Фото клієнток в Instagram і TikTok: що дозволено у салоні і що загрожує штрафом GDPR

Фото манікюру, обличчя клієнтки в кадрі, відео перебігу процедури. Це популярний контент у салоні краси, який будує охоплення і залучає нових клієнток. Але без належної згоди клієнтки це порушення GDPR, за яке Управління захисту персональних даних (UODO) може накласти штраф. Це не теоретичний ризик: UODO активно проводить розслідування щодо мікропідприємств.

Ця стаття говорить тобі прямо: що захищено, як правильно збирати згоду і які наслідки її відсутності.

Що захищає GDPR у контексті соціальних мереж

Обличчя клієнтки: абсолютний захист

Обличчя клієнтки — це персональні дані в розумінні GDPR. Воно дозволяє ідентифікувати конкретну особу. Для публікації зображення обличчя клієнтки тобі потрібна окрема, явна згода на зображення. Згоди в картці клієнта недостатньо. Загального "так" при реєстрації недостатньо. Згода на зображення — це окремий документ або чітко виділена секція у формулярі, призначена виключно для цієї мети.

Руки та нігті без обличчя: нижчий ризик, але не нульовий

Фото лише рук без обличчя і без жодних ознак, що дозволяють ідентифікувати особу (характерне татуювання, прикраси, які клієнтка завжди носить), на практиці не дозволяє ідентифікувати людину. Правовий ризик нижчий. Проте варто мати загальну згоду на публікацію матеріалів з візиту: клієнтка підписує, що погоджується на фото результатів процедури без ознак ідентифікації. Це захищає тебе від ситуації, коли клієнтка впізнає власні руки і подасть заперечення.

Контент, що розкриває дані про стан здоров'я: безумовна заборона

GDPR класифікує дані про стан здоров'я як дані особливої категорії (стаття 9). Якщо ти публікуєш фото з підписом, що натякає на стан здоров'я клієнтки ("нігті після хіміотерапії", "відновлення після псоріазу нігтів", "клієнтка з атопічним дерматитом"), без явної письмової згоди на підставі ст. 9(2) GDPR: ти вчиняєш серйозне порушення. Штраф може бути в рази вищим, ніж за звичайне порушення права на зображення.

Як правильно отримати згоду на публікацію зображення

Форма згоди на зображення: окремий документ

Форма згоди на зображення повинна бути окремою від картки клієнта і загальної форми GDPR при реєстрації. Вона повинна містити:

• Ім'я та прізвище клієнтки
• Опис того, що саме ти публікуєш (наприклад, "фото та короткі відео з результатами процедур на руках і обличчі")
• Вказівку де ти публікуєш (наприклад, "Instagram @назва_салону, TikTok @назва_салону, вебсайт")
• Тривалість згоди (наприклад, "на час ведення діяльності салону або до відкликання згоди")
• Інформацію про право відкликати згоду в будь-який момент
• Дату і підпис клієнтки

Згода повинна бути добровільною: ти не можеш вимагати її

Ти не можеш обумовлювати обслуговування клієнтки наданням згоди на зображення. Якщо клієнтка відмовляється підписати форму, ти обслуговуєш її так само і не робиш фото. Згода, надана під тиском ("якщо не підпишеш, не зроблю процедуру"), є недійсною відповідно до GDPR.

Відкликання згоди: що тоді

Клієнтка має право відкликати згоду в будь-який момент. Після відкликання: ти видаляєш усі фото та відео з клієнткою з усіх платформ (Instagram, TikTok, вебсайт, Google Business Profile). Виняток: якщо у тебе є інша правова підстава для зберігання (наприклад, фото є частиною документації, що вимагається законом). На практиці для салону краси: після відкликання згоди ти видаляєш контент.

Усна згода: недостатньо

Клієнтка сказала "так, можеш публікувати." Цього недостатньо. Твоє слово проти її слова: якщо вона заперечить і подасть скаргу до UODO, у тебе немає доказів. Завжди письмова згода або щонайменше текстове повідомлення (SMS або WhatsApp), яке ти зберігаєш з ім'ям клієнтки та датою.

Безпечні практики у повсякденній роботі

Теги в Instagram: краща опція, ніж без згоди

Якщо ти відмічаєш клієнтку в Instagram (@тег), вона бачить пост у повідомленнях і може видалити тег. Це не замінює письмову згоду, але краще, ніж публікація без будь-якого повідомлення. Якщо клієнтка видалила тег: сприймай це як сигнал, що вона не дає згоди, і видали фото.

