NailsReady
RODO i zgody klientek

Zgody RODO klientek w salonie beauty - dane zdrowotne, zdjęcia portfolio, polityka prywatności [2026]

Zgody RODO klientek w salonie beauty - dane zdrowotne, zdjęcia portfolio, polityka prywatności [2026]

Klientka z alergią, zdjęcia po zabiegu na Instagram, dane kontaktowe do potwierdzenia wizyty - co wymaga zgody, w jakiej formie i jak ją udokumentować zgodnie z RODO.

Salony paznokci, brwi i rzęs przetwarzają dane wrażliwe — alergie, stan zdrowia, leki, ciążę, zdjęcia twarzy klientek. Każde z tych danych ma osobny reżim prawny RODO. Brak zgody w prawidłowej formie to nie teoria — to konkretne mandaty UODO oraz roszczenia cywilne klientek po wycieku zdjęć z Instagrama lub bazy klientek.

Ten artykuł rozkłada na czynniki: jakie dane zbiera salon beauty, jakie zgody są obowiązkowe, w jakiej formie, oraz jak udokumentować zgodnie z RODO i Wytycznymi GIS 2026.

Dane osobowe vs. dane wrażliwe — kluczowa różnica

RODO dzieli dane na zwykłe (imię, nazwisko, telefon, e-mail) i szczególne kategorie (Art. 9 RODO):

  • Dane o stanie zdrowia (alergie, choroby skóry, AZS, łuszczyca, ciąża)
  • Dane biometryczne (zdjęcia twarzy w celu identyfikacji - klientka na portfolio)
  • Pochodzenie etniczne, poglądy, dane genetyczne, orientacja seksualna

Salon beauty zbiera regularnie 2 pierwsze. To zmienia podstawę prawną przetwarzania - zwykła "umowa" (art. 6.1.b RODO) NIE wystarczy. Potrzebujesz wyraźnej zgody klientki (art. 9.2.a RODO) - osobnej, świadomej, w formie pisemnej.

Jakie zgody musi mieć salon beauty

Pełna lista zgód, które klientka powinna podpisać przy pierwszej wizycie:

1. Zgoda na przetwarzanie danych osobowych podstawowych

Imię, nazwisko, telefon, e-mail - dla potwierdzenia wizyty, kontaktu z klientką, przypomnień. Podstawa: art. 6.1.b (wykonanie umowy). Treść zgody musi zawierać: cel, okres przechowywania, prawo dostępu/sprostowania/usunięcia, dane kontaktowe administratora.

2. Zgoda na przetwarzanie danych zdrowotnych (KLUCZOWE)

To osobna zgoda - musi być świadoma i wyraźna. Klientka pisze (lub zaznacza checkbox + podpisuje):

"Wyrażam dobrowolną i świadomą zgodę na przetwarzanie moich danych dotyczących stanu zdrowia (alergie, leki, ciąża, choroby skóry) przez {salon} w celu bezpiecznego wykonania zabiegu i ewentualnej oceny przeciwwskazań. Dane będą przetwarzane przez okres 5 lat od ostatniej wizyty."

Brak tej zgody = nielegalne przetwarzanie danych wrażliwych = kara do 20 mln EUR lub 4% obrotu globalnego (RODO Art. 83.5). W praktyce dla małego salonu UODO nakłada 5-50 tys. zł.

3. Zgoda na zdjęcia portfolio (jeśli używasz)

Zdjęcie zabiegu na Instagram, Facebook, stronie salonu = wizerunek + dane biometryczne. Wymaga osobnej zgody:

  • "Wyrażam zgodę na publikację zdjęć efektu zabiegu (z anonimizacją oczu / pełną twarzą - klientka wybiera)"
  • Cel: portfolio, marketing
  • Okres: na czas trwania umowy + 3 lata archiwum
  • Prawo do wycofania zgody w dowolnym momencie (klientka pisze e-mail, salon usuwa)

4. Zgoda marketingowa (newsletter, SMS-y)

Osobna zgoda na otrzymywanie informacji handlowych. Klientka MUSI mieć możliwość odznaczenia tej zgody bez tracenia możliwości zabiegu. Stosujesz double opt-in (potwierdzenie e-mailowe).

