Az adatvédelem fontossága ma már a szépségiparban is központi téma. Az Európai Unió által meghatározott általános adatvédelmi rendelet (GDPR) bevezetése jelentős változásokat hozott az adatkezelés terén, és a személyes adatokat kezelő vállalkozásoknak kiemelt figyelmet kell fordítaniuk az adatvédelmi szabályzat meglétére és betartására. De kinek és miért van szüksége pontosan az adatvédelmi szabályzatra? AngyalKriszti szakértői cikke.
Az általános adatvédelmi rendelet, azaz a GDPR (General Data Protection Regulation), hivatalosan Az Európai Parlament és a Tanács (EU) 2016/679 rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül az Európai Unió rendelete, amely az Európai Gazdasági Térség területén tartózkodó természetes személyek személyes adatait védi és rendelkezik a tagállamok közötti szabad információáramlásról. A rendelet 2016. május 24-én lépett hatályba, és kétéves türelmi időszak után 2018. május 25-től kell alkalmazni.
GDPR a szépségiparban
A GDPR való alkalmazása nem függ attól, hogy az adott vállalkozás hány főt foglalkoztat, így a GDPR nemcsak a nagyvállalatokat és a közintézményeket érinti, hanem minden személyes adatot kezelő magánszemélyt vagy vállalkozást, legyen az egyéni vállalkozó, vagy kis- és középvállalkozás (kkv).
A NAIH, azaz a Nemzeti Adatvédelmi és Információszabadság Hatóság a személyes adatok védelmének biztosításáért felelős hatóság, feladata a személyes adatok védelméhez való jog érvényesülésének ellenőrzése és elősegítése.
Azaz Magyarországon a NAIH felel majd a GDPR betartatásáért, ellenőrzéseket folytathat le, az adatvédelmi szabályok megsértőit szankcionálhatja.
A GDPR szankciórendszere: alapesetben maximum 10 millió EUR, vagy vállalkozások esetében maximum a vállalkozás előző évi teljes világpiaci forgalmának 2%-áig terjedő bírság szabható ki. Súlyosabb esetben a bírság 20 millió EUR vagy a forgalom 4%-a is lehet.
Alapvető fogalmak
A GDPR rendelet, valamint a cikkben használt kifejezések megfelelő értelmezéséhez nem árt az alapvető fogalmak tisztázása:
- érintett: egy adott gazdasági társasággal kapcsolatba kerülő, bármely információ alapján azonosítható természetes személy;
- személyes adat: az érintettre vonatkozó bármilyen információ;
- adatkezelés: bármely személyes adat gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, továbbítása, nyilvánosságra hozatala, törlése és megsemmisítése;
- adatkezelő: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely az adatkezelésre vonatkozó döntéseket meghozza, majd végrehajtja, vagy végrehajtatja;
- adatfeldolgozó: az adatkezelő megbízásából adatkezelést végző harmadik fél;
- adatvédelmi tájékoztató: olyan írott szöveg, mely megfelelően tájékoztatja az érintetteket személyes adataik kezeléséről, beleértve a jogalapot, célt, az adatkezelés idejét, és az érintettek jogait;
- adatvédelmi incidens: az adatbiztonság olyan sérelme, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisülését, elvesztését, módosulását, jogosulatlan továbbítását vagy nyilvánosságra hozatalát, vagy az azokhoz való jogosulatlan hozzáférést eredményezi.
Kiket érint a GDPR rendelet?
A szépségipari szolgáltatók, akik jellemzően egyéni vállalkozóként vagy egyéb vállalkozási formában végzik tevékenységüket, gyakran csak „a másik oldalon”, magánszemélyként találkoznak az egységes európai adatvédelmi rendelet (GDPR) elvárásaival: amikor érintettként adatkezelési tájékoztatókat fogadnak el, adatkezelési nyilatkozatokat tesznek, hozzájárulásokat adnak.
A rendelettel érintett személyes adatok köre rendkívül széles, a természetes személyre vonatkozó bármely információ ide tartozik, például név, szám, cím, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi jellemzője, de a képmása vagy az egészségi állapota is. Széles az adatkezeléssel érintettek köre is, az ügyfeleken túl ide tartoznak a munkavállalók, és általában mindazon természetes személyek, akikről a vállalkozás bármilyen alapon és módon személyes adatot tud meg és tart nyilván. A GDPR rendeletnek nem csak megfelelni kell tudni, de ezt a megfelelést ellenőrzés esetén igazolni is tudni kell.
A rendelet részletesen szabályozza mind az adatkezelők kötelességeit, a nyilvántartás módját, az adatkezelés jogszerűségét, az esetleges jogosulatlan hozzáférés, adatvédelmi incidens esetén teendő intézkedéseket, mind pedig az érintett természetes személyek jogait, egyebek mellett a tájékoztatás és a személyes adatokhoz való hozzáférés jogát, a helyesbítéshez, az adatkezelés korlátozásához vagy a törléshez való jogot.
