Masz pytania?
608 320 901
533 210 986

Blog

Wytyczne GIS dla salonów fryzjerskich i kosmetycznych a ochrona danych osobowych.

NA POCZĄTEK KILKA FAKTÓW:

a) od dzisiaj legalnie rozpoczęły swoją pracę gabinety fryzjerskie oraz kosmetyczne,

b) 13 maja 2020 r. Główny Inspektor Sanitarny wydał wytyczne przeciwepidemiczne dla jednych i drugich,

c) 5 maja zaś UODO wydało oficjalny komunikat  dotyczący sprawdzania temperatury w celu zapobiegania rozprzestrzeniania się COVID-19 przez pracodawców swoich pracowników i klientów, zatem przetwarzania ich szczególnej kategorii danych osobowych w obliczu walki z COVID-19.

Mogłoby się wydawać, że ten na pozór logiczny ciąg zdarzeń kompleksowo przygotował przedsiębiorców z branż beauty na powrót do „normalności”. Nie będziemy oceniać kwestii technicznych ani ogólnego bezpieczeństwa pracowników oraz klientów - nie mamy do tego kompetencji. Patrząc jednak na ochronę danych osobowych, nie wprowadzono nic poza chaosem, niewiadomą, zaprzeczeniem i „domniemanym” przyzwoleniem na przetwarzanie danych osobowych, bez przestrzegania przepisów prawa i wprowadzenia wewnętrznych procedur. Najgorsze w tym wszystkim jest jedno: w przypadku odpowiedzialności karnej bądź cywilnej (pozwu niezadowolonego klienta, bądź roszczeniowego pracownika) nie poniesie jej żadna instytucja a Administrator Danych Osobowych, czyli przedsiębiorca, który uzna, że trzeba, można, że COVID-19 daje wszystkim prawo do przetwarzania danych osobowych klientów i pracowników, nawet tych szczególnych kategorii, bez zbędnego tłumaczenia się, dokumentacji i przestrzegania prawa.

CO NA TO RODO?

Niezależnie, czy żyjemy w czasie pandemii, czy też nie, przetwarzanie danych osobowych zostało uregulowane przepisami prawa. To po pierwsze.

Po drugie - istnieją zasady (art. 5 RODO), których muszą przestrzegać wszyscy zajmujący się przetwarzaniem danych: 

✅ należy jasno ustalić cel przetwarzania danych osobowych i to, czy nie ma możliwości osiągnięcia go, bez ich przetwarzania, 
✅ trzeba wskazać na jakiej podstawie będą przetwarzane dane osobowe (RODO, a także przepisy sektorowe)
✅ przetwarzać można tylko takie dane, które są niezbędne do osiągnięcia podanego wcześniej celu,
✅ aby przechowywać i w inny sposób przetwarzać dane osobowe muszą zostać spełnione warunki, co do których obligują przepisy prawa (np. posiadać odpowiednią dokumentację, nadać pracownikom upoważnienia do przetwarzania danych osobowych, zobligować ich do zachowania poufności, spełnić obowiązek informacyjny itd. …).

To, że GIS wyda wytyczne, w których napisze między innymi, że zaleca się rozważenie możliwości bezdotykowego pomiaru i rejestracji temperatury ciała pracowników przed rozpoczęciem pracy, za ich zgodą, nikogo nie zwalnia z odpowiedzialności i wymogów prawa dotyczącego przetwarzania danych osobowych.

UODO pisze wprost:

RODO w swoim art. 9 ust. 2 lit. i) wskazuje, że szczególne kategorie danych (dotyczące zdrowia) można przetwarzać, gdy jest to niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi, jeżeli wynika to z przepisów prawa. Przepis ten koresponduje zatem z regulacjami krajowymi z dziedziny walki z pandemią COVID-19. Zgodnie z art. 17 ustawy z dnia 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych (Dz.U. z 2020 r. poz. 374) – tzw. specustawy, Główny Inspektor Sanitarny posiada uprawnienia, aby oddziaływać na inne podmioty oraz na zmiany w obowiązujących przepisach, a także wskazywać na przyjmowanie właściwych rozwiązań.

Dalej czytamy:

W związku z tym, jeżeli inspektor sanitarny uzna, że niezbędne jest przyjęcie rozwiązania w postaci mierzenia temperatury pracownikom i tzw. gościom wchodzącym na teren zakładu pracy czy też pozyskiwania od pracowników oświadczeń dotyczących ich stanu zdrowia, może skorzystać z właściwego dla niego środka prawnego, w efekcie czego na zakład pracy nałożony zostanie obowiązek w postaci decyzji o dokonywaniu pomiaru temperatury czy też zbieraniu oświadczeń pracowników dotyczących ich stanu zdrowia.

