RODO w salonie kosmetycznym i beauty – 5 błędów, które mogą kosztować Cię krocie

Urząd Ochrony Danych Osobowych (UODO) nie pyta o wielkość firmy. Nie interesuje go, czy prowadzisz jednoosobowy gabinet kosmetyczny w bloku, czy sieć salonów w centrum handlowym. Jeśli przetwarzasz dane klientów – a każdy salon to robi – obowiązują Cię przepisy RODO, a naruszenia mogą skutkować karami sięgającymi do 20 milionów euro lub 4% rocznego obrotu firmy.

Branża beauty zbiera jedne z najbardziej wrażliwych danych osobowych. Historia alergii, informacje o chorobach przewlekłych, lekach, ciąży, zdjęcia twarzy przed zabiegiem mezoterapii – to wszystko dane wrażliwe w rozumieniu art. 9 RODO, podlegające szczególnej ochronie. A mimo to w wielu salonach RODO wciąż oznacza „mamy jakąś kartkę z podpisem".

Poniżej opisujemy pięć błędów, które zdarzają się najczęściej i które realnie narażają właścicieli salonów na problemy prawne.

---

Błąd 1: Brak zgody na przetwarzanie danych przy zapisie

Klientka dzwoni i umawiasz ją na wizytę. Zapisujesz jej imię, nazwisko i numer telefonu. Właśnie przetworzyłaś dane osobowe.

Samo umówienie wizyty i wykonanie zabiegu nie wymaga odrębnej zgody RODO – podstawą prawną jest tu umowa usługi (art. 6 ust. 1 lit. b RODO). Jednak już w momencie, gdy zaczynasz pytać o alergie, choroby, przyjmowane leki czy przebyte zabiegi – wkraczasz w obszar danych wrażliwych (art. 9 RODO), które wymagają wyraźnej, udokumentowanej zgody.

Co ważne, zgoda na przetwarzanie danych zdrowotnych i zgoda na wykonanie zabiegu to dwa różne dokumenty. Nie możesz zakładać, że podpisując jedną zgodę, klientka automatycznie wyraziła zgodę na drugą rzecz. W praktyce oznacza to, że powinieneś mieć dwa osobne formularze – albo jeden dokument z wyraźnie oddzielonymi sekcjami.

---

Błąd 2: Papierowe formularze bez odpowiedniego zabezpieczenia

Segregator z kartami klientek na biurku to jeden z najczęstszych widoków w salonach beauty. I jeden z najpoważniejszych problemów z punktu widzenia RODO.

Papierowe dokumenty zawierające dane wrażliwe muszą być przechowywane pod kluczem, z ograniczonym dostępem wyłącznie do uprawnionych osób. W praktyce rzadko tak jest. Kartki leżą na blacie, wiszą przy stanowisku pracy, trafią do pudełka, które potem się gubi.

Brak odpowiedniego zabezpieczenia fizycznej dokumentacji to naruszenie zasady integralności i poufności danych z art. 5 ust. 1 lit. f RODO. UODO w swoich wytycznych podkreśla, że administrator danych jest odpowiedzialny za wdrożenie środków technicznych i organizacyjnych zapewniających odpowiedni poziom bezpieczeństwa.

Rozwiązaniem jest albo porządny system archiwizacji papierowej (zamknięta szafa, rejestr dostępu, procedura niszczenia dokumentów), albo przejście na dokumentację elektroniczną z szyfrowaniem – co eliminuje problem fizycznego zabezpieczenia.

---

Błąd 3: Brak odrębnej zgody przy zbieraniu zdjęć „przed i po"

Zdjęcia efektów zabiegów to w branży beauty narzędzie marketingowe numer jeden. Instagram, strona salonu, prezentacje dla nowych klientów. Ale każde zdjęcie twarzy klientki to dane osobowe. A jeśli pokazuje na przykład bliznę lub problem skórny, który był przyczyną wizyty – to dane wrażliwe.

Aby zrobić zdjęcia klientce przed i po zabiegu, potrzebujesz jej zgody. Aby opublikować te zdjęcia w mediach społecznościowych – potrzebujesz osobnej zgody na przetwarzanie wizerunku w celach marketingowych. To dwa różne oświadczenia, których nie można łączyć ani domyślnie zakładać.

Zgoda na publikację zdjęć musi być dobrowolna (klientka może odmówić bez konsekwencji dla realizacji zabiegu), konkretna (wskazująca na jakich platformach zdjęcia zostaną opublikowane) i odwołalna w każdej chwili. Jeśli nie masz takiej zgody – każde opublikowane zdjęcie to potencjalne naruszenie RODO.

