RODO a program poleceń w salonie — co musisz wiedzieć

Chcesz uruchomić program poleceń w salonie i klientka pyta: „Czy możesz przekazać mój numer telefonu znajomej?" Albo zastanawiasz się, czy wysyłanie SMS-ów do nowych klientek poleconych przez inne klientki jest w ogóle zgodne z prawem.

To słuszne pytania. RODO obowiązuje od 2018 roku i dotyczy każdego salonu, który zbiera dane klientek — czyli praktycznie każdego. A program poleceń z definicji wiąże się z przetwarzaniem danych osobowych: imion, numerów telefonów, adresów e-mail.

Dobra wiadomość jest taka, że program poleceń zgodny z RODO to nie jest temat skomplikowany. Wymaga kilku konkretnych decyzji, nie dziesiątek stron prawniczego tekstu.

Dlaczego RODO dotyczy programu poleceń w salonie

Program poleceń polega na tym, że obecna klientka rekomenduje salon nowej osobie. Na poziomie ludzkim to prosta sprawa: powiedziała znajomej, znajoma przyszła. Żadnych danych, żadnego RODO.

Problem pojawia się gdy salon chce ten proces zautomatyzować i śledzić. A to oznacza zbieranie danych: kto polecił, kto przyszedł, kiedy, ile razy. I tutaj wchodzi RODO.

Według wytycznych Urzędu Ochrony Danych Osobowych, każde przetwarzanie danych osobowych osób fizycznych wymaga podstawy prawnej. Dla salonu beauty te podstawy są trzy:

• Zgoda — klientka wyraźnie zgadza się na konkretne przetwarzanie
• Wykonanie umowy czyli przetwarzanie jest niezbędne do realizacji usługi (np. rezerwacja wizyty)
• Prawnie uzasadniony interes tzn. masz uzasadniony interes biznesowy, który nie narusza praw klientki

Program poleceń opiera się głównie na zgodzie i uzasadnionym interesie. Oba wymagają świadomego działania z Twojej strony.

Trzy scenariusze w programie poleceń i ich status RODO

Scenariusz 1: Klientka sama wysyła swój link znajomej

To najprostszy i najczystszy scenariusz z punktu widzenia RODO. Klientka dostaje swój unikalny link polecający i sama decyduje komu go wyśle. Ty jako salon nie przetwarzasz żadnych danych nowej osoby dopóki ta osoba sama nie wejdzie na stronę i nie zarezerwuje wizyty.

Status: bezpieczny. Nie potrzebujesz dodatkowych zgód poza standardową polityką prywatności obowiązującą przy rezerwacji.

Scenariusz 2: Klientka podaje Ci dane kontaktowe znajomej, żebyś Ty do niej napisała

Klientka mówi: „Wyślij SMSa do Kasi Kowalskiej, numer 500-600-700, ona na pewno przyjdzie." Ty zbierasz i przetwarzasz dane osoby która nigdy nie wyraziła zgody na kontakt z Twoim salonem.

Status: problematyczny. Bez zgody Kasi Kowalskiej nie masz prawa wysłać jej marketingowego SMS-a ani e-maila. Możesz to zrobić wyłącznie jeśli możesz wykazać prawnie uzasadniony interes, co w przypadku zimnego kontaktu marketingowego jest trudne do obronienia.

Praktyczna zasada: nie zbieraj danych kontaktowych znajomych klientek bez ich własnej zgody. Zamiast tego daj klientce narzędzie (link) i niech sama przekazuje dalej.

Scenariusz 3: Nowa klientka rezerwuje przez link polecający i podaje swoje dane

Nowa osoba klika w link, wchodzi na stronę rezerwacji, podaje imię, numer telefonu, wybiera termin. Przekazuje dane dobrowolnie w celu umówienia wizyty.

