10 najczęstszych błędów prawnych, które kosztują klub majątek, cz. 2/10 – zapisy online

Rozpoczynamy cykl artykułów dotyczących najczęstszych błędów prawnych, które kosztują przedsiębiorców branży fitness majątek. Przeprowadziliśmy w ostatnich latach setki audytów i konsultacji, mieliśmy okazję finalnie zabezpieczać prawie 500 przedsiębiorców. Jako dział prawny Fundacji ZarabiajNaPasji.com jesteśmy blisko tego, co się realnie dzieje w klubach i w biznesach przedsiębiorców, ponieważ sami posiadamy własne placówki i firmy. Wielokrotnie poznając bolączki właścicieli, doskonale wiedzieliśmy co przechodzą, sami mieliśmy to bowiem za sobą.

By pomóc innym, którzy ciągle sami szarpią się ze wszystkim, a jednocześnie pokazać, że nie jest wstydem nie wiedzieć, postanowiłem stworzyć ranking tego, na co uważać, byście na tej podstawie byli w stanie zweryfikować swoich dotychczasowych doradców, prawników, księgowe czy osoby, które pomagały Wam z kwestiami prawnymi. Wielokrotnie brakuje nam wiedzy, by zweryfikować, czy „księgowa robi to dobrze” i finalnie zdajemy się na osoby, które zabezpieczają siebie, a nie nasze interesy. To nie Wasza wina. Jako właściciele jesteśmy często zabiegani, a zmiany przepisów są wprowadzane tak szybko, że nieraz nie wdrożyliśmy jeszcze starych, a pojawiły się już kolejne, nowe. Musimy zdać się na innych, ale jak ich zweryfikować?

Jako punkt pierwszy wybieramy RODO. O ile same wymogi zaczęły być wprowadzane, o tyle zazwyczaj kończy się na fasadzie, która w formie jednego dokumentu jest kopiowana z Internetu lub od konkurencji. Fasada ma to do siebie, że jest jedynie prowizoryczną ścianką, która z daleka wygląda ładnie, ale w rzeczywistości to pomalowany karton-gips, który ma się nijak do roli, w jakiej został powołany. Podobnie stało się i tutaj:

Polityka Prywatności, czyli dokument, który pozostaje do wglądu dla klientów, bardzo często jest jedynie dokumentem internetowym, wiszącym na stronie, za którym ostatecznie powinno stać kilkanaście lub kilkadziesiąt stron pozostałych, wewnętrznych procedur. Bez nich, sama polityka prywatności (mimo iż jest wymagana) nie ma żadnej mocy. Spełnia co prawda obowiązek informacyjny, ale nie wyczerpuje pozostałych obowiązków, które ustawodawca nakłada na przedsiębiorcę. Mamy zatem fasadę domu, za którą jest łąka. Z daleka wygląda ładnie, ale po podejściu bliżej okazuje, się, że nie jest wiele warta. Na tym wysypywało się ok. 7/10 przedsiębiorców, z tych, którzy pozornie posiadali Politykę Prywatności.

Dostęp do Polityki Prywatności, klient powinien mieć PRZED zawarciem i akceptacją warunków umowy i zapłatą. Wiele podmiotów nadal stosuje zapłatę, a następnie przedstawienie regulaminu i Polityki Prywatności konsumentom. Idea jest taka, że klient musi mieć możliwość zapoznania się z tym, jak przetwarzacie dane, komu przekazujecie i jak je zabezpieczacie — przed decyzją o zakupie usługi czy produktu.

– Gdy już decydujemy się na dostęp do Polityki Prywatności poprzez stronę internetową (link do strony), musimy wziąć pod uwagę taką możliwość, iż klient podchodzi do recepcji, kupuje karnet, ale nie ma dostępu do Internetu. Powinniśmy wyciągnąć wydrukowaną Politykę Prywatności i dać mu możliwość zapoznania się na jego prośbę. Przygotujmy zatem personel na taką ewentualność, by z marszu ktoś nie stwierdził, że „jest na stronie, proszę sobie kiedyś sprawdzić”.

– Potwierdzenie akceptacji Polityki Prywatności, to coś, na co przedsiębiorcy nie zwracają uwagi. Bowiem w przypadku kontroli czy weryfikacji obowiązków wynikających z ustawy, może pojawić się potrzeba weryfikacji, czy dany klient zapoznał się z zasadami przetwarzania danych. Jeśli kupuje karnet internetowo pojawia się zgoda w postaci checkboxa. Jeśli zakup jest fizyczny, w recepcji, powinniśmy zadbać o zgodę, akceptację lub potwierdzenie w dowolny sposób faktu, że klient zapoznał się z treścią. Świetnie sprawdzają się do tego oświadczenia papierowe. Niewielu z przedsiębiorców, których audytowaliśmy, miało zrobione to poprawnie. Oświadczenia były toporne i nie wyczerpywały zaleceń PUODO w zakresie obowiązku informacyjnego.

– Gdy powyższe punkty okazywały się w miarę uregulowane, błędy pojawiały się już „za fasadą”, gdzie powinien znaleźć się Rejestr Czynności Przetwarzania oraz Procedura Realizacji /wycieku itp. To kilkunasto- lub kilkudziesięciostronicowy dokument, szczegółowo opisujący procedury wewnętrzne. Zawiera informacje o analizie poziomu ryzyka RODO, względem naszej firmy oraz ocenę skutków dla ochrony danych osobowych. Jest to też dokument, który jest podstawą dla pracowników, opisujący niezbędne zachowania w przypadku wycieku lub złamania zabezpieczeń. 8/10 audytowanych przedsiębiorców, którzy mieli ten dokument, posiadało w nim dziury i nieścisłości, które wyszłyby na kontroli.

