GDPR pro salóny: Co musíte splnit v roce 2026
Praktický průvodce GDPR pro salóny krásy. Jaká data smíte sbírat, jak dlouho je uchovávat a jak vám Resovu pomůže.
Ochrana osobních údajů není jen byrokratická povinnost – je to základ důvěry mezi vámi a vašimi klienty. Salóny, fitness studia, wellness centra a další poskytovatelé služeb pracují s citlivými daty denně: jména, telefonní čísla, e-maily, zdravotní informace, platební údaje. Obecné nařízení o ochraně osobních údajů (GDPR) stanovuje jasná pravidla, jak s těmito daty nakládat. V tomto článku vám vysvětlíme, co přesně musíte splnit v roce 2026 a jak vám v tom může pomoci váš rezervační systém.
Jaké osobní údaje salóny sbírají
Možná si to neuvědomujete, ale jako poskytovatel služeb zpracováváte překvapivě velké množství osobních údajů. Patří mezi ně:
- Identifikační údaje – jméno, příjmení, datum narození
- Kontaktní údaje – telefon, e-mail, adresa
- Údaje o rezervacích – historie návštěv, preferované služby, oblíbený personál
- Zdravotní informace – alergie, kontraindikace, zdravotní omezení (zejména u kosmetických a wellness služeb)
- Platební údaje – čísla karet (pokud je ukládáte), historie plateb
- Marketingové preference – souhlas s newsletterem, komunikační kanály
- Fotografie – před/po snímky u kosmetických procedur
Každá z těchto kategorií podléhá specifickým pravidlům GDPR. Zdravotní údaje jsou považovány za zvláštní kategorii dat s přísnějším režimem ochrany.
Právní základy zpracování
GDPR vyžaduje, abyste pro každý typ zpracování měli platný právní základ. Pro salóny jsou nejrelevantnější tyto tři:
Plnění smlouvy
Pokud klient provede rezervaci, uzavírá s vámi smlouvu o poskytnutí služby. Pro její plnění potřebujete jeho jméno, kontakt a informace o zvolené službě. K tomuto zpracování nepotřebujete zvláštní souhlas – je nezbytné pro splnění toho, o co vás klient požádal.
Oprávněný zájem
Některá zpracování můžete odůvodnit oprávněným zájmem, například zasílání připomínek k rezervacím nebo uchovávání historie návštěv pro zlepšení služeb. Musíte ale provést tzv. balanční test – váš zájem nesmí převážit nad právy klienta.
Souhlas
Pro marketingovou komunikaci (newsletter, akční nabídky, narozeninové slevy) potřebujete výslovný souhlas klienta. Ten musí být svobodný, konkrétní, informovaný a jednoznačný. Předvyplněné zaškrtávací políčka nejsou platným souhlasem.
Správa souhlasů
Evidence souhlasů je jednou z oblastí, kde salóny nejčastěji chybují. Pro každý souhlas musíte zaznamenat:
- Kdo souhlas udělil (identifikace klienta)
- Kdy byl souhlas udělen (datum a čas)
- S čím klient souhlasil (přesné znění)
- Jakým způsobem byl souhlas udělen (online formulář, papírový dokument)
Klient má právo svůj souhlas kdykoliv odvolat a vy musíte mít mechanismus, jak to umožnit a evidovat. Odvolání souhlasu musí být stejně snadné jako jeho udělení.
Doba uchovávání údajů
GDPR zakazuje uchovávat osobní údaje déle, než je nezbytné pro účel, pro který byly shromážděny. Stanovte si jasnou retenční politiku:
- Aktivní klienti – údaje uchováváte po dobu trvání vztahu
- Neaktivní klienti – doporučená doba uchovávání je 2–3 roky od poslední návštěvy
- Účetní doklady – zákonná povinnost uchovávání 5–10 let
- Zdravotní údaje – po dobu nezbytnou pro bezpečné poskytování služeb, poté smazat
- Marketingové souhlasy – do odvolání souhlasu klientem
Po uplynutí doby uchovávání musíte údaje bezpečně smazat nebo anonymizovat.
Práva klientů podle GDPR
Vaši klienti mají podle GDPR řadu práv, na která musíte být připraveni reagovat do 30 dnů:
- Právo na přístup – klient může požádat o kopii všech údajů, které o něm vedete
- Právo na opravu – klient může požádat o opravu nepřesných údajů
- Právo na výmaz – tzv. právo být zapomenut, pokud není důvod údaje dále uchovávat
- Právo na přenositelnost – klient může požádat o export svých dat ve strojově čitelném formátu
- Právo vznést námitku – zejména proti zpracování pro přímý marketing
Jak vám Resovu pomáhá s GDPR
Resovu bylo od začátku navrženo s ohledem na GDPR compliance. Systém nabízí řadu funkcí, které vám usnadní dodržování předpisů:
- Automatická správa souhlasů – při rezervaci klient vidí a odsouhlasí přesné podmínky zpracování, vše je zalogováno
- Nastavitelná doba uchovávání – definujte, po jaké době neaktivity se mají údaje automaticky anonymizovat
- Export dat klienta – na požádání vygenerujete kompletní přehled údajů klienta
- Právo na výmaz – možnost smazat nebo anonymizovat všechna data klienta na jedno kliknutí
- Šifrování dat – veškerá data jsou šifrována při přenosu i v úložišti
- Auditní log – záznam o tom, kdo, kdy a jak s údaji manipuloval
Díky těmto funkcím nemusíte vést složité tabulky a papírovou evidenci. Resovu se postará o technickou stránku GDPR, zatímco vy se můžete soustředit na své klienty.
Často kladené otázky
Musí malý salón s jedním zaměstnancem dodržovat GDPR? Ano. GDPR se vztahuje na všechny subjekty, které zpracovávají osobní údaje fyzických osob, bez ohledu na velikost firmy. I živnostník s jedním křeslem musí mít právní základ pro zpracování dat, informovat klienty a chránit jejich údaje.
Hrozí mi pokuta za nedodržení GDPR? Ano. Úřad pro ochranu osobních údajů (ÚOOÚ) může udělit pokutu až do výše 20 milionů EUR nebo 4 % ročního obratu. V praxi české úřady u malých podnikatelů udělují nižší pokuty, ale i desítky tisíc korun mohou být citelné. Navíc riskujete ztrátu důvěry klientů.
Mohu posílat klientům narozeninové slevy bez souhlasu? Ne. Narozeninová nabídka je forma přímého marketingu a vyžaduje výslovný souhlas klienta. Bez souhlasu můžete posílat pouze komunikaci přímo související s poskytovanou službou, jako jsou potvrzení rezervace a připomínky termínů.
Jak dlouho mohu uchovávat fotografie klientů (před/po)? Fotografie jsou osobní údaje a pro jejich pořízení a uchovávání potřebujete výslovný souhlas. Doporučujeme uchovávat je maximálně po dobu aktivního vztahu s klientem plus 1 rok. Pro použití na sociálních sítích nebo webu potřebujete samostatný souhlas.
Musím mít pověřence pro ochranu osobních údajů (DPO)? Většina salónů a menších studií DPO mít nemusí. Povinnost se týká zejména subjektů, jejichž hlavní činností je rozsáhlé zpracování zvláštních kategorií údajů. Přesto je dobré mít osobu, která GDPR ve firmě sleduje a zajišťuje dodržování pravidel.