netko od klijenata ili bivših klijenata, zaposlenika i bivših zaposlenika ili bilo koja treća osoba podnese prijavu protiv salona da krivo postupa s njegovim osobnim podacima
- kada se bilo koja osoba požali AZOP-u da salon nije postupio prema zahtjevu za pristupom podacima, brisanjem, ispravkama, ograničenjem obrade i ostalim pravima iz GDPR-a
- kada "iscure" osobni podaci klijenata ili bivših klijenata, zaposlenika i bivših zaposlenika, ili se dokumenti s osobnim podacima otkriju neovlaštenim osobama ili završe na otpadu ili na internetu, i u ostalim slučajevima tzv. povreda podataka
Iz prethodno navedenih slučajeva sasvim je jasno da razne privole, izjave i kopirani obrasci neće biti od nikakve pomoći u takvim slučajevima. Njima se ne osigurava usklađivanje s GDPR-om.
*******************
Svaki salon je drugačiji. Također i po pitanju osobnih podataka. Razlike mogu biti ogromne.
Ukoliko se salon odluči angažirati vanjske savjetnike i stručne osobe u tom području, nemojte dozvoliti da vam kopiraju obrasce, već tražite da vam daju ponudu na način da im opišete sve detalje na koje je neophodno obratiti pozornost prilikom usklađivanja s GDPR-om, navest ćemo samo neke:
- postupanje sa zdravstvenim podacima zaposlenika (liječnički pregledi, ozljede na radu...)
- reguliranje radnog odnosa sa zaposlenicima, studentima i praktikantima
- usklađivanje internih akata salona u području radno-pravnih odnosa i obavještavanje zaposlenika o svim obradama njihovih podataka
- postupanje s osobnim podacima i dokumentima bivših zaposlenika i bivših kandidata za zapošljavanje koje niste zaposlili
- prikupljanje podataka klijenata u svrhe rezervacije termina i narudžbe preparata, navika i želja klijenata, kupnji preparata
- definiranje rokova zadržavanja podataka klijenata nakon zadnjeg tretmana ili usluge (zadržavanje ne smije biti trajno, već ograničeno na rok koji mora biti opravdan i dokumentiran)
- slanje poruka s podsjetnikom o dogovorenom terminu
- transparentnost prema klijentima na webu i u salonu
- prikupljanje raznih vrsta zdravstvenih podataka klijenata (alergije, uzimanje lijekova, prhuti, opadanje kose...) kao posebnih kategorija osobnih podataka i razdoblje i način pohrane istih, pri čemu se mora znati da se zdravstveni podaci klijenata po defaultu ne smiju prikupljati osim ukoliko je ispunjen jedan od kriterija iz članka 9. GDPR-a
- vođenje kartona klijenata, sadržaj kartona, rokovi pohrane, gdje se spremaju, koriste li se aplikacije i kako se štite podaci u aplikacijama
- izrada profila klijenata putem softvera
- podsjetnici klijentima koji dugo nisu koristili usluge salona, smiju li se više kontaktirati
- anketni listići koje neki saloni daju klijentima
- newsletteri i čestitke klijentima putem poruka ili sms-ova
- ocjenjivanje zaposlenika od strane klijenata
- obrada osobnih podataka potencijalnih klijenata koje su preporučili postojeći klijenti ili dodjela poklon bonova
- video nadzor u salonu, njegove svrhe i njegov legitimitet i što je sve nužno napraviti
- izrada postupaka o rješavanju zahtjeva klijenata, bivših klijenata, zaposlenika, bivših zaposlenika, bivših kandidata za posao, za njihovim pravima iz članaka 15-22. GDPR-a
- otkrivanje, uklanjanje i izvještavanje o povredama podataka
Ukoliko vam GDPR stručnjaci mogu osigurati ispunjenje svih ovih segmenata GDPR usklađivanja, tražite ih da to bude i napisano u ponudama.
Nemojte dozvoliti da vam najjeftinije rješenje postane uskoro najskuplje.