A GDPR nem egy újabb vállalkozói szitokszó, hanem az általános adatvédelmi rendelet, amely 2018 májusától lépett életbe az EU 28 tagállamában, így Magyarországon is, és ezzel alapjaiban forgatta fel a korábbi adatvédelmi rutint. Szépségipari szakemberként talán azt gondolod, hogy ez bizony téged nem érint, valójában azonban milliós bírságot kockáztat, aki félvállról veszi a témát. Ha pedig vendéget fogadsz, bizony az adatainek kezelése is a felelősségeid közé tartozik. AngyalKriszti írása.
Milliós bírságot kockáztat, aki nem figyel
A NAIH, azaz a Nemzeti Adatvédelmi és Információszabadság Hatóság a személyes adatok védelmének biztosításáért felelős hatóság, feladata a személyes adatok védelméhez való jog érvényesülésének ellenőrzése és elősegítése.
Azaz Magyarországon a NAIH felel a GDPR betartatásáért, ellenőrzéseket folytathat le, az adatvédelmi szabályok megsértőit szankcionálhatja.
A GDPR szankciórendszere: alapesetben maximum 10 millió EUR, vagy vállalkozások esetében maximum a vállalkozás előző évi teljes világpiaci forgalmának 2%-áig terjedő bírság szabható ki. Súlyosabb esetben a bírság 20 millió EUR vagy a forgalom 4%-a is lehet.
GDPR a szépségiparban – „Nem is kezelek adatot”
Megváltozott a világ, felgyorsult az élet. Az ügyféladatok tárolása már nem merül ki egy név és időpont bejegyzésével a naptárba. Az okostelefonok, az internet és a közösségi oldalak világában kezeljük a vendégek nevét, telefonszámát, e-mail-címét, elmentjük adataikat a telefonban. Ismerősök vagyunk és üzenünk Viberen, Messengeren, feltöltjük a Google Drive-ra a fotót az elkészült frizuráról, szempilláról, manikűrről, posztoljuk Facebookon vagy az Instagramon. A szalon biztonsági kamerája rögzíti a látogatók arcképét, viselkedését. (szalonszabályzatban kell rögzíteni a kamerahasználatot!)
Ki gondolna ilyenkor arra, hogy elégedetlen vendég vagy egy rosszindulatú konkurens vállalkozás keresztbe akarna nekünk tenni?
Manapság sajnos már nem csak az adóhatósághoz vagy a munkaügyi-munkavédelmi felügyelethez fordulnak panasszal, hanem az adatvédelmi hatósághoz. Amely bizony könnyen talál olyan adatkezelési gyakorlatot, vagy éppen annak hiányát, ami nem felel meg a rendelet elvárásainak.
Nagyon sokon vannak, akik „kimerítík” azzal a GDPR szabályozást, hogy a honlapra feltesznek valami összeeszkábált szabályzatfélét. Pedig az adatvédelmi szabályzat elkészítéséhez fel kell mérni az adatkezelési folyamatokat és azok jellemzőit, majd a rendeletnek megfelelően el kell készíteni a tájékoztatókat, nyilatkozatokat, egyéb kapcsolódó dokumentumokat.
Így van ez a regisztrációs / konzultációs /állapotfelmérő lap esetében is. A szépészeti szolgáltatásokat gyakran fiatalok, akár kiskorúak is igénybe veszik, így tehát könnyen sor kerülhet 16 évesnél fiatalabbak adatainak kezelésére is.
És, bár előfordulhat, hogy ők is tájékozottak ez ügyben, a GDPR alapján az ő személyes adataik kezelése csak akkor és olyan mértékben jogszerű, ha és ahogyan a hozzájárulást a szülője vagy gondviselője megadta, illetve engedélyezte. Természetesen nem egy időpontbejegyzés esetén kell bebiztosítani magunkat, de akár kiskorúak is igénybe vehetnek különböző masszázsokat; előfordulhat betegségük, sérülésük vagy allergiájuk, amiről tudni kell; és ha ezeket nem akarjuk minden alkalommal megkérdezni, akkor feljegyezzük valamilyen nyilvántartásba, ez pedig már releváns adatvédelmi kérdés lehet, amelyhez adatvédelmi szabályzat szükséges.
A fotóknak (előtte- utána képek) a közösségi médiában való megjelenését sem elég azzal „kivédeni”, hogy letakartam a szemét, így nem ismerhető fel a vendég.
„A pillanat elszáll, a megörökítéséhez szükséges hozzájárulást viszont őrizni kell!”.
A GDPR szerint személyes adatnak számít az azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ.
Ki az azonosítható természetes személy? Az, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.
Ha tehát fénykép, akkor GDPR, akár akarjuk, akár nem. Már 2018. május 25. előtt is igen szigorú szabályok vonatkoztak hazánkban az álló- és mozgókép készítésére valamint felhasználásra. A jelenleg hatályos Polgári Törvénykönyvünk is kimondja, hogy képmás vagy hangfelvétel elkészítéséhez és felhasználásához az érintett személy hozzájárulása szükséges.
Arra azonban vigyázzunk, hogy a hozzájárulás nem lehet bármilyen, tartalmát illetően szigorú jogszabályi követelményei vannak. A hozzájárulásnak
- megfelelő tájékoztatáson kell alapulnia,
- önkéntesen és egyértelmű megerősítő cselekedettel kifejezett nyilatkozatnak kell lennie,
- bizonyíthatónak is kell lennie.
Még többet olvasnál a témában vagy akad még kérdésed? Írd meg nekünk e-mailben az info@salonic.hu címre és AngyalKriszti egy következő posztjában megválaszolja.