Dalej:

W kwestii dotyczącej podejmowania działań związanych z przeciwdziałaniem COVID-19 w miejscu pracy, należy zaznaczyć, że podstawą legalizującą przetwarzanie danych dotyczących zdrowia w sektorze zatrudnienia, a zatem w relacji pracodawca-pracownik oraz w relacji z podmiotem publicznym, nie może być art. 9 ust. 2 lit. a) RODO, tj. zgoda osoby, której dane dotyczą. Wynika to wprost z ogólnego rozporządzenia o ochronie danych, które wskazuje, że zgoda nie powinna stanowić ważnej podstawy prawnej przetwarzania danych osobowych w szczególnej sytuacji, w której istnieje wyraźny brak równowagi między osobą, której dane dotyczą, a administratorem

Dalej:

Prezes Urzędu Ochrony Danych Osobowych wskazuje, że przepisy o ochronie danych osobowych nie przeciwstawiają się podejmowanym działaniom związanym z przeciwdziałaniem COVID-19. Podkreśla natomiast, że podejmowane rozwiązania przez przedsiębiorców, pracodawców i inne podmioty będą legalne, jedynie w sytuacji, jeżeli administrator będzie realizował je na podstawie przepisów prawa – zgodnie z zasadą legalności określoną w art. 5 ust. 1 RODO. W przedmiotowej sprawie podstaw prawnych należy niewątpliwie doszukiwać się w rozwiązaniach wyznaczanych przez Głównego Inspektora Sanitarnego.

CO TO OZNACZA DLA PRZEDSIĘBIORCY?

W dużym skrócie i uproszczeniu, jeżeli GIS nałoży na przedsiębiorcę obowiązek mierzenia temperatury, lub innych działań związanych z przetwarzaniem danych osobowych klientów czy pracowników, to wtedy podstawą prawną takiego przetwarzania jest jego decyzja (GIS). Jednak GIS nie nałożył na nikogo obowiązku, a jedynie „zalecił rozważenie możliwości” podjęcia tych działań, dodatkowo wskazując za konieczność wyrażenia zgody przez pracownika na przetwarzanie danych osobowych. Można zatem uznać, że mogę jeżeli pracownik się na to zgodzi, gdyby nie wcześniejsze oświadczenie Prezesa Urzędu Ochrony Danych Osobowych, mówiące o tym, że zgoda pracownika nie może być podstawą przetwarzania danych osobowych, gdyż istnieje zależność pomiędzy pracownikiem a pracodawcą, która wyklucza dobrowolność wyrażenia zgody …

Bełkot… chaos…niewiadoma? Mamy nadzieję, że już teraz rozumiecie nasze stwierdzenie z początku artykułu. Bo to nikogo innego jak przedsiębiorcę wywoła się do tablicy i użyje powyższych argumentów, tylko ułożonych w oględną formułkę, aby pociągnąć go do odpowiedzialności … Spokojnie, powiemy Wam co trzeba zrobić, tylko najpierw przyjrzyjmy się bliżej wytycznym GIS.

ZAPISY DOTYCZĄCE PRZETWARZANIA DANYCH OSOBOWYCH W WYTYCZNYCH GIS

W wytycznych z 13 maja tego roku GIS zawarł punkty, które związane są z przetwarzaniem danych osobowych, poniżej kilka z nich:

a) Zaleca się rozważenie możliwości bezdotykowego pomiaru i rejestracji temperatury ciała pracowników przed rozpoczęciem pracy, za zgodą pracowników

b) Możliwe jest rozważenie, za zgodą pracowników, prowadzenia codziennych procedur przeprowadzania i dokumentowania wywiadu, w szczególności o braku wstępowania objawów chorobowych u pracownika/osoby świadczącej usługi oraz o braku kontaktu z osobą, która miała widoczne objawy chorobowe lub była narażona na kontakt z osobą zakażoną

c) Przyjmowanie klientów następuje wyłącznie po wcześniejszym umówieniu za pomocą środków zdalnych.

d) W dniu poprzedzającym planowaną wizytę personel kontaktuje się z klientem w celu potwierdzenia wizyty

e) Klient zostaje poinformowany o tym, że nie może przyjść na umówioną wizytę jeśli:
• występują u niego objawy wskazujące na chorobę zakaźną,
• jest w trakcie odbywania obowiązkowej izolacji lub kwarantanny,
• zamieszkuje z osobą, która jest poddana obowiązkowej izolacji lub kwarantannie,
• w ciągu tygodnia miał kontakt z osobą podejrzaną o zakażenie, zachorowanie lub skierowaną do izolacji.

