GDPR a szépségiparban: nem éri meg kozmetikázni

Fodrászok, kozmetikusok, manikűrösök, masszőrök, akik jellemzően egyéni vállalkozóként vagy mikrovállalkozásként végzik tevékenységüket, gyakran csak „a másik oldalon”, magánszemélyként találkoznak az egységes európai adatvédelmi rendelet (GDPR) elvárásaival: amikor érintettként adatkezelési tájékoztatókat fogadnak el, adatkezelési nyilatkozatokat tesznek, hozzájárulásokat adnak. És nem is gondolnak arra, hogy ők is adatkezelőkké válhatnak. Időpontfoglalás, kapcsolattartás, referenciafotók vagy vendégvélemények posztolása, adott esetben biztonsági kamerák felvételei a szalonban, és akár egészségügyi, vagyis különleges adatok kezelése bizonyos szépészeti kezelések kapcsán. Cikkünkben arra szeretnénk rávilágítani, hogy a szépségipari szolgáltatóknak is foglalkozniuk kell a GDPR előírásaival, még akkor is, ha egyéni vállalkozóként, egyedül dolgoznak, egy okostelefonnal és egy határidőnaplóval.

Mondhatjuk tréfásan, hogy nincs gond addig, amíg nincs gond. Persze, senki sem szeret arra gondolni, hogy egy elégedetlen vendég vagy egy kellemetlen versenytárs hogyan tehet keresztbe. Manapság nem csak az adóhatósághoz vagy a munkaügyi-munkavédelmi felügyelethez fordulnak panasszal, hanem az adatvédelmi hatósághoz. Amely bizony könnyen talál olyan adatkezelési gyakorlatot, vagy éppen annak hiányát, ami nem felel meg a rendelet elvárásainak, így akár pénzbüntetéssel is járhat.

A bírság nyilván elrettentő, ám nagyon fontos, hogy ne annak elkerülése legyen az elsődleges motiváló szempont a megfelelő adatkezelésre, hanem a szabályozott, átlátható működés kialakítása. Az ügyfelekben, vendégekben keltett presztízsértékű bizalom, és természetesen saját nyugalmunk. Nézzünk is néhány példát a legáltalánosabb ellenérvek mentén!

„Szinte semmilyen személyes adatot nem kezelek”

Manapság az ügyféladatok tárolása általában nem merül ki egy név és időpont bejegyzésével a naptárba. Az okostelefonok, az internet és a közösségi oldalak világában kezeljük a vendégek nevét, telefonszámát, e-mail-címét, elmentjük adataikat a telefonban; kapcsolatot tartunk Viberen, Messengeren, feltöltjük Drive-ra a fotót az elkészült frizuráról, szempilláról, manikűrről, posztoljuk Facebookon vagy az Instagramon. A szalon biztonsági kamerája rögzíti a látogatók arcképét, viselkedését.

A legérdekesebb terület mégis a különböző egészségügyi adatok tárolása. Felmerülhet a kérdés, hogy miért kell egy kozmetikusnak, pedikűrösnek vagy masszőrnek egészségügyi, tehát különleges személyes adatokat kezelnie. Napjainkban sajnos számtalan allergia, intolerancia alakult ki, akár egyes alapanyagokkal szemben. A masszázsok esetében számos betegség jelenthet korlátozást az alkalmazható szolgáltatásokra: daganatok, csontritkulás, trombózis vagy akár mentális problémák. Az egészségügyi adatok pedig kizárólag akkor kezelhetők, ha az érintett kifejezett hozzájárulását adta, tehát igazolható módon nyilatkozott erről.

„A holnapon van adatvédelmi nyilatkozatom”

Sok szépségipari szolgáltató nem is üzemeltet honlapot, a weboldallal rendelkezőknél pedig gyakori hiányosság, hogy csak a honlaphoz, azon belül is sok esetben kizárólag a cookie-khoz kapcsolódó adatkezelésről tájékoztatnak. Már itt is számtalan hiba elkövethető, így ha már van weboldala a vállalkozásnak, az kiváló lehetőség a vendégek vagy reménybeli ügyfelek tájékoztatására. Tehát itt közzétehetők a szolgáltatáshoz kapcsolódó adatkezelési tájékoztatók is. Ehhez viszont fel kell mérni az adatkezelési folyamatokat és azok jellemzőit, majd a rendeletnek megfelelően el kell készíteni a tájékoztatókat, nyilatkozatokat, egyéb kapcsolódó dokumentumokat.

„Nincs weboldalam, nem tudom hol közzétenni az adatkezelési tájékoztatókat”

Az adatkezelési tájékoztatókat nem kizárólag a honlapon tehetjük közzé. A rendelet az érintettek tájékoztatását írja elő, azt azonban nem szabályozza, hogy ezt milyen platformon kell megtenni. Így azokat akár a szalonban is kifüggeszthetjük, vagy Facebook-oldalunkra is kitehetjük képként vagy megosztható hivatkozásként, ami akár egy ingyenes drive fiókban tárolt dokumentumra is mutathat. A tájékoztatás módja mindig az adott szolgáltató működéséhez igazítható.

