RODO I OBOWIĄZKI WOBEC DANYCH KLIETNÓW DLA FITNESSU – zmiany w zakresie danych cyfrowych, publikowania cen i oznaczania współprac?
Autor artykułu: MICHAŁ KOSEL
—
Na potrzeby lepszego zrozumienia artykułu, będę używał uproszczeń, prostego języka i łatwych do wyobrażenia porównań – nie jest to artykuł dla prawników, nie chodzi też o to byście Wy jako właściciele zaczęli się doktoryzować z prawa – chodzi o to by w prosty sposób zrozumieć skomplikowane zagadnienia, które Was dotyczą i byście sami ocenili co warto wiedzieć jako właściciel i jakie interesy wypadałoby zabezpieczyć, by uniknąć rozczarowań w razie sporów.
Dzisiaj prostym językiem rozprawimy się z RODO i dyrektywą „Omnibus” dla fitnessu, tak byś jako właściciel sam mógł zweryfikować, czy to co wdrożyłeś jest poprawne. Jako Kancelaria wielokrotnie zgłaszali się do nas przedsiębiorcy, którym “ktoś wdrażał RODO z dofinansowania”, po audycie okazało się, że 80% dokumentów jest do przebudowy, a poprzedni specjalista nie czuje się w obowiązku ani aktualizować zapisów ani poprawiać błędów.
NIE MUSISZ DOKTORYZOWAĆ SIĘ Z PRAWA
My wychodzimy z założenia, że jesteście dobrzy w tym czym jesteście – czyli prowadzeniu klubu, a nie doktoryzowaniu się z prawa. Już na pewno nie macie zamiaru ciągle śledzić zmian w przepisać, dlatego pokrótce, co przypomnimy na co zwrócić uwagę i co się zmieniało na przestrzeni ostatnich 5 lat od pierwszego pojawienia się regulacji.
Gdy przeprowadzamy audyt u klienta, to nie sprawdzamy tylko jednej regulacji, a w 24 godziny przeprowadzamy pełen skan wszystkich możliwych ustaw i regulacji prawnych, które dotyczą właściciela klubu fitness, szkół tańca czy studia treningowego. To wtedy najczęściej wychodzą problemy z RODO, bo rzadko kto zgłasza się tylko w tym temacie.
temat #1: „CO Z TYM OMNIBUSEM – CO SE ZNOWU TA UNIA WYMYŚLIŁA?”
Omnibus, to nowa dyrektywa, która mówiąc w dużym uproszczeniu ma:
- zahamować proceder sztucznego zawyżania cen przy promocjach. Kojarzycie pewnie na black friday sytuacje, gdy cena za telewizor wynosiła 1000 zł, chwilę przed black friday podnoszono ją do 1500 zł, a potem skreślano i przeceniano to na 1299 zł. To właśnie tym cwaniakom zawdzięczamy te regulacje, które w dobie zakupów internetowych były plagą na skalę europejską,
- ma wykluczyć pojawianie się fejkowych opinii na temat naszej firmy lub usługi, duża część przedsiębiorców fabrykowała specjalnie opinie na swój temat, by wyglądać bardziej wiarygodnie, teraz będzie z tym problem,
- zakazuje pokazywania wyrobów medycznych oraz reklamy porównawczej „przed i po” dla poszczególnych kategorii branż (więcej w video)
CO POWINNI WIEDZIEĆ WŁAŚCICIELE FITNESSÓW?
W skrócie, chodzi o to, by robiąc promocję, oznaczyć jaka cena obowiązywała na 30 dni przed obecną. Dla przykładu, jeśli robicie promocję „karnet open tylko za 100 zł na miesiąc” musicie oznaczyć, że w ciągu ostatnich 30 dni cena wynosiła 140 zł (regularna). Wtedy widać, czy przypadkiem cena regularna nie wynosiła 90 zł, a teraz jest to „promocja” za 100 zł – proste, prawda?
▶ Jak to oznaczyć – tutaj dokładne instrukcję, od Prezesa UOKiKU, myślę, że jest to intuicyjne i logiczne
CO WOLNO ROBIĆ Z PROMOCJAMI BEZ STRACHU?
- Nadal są dozwolone są podwyżki, bez informowania z ilu na ile – mówiąc prosto, nie musimy informować, że cena regularna 140 zł, to była cena 100 zł, 30 dni temu.
- Nadal możemy połączyć dwie usługi za 150 zł w jedną za 250 zł i nie będzie to promocja, czyli nie musimy o tym informować. Może, że ten sam pakiet będę chciał niebawem rabatować na 200 zł, wtedy informujemy, ale tylko o tym pakiecie za 250 zł.
- Nadal dozwolone jest dobieranie pakietów indywidualnych, pomimo, że pozornie może to być ta sama usługa. Dajmy na to trener personalny za opiekę nad jednym klientem będzie brał 300 zł, a za innego klienta 250 zł. W praktyce dobiera ćwiczenia do każdego z osobna i jest to opieka, więc nie musi się z tego tłumaczyć.
ODPOWIEDZIALNOŚĆ ZA OPINIE KLIENTÓW
Nową regulacją jest to, że musimy móc udowodnić, że opinia dana przez klienta, którą umieszczamy na stronie to po prostu nie jest fejk. Jeśli klient daje nam opinie, ale prosi o wymazanie zdjęcia i nazwiska, to warto przetrzymywać gdzieś oryginał, gdyby zarzucono nam fabrykowanie recenzji, byśmy mogli udowodnić, że dana osoba faktycznie dała nam opinie, a nie robimy coś co staje się powszechne, czyli wymyślamy „Panią Grażynę, która zachwala nasze zajęcia”. Więcej o tym w nagraniu poniżej.
temat #2: OZNACZANIE WSPÓŁPRACY Z INNYMI FIRMAMI, MARKAMI I BYCIE INFLUENSEREM
Prezes UOKiK wziął się również za influenserów oraz wszelkiej maści marki, strony, fan page, które promują się w sieci pod pozorem rekomendacji, a faktycznie są to ukryte reklamy. Jeśli również Ty, albo Twój klub rekomendujecie produkty lub usługi, za które otrzymujecie gratyfikacje (nie musi być finansowa), powinniście się zapoznać szczegółowo z konsekwencjami takich działań. W tym wypadku wystarczy niestety złośliwa konkurencja, by trafić na radar bardzo ambitnego Prezesa UOKiK, który ewidentnie w ostatnich latach uaktywnił się w branżach, które są widoczne dla ogółu konsumentów, by pokazać, że stoi na straży prawa. Jeśli nie chcemy napatoczyć się na jego ambicję, polecam zapamiętać kilka prostych zasad:
KIEDY OZNACZAMY POSTY I PUBLIKACJE:
- nie ważne czy promujesz produkt swój, czyiś, czy dostajesz za niego wynagrodzenie, czy tylko zniżkę lub barter (#barter, #marka_własna, #zniżka, #współpraca_komercyjna) – oznaczamy,
- jeśli reklamujesz własną markę (#autopromocja, #marka_własna) lub jeśli jesteś twarzą czyjejś marki lub nagrywasz tutoriale, ale firma dała Ci matę, na której ćwiczysz, byś ją pokazał (#współpraca_komercyjna, #reklama) – oznaczamy,
- jeśli dostałeś prezent od kogoś (książkę, sprzęt, gadżety, bilet wstępu), ale nie umawialiście się na to i nie zostałeś zobowiązany o tym wspomnieć, mimo to wrzucasz to do siebie (#prezent, #zaproszenie) – oznaczamy.
JAK OZNACZAĆ? PROSTO – NIE KOMBINUJ:
Ważne by nie kombinować i nie ukrywać tego w tekście, oznaczyć najlepiej na początku tekstu lub na sam koniec, w sposób zrozumiały i klarowny – bądź fair w stosunku do swoich odbiorców:
- zacznij post od hasła [AUTOPROMOCJA] / [MARKA WŁASNA] / [REKLAMA] / [WSPÓŁPRACA KOMERCYJNA] lub zakończ widocznym i jasnym przekazem
- nie ukrywaj się pod hasztagami #ad, #promo, #spons, gdzieś pośród tuzina innych hasztagów, komunikuj to jasno i po polsku!
- nie musisz opisywać dokładnie zasad Twojej współpracy z kimś, wrzuć ją do jednego z „worków” typu #barter / #współpraca_komercyjna itp.
- pamiętaj, że sam nie lubisz być nabierany na kryptoreklamę – bądź uczciwy, odbiorcy to docenią!
Dokładne instrukcje jak oznaczać współprace na takich portalach jak spotify, youtube czy Tiktok, znajdziesz w rozwinięciu mecenasa Tomasza Palaka oraz w Q&A, gdzie padają odpowiedzi na najczęściej zadawane pytania „kombinacje”.
temat #3: ZMIANY W DANYCH CYFROWYCH, SŁYNNYCH „COOKIES” – co musisz zweryfikować u siebie na stronie?
Kojarzycie słynny baner, który wyskakuje na Waszej stronie, z dużym napisem „akceptuje pliki cookies” i duże „OK”? Pewnie nawet nie sprawdzaliście co jest w środku, prawda? Teraz będzie trzeba…
Temat pojawił się już w 2021 roku, gdy dane cyfrowe zaczęły nabierać na znaczeniu jeśli chodzi o wartość dla firm, które potrafią je przetwarzać. Mówiąc prosto, mając dane o nawykach, zachowaniu, poruszaniu się klienta, możemy znacznie lepiej targetować na niego reklamy i móc naruszać jego prywatność. Klient ten, miał coraz mniej mechanizmów by się przed tym bronić.
KONIEC Z ATRAPAMI, KTÓRYCH NIKT NIE CZYTA
Pojawiły się zatem przepisy, które mają dawać możliwość klientowi, po wejściu na naszą stronę, by WYŁĄCZYĆ części składowe tej strony, tak by mógł spokojnie przeglądać treść, bez dodatków. Mówiąc w skrócie, po wejściu na stronę ma pojawić się komunikat dający możliwość:
- przeczytania jakie dane cyfrowe (pliki przesyłane do FB, Googla i innych aplikacji) pobieracie i co z nimi robicie
- zgody częściowej (np. zgadzam się na piksel FB, ale nie zgadzam się na wyświetlanie mi video z YT, bo one też pobierają dane)
- całkowitej zgody na wszystko co monitoruje moje zachowanie lub pobiera dane
- całkowitej odmowy na wszystko (w tym wariancie strona powinna realnie wyłączyć te elementy, które pobierają dane, w tym formularzy newsletterów, plików video czy pikseli facebooka itp.)
Więcej o tym jak to powinno wyglądać w praktyce, dowiecie się z tego video ⤵⤵⤵
temat #4: RODO NIE TAKIE STRASZNE? TO NAWET LOGICZNE, PRAWDA?
Widać jednak, że duża część właścicieli próbowała lub wprowadziła wstępną dokumentację dostępną dla klienta, tyle że zazwyczaj kończy się na fasadzie, która w formie jednego dokumentu jest kopiowana z Internetu lub od konkurencji. Fasada ma to do siebie, że jest jedynie prowizoryczną ścianką, która z daleka wygląda ładnie, ale w rzeczywistości to pomalowany karton-gips, który ma się nijak do roli, w jakiej został powołany. Podobnie stało się i tutaj:
– Polityka Prywatności, czyli dokument, który pozostaje do wglądu dla klientów, bardzo często jest jedynie dokumentem internetowym, wiszącym na stronie, za którym ostatecznie powinno stać kilkanaście lub kilkadziesiąt stron pozostałych, wewnętrznych procedur. Bez nich, sama polityka prywatności (mimo iż jest wymagana) nie ma żadnej mocy. Spełnia co prawda obowiązek informacyjny, ale nie wyczerpuje pozostałych obowiązków, które ustawodawca nakłada na przedsiębiorcę. Mamy zatem fasadę domu, za którą jest łąka. Z daleka wygląda ładnie, ale po podejściu bliżej okazuje, się, że nie jest wiele warta. Podczas audytów to właśnie na tym wysypywało się ok. 7/10 przedsiębiorców, z tych, którzy pozornie posiadali Politykę Prywatności.
– Dostęp do Polityki Prywatności, klient powinien mieć PRZED zawarciem i akceptacją warunków umowy i zapłatą. Wiele podmiotów nadal stosuje zapłatę, a następnie przedstawienie regulaminu i Polityki Prywatności konsumentom. Idea jest taka, że klient musi mieć możliwość zapoznania się z tym, jak przetwarzacie dane, komu przekazujecie i jak je zabezpieczacie — przed decyzją o zakupie usługi czy produktu.
– Gdy już decydujemy się na dostęp do Polityki Prywatności poprzez stronę internetową (udostępniamy link do strony), musimy wziąć pod uwagę taką możliwość, iż klient podchodzi do recepcji, kupuje karnet, ale nie ma dostępu do Internetu. Powinniśmy wyciągnąć wydrukowaną Politykę Prywatności i dać mu możliwość zapoznania się na jego prośbę. Przygotujmy zatem personel na taką ewentualność, by z marszu ktoś nie stwierdził, że „jest na stronie, proszę sobie kiedyś sprawdzić”.
– Potwierdzenie akceptacji Polityki Prywatności, to coś, na co przedsiębiorcy nie zwracają uwagi. Bowiem w przypadku kontroli czy weryfikacji obowiązków wynikających z ustawy, może pojawić się potrzeba weryfikacji, czy dany klient zapoznał się z zasadami przetwarzania danych. Jeśli kupuje karnet internetowo pojawia się zgoda w postaci checkboxa. Jeśli zakup jest fizyczny, w recepcji, powinniśmy zadbać o zgodę, akceptację lub potwierdzenie w dowolny sposób faktu, że klient zapoznał się z treścią. Świetnie sprawdzają się do tego oświadczenia papierowe. Niewielu z przedsiębiorców, których audytowaliśmy, miało zrobione to poprawnie. Oświadczenia były toporne i nie wyczerpywały zaleceń PUODO w zakresie obowiązku informacyjnego.
– Gdy powyższe punkty okazywały się w miarę uregulowane, błędy pojawiały się już „za fasadą”, gdzie powinien znaleźć się Rejestr Czynności Przetwarzania oraz Procedura Realizacji /wycieku itp. To kilkunasto- lub kilkudziesięciostronicowy dokument, szczegółowo opisujący procedury wewnętrzne. Zawiera informacje o analizie poziomu ryzyka RODO, względem naszej firmy oraz ocenę skutków dla ochrony danych osobowych. Jest to też dokument, który jest podstawą dla pracowników, opisujący niezbędne zachowania w przypadku wycieku lub złamania zabezpieczeń. 8/10 audytowanych przedsiębiorców, którzy mieli ten dokument, posiadało w nim dziury i nieścisłości, które wyszłyby na kontroli.
– Checkboxy na stronach i w formularzach. Ta kwestia pojawia się niemal zawsze. Wystarczy wejść na stronę dowolnego klubu, by zorientować się, że albo checkboxów brak (w przypadku kontaktu czy zakupów online) albo wymaganych pól jest za dużo. O prawach konsumenta opowiemy sobie w kolejnych odcinkach cyklu, niemniej jednak to, co łatwo zapamiętać: obowiązkowe musi być pole, które nie pozwoli zrealizować usługi, jeśli nie będzie zaakceptowane. W tym wypadku polityka prywatności (bez tego nie mamy jak przetwarzać danych) oraz regulamin (albo placówki, albo zakupów online). Każda inna zgoda typu zgoda marketingowa, musi być dodatkowa i nieobowiązkowa, ponieważ jest dodatkiem do usługi. Klient, chcąc poćwiczyć, nie może zostać zmuszony do czytania reklam czy newslettera, dlatego w tym nasza rola, by było warto zaznaczyć to pole.
– Ograniczony dostęp do danych. To zasada, która obowiązuje zarówno, jeśli chodzi o stacje robocze (komputery), jak i o programy (logowanie) i dane w chmurze. Zasada jest prosta, zakłada się, by nie dochodziło do sytuacji, gdy ktoś poza administratorem posiada 100% uprawnień do konta, gdzie znajdują się dane. Jeśli chodzi o stacjonarny komputer — muszą występować dwa konta, jedno administracyjne, dla właścicieli/managerów. Drugie dla obsługi, recepcji, trenerów. Ponieważ nie ma potrzeby, by niższe stanowiska miały 100% dostępu. To samo dzieje się w przypadku logowania na maile, dane w chmurze czy programy. Niestety tutaj 10/10 audytowanych przez nas przedsiębiorców nie wdrożyło tego zalecenia.
– Kolejne schody zaczynały się przy opisach podmiotów zewnętrznych, którym przekazujemy dane. Wiele Rejestrów Czynności Przetwarzania, jak i Polityk Prywatności nie posiadało informacji i podmiotach zewnętrznych oraz tego, gdzie szukać z kolei informacji o ich politykach prywatności. W założeniu chodzi o to, by klient mógł zobaczyć nie tylko to, jak Wy przetwarzacie dane, ale również to, komu je pokazujecie oraz kto je dalej (i jak) przetwarza. Dajmy na przykład biura księgowe, prawników, a nawet trenerów na samozatrudnieniu. W każdej z tych sytuacji dochodzi do przekazywania danych. Wystawiając fakturę imienną, przekazujemy dane osobowe do obcego podmiotu, który powinien być wynotowany (najlepiej z nazwy albo link do strony www). Przekazując umowę do prawnika, również powinno to widnieć w RCP i PP. Gdy trener dostaje listę osób na zajęciach, gdzie pojawiają się dane osobowe, również powinien tam widnieć. W przypadku księgowych i prawników rotacja nie jest tak duża, jak w przypadku trenerów — czy musimy zatem każdorazowo zmieniać dokument? Wystarczy zastosować jeden prosty trik, który pozwoli w osobnym pliku edytowalnym uzupełniać i zmieniać tę listę, bez potrzeby zmian w dokumencie docelowym.
– Gdy już zawrzemy w PP jak i RCP informacje o podmiotach zewnętrznych, ważne, by zawrzeć z takimi podmiotami osobne umowy o zakresie przetwarzania danych. Umowa określa jakie dane przekazujemy i do jakich celów. Powinna też określać czas ich przetrzymywania, a osobna Polityka Prywatności drugiego podmiotu (również trener powinien taką mieć — procedury RODO obowiązują wszystkich przedsiębiorców) powinna mówić, co z tymi danymi się dzieje.
– RODO a kamery i monitoring wizerunku, [wkrótce]
USPOKAJAM OD RAZU – NIE PÓJDZIECIE DO WIĘZIENIA
Z góry chcę uspokoić, kary za RODO póki co otrzymują duże podmioty i to w momencie nadużyć czy wycieków. Nikt nas też nie nauczył dokładnie tego jak rozumieć kwestie związane ani z danymi oraz nie poinstruował jak prosto to wdrożyć. Media głównie siały panikę, a firmy, które na dotacjach wdrażały te rozwiązania rozpływały się potem w powietrzu. Nie zmienia to faktu, że świadomość naszych klientów dotycząca przetwarzania danych jest coraz większa. Oni też mają szkolenia w pracy, albo mają styczność z branżą prawniczą – wtedy łatwo o konflikt przy recepcji i wytykanie błędów przy innych klientach.
TO NIE TAKIE TRUDNE
Wdrożenie podstawowych zasad nie jest trudne. RODO jest bliźniaczo podobne do poprzednich regulacji, które obowiązywały od lat, tak naprawdę jedynie upraszcza niektóre wymogi, które były wcześniej i dopasowuje je do cyfrowych realiów. Problem w tym, że poprzednich wymogów nikt nie egzekwował, w konsekwencji często w ogóle tego nie zabezpieczaliśmy – na takim tle, może nam się wydawać, że mamy sporo do nadrobienia. Podobnie jest z pozostałymi regulacjami i jeśli macie przewodnika, który Was przez to przeprowadzi, to jak spacer po Bieszczadach…
DWA DNI PRACY I PO KRZYKU
Prawda jest taka, że wdrożenie do procedur dokumentacji, a potem egzekwowanie tego od pracowników i klientów to maksymalnie dwa dni pracy, a potem już tylko rutyna, nie trzeba się tego bać. RODO jest wszechobecne, zatem ani klient, ani pracownik nie dziwi się, że tego wymagamy, a wręcz odwrotnie, podnosi to prestiż w oczach klienta pokazując, że dbamy o jego bezpieczeństwo nie tylko na sali, ale również na kanwie jego prywatności danych.
Jeśli macie wątpliwości, czy Wasze dokumenty są poprawnie wdrożone, możesz już teraz skorzystać z naszego DARMOWEGO AUDYTU lub KURSÓW ONLINE dotyczących obowiązków prawnych dla właścicieli Fitnessów, Szkół Tańca i Studiów Treningowych, poniżej znajdziesz link do listy kursów – wybierz segment, który Cię interesuje i pozwól #Uzbroić się w wiedzę!
Czujesz, że utknąłeś w miejscu?
Sprawdź naszą PLAYLISTĘ prawną i upewnij się,
czy to rozwiązanie DLA CIEBIE?
by było Cię w końcu STAĆ, na święty spokój!
Samodzielnie dobierz pakiet pod Twoje potrzeby,
zobacz co MY MOŻEMY DLA CIEBIE ZROBIĆ
i samodzielnie OBLICZ koszty współpracy!