To kontynuacja cyklu “niezbędnika właściciela klubu fitness”, w poprzednich publikacjach rozmawialiśmy na temat kar za regulaminy oraz legalności muzyki w klubie, dzisiaj prostym językiem rozprawimy się z RODO, tak byś jako właściciel sam mógł zweryfikować, czy to co wdrożyłeś jest poprawne. Jako Kancelaria wielokrotnie zgłaszali się do nas przedsiębiorcy, którym “ktoś wdrażał RODO z dofinansowania”, po audycie okazało się, że 80% dokumentów jest do przebudowy, a poprzedni specjalista nie czuje się w obowiązku ani aktualizować zapisów ani poprawiać błędów.
NIE MUSISZ DOKTORYZOWAĆ SIĘ Z PRAWA
My wychodzimy z założenia, że jesteście dobrzy w tym czym jesteście - czyli prowadzeniu klubu, a nie doktoryzowaniu się z prawa. Już na pewno nie macie zamiaru ciągle śledzić zmian w przepisać, dlatego pokrótce, co przypomnimy na co zwrócić uwagę i co się zmieniało na przestrzeni ostatnich 4 lat od pierwszego pojawienia się regulacji.
Gdy przeprowadzamy audyt u klienta, to nie sprawdzamy tylko jednej regulacji, a w 24 godziny przeprowadzamy pełen skan wszystkich możliwych ustaw, które dotyczą właściciela klubu. To wtedy najczęściej wychodzą problemy z RODO, bo rzadko kto zgłasza się tylko w tym temacie. Widać jednak, że duża część właścicieli próbowała lub wprowadziła wstępną dokumentację dostępną dla klienta, tyle że zazwyczaj kończy się na fasadzie, która w formie jednego dokumentu jest kopiowana z Internetu lub od konkurencji. Fasada ma to do siebie, że jest jedynie prowizoryczną ścianką, która z daleka wygląda ładnie, ale w rzeczywistości to pomalowany karton-gips, który ma się nijak do roli, w jakiej został powołany. Podobnie stało się i tutaj:
– Polityka Prywatności, czyli dokument, który pozostaje do wglądu dla klientów, bardzo często jest jedynie dokumentem internetowym, wiszącym na stronie, za którym ostatecznie powinno stać kilkanaście lub kilkadziesiąt stron pozostałych, wewnętrznych procedur. Bez nich, sama polityka prywatności (mimo iż jest wymagana) nie ma żadnej mocy. Spełnia co prawda obowiązek informacyjny, ale nie wyczerpuje pozostałych obowiązków, które ustawodawca nakłada na przedsiębiorcę. Mamy zatem fasadę domu, za którą jest łąka. Z daleka wygląda ładnie, ale po podejściu bliżej okazuje, się, że nie jest wiele warta. Podczas audytów to właśnie na tym wysypywało się ok. 7/10 przedsiębiorców, z tych, którzy pozornie posiadali Politykę Prywatności.
– Dostęp do Polityki Prywatności, klient powinien mieć PRZED zawarciem i akceptacją warunków umowy i zapłatą. Wiele podmiotów nadal stosuje zapłatę, a następnie przedstawienie regulaminu i Polityki Prywatności konsumentom. Idea jest taka, że klient musi mieć możliwość zapoznania się z tym, jak przetwarzacie dane, komu przekazujecie i jak je zabezpieczacie — przed decyzją o zakupie usługi czy produktu.
– Gdy już decydujemy się na dostęp do Polityki Prywatności poprzez stronę internetową (udostępniamy link do strony), musimy wziąć pod uwagę taką możliwość, iż klient podchodzi do recepcji, kupuje karnet, ale nie ma dostępu do Internetu. Powinniśmy wyciągnąć wydrukowaną Politykę Prywatności i dać mu możliwość zapoznania się na jego prośbę. Przygotujmy zatem personel na taką ewentualność, by z marszu ktoś nie stwierdził, że „jest na stronie, proszę sobie kiedyś sprawdzić”.