f) Jeśli u klienta nie zaistniały przesłanki wymienione w pkt. 7, należy go telefonicznie poinformować o obowiązujących zasadach bezpieczeństwa, w tym o przyjściu do salonu w maseczce (klient zdejmie maskę tylko na czas wykonania zabiegu, jeśli dotyczy on zasłoniętego obszaru twarzy) oraz zabraniu ze sobą rękawiczek jednorazowych

g) W przypadku stwierdzenia wyraźnych oznak choroby, jak uporczywy kaszel, złe samopoczucie, trudności w oddychaniu, osoba nie powinna zostać wpuszczona na teren obiektu. Powinna zostać poinstruowana o jak najszybszym zgłoszeniu się do najbliższego oddziału zakaźnego celem konsultacji z lekarzem, poprzez udanie się tam transportem własnym lub powiadomienie 999 albo 112.

h) Ustalenie listy pracowników oraz klientów ((terminarz wizyt wraz z danymi kontaktowymi klientów do usługi należy przechowywać w miejscu niedostępnym dla osób postronnych, najlepiej pod kluczem przez okres 30 dni od dnia usługi)) obecnych w tym samym czasie w części/ częściach obiektu, w których przebywał użytkownik, i zalecenie stosowania się do wytycznych Głównego Inspektora Sanitarnego dostępnych na stronie gov.pl/web/koronawirus/ oraz gis.gov.pl, odnoszących się do osób, które miały kontakt z zakażonym.

We wszystkich podanych wyżej czynnościach przetwarzane są dane osobowe. Co zatem należy zrobić?

✅wypełnić obowiązek informacyjny względem osoby, której dane przetwarzamy (przed przetwarzaniem) - poinformować ją m o tym: kto jest administratorem jej danych, na jakiej podstawie przetwarzane są jej dane, jak długo będą przechowywane, kto może być odbiorcą tych danych,
✅jeżeli decydujemy się na mierzenie temperatury i delegujemy do tego pracownika, musi on posiadać nadane przez nas upoważnienie do przetwarzania danych i zostać pouczony o obowiązku zachowania poufności,
✅w sytuacji kiedy przechowujemy dane osobowe klientów np. terminarze spotkań, należy posiadać procedury i zasady takiego przechowywania,
✅ tam gdzie to możliwe ograniczyć ilość przechowywanych danych - np. nie ma konieczności zapisywania tego, kto którego dnia miał jaką temperaturę ciała. Takie działanie to nadmiarowe zbieranie danych,
✅wątpliwości też budzi wprowadzenie ankiet z klientami przez telefon przed wizytą w salonie- klienci nie mają obowiązku odpowiadać na zadawane pytania np. „czy występują u Ciebie objawy chorobowe”. To doprowadziłoby do zbierania dużej ilości danych bez uprawnień. W takiej sytuacji osoba zadająca pytania, wiedziałby z jakich powodów Klient, nie pojawi się w Salonie - np. że jest chory. Osoba wykonująca ten telefon ma jedynie możliwość/obowiązek poinformowania, że w takich wypadkach klient nie może skorzystać z usług firmy,
✅ wszyscy pracownicy, którzy przetwarzają dane na zlecenie pracodawcy powinni zostać przeszkoleni.

JAKIE DOKUMENTY NALEŻY PRZYGOTOWAĆ:

KLAUZULĘ OBOWIĄZKU INFORMACYJNEGO DLA KLIENTÓW - STRONA INTERNETOWA, MEDIA SPOŁECZNOŚCIOWE

KLAUZULĘ OBOWIĄZKU INFORMACYJNEGO DLA PRACOWNIKÓW 

✅ jeżeli to konieczne KLAUZULE ZGÓD dla pracowników i klientów

KARTĘ KLIENTA na wypadek konieczności poinformowania sanepidu. Można ją połączyć z ogólną kartą, w której klient wyraża zgody marketingowe, oświadcza, że jest świadomy z ryzyka jakie niesie dany zabieg itd.

SKRYPT ROZMOWY TELEFONICZNEJ Z KLIENTEM - konieczność poinformowania klienta w jakich przypadkach musi odwołać wizytę

UPOWAŻNIENIA DO PRZETWARZANIA DANYCH OSOBOWYCH DLA PRACOWNIKÓW

OŚWIADCZENIA O ZACHOWANIU POUFNOŚCI

PROCEDURY ZWIĄZANE Z BEZPIECZEŃSTWEM PRZETWARZANIA I PRZECHOWYWANIA DANYCH OSOBOWYCH wraz z potwierdzeniem przeszkolenia pracowników

To tylko część z nowych zadań, jakie nakładają na właścicieli salonów fryzjerskich i gabinetów kosmetycznych realia, w których przyszło nam wszystkim funkcjonować. Bo przepisy prawa dotyczące ochrony danych osobowych i naszej prywatności, nie zniknęły wraz z pojawieniem się COVID-19. Co więcej, w tej sytuacji, powinniśmy jeszcze bardziej dbać o to, aby działać zgodnie z prawem, by pracownicy i klienci czuli, że ich dane osobowe są bezpieczne i nikt nie przekracza swoich kompetencji.

 

SKONTAKTUJ SIĘ Z NAMI
tel.: 608 320 901