Status: bezpieczny, pod warunkiem że masz poprawną politykę prywatności na stronie rezerwacji i informujesz o tym, kto jest administratorem danych. Podstawa prawna to wykonanie umowy (rezerwacja wizyty).

Co musisz mieć zanim uruchomisz program poleceń

1. Polityka prywatności na stronie rezerwacji

Każda strona na której zbierasz dane osobowe (formularz rezerwacji, formularz kontaktowy) musi mieć dostępną politykę prywatności. Powinna zawierać:

• Kim jest administrator danych (Twoje imię i nazwisko lub nazwa firmy, adres)
• Jakie dane zbierasz i w jakim celu
• Przez jaki czas przechowujesz dane
• Jakie prawa ma osoba której dane dotyczą (dostęp, usunięcie, sprzeciw)
• Czy przekazujesz dane podmiotom trzecim (np. dostawca systemu rezerwacji)

Wzór polityki prywatności dla małego salonu możesz wygenerować korzystając z generatora dostępnego na stronie UODO lub skonsultować z prawnikiem. Koszt jednorazowej konsultacji (300-600 zł) jest niższy niż potencjalna kara za brak dokumentacji.

2. Informacja o programie poleceń w polityce prywatności

Jeśli prowadzisz program poleceń, polityka prywatności powinna o tym wspominać. Wystarczy krótki akapit: że w ramach programu poleceń przetwarzasz dane dotyczące tego kto kogoś polecił i jakie rabaty zostały naliczone, w celu realizacji programu lojalnościowego, przez czas jego trwania.

3. Zgoda na marketing w SMS lub e-mail

Jeśli planujesz wysyłać klientkom z polecenia wiadomości marketingowe (np. oferty, przypomnienia o programie), potrzebujesz ich osobnej zgody na marketing. Zgoda na rezerwację wizyty nie obejmuje automatycznie zgody na otrzymywanie ofert.

Najprostszy sposób: przy rejestracji klientki dodaj checkbox „Zgadzam się na otrzymywanie informacji o ofertach salonu drogą SMS/e-mail". Unchecked domyślnie, zaznaczenie dobrowolne.

Jak zbierać zgody w praktyce, bez biurokracji

RODO nie wymaga papierowych formularzy ani skomplikowanych procesów. Wymaga żeby zgoda była:

• Dobrowolna tzn. klientka nie może być zmuszona do zgody jako warunek usługi
• Konkretna tzn. wiadomo na co klientka się zgadza (nie ogólne „zgadzam się na wszystko")
• Świadoma tzn. klientka rozumie co wyraża zgodę
• Jednoznaczna tzn. aktywne działanie (zaznaczenie checkboxa), nie milczenie

Przy rezerwacji online to naturalnie wbudowane w formularz. Przy rezerwacji telefonicznej lub osobistej wystarczy zapytać i odnotować odpowiedź w systemie (np. checkbox w karcie klientki).

Co z danymi klientki która wyszła ze salonu i chce je usunąć

Każda klientka ma prawo zażądać usunięcia swoich danych (prawo do bycia zapomnianym). Jeśli klientka, która uczestniczyła w programie poleceń, poprosi o usunięcie danych, masz obowiązek to zrobić chyba że masz inną podstawę do przechowywania danych (np. obowiązek podatkowy przez 5 lat).

Praktyczna sytuacja: klientka polecała przez rok, nazbierała rabaty, a teraz chce żebyś usunęła jej dane. Co z historią poleceń? Historia transakcji finansowych (naliczone rabaty, wizyty) może być przechowywana na potrzeby rozliczeniowe. Dane kontaktowe i dane marketingowe usuwasz na żądanie.

Dobry system do zarządzania salonem powinien umożliwiać usunięcie danych klientki na żądanie bez ręcznego przeszukiwania bazy.

Rejestr czynności przetwarzania: czy musisz go mieć

Według art. 30 RODO, obowiązek prowadzenia rejestru czynności przetwarzania dotyczy administratorów zatrudniających co najmniej 250 pracowników lub przetwarzających dane w sposób systematyczny i na dużą skalę, albo przetwarzających dane wrażliwe.