– Potwierdzenie akceptacji Polityki Prywatności, to coś, na co przedsiębiorcy nie zwracają uwagi. Bowiem w przypadku kontroli czy weryfikacji obowiązków wynikających z ustawy, może pojawić się potrzeba weryfikacji, czy dany klient zapoznał się z zasadami przetwarzania danych. Jeśli kupuje karnet internetowo pojawia się zgoda w postaci checkboxa. Jeśli zakup jest fizyczny, w recepcji, powinniśmy zadbać o zgodę, akceptację lub potwierdzenie w dowolny sposób faktu, że klient zapoznał się z treścią. Świetnie sprawdzają się do tego oświadczenia papierowe. Niewielu z przedsiębiorców, których audytowaliśmy, miało zrobione to poprawnie. Oświadczenia były toporne i nie wyczerpywały zaleceń PUODO w zakresie obowiązku informacyjnego.
– Gdy powyższe punkty okazywały się w miarę uregulowane, błędy pojawiały się już „za fasadą”, gdzie powinien znaleźć się Rejestr Czynności Przetwarzania oraz Procedura Realizacji /wycieku itp. To kilkunasto- lub kilkudziesięciostronicowy dokument, szczegółowo opisujący procedury wewnętrzne. Zawiera informacje o analizie poziomu ryzyka RODO, względem naszej firmy oraz ocenę skutków dla ochrony danych osobowych. Jest to też dokument, który jest podstawą dla pracowników, opisujący niezbędne zachowania w przypadku wycieku lub złamania zabezpieczeń. 8/10 audytowanych przedsiębiorców, którzy mieli ten dokument, posiadało w nim dziury i nieścisłości, które wyszłyby na kontroli.
– Checkboxy na stronach i w formularzach. Ta kwestia pojawia się niemal zawsze. Wystarczy wejść na stronę dowolnego klubu, by zorientować się, że albo checkboxów brak (w przypadku kontaktu czy zakupów online) albo wymaganych pól jest za dużo. O prawach konsumenta opowiemy sobie w kolejnych odcinkach cyklu, niemniej jednak to, co łatwo zapamiętać: obowiązkowe musi być pole, które nie pozwoli zrealizować usługi, jeśli nie będzie zaakceptowane. W tym wypadku polityka prywatności (bez tego nie mamy jak przetwarzać danych) oraz regulamin (albo placówki, albo zakupów online). Każda inna zgoda typu zgoda marketingowa, musi być dodatkowa i nieobowiązkowa, ponieważ jest dodatkiem do usługi. Klient, chcąc poćwiczyć, nie może zostać zmuszony do czytania reklam czy newslettera, dlatego w tym nasza rola, by było warto zaznaczyć to pole.
– Ograniczony dostęp do danych. To zasada, która obowiązuje zarówno, jeśli chodzi o stacje robocze (komputery), jak i o programy (logowanie) i dane w chmurze. Zasada jest prosta, zakłada się, by nie dochodziło do sytuacji, gdy ktoś poza administratorem posiada 100% uprawnień do konta, gdzie znajdują się dane. Jeśli chodzi o stacjonarny komputer — muszą występować dwa konta, jedno administracyjne, dla właścicieli/managerów. Drugie dla obsługi, recepcji, trenerów. Ponieważ nie ma potrzeby, by niższe stanowiska miały 100% dostępu. To samo dzieje się w przypadku logowania na maile, dane w chmurze czy programy. Niestety tutaj 10/10 audytowanych przez nas przedsiębiorców nie wdrożyło tego zalecenia.
