Облік клієнток у салоні - як вести картотеку відповідно до GDPR 2026

Ім'я, номер телефону, алергії, історія відвідувань - це персональні дані твоїх клієнток. GDPR (Загальний регламент про захист даних) визначає, як ти їх збираєш, як зберігаєш і як довго. Перевірка Управління захисту персональних даних (UODO) може завершитися штрафом до 50 000 злотих для малого підприємця. А кілька простих правил достатньо, щоб діяти відповідно до закону.

Ця стаття пояснює, що таке персональні дані в контексті салону краси, як правильно вести облік клієнток, які права мають клієнтки і як довго ти зберігаєш їхні дані.

Що таке персональні дані в салоні нігтів

Звичайні персональні дані

До звичайних персональних даних (що підлягають стандартному захисту GDPR) відносяться:

• Ім'я та прізвище клієнтки.
• Номер телефону та адреса електронної пошти.
• Дата та час відвідування.
• Історія виконаних процедур.
• Нотатки щодо вподобань клієнтки (улюблений колір, бажана техніка).

Правова підстава для збору звичайних даних: стаття 6(1)(b) GDPR (виконання договору про послугу) - тобі не потрібна окрема згода, якщо дані необхідні для виконання процедури та ведення обліку відвідувань. Можна також спиратися на статтю 6(1)(a) (згода) - тоді потрібне явне підтвердження від клієнтки.

Дані особливої категорії (чутливі дані)

Стаття 9 GDPR виділяє категорії даних, що підлягають посиленому захисту. У салоні краси це насамперед:

• Алергії на складники косметики (наприклад, на акрилові смоли, латекс, хну).
• Захворювання шкіри та порушення нігтьової пластини (псоріаз, грибок, оніхоліз).
• Вагітність (важлива при процедурах з УФ-гелем, акрилом, хною).
• Прийняті ліки, що впливають на процедури (наприклад, препарати для розрідження крові при манікюрі).
• Загальний стан здоров'я, що впливає на можливість виконання процедури.

Дані про здоров'я вимагають явної, письмової згоди клієнтки (стаття 9(2)(a) GDPR). Не можна збирати їх на підставі договору про послугу. Згода має бути добровільною, конкретною та однозначною: клієнтка має розуміти, що підписує і навіщо ти збираєш цю інформацію.

Правова підстава для обробки даних: що тобі потрібно знати

Дві правові підстави, які ти будеш застосовувати найчастіше:

1. Стаття 6(1)(b) GDPR: обробка, необхідна для виконання договору. Дані, потрібні для виконання процедури та ведення історії відвідувань, можна обробляти без окремої згоди. Але: це стосується лише звичайних персональних даних.
2. Стаття 9(2)(a) GDPR: явна згода на обробку даних про здоров'я. Обов'язкова при зборі інформації про алергії, захворювання та вагітність.

Інформаційне повідомлення (політика конфіденційності) є обов'язком незалежно від правової підстави. При зборі даних від клієнтки ти надаєш їй інформацію про:

• Хто є адміністратором даних (ти як власниця салону, з адресою та контактними даними).
• З якою метою ти обробляєш дані.
• Як довго ти зберігаєш дані.
• Які права має клієнтка (доступ, виправлення, видалення, перенесення).
• Чи будуть дані передані третім сторонам (наприклад, програмі для бронювання).

Як правильно вести облік клієнток

Картка клієнта з інформаційним повідомленням та згодою

Кожна клієнтка, чиї дані ти збираєш, заповнює картку клієнта, що містить:

• Основні дані (ім'я, телефон, електронна пошта - за бажанням).
• Дані про здоров'я: алергії, захворювання, ліки - з окремою письмовою згодою.
• Інформаційне повідомлення GDPR у зрозумілій, доступній формі.
• Підпис клієнтки під згодою на обробку даних про здоров'я.

Картка може бути паперовою або електронною. Якщо паперова, зберігай її в закритій шафі або ящику, до якого маєш доступ лише ти (і, можливо, уповноважений працівник). Якщо електронна, дані мають бути в зашифрованій папці або в програмі із захистом паролем.

Мінімізація даних

Збираєш лише дані, які тобі справді потрібні для виконання процедури та ведення обліку. GDPR називає це принципом мінімізації даних. Не збираєш ідентифікаційних номерів, адрес прописки чи інших даних, що не є необхідними в контексті послуг салону.