Mały salon z 1-5 osobami i kilkuset klientkami teoretycznie może być zwolniony z formalnego rejestru. Jednak UODO rekomenduje prowadzenie uproszczonej dokumentacji nawet małym podmiotom, bo w razie kontroli pokazuje że przetwarzanie jest przemyślane i kontrolowane.

Uproszczony rejestr to zwykły plik tekstowy lub Excel z listą: jakie dane zbierasz, po co, przez kogo są przetwarzane, jak długo. Dla salonu beauty zajmuje jedną stronę A4.

Czy system do programu poleceń musi być RODO-zgodny

Tak, i to jest ważna kwestia której właścicielki salonów często nie sprawdzają. Jeśli korzystasz z zewnętrznego systemu do obsługi programu poleceń (aplikacja, platforma SaaS), ten system przetwarza dane Twoich klientek jako podmiot przetwarzający dane w Twoim imieniu.

Oznacza to, że powinieneś mieć z dostawcą systemu podpisaną umowę powierzenia przetwarzania danych (DPA (Data Processing Agreement)). To standardowy dokument który rzetelny dostawca oprogramowania powinien oferować samodzielnie lub na żądanie.

Przy wyborze systemu do programu poleceń sprawdź:

• Czy dostawca oferuje umowę DPA?
• Czy serwery są w UE (lub czy dostawca stosuje odpowiednie mechanizmy transferu danych poza UE)?
• Czy system umożliwia usunięcie danych klientki na żądanie?
• Czy ma politykę prywatności która opisuje jak przetwarza dane?

Jeśli chcesz zobaczyć jak dobrze zaprojektowany program poleceń wygląda w praktyce, przeczytaj: Program poleceń w salonie beauty: jak uruchomić, co zaoferować i ile to naprawdę przynosi.

Najczęstsze błędy RODO w programach poleceń salonów

Zbieranie numerów telefonów znajomych od klientek. Klientka podaje numer Kasi, Ty dzwonisz do Kasi z ofertą. Kasia nie wyraziła żadnej zgody. To naruszenie RODO bez względu na to jak dobra jest Twoja oferta.

Brak polityki prywatności na stronie rezerwacji. Każdy formularz zbierający dane osobowe musi mieć dostępną politykę prywatności. Brak jej to naruszenie art. 13 RODO (obowiązek informacyjny).

Checkbox marketingowy domyślnie zaznaczony. „Zgadzam się na oferty salonu" z ptaszkiem już wstawionym. Takie zbieranie zgody jest nieważne według RODO. Musi być niezaznaczony domyślnie.

Przechowywanie danych klientek bez końca. Dane przechowujesz tylko tak długo jak jest to niezbędne. Klientka która nie odwiedziła Cię od 3-5 lat i nie wyraziła zgody na kontakt marketingowy — jej dane powinny być usunięte lub zanonimizowane.

Krótkie podsumowanie co musisz mieć

Nie chodzi o to żeby mieć wszystko idealnie od razu. Chodzi o to żeby działać świadomie. Lista rzeczy które powinny być na miejscu zanim uruchomisz program poleceń:

1. Polityka prywatności na stronie rezerwacji z informacją o programie poleceń
2. Osobna zgoda marketingowa (checkbox) jeśli planujesz wysyłać SMS-y z ofertami
3. Mechanizm usunięcia danych klientki na żądanie
4. Umowa DPA z dostawcą systemu który obsługuje program poleceń
5. Model poleceń oparty na linkach, nie na przekazywaniu danych kontaktowych przez klientkę

Jeśli masz pytania jak te kwestie wyglądają w konkretnym systemie, sprawdź też: Program poleceń vs program lojalnościowy: co się bardziej zwraca i jak oba działają prawnie.