„Minden ügyfelem tisztában van vele, hogy milyen adatok szükségesek a szolgáltatáshoz”

A szépészeti szolgáltatásokat gyakran fiatalok, akár kiskorúak is igénybe veszik, így tehát könnyen sor kerülhet 16 évesnél fiatalabbak adatainak kezelésére is. És bár előfordulhat, hogy ők is tájékozottak ezügyben, a GDPR alapján az ő személyes adataik kezelése csak akkor és olyan mértékben jogszerű, ha és ahogyan a hozzájárulást a szülője vagy gondviselője megadta, illetve engedélyezte. Természetesen nem egy időpontbejegyzés esetén kell bebiztosítani magunkat, de akár kiskorúak is igénybe vehetnek különböző masszázsokat; előfordulhat betegségük, sérülésük vagy allergiájuk, amiről tudni kell; és ha ezeket nem akarjuk minden alkalommal megkérdezni, akkor feljegyezzük valamilyen nyilvántartásba, ez pedig már releváns adatvédelmi kérdés lehet.

„Nem küldök hírleveleket”

Gyakran túlmisztifikálják a hírlevélküldést, azonban nem kizárólag a bonyolult marketingrendszerek, célszoftverek vagy hírlevélküldő alkalmazások képesek marketing jellegű tartalmak, ajánlatok terjesztésére. Egy egyszerű, ingyenes e-mail fiók és egy e-mail címlista felhasználása is kimerítheti ezt a tárgykört. Éppígy a hírlevél-feliratkozás is történhet egyszerűen papíron a szalonban. Egy biztos: csak akkor küldhető a vendégeknek hírlevél, ha azt igazolhatóan ők kérték.

A hírlevél pedig nem csak akciós ajánlatokat jelenthet. Tájékoztathat arról, hogy mikor nem lesz elérhető a szolgáltatás; egy áremelkedésről, vagy akár a házirend változásáról. Bármely eset valósul is meg, a vendégek számára lehetővé kell tenni, hogy bármikor leiratkozzanak, vagyis jelezzék, hogy már nem tartanak igényt a tájékoztató levelekre, ajánlatokra.

„Nincs alkalmazottam, egyedül dolgozom egy szalonban”

A GDPR alkalmazási kötelezettsége nem függ az alkalmazottak számától, vagy a vállalkozás méretétől: a rendelet hatálya minden olyan személyes adat kezelésére kiterjed, amelyek valamely nyilvántartási rendszer részei, és az Európai Unióban tevékenységi hellyel rendelkező adatkezelők végzik, vagy az ott tartózkodó érintettek számára történő szolgáltatásnyújtáshoz kapcsolódnak. Adatkezelő pedig egyértelműen lehet akár természetes személy is, nem csak vállalkozás (jogi személy). Még a minimális személyes adatkezelésre is érdemes odafigyelni, és akár önállóan elkészíteni a kapcsolódó tájékoztatást és a szükséges nyilatkozatokat, egyéb dokumentumokat. Összetettebb esetben viszont már érdemes szakemberhez fordulni.

A szabályozás tehát nem tesz különbséget az egyes adatkezelők között méret alapján, sem aszerint, hogy mennyire mindennapi az érintett szolgáltatás, így az egyéni vállalkozókat és a szépségipari szolgáltatókat is alapvetően ugyanazon megfelelési kötelezettség terheli, mint a nagyobb szervezeteket. A kialakítás és fenntartás viszont már igazodhat az adatkezelő méretéhez, adatkezelési folyamatai összetettségéhez.

Ebben szeretnénk és tudunk is segíteni! Az adatvédelmi megfelelés kialakítása – szakértői közreműködéssel – bonyolultabb esetekben akár 5-6 számjegyű összegbe is kerülhet. Tudjuk azonban, hogy a legtöbb kisvállalkozó ezt nem engedheti meg magának; mégis fontosnak tartjuk, hogy az ő megfelelő adatkezelési gyakorlatuk kialakítását is elősegítsük. A kifejezetten szépségipari szolgáltatók számára készült adatkezelési kérdőív kitöltése és rövid konzultáció után elkészítjük az Ön vállalkozására szabott dokumentumokat is.

Többet szeretnék megtudni a tanácsadásról!

Rovat:
Mátyus Lilla - Crosssec Blog
Szerző:
Mátyus Lilla
Tanácsadási szakmai vezető és MIR vezető. Több, mint 10 éves tapasztalata kiterjed a kkv-k működésére, folyamataira, HR és munkaügyi területre, a teljesítménybér bevezetésére és alkalmazására, valamint többéves szervezetfejlesztési, minőségirányítási és adatvédelmi tapasztalattal is rendelkezik.
linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram