Ewidencja klientek w salonie - jak prowadzić kartotekę zgodnie z RODO 2026

Imię, numer telefonu, alergie, historia wizyt - to dane osobowe Twoich klientek. RODO określa, jak je zbierasz, jak przechowujesz i jak długo. Kontrola Urzędu Ochrony Danych Osobowych (UODO) może zakończyć się karą nawet do 50 000 zł dla małego przedsiębiorcy. A wystarczy kilka prostych zasad, żeby działać zgodnie z prawem.

Ten artykuł omawia, co to są dane osobowe w kontekście salonu beauty, jak prawidłowo prowadzić ewidencję klientek, jakie prawa mają klientki i jak długo przechowujesz ich dane.

Co to są dane osobowe w salonie paznokci

Dane zwykłe

Do danych zwykłych (podlegających standardowej ochronie RODO) zaliczasz:

• Imię i nazwisko klientki.
• Numer telefonu i adres email.
• Datę i godzinę wizyty.
• Historię wykonanych zabiegów.
• Notatki dotyczące preferencji klientki (ulubiony kolor, preferowana technika).

Podstawa prawna zbierania danych zwykłych: art. 6 ust. 1 lit. b RODO (wykonanie umowy o usługę) - nie potrzebujesz osobnej zgody, jeśli dane są niezbędne do wykonania zabiegu i prowadzenia ewidencji wizyt. Możesz też oprzeć się na art. 6 ust. 1 lit. a (zgoda) - wtedy potrzebujesz wyraźnego potwierdzenia od klientki.

Dane szczególnej kategorii (dane wrażliwe)

Art. 9 RODO wyróżnia kategorie danych objęte silniejszą ochroną. W salonie beauty to przede wszystkim:

• Alergie na składniki kosmetyczne (np. na żywice akrylowe, lateks, hennę).
• Choroby skóry i schorzenia płytki paznokciowej (łuszczyca, grzybica, onycholiza).
• Ciąża (istotna przy zabiegach z żelem UV, akrylem, henną).
• Przyjmowane leki wpływające na zabiegi (np. leki rozrzedzające krew przy manicure).
• Ogólny stan zdrowia wpływający na możliwość wykonania zabiegu.

Dane zdrowotne wymagają wyraźnej, pisemnej zgody klientki (art. 9 ust. 2 lit. a RODO). Nie możesz ich zbierać na podstawie umowy o usługę. Zgoda musi być dobrowolna, konkretna i jednoznaczna, czyli klientka musi wiedzieć, co podpisuje i po co zbierasz te informacje.

Podstawa prawna przetwarzania danych: co musisz wiedzieć

Dwie podstawy prawne, które będziesz stosować najczęściej:

1. Art. 6 ust. 1 lit. b RODO: przetwarzanie niezbędne do wykonania umowy. Dane potrzebne do zrealizowania zabiegu i prowadzenia historii wizyt możesz przetwarzać bez odrębnej zgody. Ale: dotyczy to tylko danych zwykłych.
2. Art. 9 ust. 2 lit. a RODO: wyraźna zgoda na przetwarzanie danych zdrowotnych. Wymagana przy zbieraniu informacji o alergiach, chorobach i ciąży.

Klauzula informacyjna jest obowiązkiem niezależnym od podstawy prawnej. Przy zbieraniu danych od klientki przekazujesz jej informację o:

• Kto jest administratorem danych (Ty jako właścicielka salonu, z adresem i danymi kontaktowymi).
• W jakim celu przetwarzasz dane.
• Jak długo przechowujesz dane.
• Jakie prawa przysługują klientce (dostęp, sprostowanie, usunięcie, przeniesienie).
• Czy dane będą przekazywane podmiotom trzecim (np. aplikacji do rezerwacji).

Jak prawidłowo prowadzić ewidencję klientek

Karta klienta z klauzulą i zgodą

Każda klientka, której dane zbierasz, wypełnia kartę klienta zawierającą:

• Dane podstawowe (imię, telefon, email - opcjonalnie).
• Dane zdrowotne: alergię, schorzenia, leki - z oddzielną zgodą pisemną.
• Klauzulę informacyjną RODO w czytelnej, nieskomplikowanej formie.
• Podpis klientki pod zgodą na przetwarzanie danych zdrowotnych.

Karta może być papierowa lub elektroniczna. Jeśli papierowa, przechowujesz ją w zamkniętej szafce lub szufladzie, do której dostęp masz tylko Ty (i ewentualnie upoważniony pracownik). Jeśli elektroniczna, dane muszą być w zaszyfrowanym folderze lub aplikacji z zabezpieczeniem hasłem.

Minimalizacja danych

Zbierasz tylko dane, które są Ci rzeczywiście potrzebne do wykonania zabiegu i prowadzenia ewidencji. RODO nazywa to zasadą minimalizacji. Nie zbierasz numeru PESEL, adresu zameldowania ani innych danych, które nie są niezbędne w kontekście usług salonu.