A leggyakoribb céges adatkezelési tevékenységek a következők:
- szerződéses partnerek (szállítók, vevők) adatainak kezelése, (szerződéses jogalap: érintett fél adatait, ajánlat kérés)
- törzsvásárlói listák,
- jogi személy ügyfelek, vevők, szállítók természetes személy képviselőinek elérhetőségi adatai,
- direkt marketing tevékenységgel kapcsolatos adatkezelés,
- nyereményjátékok szervezése,
- látogatás, regisztráció a cég honlapján,
- hírlevél szolgáltatás,
- webáruház értékesítés,
- munkaügyi, személyzeti nyilvántartás, a munkavállalók személyes adatainak kezelése,
- munkára jelentkezők, pályázók adatainak kezelése,
- munkaköri alkalmassági vizsgálatokkal kapcsolatos adatkezelés,
- munkahelyi be- és kiléptetéssel kapcsolatos adatkezelés,
- könyvelési, adózási (bérszámfejtés) célú adatkezelés,
- munkahelyi kamerás megfigyelése,
- munkáltató által biztosított eszközök (mobiltelefon, laptop, gépkocsi) használatának ellenőrzésével kapcsolatos adatkezelés.
Mint látható az egyéni vállalkozások/kisvállalkozások is adatkezelőkké válhatnak. Mint azt már említettem az ide tartozik az időpontfoglalás, a digitális beleegyező nyilatkozat, a kapcsolattartás, a referenciafotók vagy vendégvélemények posztolása, adott esetben a biztonsági kamerák felvételei a szalonban, és akár az egészségügyi, vagyis különleges adatok kezelése bizonyos szépészeti kezelések kapcsán. Nem is beszélve arról, ha a vállalkozások még alkalmazottakat is foglalkoztatnak.
Tudtad?
A Salonic digitális beleegyező nyilatkozat segítségével automatizálhatod a GDPR adatkezelési hozzájárulások kiküldését, aláíratását és nyilvántartását. A Salonic-ba beérkező időpontfoglalást követően a rendszer automatikusan kiküldi e-mailben az adatkezeléshez szükséges nyilatkozatot a vendégnek. A vendég átolvassa a kötelezően kitöltendő dokumentumot, megválaszolja a kérdéseket, majd digitálisan aláírja. A rendszer automatikusan generálja PDF-ben a beleegyezést, majd a Salonic profilhoz csatolja. Próbáld ki a Salonicot 30 napig ingyen!
A fentieken túl talán a legérdekesebb az egészségügyi adatok tárolása. Napjainkban sajnos számtalan allergia, intolerancia alakult ki, akár egyes alapanyagokkal szemben. A kezelések esetében számos betegség jelenthet korlátozást az alkalmazható szolgáltatásokra: daganatok, csontritkulás, trombózis vagy akár mentális problémák. Az egészségügyi adatok pedig kizárólag akkor kezelhetők, ha az érintett kifejezett hozzájárult.
A szépészeti szolgáltatásokat gyakran fiatalok, akár kiskorúak is igénybe veszik, így tehát idővel elkerülhetetlen a 16 évesnél fiatalabbak adatainak kezelése. Igen, előfordulhat, hogy ők is tájékozottakaz adatvédelemben, a GDPR alapján az ő személyes adataik kezelése csak akkor és olyan mértékben jogszerű, ha és ahogyan a hozzájárulást a szülője vagy gondviselője megadta, illetve engedélyezte.
„Egyedül dolgozom, nincs alkalmazottam, nincs weboldalam, nem küldök hírlevelet…..”
A GDPR alkalmazási kötelezettsége nem függ az alkalmazottak számától, vagy a vállalkozás méretétől: a rendelet hatálya minden olyan személyes adat kezelésére kiterjed, amelyek valamely nyilvántartási rendszer részei, és az Európai Unióban tevékenységi hellyel rendelkező adatkezelők végzik, vagy az ott tartózkodó érintettek számára történő szolgáltatásnyújtáshoz kapcsolódnak.
Mik azok az adatvédelmi incidensek?
A Rendelet szerint „adatvédelmi incidens”: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi; (4. cikk 12.)
A leggyakoribb jelentett incidensek lehetnek például: a laptop vagy mobil telefon elvesztése, személyes adatok nem biztonságos tárolása (pl. szemetesbe dobott fizetési papírok); adatok nem biztonságos továbbítása, ügyfél- és vevő- partnerlisták illetéktelen másolása, továbbítása, szerver elleni támadások, honlap feltörése.
Az adatvédelmi szabályzat
Az adatvédelmi szabályzat az adatkezelő belső dokumentuma, célja a megfelelőség biztosítása érdekében az adatkezelés kockázatainak mérséklése belső (technikai és szervezési) szabályok lefektetésével. Mindez azt jelenti, hogy az adatvédelmi szabályzat befelé irányuló „hatállyal” kell, hogy rendelkezzen, és az adatkezelő belső tevékenységét érintően kell, hogy hatását kifejtse.
Mint látható még a minimális személyes adatkezelésre is kötelező odafigyelni. El lehet önállóan is készíteni a kapcsolódó tájékoztatást és a szükséges nyilatkozatokat, egyéb dokumentumokat, de összetettebb esetben már érdemes szakemberhez fordulni.