Botiko
LogowanieZacznij za darmo — 14 dni
Ikona tarczy ochrony — RODO dla chatbota
Prawo

RODO a chatbot — jak zbierać dane klientek legalnie (i nie dostać kary 50 000 PLN)

B
Botiko
Redakcja Botiko.pl
··8 min czytania

"Czy mogę zbierać dane przez bota?"

Tak. Ale prawidłowo.

Zła wiadomość: RODO to skomplikowane prawo i można się nawalić. Dobra wiadomość: dla małej firmy to zaledwie kilka praktycznych rzeczy.

Oto czego potrzebujesz wiedzieć — i czego unikać.

Co to jest RODO (w 60 sekund)

RODO to europejskie prawo o ochronie danych. Mówi: "Możesz zbierać dane, ale:

  1. Muszą dać Ci na to zgodę
  2. Musisz im powiedzieć, co robisz z ich danymi
  3. Musisz je bezpiecznie przechowywać
  4. Na żądanie musisz je usunąć"

Kara za naruszenie: 50 000 PLN (jeśli mała sprawa) do 250 000 PLN (jeśli duża).

Ale: dla małej firmy, która zbiera imię i numer telefonu — ryzyko jest małe, jeśli postępujesz prawidłowo.

Jakie dane może zbierać Twój bot (bez ryzyka)

Dane, które MOŻESZ zbierać

  • Imię
  • Numer telefonu
  • Email
  • Preferowana usługa (np. "chcę manicure")
  • Pytania, które zadają (np. "czy to boli?")

To są dane, które potrzebujesz do obsługi klienta. Legalne, jeśli:

  1. Pytasz o pozwolenie ("Mogę prowadzić notatkę z naszych rozmów?")
  2. Wytłumaczysz po co ("abym mogła Ci lepiej pomóc")
  3. Przechowujesz bezpiecznie (nie na kartce, nie w Notesie bez hasła)

Dane, które NIE powinnaś zbierać (bez specjalnej zgody)

  • Numer PESEL
  • Numer karty kredytowej (jeśli tylko czat — nie zbieraj!)
  • Dane medyczne (np. "mam gryb paznokcia")
  • Dane religijne, polityczne, orientacja seksualna

Wyjątek: Dane medyczne MOŻESZ zbierać, ale tylko jeśli klientka sama je poda. Tj. nie pytaj "czy masz grzyb?" — ale jeśli klientka napisze "mam grzyb, czy coś mi poradziłbyście?" — możesz to przechować.

⚠️Uwaga

WAŻNE: Bot nie powinien specjalnie pytać o dane medyczne. Jeśli klientka sama je ujawni (bo pyta "czy mogę robić, bo biorę leki"), to możesz je zanotować — ale nie robi się tego aktywnie.

Jak wdrożyć RODO prawidłowo

Krok 1: Polityka prywatności (wymagana)

Napiszesz (lub kupujesz gotowy tekst):

"Ochrona danych osobowych

Zbieramy: imię, numer telefonu, email, preferencje usług
Po co: aby obsługiwać Twoją rezerwację, oddzwaniać jeśli trzeba, wysyłać przypomnienia SMS

Przechowujemy: w systemie szyfrowanym, dostęp mają tylko pracownicy salonu
Ile czasu: do 2 lat od ostatniej wizyty

Twoje prawa:
- Prawo dostępu do swoich danych (zapytaj nas)
- Prawo do usunięcia (napiszesz 'usuń moje dane', usuniemy)
- Prawo do sprostowania (jeśli coś jest źle, naprawimy)

Kontakt: kontakt@botiko.pl"

Umieszczasz tę politykę na stronie (footer) — wymagane prawnie.

