R
Resovu
Tilbake til bloggen

GDPR for salonger: Hva du må oppfylle i 2026

Praktisk GDPR-guide for frisører, treningssentre, massører og andre tjenesteleverandører.

Resovu6. mars 2026

Personvern er ikke bare en byråkratisk plikt – det er grunnlaget for tilliten mellom deg og kundene dine. Salonger, treningssentre, velværesentre og andre tjenesteleverandører håndterer sensitive data daglig: navn, telefonnumre, e-postadresser, helseopplysninger, betalingsdata. Personvernforordningen (GDPR) fastsetter klare regler for hvordan disse dataene skal behandles. I denne artikkelen forklarer vi nøyaktig hva du må oppfylle i 2026, og hvordan bestillingssystemet ditt kan hjelpe deg.

Hvilke personopplysninger salonger samler inn

Du er kanskje ikke klar over det, men som tjenesteleverandør behandler du overraskende store mengder personopplysninger. Disse inkluderer:

  • Identifikasjonsinformasjon – fornavn, etternavn, fødselsdato
  • Kontaktinformasjon – telefon, e-post, adresse
  • Bestillingsdata – besøkshistorikk, foretrukne tjenester, favorittansatt
  • Helseinformasjon – allergier, kontraindikasjoner, helsebegrensninger (spesielt for kosmetiske og velværetjenester)
  • Betalingsdata – kortnumre (hvis du lagrer dem), betalingshistorikk
  • Markedsføringspreferanser – samtykke til nyhetsbrev, kommunikasjonskanaler
  • Fotografier – før/etter-bilder ved kosmetiske behandlinger

Hver av disse kategoriene er underlagt spesifikke GDPR-regler. Helseopplysninger regnes som en særlig kategori data med strengere beskyttelseskrav.

Rettslig grunnlag for behandling

GDPR krever at du har et gyldig rettslig grunnlag for hver type behandling. For salonger er disse tre mest relevante:

Oppfyllelse av avtale

Når en kunde gjør en bestilling, inngår vedkommende en avtale med deg om levering av en tjeneste. For å oppfylle denne trenger du kundens navn, kontaktinformasjon og opplysninger om valgt tjeneste. For denne behandlingen trenger du ikke særskilt samtykke – det er nødvendig for å levere det kunden har bedt om.

Berettiget interesse

Noe behandling kan begrunnes med berettiget interesse, for eksempel utsendelse av bestillingspåminnelser eller lagring av besøkshistorikk for å forbedre tjenestene. Du må imidlertid gjennomføre en såkalt balansetest – din interesse må ikke veie tyngre enn kundens rettigheter.

Samtykke

For markedsføringskommunikasjon (nyhetsbrev, kampanjetilbud, bursdagsrabatter) trenger du uttrykkelig samtykke fra kunden. Det må være fritt, spesifikt, informert og utvetydig. Forhåndsavkryssede bokser utgjør ikke gyldig samtykke.

Administrasjon av samtykker

Samtykkehåndtering er et av områdene der salonger oftest gjør feil. For hvert samtykke må du registrere:

  • Hvem som ga samtykke (identifikasjon av kunden)
  • Når samtykket ble gitt (dato og klokkeslett)
  • Hva kunden samtykket til (nøyaktig ordlyd)
  • Hvordan samtykket ble gitt (nettskjema, papirdokument)

Kunden har rett til å trekke tilbake samtykket når som helst, og du må ha en mekanisme for å gjøre dette mulig og registrere det. Tilbaketrekking av samtykke skal være like enkelt som å gi det.

Lagringstid for opplysninger

GDPR forbyr lagring av personopplysninger lenger enn det som er nødvendig for formålet de ble samlet inn for. Sett opp en tydelig oppbevaringspolicy:

  • Aktive kunder – opplysninger lagres så lenge kundeforholdet varer
  • Inaktive kunder – anbefalt lagringstid er 2–3 år etter siste besøk
  • Regnskapsdokumenter – lovpålagt oppbevaring i 5–10 år
  • Helseopplysninger – så lenge det er nødvendig for sikker tjenesteyting, deretter slettes
  • Markedsføringssamtykker – til kunden trekker samtykket tilbake

Etter at lagringstiden er utløpt, må du slette eller anonymisere opplysningene på en sikker måte.