Уповноважені працівники

Якщо ти наймаєш персонал, маєш офіційно уповноважити їх на обробку персональних даних клієнток і навчити принципів GDPR. Уповноваження має бути письмовим. Працівник без уповноваження не повинен мати доступу до карток клієнток.

Права клієнтки щодо її даних

Право на доступ

Клієнтка може в будь-який момент попросити ознайомитися зі своїми даними. Ти зобов'язана показати їй картку клієнта або надати копію даних протягом одного місяця з моменту запиту. Не можна відмовити без обґрунтування.

Право на виправлення

Якщо дані клієнтки є неточними (наприклад, неправильний номер телефону, застаріла інформація про алергії), вона має право попросити їх виправити. Оновлюй дані без зволікань.

Право на видалення ("право бути забутою")

Клієнтка може вимагати видалення своїх даних. Ти зобов'язана їх видалити, але з винятками:

• Якщо дані потрібні для розгляду можливої рекламації (строк позовної давності 3 роки), можна відмовити у видаленні на розумний час.
• Якщо дані потрібні для виконання юридичного зобов'язання (наприклад, податкова документація).

Відмову у видаленні даних обґрунтовуєш письмово із зазначенням правової підстави.

Право на перенесення даних

Клієнтка може попросити надати їй дані в електронному форматі (наприклад, PDF або CSV), щоб перенести їх до іншого салону чи системи. Це стосується даних, що обробляються на основі згоди або договору автоматизованим способом.

Як довго ти зберігаєш дані клієнток

Строки зберігання залежать від типу даних та мети обробки:

• Дані щодо процедур з ризиком для здоров'я (хна, ламінування вій, акрил, процедури при захворюваннях шкіри): мінімум 3 роки з останнього відвідування (строк позовної давності за послугами).
• Маркетингові дані (наприклад, адреса електронної пошти для розсилки): до моменту відкликання згоди клієнткою.
• Дані для податкових цілей (рахунки-фактури та чеки з даними клієнтки): 5 років з кінця податкового року.

Після закінчення строку зберігання видаляєш дані безпечно: паперові картки знищуєш у шредері (не викидаєш у звичайний кошик), цифрові файли видаляєш назавжди (не просто переміщуєш у кошик, а знищуєш з диска безповоротно).

FAQ: Облік клієнток і GDPR у салоні краси

Чи можу я надсилати клієнтці нагадування про візит без її згоди?

Так, якщо ти зібрала номер телефону або електронну адресу з метою надання послуги і нагадування безпосередньо пов'язане із заброньованим відвідуванням. Це відповідає статті 6(1)(b) GDPR (виконання договору). Натомість надсилання рекламної розсилки або запрошення залишити відгук вимагає окремої маркетингової згоди. Межа така: комунікація, необхідна для надання послуги, не потребує згоди; маркетингова комунікація потребує.

Що робити, коли клієнтка просить видалити її дані?

Спочатку оціни, чи є підстави для відмови (наприклад, поточна процедура рекламації або податкове зобов'язання). Якщо ні, видаляєш дані протягом одного місяця і письмово підтверджуєш видалення клієнтці. Якщо відмовляєш, повідомляєш її про це письмово із зазначенням правової підстави та інформуєш про право подати скаргу до UODO. Не можна просто проігнорувати запит.

Чи є програма для онлайн-бронювання безпечною з точки зору GDPR?

Програма для онлайн-бронювання, що обробляє дані твоїх клієнток, є обробником даних у розумінні GDPR. Ти зобов'язана укласти з нею угоду про обробку даних (DPA, Data Processing Agreement). Відомі програми, такі як Booksy, Fresha та подібні, мають готові шаблони DPA. Без DPA ти використовуєш програму з порушенням GDPR, навіть якщо сама програма є технічно безпечною.

Чи потрібен мені інспектор із захисту даних (DPO)?

Для малого салону нігтів призначення DPO не є юридичним обов'язком. DPO є обов'язковим, зокрема, коли ти обробляєш дані у великих масштабах або коли обробка чутливих даних є твоєю основною діяльністю. Салон нігтів, що збирає дані про здоров'я (алергії, захворювання) клієнток як частину послуги, не відповідає цьому порогу. Однак можна добровільно призначити DPO або скористатися зовнішнім сервісом GDPR (зовнішній DPO за договором), що є поширеним рішенням для малих салонів.