Krok 2: Zgoda na zbieranie danych (poproś explicite)

Bot nie powinien zbierać imienia bez pytania:

Źle:

Bot: "Manicure 120 zł. Rezerwować?"
(klientka nie wie, że bot zapisuje jej IP, godzinę, pytanie)

Dobrze:

Bot: "Manicure 120 zł. Mogę prosić o Twoje imię i numer telefonu, żeby potwierdzić rezerwację? 
Przechowujemy dane tylko na czas obsługi — prawo do usunięcia na żądanie."

To wyjaśniam jasno, co robisz z danymi.

Krok 3: Bezpieczeństwo danych (szyfrowanie)

Jak przechowywać dane:

Źle:

Google Sheets z kolumną "imiona" + "numery telefonów"
(jeśli ktoś się włamie na Twoje konto — wszystkie dane tracone)

Dobrze:

- Dane imion przechowywane w bazie z szyfrowaniem
- Numery telefonów szyfrowane (AES-256)
- Dostęp do danych mają tylko Ty i Twoi pracownicy
- Backup codziennie (na wypadek ataku/uszkodzenia)

Bot Botiko automatycznie szyfruje imiona i numery — to jest wbudowane.

Krok 4: RODO clause dla narzędzi trzecich

Jeśli używasz bota (Botiko), Booksy, itp. — prawnie musisz mieć umowę, którą "przetwarzamy dane dla Ciebie".

Każda platforma SaaS ma taką umowę (Data Processing Addendum - DPA).

Czym się martwić:

  • Czy Botiko ma DPA? Tak (na żądanie wyślemy)
  • Czy Botiko będzie sprzedawać Twoje dane? Nie
  • Gdzie przechowuje Botiko dane? Na serwerze w UE

Jak wdrażasz bota — upewnij się, że dostawca ma DPA.

Krok 5: Prawo do bycia zapomnianym

Klientka pisze: "Chcę, żeby usunęli wszystkie moje dane"

Ty musisz:

  1. Usunąć z bota (historia czatów)
  2. Usunąć z Booksy (rezerwacje)
  3. Usunąć z listy mailowej (jeśli ma)
  4. Potwierdzić: "Dane usunięte"

Czego nie musisz usuwać:

  • Faktur (przechowujesz do 5 lat dla podatku)
  • Historii rezerwacji dla statystyk (usuwasz imię, zostawiasz "był zabiegi na X kwotę")
📊Dane

Statystyka: w Polsce mniej niż 5% klientów wysyła prośbę o usunięcie danych. To jest bardzo rzadkie. Ale jeśli się zdarzy — musisz być gotowa w 30 dni.

Konkretne scenariusze

Scenariusz 1: Zbieranie danych przez bota

Klientka pisze: "Ile kosztuje botox?"

Bot: "Botox 400 zł, efekty 3 tygodnie. 
Zarezerwować? Potrzebuję Twoje imię i numer telefonu. 
[Link do polityki prywatności]"

Klientka: "OK, jestem Ania, 512345678"

Co może się stać:
✅ Bot przechowuje: imię (Ania), numer (512...), dane czatu (pytanie o botox), godzina
✅ To jest legalne — klientka wyraziła zgodę, mówiąc numer
✅ Możesz to użyć: oddzwonić ją, wysłać SMS z rezerwacją, wysłać follow-up

Scenariusz 2: Klientka pyta o dane medyczne

Klientka: "Mogę robić botox? Biorę leki na tarczycę"

Bot: "Dobre pytanie — to wymaga konsultacji. Mogę prosić o numer, żeby się oddzwoniła? 
Będziemy mieć notatkę przy Twoim imieniu."