– Kolejne schody zaczynały się przy opisach podmiotów zewnętrznych, którym przekazujemy dane. Wiele Rejestrów Czynności Przetwarzania, jak i Polityk Prywatności nie posiadało informacji i podmiotach zewnętrznych oraz tego, gdzie szukać z kolei informacji o ich politykach prywatności. W założeniu chodzi o to, by klient mógł zobaczyć nie tylko to, jak Wy przetwarzacie dane, ale również to, komu je pokazujecie oraz kto je dalej (i jak) przetwarza. Dajmy na przykład biura księgowe, prawników, a nawet trenerów na samozatrudnieniu. W każdej z tych sytuacji dochodzi do przekazywania danych. Wystawiając fakturę imienną, przekazujemy dane osobowe do obcego podmiotu, który powinien być wynotowany (najlepiej z nazwy albo link do strony www). Przekazując umowę do prawnika, również powinno to widnieć w RCP i PP. Gdy trener dostaje listę osób na zajęciach, gdzie pojawiają się dane osobowe, również powinien tam widnieć. W przypadku księgowych i prawników rotacja nie jest tak duża, jak w przypadku trenerów — czy musimy zatem każdorazowo zmieniać dokument? Wystarczy zastosować jeden prosty trik, który pozwoli w osobnym pliku edytowalnym uzupełniać i zmieniać tę listę, bez potrzeby zmian w dokumencie docelowym.
– Gdy już zawrzemy w PP jak i RCP informacje o podmiotach zewnętrznych, ważne, by zawrzeć z takimi podmiotami osobne umowy o zakresie przetwarzania danych. Umowa określa jakie dane przekazujemy i do jakich celów. Powinna też określać czas ich przetrzymywania, a osobna Polityka Prywatności drugiego podmiotu (również trener powinien taką mieć — procedury RODO obowiązują wszystkich przedsiębiorców) powinna mówić, co z tymi danymi się dzieje.
USPOKAJAM OD RAZU – NIE PÓJDZIECIE DO WIĘZIENIA
Z góry chcę uspokoić, kary za RODO póki co otrzymują duże podmioty i to w momencie nadużyć czy wycieków. Nikt nas też nie nauczył dokładnie tego jak rozumieć kwestie związane ani z danymi oraz nie poinstruował jak prosto to wdrożyć. Media głównie siały panikę, a firmy, które na dotacjach wdrażały te rozwiązania rozpływały się potem w powietrzu. Nie zmienia to faktu, że świadomość naszych klientów dotycząca przetwarzania danych jest coraz większa. Oni też mają szkolenia w pracy, albo mają styczność z branżą prawniczą - wtedy łatwo o konflikt przy recepcji i wytykanie błędów przy innych klientach.
TO NIE TAKIE TRUDNE
Wdrożenie podstawowych zasad nie jest trudne. RODO jest bliźniaczo podobne do poprzednich regulacji, które obowiązywały od lat, tak naprawdę jedynie upraszcza niektóre wymogi, które były wcześniej i dopasowuje je do cyfrowych realiów. Problem w tym, że poprzednich wymogów nikt nie egzekwował, w konsekwencji często w ogóle tego nie zabezpieczaliśmy - na takim tle, może nam się wydawać, że mamy sporo do nadrobienia.
DWA DNI PRACY I PO KRZYKU
Prawda jest taka, że wdrożenie do procedur dokumentacji, a potem egzekwowanie tego od pracowników i klientów to maksymalnie dwa dni pracy, a potem już tylko rutyna, nie trzeba się tego bać. RODO jest wszechobecne, zatem ani klient, ani pracownik nie dziwi się, że tego wymagamy, a wręcz odwrotnie, podnosi to prestiż w oczach klienta pokazując, że dbamy o jego bezpieczeństwo nie tylko na sali, ale również na kanwie jego prywatności danych.
Jeśli macie wątpliwości, czy Wasze dokumenty są poprawnie wdrożone, możesz skorzystać z bezpłatnego audytu, gdzie dział prawny Kancelarii za darmo sprawdzi Twoją dokumentację (nie tylko RODO, a wszystkie ustawy, które Cię dotyczą jako właściciela klubu) i poinformuje, jeśli znajdują się w niej uchybienia. Kliknij tutaj, a przekieruje Cię do darmowego audytu dokumentów (www.zarabiajnapasji.com/kancelaria) – zajmie Ci to 10 minut, a w ciągu 24h otrzymasz konkretne informacje wiedząc co dokładnie trzeba zrobić, by spać spokojnie.
*materiał partnerski