5. Zgoda na badanie patch testem

Część karty klienta - klientka potwierdza wykonanie testu i otrzymanie informacji o ryzyku alergicznym. Patch test to procedura sanitarna, ale dokumentacja jego wykonania = przetwarzanie danych zdrowotnych = wymaga zgody.

Forma zgody — papier, podpis cyfrowy, checkbox?

RODO wymaga, żeby zgoda była świadoma, dobrowolna, konkretna i jednoznaczna. W praktyce dla salonu beauty:

  • Papier z podpisem - złoty standard. Klientka czyta, zaznacza checkboxy, podpisuje, datuje. Salon przechowuje fizycznie 5 lat.
  • Tablet z podpisem cyfrowym (np. SignNow, Adobe Sign) - dopuszczalne, ale potrzebujesz mechanizmu dowodowego (timestamping, IP, niezmienna kopia)
  • Tylko checkbox bez podpisu - NIE WYSTARCZY dla danych zdrowotnych. UODO konsekwentnie kwestionuje "kliknij i zatwierdź" przy szczególnych kategoriach.

Nasze rekomendowane podejście dla salonu beauty: papier z podpisem przy pierwszej wizycie + cyfrowa kopia w karcie klienta jako backup.

Polityka prywatności - wymagana publicznie

Każdy salon musi mieć dostępną dla klientek politykę prywatności. Wymóg art. 13 RODO. Format:

  • Plakat na recepcji (skrót na 1 stronie A4 widoczny dla klientki)
  • Dokument w segregatorze do udostępnienia na żądanie
  • Strona internetowa salonu - pełna polityka prywatności

Polityka musi zawierać:

  1. Dane administratora (Twoja firma, NIP, adres)
  2. Cele przetwarzania danych
  3. Podstawę prawną (art. 6 i 9 RODO)
  4. Okres przechowywania (typowo 5 lat dla danych zdrowotnych)
  5. Komu udostępniasz dane (jeśli korzystasz z systemu rezerwacji online, BookingTime/Booksy = procesor danych)
  6. Prawa klientki (dostęp, sprostowanie, usunięcie, ograniczenie, sprzeciw, przenoszenie)
  7. Prawo skargi do Prezesa UODO
  8. Informację o zautomatyzowanym podejmowaniu decyzji (jeśli używasz - typowo NIE w salonie)

Najczęstsze błędy w RODO salonów beauty

  1. Zgoda "na wszystko" w jednej linii - "Wyrażam zgodę na przetwarzanie danych w celach marketingowych, zdrowotnych i biometrycznych" jednocześnie. Niezgodne z RODO - każdy cel = osobna zgoda.
  2. Zdjęcia na Instagram bez wyraźnej zgody - klasyk. Klientka kiwała głową, ale na piśmie nic nie ma. Wystarczy że jedna klientka zgłosi do UODO - mandat plus nakaz usunięcia całego portfolio.
  3. Karty klientek leżą na recepcji - wszyscy klienci widzą dane innych. Naruszenie poufności = naruszenie RODO. Rozwiązanie: zamykane szafki, dostęp wyłącznie dla stylistki obsługującej.
  4. Telefon pracownika z bazą klientek - WhatsApp z 200 klientkami w grupach, kontakty zsynchronizowane z prywatnym Google. Wyciek = mandat. Rozwiązanie: dedykowane narzędzie do rezerwacji + telefon firmowy.
  5. Brak umowy z procesorem - jeśli używasz Booksy, BookingTime, Calendly do rezerwacji = oni są procesorami Twoich danych. Wymagana umowa powierzenia przetwarzania (art. 28 RODO). Booksy ma to w regulaminie automatycznie, ale Twój system fakturowania (np. iFirma) - już niekoniecznie.