Upoważnieni pracownicy

Jeśli zatrudniasz pracowników, musisz ich upoważnić do przetwarzania danych osobowych klientek i przeszkolić z zasad RODO. Upoważnienie powinno być pisemne. Pracownik bez upoważnienia nie powinien mieć dostępu do kart klientek.

Prawa klientki dotyczące jej danych

Prawo dostępu

Klientka może w każdej chwili poprosić o wgląd do swoich danych. Masz obowiązek pokazać jej kartę klienta lub przekazać kopię danych w ciągu miesiąca od żądania. Nie możesz odmówić bez uzasadnienia.

Prawo do sprostowania

Jeśli dane klientki są nieprawidłowe (np. błędny numer telefonu, nieaktualna informacja o alergiach), ma prawo poprosić o ich poprawienie. Aktualizujesz dane niezwłocznie.

Prawo do usunięcia ("bycie zapomnianą")

Klientka może żądać usunięcia swoich danych. Masz obowiązek je usunąć, ale z wyjątkami:

• Jeśli dane są potrzebne do rozpatrzenia ewentualnej reklamacji (termin przedawnienia 3 lata), możesz odmówić usunięcia przez rozsądny czas.
• Jeśli dane są potrzebne do wypełnienia obowiązku prawnego (np. dokumentacja podatkowa).

Odmowę usunięcia danych uzasadniasz pisemnie, wskazując podstawę prawną.

Prawo do przeniesienia danych

Klientka może poprosić o przekazanie jej danych w formacie elektronicznym (np. PDF lub CSV), żeby przenieść je do innego salonu lub systemu. Dotyczy danych przetwarzanych na podstawie zgody lub umowy w sposób zautomatyzowany.

Jak długo przechowujesz dane klientek

Okresy retencji zależą od rodzaju danych i celu przetwarzania:

• Dane dotyczące zabiegów z ryzykiem zdrowotnym (hena, laminowanie rzęs, akryl, zabiegi przy chorobach skóry): minimum 3 lata od ostatniej wizyty (termin przedawnienia roszczeń z tytułu usług).
• Dane marketingowe (np. adres email do newslettera): do czasu cofnięcia zgody przez klientkę.
• Dane do celów podatkowych (faktury, paragony z danymi klientki): 5 lat od końca roku podatkowego.

Po upływie okresu retencji dane usuwasz bezpiecznie: papierowe kartki niszczysz w niszczarce (nie wyrzucasz do zwykłego kosza), pliki cyfrowe trwale usuwasz (nie przenosisz do kosza, lecz trwale kasujesz z dysku).

FAQ: Ewidencja klientek i RODO w salonie beauty

Czy mogę wysyłać klientce przypomnienie o wizycie bez jej zgody?

Tak, jeśli numer telefonu lub email zebrałaś w celu realizacji usługi i przypomnienie jest bezpośrednio związane z umówioną wizytą. To mieści się w art. 6 ust. 1 lit. b RODO (wykonanie umowy). Natomiast wysyłanie newslettera z promocjami lub zaproszenia do wystawienia opinii wymaga osobnej zgody marketingowej. Granica: komunikacja niezbędna do realizacji usługi nie wymaga zgody; komunikacja marketingowa wymaga.

Co zrobić gdy klientka prosi o usunięcie danych?

Najpierw oceń, czy masz podstawę do odmowy (np. trwające postępowanie reklamacyjne, obowiązek podatkowy). Jeśli nie, usuwasz dane w ciągu miesiąca i potwierdzasz usunięcie pisemnie klientce. Jeśli odmawiasz, informujesz o tym pisemnie z podaniem podstawy prawnej i pouczasz o prawie wniesienia skargi do UODO. Nie możesz po prostu zignorować żądania.

Czy aplikacja do rezerwacji online jest bezpieczna pod kątem RODO?

Aplikacja do rezerwacji online, która przetwarza dane Twoich klientek, jest podmiotem przetwarzającym dane w rozumieniu RODO. Musisz zawrzeć z nią umowę powierzenia przetwarzania danych osobowych (DPA, Data Processing Agreement). Renomowane aplikacje (Booksy, Fresha i podobne) mają gotowe wzory DPA. Bez DPA używasz aplikacji niezgodnie z RODO, nawet jeśli sama aplikacja jest technicznie bezpieczna.

Czy muszę mieć Inspektora Ochrony Danych (IOD)?

Dla małego salonu paznokci wyznaczenie IOD nie jest obowiązkiem. IOD jest wymagany m.in. gdy przetwarzasz dane na dużą skalę lub gdy przetwarzanie danych wrażliwych jest Twoją główną działalnością. Salon paznokci zbierający dane zdrowotne (alergie, choroby) klientek jako element usługi nie spełnia tego progu. Możesz jednak dobrowolnie wyznaczyć IOD lub skorzystać z zewnętrznej obsługi RODO (zewnętrzny IOD na umowie), co jest popularnym rozwiązaniem dla małych salonów.