Kundenes rettigheter etter GDPR

Kundene dine har en rekke rettigheter etter GDPR som du må være forberedt på å svare på innen 30 dager:

  • Rett til innsyn – kunden kan be om en kopi av alle opplysninger du har om dem
  • Rett til retting – kunden kan be om at uriktige opplysninger rettes
  • Rett til sletting – også kalt retten til å bli glemt, når det ikke lenger er grunnlag for å lagre opplysningene
  • Rett til dataportabilitet – kunden kan be om eksport av sine data i maskinlesbart format
  • Rett til å protestere – særlig mot behandling for direkte markedsføring

Slik hjelper Resovu deg med GDPR

Resovu er fra starten av designet med tanke på GDPR-etterlevelse. Systemet tilbyr en rekke funksjoner som gjør det enklere å overholde regelverket:

  • Automatisk samtykkehåndtering – ved bestilling ser og godkjenner kunden de nøyaktige vilkårene for behandling, alt logges
  • Konfigurerbar lagringstid – definer hvor lenge inaktive kundedata skal lagres før de automatisk anonymiseres
  • Eksport av kundedata – på forespørsel genererer du en fullstendig oversikt over kundens opplysninger
  • Rett til sletting – mulighet til å slette eller anonymisere alle kundedata med ett klikk
  • Datakryptering – alle data er kryptert under overføring og lagring
  • Revisjonslogg – oversikt over hvem som har tilgang til og endret opplysninger, når og hvordan

Takket være disse funksjonene slipper du å føre kompliserte regneark og papirbasert dokumentasjon. Resovu tar seg av den tekniske siden av GDPR, mens du kan konsentrere deg om kundene dine.

Ofte stilte spørsmål

Må en liten salong med én ansatt overholde GDPR? Ja. GDPR gjelder for alle virksomheter som behandler personopplysninger om fysiske personer, uavhengig av størrelse. Selv en enkeltpersonvirksomhet med én stol må ha rettslig grunnlag for databehandling, informere kundene og beskytte opplysningene deres.

Risikerer jeg bot for brudd på GDPR? Ja. Datatilsynet kan ilegge bøter på opptil 20 millioner euro eller 4 % av årlig omsetning. I praksis gir tilsynsmyndighetene lavere bøter til små virksomheter, men selv noen tusen kroner kan kjennes. I tillegg risikerer du å miste kundenes tillit.

Kan jeg sende kunder bursdagsrabatter uten samtykke? Nei. Bursdagstilbud er en form for direkte markedsføring og krever uttrykkelig samtykke fra kunden. Uten samtykke kan du kun sende kommunikasjon som er direkte knyttet til tjenesten, som bestillingsbekreftelser og timepåminnelser.

Hvor lenge kan jeg lagre kundebilder (før/etter)? Fotografier er personopplysninger, og for å ta og lagre dem trenger du uttrykkelig samtykke. Vi anbefaler å lagre dem maksimalt i løpet av det aktive kundeforholdet pluss 1 år. For bruk i sosiale medier eller på nettsider trenger du et eget samtykke.

Må jeg ha personvernombud (DPO)? De fleste salonger og mindre studioer trenger ikke DPO. Plikten gjelder først og fremst virksomheter der hovedaktiviteten er omfattende behandling av særlige kategorier opplysninger. Det er likevel lurt å ha en person som følger med på GDPR i virksomheten og sikrer at reglene overholdes.

Klar for mer effektiv drift?

Prøv Resovu gratis og se selv.

Prøv gratis
GDPR for salonger: Hva du må oppfylle i 2026 | Resovu