– Checkboxy na stronach i w formularzach. Ta kwestia pojawia się niemal zawsze. Wystarczy wejść na stronę dowolnego klubu, by zorientować się, że albo checkboxów brak (w przypadku kontaktu czy zakupów online) albo wymaganych pól jest za dużo. O prawach konsumenta opowiemy sobie w kolejnych odcinkach cyklu, niemniej jednak to, co łatwo zapamiętać: obowiązkowe musi być pole, które nie pozwoli zrealizować usługi, jeśli nie będzie zaakceptowane. W tym wypadku polityka prywatności (bez tego nie mamy jak przetwarzać danych) oraz regulamin (albo placówki, albo zakupów online). Każda inna zgoda typu zgoda marketingowa, musi być dodatkowa i nieobowiązkowa, ponieważ jest dodatkiem do usługi. Klient, chcąc poćwiczyć, nie może zostać zmuszony do czytania reklam czy newslettera, dlatego w tym nasza rola, by było warto zaznaczyć to pole.

– Ograniczony dostęp do danych. To zasada, która obowiązuje zarówno jeśli chodzi o stacje robocze (komputery), jak i o programy (logowanie) i dane w chmurze. Zasada jest prosta, zakłada się, by nie dochodziło do sytuacji, gdy ktoś poza administratorem posiada 100% uprawnień do konta, gdzie znajdują się dane. Jeśli chodzi o stacjonarny komputer — muszą występować dwa konta, jedno administracyjne, dla właścicieli/managerów. Drugie dla obsługi, recepcji, trenerów. Ponieważ nie ma potrzeby, by niższe stanowiska miały 100% dostępu. To samo dzieje się w przypadku logowania na maile, dane w chmurze czy programy. Niestety tutaj 10/10 audytowanych przez nas przedsiębiorców nie wdrożyło tego zalecenia.

– Kolejne schody zaczynały się przy opisach podmiotów zewnętrznych, którym przekazujemy dane. Wiele Rejestrów Czynności Przetwarzania, jak i Polityk Prywatności nie posiadało informacji i podmiotach zewnętrznych oraz tego, gdzie szukać z kolei informacji o ich politykach prywatności. W założeniu chodzi o to, by klient mógł zobaczyć nie tylko to, jak Wy przetwarzacie dane, ale również to, komu je pokazujecie oraz kto je dalej (i jak) przetwarza. Dajmy na przykład biura księgowe, prawników, a nawet trenerów na samozatrudnieniu. W każdej z tych sytuacji dochodzi do przekazywania danych. Wystawiając fakturę imienną, przekazujemy dane osobowe do obcego podmiotu, który powinien być wynotowany (najlepiej z nazwy albo link do strony www). Przekazując umowę do prawnika, również powinno to widnieć w RCP i PP. Gdy trener dostaje listę osób na zajęciach, gdzie pojawiają się dane osobowe, również powinien tam widnieć. W przypadku księgowych i prawników rotacja nie jest tak duża, jak w przypadku trenerów — czy musimy zatem każdorazowo zmieniać dokument? Wystarczy zastosować jeden prosty trik, chętnie udostępnimy taką informację każdemu zainteresowanemu — prosimy tylko o wiadomość na maila support@zarabiajnapasji.com – dział wsparcia naszej Fundacji przekaże szczegółowe instrukcje jak to rozwiązać.

– Gdy już zawrzemy w PP jak i RCP informacje o podmiotach zewnętrznych, ważne, by zawrzeć z takimi podmiotami osobne umowy o zakresie przetwarzania danych. Umowa określa jakie dane przekazujemy i do jakich celów. Powinna też określać czas ich przetrzymywania, a osobna Polityka Prywatności drugiego podmiotu (również trener powinien taką mieć — procedury RODO obowiązują wszystkich przedsiębiorców) powinna mówić, co z tymi danymi się dzieje.

Jeśli macie wątpliwości, czy Wasze dokumenty są poprawnie wdrożone, możesz skorzystać z bezpłatnego audytu, gdzie dział prawny Fundacji Zarabiaj Na Pasji za darmo sprawdzi Twoją dokumentację i poinformuje, jeśli znajdują się w niej uchybienia, nim zrobi to jakiś organ kontrolny. Wejdź na www.ZarabiajNaPasji.com i skontaktuj się z nami!

 

Cały cykl możecie już teraz zobaczyć w formie #Webinaru — Legalna Branża Fitness, w kolejnym odcinku skupimy się na tym, jakie obowiązki ciążą na nas w momencie, gdy prowadzimy zapisy ONLINE. Pojawiają się wtedy inne regulacje względem praw konsumenckich, kwestie zakupów na odległość, a nawet osobnych regulaminów sklepów internetowych, zwrotów, danych itp.

O tym wszystkim, w kolejnej części cyklu #LegalnaBranża Fitness: „10 najczęstszych błędów prawnych, które kosztują klub majątek”

*przedruk z portalu www.branzafitness.com

Działasz w branży Fitness · Art · Sport · Dance · Rozrywkowej · Beauty · Wellness?

Czy wydaje Ci się, że odkąd założyłeś firmę to wszyscy czegoś od Ciebie chcą, a nikt nie chce Ci pomóc?

Zostaw maila, a nasz dział prawny skontaktuje się z Tobą, póki nie jest za późno.