Czy RODO dotyczy branży kosmetycznej?

W obowiązujących od tego roku przepisach dotyczących ochrony i przetwarzania danych osobowych, nie przewidziano ogólnych wyjątków dla wybranych branż, sektorów czy przedsiębiorstw. Oznacza to, że odpowiedź na pytanie zawarte w tytule artykułu jest jak najbardziej twierdząca. Co zatem warto wiedzieć na ten temat?

rodo-w-branzy-kosmetycznej

Po pierwsze, dobrze jest zdawać sobie sprawę z tego, że jeśli prowadzimy salon fryzjerski czy kosmetyczny i w związku z tą działalnością przetwarzamy dane osobowe klientów, to w świetle przepisów automatycznie stajemy się administratorem danych osobowych. I nawet jeśli nie zajmujemy się np. wysyłką newsletterów, czy nie prowadzimy programów lojalnościowych lub konkursów, to w związku z prowadzoną działalnością dane osobowe są przetwarzane, chociażby w postaci zapisanego w kalendarzu harmonogramu zabiegów, gdzie pojawiają się nazwiska i numery telefonów klientek.

Dane wrażliwe

Niektóre gabinety prowadzą dodatkowo dokumentację dotyczącą np. przeciwwskazań do wykonania niektórych zabiegów, czy skłonności alergicznych klientów – a więc informacje dotyczące stanu zdrowia osób fizycznych, uznawane w RODO jako szczególne kategorie danych osobowych. Określa się je jako tzw. dane wrażliwe, których przetwarzanie co do zasady jest zabronione, a jedyne dopuszczalne od tej zasady wyjątki zawarte są w art. 9 RODO.  Jeśli podstawą przetwarzania danych wrażliwych będzie zgoda klientów, to należy dopilnować by była ona udzielona zgodnie z art. 7 RODO – opisującym warunki ważnego wyrażenia zgody, będącej prawną podstawą przetwarzania danych. Przetwarzanie danych wrażliwych bez odpowiedniej, legalnej podstawy prawnej, nawet jeśli są one w trakcie przetwarzania odpowiednio zabezpieczone, będzie powodem do nałożenia na administratora takich danych  surowych kar. A te dzięki nowym przepisom można obecnie
o wiele łatwiej egzekwować.

Zgodnie z art. 37 RODO każda organizacja, której korowa działalność polega na przetwarzaniu danych wrażliwych na dużą skalę, zobowiązany jest do powołania Inspektora Ochrony Danych Osobowych (IOD). W przypadku jednak formy jednoosobowej działalności gospodarczej, charakterystycznej dla wielu przedsiębiorstw branży kosmetycznej, należy wziąć pod uwagę ilość posiadanych danych i przeanalizować tę ilość pod kątem „dużej skali” – wieloletnia i owocna praktyka w jednym z większych miast Polski, może oznaczać konieczność powołania IOD

Dokumentacja

Kolejnym ważnym zagadnieniem z punktu widzenia RODO w branży kosmetycznej jest kwestia należytego zabezpieczenia przechowywanych i przetwarzanych danych osobowych. Aby wykazać, że mamy ją na uwadze, najlepiej sporządzić szczegółową dokumentację,
w której znajdą się takie pozycje jak:

  • rejestr czynności przetwarzania danych (określony w art. 30 RODO);
  • analiza ryzyka i ocena skutków przetwarzania (art. 32 RODO);
  • ewidencja incydentów naruszeń ochrony danych osobowych.

Dobrym pomysłem może okazać się wzięcie udziału w szkoleniu lub zlecenie audytu, czyli profesjonalnej kontroli zgodności wdrożonych rozwiązań z obowiązującymi przepisami. Zajmują się tym takie podmioty jak choćby wyspecjalizowana w zagadnieniach dotyczących RODO firma Audytel. Podobna weryfikacja z pewnością pomoże rozwiać wszelkie wątpliwości i uchronić się przed poważnymi problemami w razie wykrycia jakichkolwiek nieprawidłowości podczas kontroli urzędniczej.

śr. ocena 5 / głosów 5