---

Błąd 4: Udostępnianie danych bez podstawy prawnej

Klientka podaje Ci numer telefonu. Kilka tygodni później dostajesz propozycję od firmy kosmetycznej – możesz przekazać jej bazę klientów w zamian za rabat na produkty. Brzmi atrakcyjnie? To byłoby poważne naruszenie przepisów.

Dane klientów zebrane w celu wykonania usługi nie mogą być udostępniane podmiotom trzecim bez wyraźnej zgody klientów. Dotyczy to zarówno sprzedaży danych, jak i przekazywania ich do systemów rezerwacyjnych, aplikacji partnerskich czy platform marketingowych bez odpowiedniej umowy powierzenia przetwarzania danych.

Warto też pamiętać, że jeśli korzystasz z platform takich jak Booksy, Treatwell czy innych systemów do zarządzania salonem, dane klientek którymi zarządza ta platforma to nadal Twoje dane osobowe. Powinieneś poinformować klientki o tym przekazaniu w klauzuli informacyjnej i mieć podpisaną z platformą umowę powierzenia przetwarzania danych.

---

Błąd 5: Brak polityki retencji danych

Jak długo przechowujesz dane klientek? Trzy lata? Dziesięć? Zawsze? Jeśli nie masz na to odpowiedzi – to problem.

RODO wymaga, aby dane osobowe nie były przechowywane dłużej niż jest to konieczne do celu, w którym zostały zebrane (zasada ograniczenia przechowywania, art. 5 ust. 1 lit. e RODO). W praktyce oznacza to, że powinieneś mieć ustaloną politykę retencji – dokument określający, jak długo każda kategoria danych jest przechowywana i co się z nimi dzieje po tym czasie.

Dla salonów beauty typowe okresy przechowywania wynoszą od 2 do 5 lat po ostatniej wizycie klientki (w zależności od ewentualnych roszczeń cywilnych). Dane zdrowotne zbierane przez gabinety o charakterze medycznym podlegają odrębnym przepisom i często muszą być przechowywane znacznie dłużej. Po upływie okresu retencji dane powinny być bezpiecznie usunięte lub zanonimizowane – nie można po prostu wyrzucić kartek do kosza.

---

Co musisz mieć w salonie, żeby działać zgodnie z RODO?

Pełna zgodność z RODO w salonie beauty wymaga kilku elementów, które razem tworzą spójny system ochrony danych:

Klauzula informacyjna – dokument przekazywany klientce przy pierwszej wizycie, informujący o tym, kto jest administratorem danych, jakie dane są zbierane, w jakim celu i przez jak długo.

Zgoda na przetwarzanie danych zdrowotnych – odrębne oświadczenie, niezbędne przy każdym wywiadzie przed zabiegiem.

Zgoda na wizerunek – jeśli robisz zdjęcia i chcesz je publikować.

Rejestr czynności przetwarzania – wewnętrzny dokument opisujący wszystkie procesy, w których przetwarzasz dane.

Polityka retencji danych – określająca jak długo przechowujesz poszczególne kategorie danych.

Procedury bezpieczeństwa – zarówno dla dokumentacji papierowej, jak i cyfrowej.

Umowy powierzenia – z każdym podmiotem, któremu przekazujesz dane klientek (systemy rezerwacyjne, biuro rachunkowe, hostingodawca).

---

Jak elektroniczne zbieranie zgód rozwiązuje większość tych problemów?

Platformy do cyfrowego zbierania zgód – z podpisem biometrycznym na tablecie – eliminują kilka problemów jednocześnie. Dokumenty są automatycznie archiwizowane z datą i podpisem, szyfrowane standardem bankowym, a do każdego z nich masz dostęp w każdej chwili. Nie ma ryzyka zgubienia kartki, zalania segregatora ani nieautoryzowanego wglądu przez osobę nieuprawnioną. Politykę retencji można wbudować w system – po upływie określonego czasu dane są automatycznie usuwane lub flagowane do usunięcia.

To nie jest luksus – to podstawa bezpiecznego prowadzenia biznesu beauty w 2025 roku.

---

Źródła

• Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO) – w szczególności art. 5, 6, 7, 9, 13, 30, 37, 83
• Urząd Ochrony Danych Osobowych (uodo.gov.pl) – wytyczne dotyczące przetwarzania danych osobowych