RODO przy wycieku - co robić

Wycieki zdarzają się: kradzież telefonu z bazą klientek, zhakowany laptop z dokumentami, zgubiony segregator z kartami klientek. RODO Art. 33 wymaga zgłoszenia wycieku do UODO w 72 godziny.

Procedura:

  1. Zatrzymaj dalsze rozprzestrzenianie (zmień hasła, zablokuj telefon zdalnie)
  2. Oceń zakres - ile osób, jakie dane, ryzyko dla klientek
  3. Jeśli ryzyko jest wysokie (dane zdrowotne, finansowe) - powiadom też klientki indywidualnie (art. 34 RODO)
  4. Zgłoś do UODO przez formularz online (uodo.gov.pl) w 72h
  5. Udokumentuj wszystko - co się stało, co zrobiłaś, jak zapobiegniesz w przyszłości

Brak zgłoszenia wycieku w 72h = osobny mandat (do 10 mln EUR lub 2% obrotu).

Wzór dokumentów RODO dla salonu beauty

Pełen pakiet dokumentów RODO dla salonu (zgody klientki, polityka prywatności, polityka cookies dla strony www, rejestr czynności przetwarzania, klauzula informacyjna) znajdziesz w pakiecie PRO (697 zł) NailsReady. Zawiera 21 dokumentów - wszystko co inspektor UODO i Sanepid mogą sprawdzić.

Każdy dokument ma pole [_____] do wpisania danych Twojego salonu - wypełniasz w 1-2 wieczory, drukujesz, wykładasz na recepcji, dodajesz do karty klienta. Pełne wdrożenie (włącznie z RCP, BHP, regulaminem pracy) = 14 dni po godzinie dziennie.

FAQ - Najczęściej zadawane pytania

Czy klientka musi podpisać zgody co wizytę?

Nie - zgody podpisuje się przy pierwszej wizycie. Przy kolejnych wystarczy potwierdzenie ustne lub krótki check ("Czy coś się zmieniło - leki, alergie, ciąża?"). Aktualizacja zgody = nowy podpis raz na 5 lat lub przy zmianie zakresu usług.

Czy mogę przechowywać karty klientek elektronicznie zamiast papierowo?

Tak, ale system musi spełniać wymogi RODO: szyfrowanie, kontrola dostępu, kopie zapasowe, audit log zmian. Booksy / BookingTime spełniają. Excel na pulpicie laptopa - NIE.

Co z klientkami z Ukrainy / Białorusi - inne zasady?

Nie - RODO obowiązuje wszystkie osoby fizyczne na terenie EU bez względu na obywatelstwo. Klientka z Ukrainy podpisuje te same zgody co klientka polska. Możesz mieć wzór po ukraińsku - rekomendowane dla salonów obsługujących klientki ukraińskojęzyczne.

Czy mam obowiązek wyznaczyć IOD (Inspektora Ochrony Danych)?

Małe salony - NIE. Obowiązek IOD dotyczy podmiotów przetwarzających dane na dużą skalę (typowo >5 000 klientek/rok lub >50 pracowników). Mały salon ma obowiązek tylko prowadzić rejestr czynności przetwarzania (art. 30 RODO) - dokument w segregatorze.

Co jeśli klientka chce usunąć swoje dane?

Masz obowiązek usunąć w 30 dni - chyba że obowiązują Cię inne podstawy prawne (np. faktura - 5 lat, dane podatkowe). Wtedy informujesz klientkę o ograniczeniach. Notuj w bazie "klientka zgłosiła right to be forgotten + data".

Comiesięczny mail z aktualizacjami

Co się zmieniło w Sanepidzie, RODO i BHP, raz w miesiącu, jeden mail. Bez spamu i bez sprzedaży kursów.