2 / 2018 / vol. 7
Kosmetologia Estetyczna
243
A
artykuł
marketing i zarządzanie
zapewnią ochronę danych osobowych, w tym ochronę przed
niedozwolonym lub niezgodnym z prawem przetwarzaniem
oraz przypadkową utratą, zniszczeniem lub uszkodzeniem,
za pomocą odpowiedniej technologii i tu mamy do czynienia
z kwestią tzw. RODO informatycznego
L.W
Które dane personalne uznawane są za wrażliwe?
E.P
Szczególnym warunkom przetwarzania podlegają:
––
dane osobowe ujawniające pochodzenie rasowe lub et-
niczne, poglądy polityczne, przekonania religijne lub
światopoglądowe,
––
przynależność do związków zawodowych,
––
dane genetyczne, dane biometryczne przetwarzane jedy-
nie w celu identyfikacji osoby,
––
dane dotyczące zdrowia,
––
dane dotyczące seksualności lub orientacji seksualnej da-
nej osoby.
L.W
Czy musimy powołać inspektora ochrony danych?
E.P
Inspektor nie jest wymagany w odniesieniu do salonów
kosmetycznych, ponieważ proces jest bardzo prosty.
Dokumenty przygotowane powinny mieć odpowiednie zgo-
dy na przetwarzanie danych pod kątem obsługi klienta salonu,
możliwości telefonowania do niego oraz potwierdzania wizyt.
Natomiast ważna jest obsługa kancelarii, gdyby pojawiła
się kontrola, aby można było czuć się komfortowo.
L.W
Co w sytuacji, jeśli korzystamy z programu do zarządzania
gabinetem (CRM)?
E.P
Program jest zbiorem danych osobowych, które powinny
być chronione od strony producenta programu.
Komputer powinien być zabezpieczony od strony infor-
matycznej, tak by osoby niepożądane nie mogły dostać się
do tego programu (RODO IT).
Kopie danych powinny być przechowywane w odpo-
wiednich formach i miejscach, tak by można było te dane
odtworzyć w przypadku utraty lub awarii urządzenia.
Zgody podpisywane przez klienta powinny być odpo-
wiednio zabezpieczone, podpisane i przechowywane
L.W
Czy jeśli praktykuję papierowe karty klienta obowiązuje
mnie RODO?
E.P
Tak, oczywiście obowiązuje RODO, ponieważ trzeba
dochować należytej staranności wobec takich kart papie-
rowych. Zgody podpisywane przez klienta powinny być
odpowiednio zabezpieczone, podpisane i przechowywane.
L.W
Na co należy zwrócić uwagę, dostosowując obowiązującą
w firmie praktykę ochrony danych osobowych?
E.P
Do tego służy audyt zarówno prawny, jak i informatycz-
ny, aby ustalić, z jakimi procedurami mamy do czynienia.
L.W
Czy mamy obowiązek przeszkolić siebie i pracowników?
E.P
Tak, zgodnie z wróżonymi procedurami, aby procesy bez-
pieczeństwa danych przebiegały tak samo, czyli jednorodnie.
L.W
Czy dzięki wdrożenie RODO klientki zyskują jakieś nowe
uprawnienia?
E.P
Zyskują możliwość kontroli nad procesem przetwarzania
danych. Jeśli zdarzy się tak, że przestaną być klientkami
danego salonu wówczas mogą poprosić o wykreślenie da-
nych ich osoby z bazy oraz tym samym odwołać zgodę na
ich przetwarzanie.
L.W
Zatem od czego zacząć wdrażanie RODO?
E.P
Od audytu prawnego oraz informatycznego. Audyt praw-
ny polega na sprawdzaniu procesu wejścia danych klienta
oraz procesów, które odbywają się wtedy, gdy chcemy skon-
taktować się z klientem. Polega również na zabezpieczeniu
tego, co zgromadziliśmy, ponieważ są to dane np. wrażliwe.
Audyt informatyczny to audyt związany z zabezpieczeniem
sprzętu komputerowego, sieci komputerowej i telefonów oraz
tabletów tak abywprzypadku zagubienia nie było strachu o to
że danewpadnąwniepowołane ręce lub utraty danychmożna
je było łatwo odtworzyć lub tego aby nikt niepowołany nie roz-
powszechniał tych danych na zewnątrz Audyt prawno-admi-
nistracyjny to audyt zabezpieczający postronnie prawnej pro-
cesy, zgody i dokumenty, które są potrzebne do prawidłowego
pod kątem prawnym przetwarzania danych
L.W
Czy samodzielnie, bez audytu, ktoś, kto ma bazę 100 czy
300 osób, nie może sam zabezpieczyć tych danych?
E.P
Dane można zawsze zabezpieczyć czy to na dyskach
twardych, czy to na dyskach zewnętrznych, czy to na ser-
wera, czy na innych nośnikach, które będą przechowywane
w taki sposób w taką starannością, aby można było te dane
odtworzyć, gdyby zostały utracone.
L.W
Jakie są procedury wdrożenia RODO w gabinecie kosme-
tycznym?
E.P
Procedury powstają po wykonanym audycie, gdy znamy
proces przetwarzania danychwdanymmiejscu. Oczywiście
można go w pewien sposób ujednolicić i wówczas podejść do
wszystkich miejsc kompleksowo. Warunek jest jeden, że
w takim przypadku wszyscy będą musieli stosować ten sam
sposób przetwarzania danych, procedury administracyjne
prawne i informatyczne.
L.W
Czy musi być firma zewnętrzna, żeby RODO wdrożyć, czy
bez firmy zewnętrznej zabezpieczenie nie będzie ważne, chociaż
dobrze zrobione?
E.P
Oczywiście że można i wdrożyć samemu wszystkie za-
pisy ustawy.
L.W
Do kiedy trzeba wdrożyć? Z jakimi konsekwencjami muszą
liczyć się osoby, które nie dostosują się do nowych przepisów?
E.P
Wdrożenie powinno się odbyć do 25 maja 2018 r. Kary
przewidywane ustawą to 20 mln euro lub 4% obrotu rocz-
nego firmy. Chciałam nadmienić, że przygotowujemy pakiet
jednorodny obsługi salonów kosmetycznych, tak by było ła-
twiej nad tym panować. Czasami będzie to wymagało dosto-
sowania się do pewnych procedur, jednak myślę, że z korzy-
ścią dla wszystkich.
Dziękuję bardzo.
Moim rozmówcą była Ewa Piekart, Data Point z Warszawy
.