Stories та Reels: ті самі правила, що й для постів

Stories зникають через 24 години, але протягом цього часу вони публічно видимі. Якщо клієнтка бачить своє фото в Stories без згоди і робить скріншот: у тебе проблема. Reels залишаються на профілі безстроково. Правила GDPR застосовуються однаково до всіх форматів.

TikTok: GDPR діє, алгоритми не змінюють закон

TikTok має інше охоплення та інші алгоритми, ніж Instagram. Твоє відео з клієнткою може потрапити до сотень тисяч людей. GDPR не робить виключень для платформ з великим охопленням: згода вимагається так само. Більше охоплення означає більшу потенційну шкоду при відсутності згоди.

Фото лише нігтів: практичний компроміс

Твоє портфоліо в соціальних мережах може бути побудовано виключно з фото результатів процедур (нігті, брови, вії) без облич і без ознак ідентифікації. Це безпечна практика, яка не вимагає збору згод на зображення від кожної клієнтки. Багато майстрів успішно ведуть профілі з десятками тисяч підписників без жодного фото обличчя клієнтки.

Що загрожує за відсутність згоди на зображення

Скарга клієнтки до UODO

Клієнтка може подати скаргу до Управління захисту персональних даних. UODO зобов'язане розглянути кожну скаргу. Провадження може тривати кілька місяців. Під час розслідування тебе можуть зобов'язати надати пояснення і подати документацію.

Фінансовий штраф від UODO

Для малих салонів фінансове покарання зазвичай починається з попередження або штрафу в кілька тисяч злотих. Максимальний штраф становить 20 мільйонів євро або 4% глобального річного обороту (для компаній). На практиці UODO накладає на мікропідприємців штрафи, пропорційні до масштабу порушення і ступеня недобросовісності. Повторні порушення або відсутність співпраці під час провадження: вищі штрафи.

Цивільні позови клієнтки

Незалежно від провадження UODO, клієнтка може звернутися до цивільного суду для захисту особистих прав. Вимоги можуть включати: видалення зображення, грошову компенсацію за порушення особистих прав (суми від кількох до кількох десятків тисяч злотих залежно від обставин) і публічні вибачення. Судові витрати можуть у рази перевищити цінність будь-якої популярності у соціальних мережах, набутої без згоди.

Часті запитання

Чи можна публікувати фото рук клієнтки без згоди?

Фото лише рук без ознак ідентифікації (без обличчя, без характерних татуювань або прикрас) має низький профіль ризику, оскільки не дозволяє ідентифікувати клієнтку. Для повного спокою і правової визначеності: збирай загальну згоду на публікацію результатів процедур без ознак ідентифікації. Один підпис, який захищає тебе на майбутнє.

Чи є дійсною згода "за винагороду" (наприклад, знижка за публікацію)?

Так, за умови що клієнтка розуміє, на що погоджується, і згода задокументована. Знижка в обмін на згоду на зображення є допустимою практикою. Але: згода повинна залишатися добровільною. Клієнтка повинна мати реальний вибір: або знижка і згода на зображення, або повна ціна без згоди. Якщо єдиний варіант — "згода або відмова в обслуговуванні": згода є недійсною.

Чи можу я знімати клієнтку під час процедури?

Відеозйомка клієнтки під час процедури (обличчя в кадрі, голос) — це обробка особливо чутливих персональних даних (зображення, голос). Тобі потрібна явна згода перед зйомкою. Не під час. До початку. Якщо клієнтка не дала згоди: ти не знімаєш. Зйомка зі спини без обличчя: нижчий ризик, але загальна згода все одно рекомендована.

Що робити, якщо клієнтка сама опублікувала фото зі мною без моєї згоди?

Твоє зображення захищено точно так само, як і зображення клієнтки. Ти маєш право попросити клієнтку видалити будь-яке фото, на якому видно твоє обличчя або дані, що ідентифікують салон (наприклад, фото на тлі логотипу). Це можна зробити ввічливо через приватне повідомлення. Якщо клієнтка відмовляється: можеш подати скаргу до UODO або повідомити про порушення безпосередньо на платформі (Instagram і TikTok мають процедури видалення контенту, що порушує конфіденційність).