Gabinet kosmetologiczny oferujący zabiegi medycyny estetycznej, w tym wstrzykiwanie toksyny botulinowej (botoksu), przetwarza dane osobowe o charakterze wrażliwym – przede wszystkim dane dotyczące stanu zdrowia. W związku z tym podlega rygorystycznym obowiązkom wynikającym z przepisów RODO oraz przepisów prawa cywilnego. Odpowiedź na pytanie, jak długo takie dane można i należy przechowywać, wymaga uwzględnienia kilku kluczowych zasad.
Dane medyczne klienta to dane wrażliwe – a więc szczególnie chronione
Zgodnie z art. 9 ust. 1 RODO, dane dotyczące zdrowia należą do tzw. szczególnych kategorii danych osobowych. Ich przetwarzanie co do zasady jest zabronione, chyba że zachodzi wyjątek określony w przepisach. W przypadku gabinetów wykonujących zabiegi z użyciem botoksu, podstawą przetwarzania będzie najczęściej:
- zgoda klienta (art. 6 ust. 1 lit. a RODO) – na przykład, jeśli klient wyraża dobrowolną zgodę na zabieg i przetwarzanie jego danych,
- konieczność wykonania umowy (art. 6 ust. 1 lit. b RODO) – jeżeli zabieg stanowi realizację umowy zawartej z klientem,
- uzasadniony interes administratora (art. 6 ust. 1 lit. f RODO) – np. obrona przed ewentualnymi roszczeniami klienta.
W kontekście danych zdrowotnych zastosowanie ma również art. 9 ust. 2 lit. a RODO, który umożliwia przetwarzanie danych wrażliwych na podstawie wyraźnej zgody osoby, której dane dotyczą.
Obowiązek przechowywania danych – ile lat?
Nie istnieje jeden przepis, który wprost nakłada obowiązek przechowywania danych klienta przez konkretny okres dla wszystkich branż. Jednak gabinet kosmetologiczny powinien kierować się zasadą minimalizacji i ograniczenia czasowego – czyli przechowywać dane tak długo, jak to konieczne, a nie dłużej.
Przedawnienie roszczeń – czyli minimum 3 lata
Zgodnie z art. 118 Kodeksu cywilnego, roszczenia związane z prowadzeniem działalności gospodarczej (np. reklamacje klientów, odszkodowania za błędnie wykonany zabieg) przedawniają się z reguły po 3 latach. Ten termin powinien być uznany za minimum dla przechowywania danych – w tym dokumentacji zabiegu, formularzy zgody i dokumentacji medycznej klienta.
📌 Przykład: Pani Monika z Gorzowa Wielkopolskiego wykonała zabieg botoksu w maju 2022 r. Zabieg wywołał powikłania, ale reklamacja została złożona dopiero po dwóch latach. Gabinet powinien móc się wtedy skutecznie obronić, przedstawiając dokumentację potwierdzającą prawidłowe wykonanie usługi. Gdyby dane zostały usunięte wcześniej – mogłoby to utrudnić jego sytuację prawną.
Uzasadniony interes administratora – nawet dłużej niż 3 lata
RODO dopuszcza przetwarzanie danych także wtedy, gdy jest to konieczne do realizacji tzw. prawnie uzasadnionych interesów administratora (np. obrony przed roszczeniami). W praktyce oznacza to, że gabinet może przechowywać dane klientów dłużej niż 3 lata, jeżeli uzasadni, że są one potrzebne np. do celów dowodowych lub statystycznych.
📌 Przykład: Gabinet z Torunia przechowuje dane klientów przez 6 lat od ostatniego zabiegu, ponieważ chce mieć możliwość wykazania przed sądem, że usługa została wykonana prawidłowo. Ma to znaczenie np. w przypadku roszczeń z tytułu szkody na zdrowiu, których przedawnienie może nastąpić nawet po 6 latach (w niektórych przypadkach – po 10).
Zasada ograniczenia celu i retencji danych
RODO wymaga, by dane osobowe były przechowywane nie dłużej, niż jest to niezbędne do celów, w których są przetwarzane. Wynika to z art. 5 ust. 1 lit. e RODO, czyli tzw. zasady ograniczenia przechowywania.
Oznacza to, że po upływie okresu przedawnienia roszczeń (np. 3 lub 6 lat), dane klienta powinny być:
- usunięte, jeśli nie są już potrzebne,
- zarchiwizowane, jeśli ich dalsze przetwarzanie ma uzasadnienie (np. statystyczne lub prawne),
- zanonimizowane, jeśli gabinet chce je wykorzystać do analiz, ale nie musi znać tożsamości klienta.
Jak liczyć termin przechowywania?
Zgodnie z przepisami Kodeksu cywilnego, jeżeli termin przedawnienia wynosi co najmniej dwa lata, to kończy się on z końcem roku kalendarzowego. To ważna informacja praktyczna dla właścicieli gabinetów.
📌 Przykład: Klientka odbyła zabieg w lipcu 2021 r. Trzyletni okres przedawnienia roszczeń upływa 31 grudnia 2024 r. Dopiero po tej dacie gabinet może bezpiecznie usunąć dane klientki – pod warunkiem, że nie zachodzą inne powody ich dalszego przetwarzania.
Co musi zawierać polityka retencji danych w gabinecie?
Każdy podmiot przetwarzający dane osobowe powinien mieć wewnętrzną politykę retencji danych, czyli zasady dotyczące:
- rodzaju przechowywanych danych (np. formularze zgody, zdjęcia przed/po zabiegu, karty klienta),
- czasu przechowywania danych,
- warunków ich usunięcia lub zanonimizowania,
- podstawy prawnej przechowywania (np. art. 6 ust. 1 lit. f RODO),
- procedur zabezpieczenia danych (fizycznie i cyfrowo).
Podsumowanie – co powinien zrobić właściciel gabinetu?
✔ Przechowuj dane klientów przez minimum 3 lata, a najlepiej przez 6 lat – zgodnie z okresem przedawnienia roszczeń.
✔ Stosuj zasadę minimalizacji – nie zbieraj więcej danych, niż to konieczne.
✔ Zadbaj o podstawę prawną przetwarzania – najczęściej będzie to zgoda lub realizacja umowy.
✔ Zaktualizuj politykę prywatności i retencji danych – jasno określ, jak długo przechowujesz dane i z jakiego powodu.
✔ Nie przechowuj danych w nieskończoność – po upływie uzasadnionego okresu dane należy usunąć, zanonimizować lub zarchiwizować.
Podstawa prawna
- art. 6 ust. 1 lit. a, b, f, art. 9 ust. 1 i 2 lit. a, art. 5 ust. 1 lit. e – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO)
- art. 118 – Ustawa z dnia 23 kwietnia 1964 r. – Kodeks cywilny
Tematy porad zawartych w poradniku
- przechowywanie danych klientów gabinetu
- retencja danych po zabiegu botoksu
- dokumentacja zabiegów medycyny estetycznej
- RODO w gabinecie kosmetologicznym
- okres przechowywania danych osobowych 2025
Przydatne strony urzędowe
- https://uodo.gov.pl – Urząd Ochrony Danych Osobowych
- https://isap.sejm.gov.pl – Internetowy System Aktów Prawnych
- https://europa.eu/youreurope/business/ – Portal Unii Europejskiej dla przedsiębiorców
- https://www.biznes.gov.pl – Serwis rządowy dla firm i przedsiębiorców