Klientka: "512345678, jestem Marta"

Co może się stać:
✅ Bot przechowuje: "Marta, 512..., pytanie o tarczycę"
✅ To jest legalne — klientka sama ujawniła
✅ Notatka jest dostępna TYLKO dla specjalistki, która Cię obsługuje
⚠️ Nie wysyłasz tego w SMS-ie, nie piszesz maili bez szyfrowania

Scenariusz 3: Klientka chce usunąć dane

Klientka: "Chcę, żeby usunęli moje dane z Waszego systemu"

Co robisz:
1. Usuwasz historię czatów (w bocie)
2. Usuwasz rezerwacje (u Ciebie w Booksy, jeśli możliwa funkcja)
3. Usuwasz z listy mailowej (jeśli tam jest)
4. Odpowiadasz: "Wszystkie dane usunięte z naszych systemów"

⚠️ Nie usuwasz: faktury (podatek), numer rezerwacji (dla auditu)
✅ Potwierdzasz w pracy: "Marta X. usunięta z systemu" (notatka dla siebie)

Błędy, których nie chcesz popełnić

Błąd 1: Brak polityki prywatności

"RODO mnie nie dotyczy, jestem mały biznes!"

Dotyczy. Każdy biznes, który zbiera dane (imię, telefon) musi mieć politykę.

Rozwiązanie: Przygotuj dokument, wklej na stronę.

Błąd 2: Zbieranie danych bez pytania

Bot zapisuje imię, ale klientka nigdy nie powiedziała, że się zgadza.

Rozwiązanie: Zawsze pytaj — "Mogę prosić o imię?" (nie: "Jaki masz nick?")

Błąd 3: Przechowywanie w niezabezpieczonym miejscu

Robisz spreadsheet z imionami i numerami — zapisujesz na komputerze bez hasła.

Rozwiązanie: Dane zawsze w systemie z szyfrowaniem (np. w bocie Botiko, Google Workspace).

Błąd 4: Brak możliwości usunięcia

Klientka prosi o usunięcie, ty mówisz "nie mogę".

Rozwiązanie: Zawsze dokumentuj jak usunąć dane — nawet jeśli to zajmie 30 minut.

Błąd 5: Wysyłanie danych w mailu bez szyfrowania

Wysyłasz rezerwację w mailu: "Rezerwacja potwierdzona dla Anny X, 512345678"

Rozwiązanie: Wysyłaj tylko to, co konieczne ("Rezerwacja potwierdzana na jutro 14:00") — numer przeznaczony tylko do SMS-a.

Checklist RODO dla bota

  • Mam politykę prywatności na stronie
  • Polityka wyjaśnia co zbieramy, po co, jak długo
  • Bot pyta o zgodę zanim zbierze dane
  • Dane przechowywane w systemie z szyfrowaniem
  • Tylko pracownicy mają dostęp do danych
  • Wiem jak usunąć dane (jeśli klientka poprosi)
  • Mam DPA z dostawcą narzędzi (Botiko, Booksy, itp.)
  • Backupy danych robię regularnie
  • Nikt z zespołu nie zapisuje danych w SMS-ach lub notatnikach

Jeśli wszystkie punkty zaznaczone — jesteś w porządku.

📊Dane

Statystyka: Żaden małych biznes w Polsce nie został ukarany za RODO przez zbieranie imienia i numeru telefonu, jeśli miał politykę prywatności. Kary dotyczą wielkich naruszeń (np. Facebook zbierał dane bez zgody).

Nie wiesz, czy jesteś w porządku? Sprawdzę za ciebie.

Opiszemy Ci dokładnie co zrobić dla Twojego biznesu. Bezpłatna konsultacja, 15 minut.

Zarezerwuj konsultację

FAQ

P: Czy bot może zbierać dane bez mojej (właścicielki) zgody? O: Może zbierać dane dla obsługi (imię, telefon) — to Twój obowiązek zawodowy. Ale powinna być polityka prywatności.

P: Czy mogę sprzedawać dane klientek? O: Nie. To byłoby naruszenie RODO. Możesz używać do własnej obsługi i marketingu (SMS, email), ale nie do sprzedaży.

P: Co jeśli zapomniałem zapisać politykę prywatności? O: Jeśli bot zbierał dane bez niej — napraw teraz. Wklej politykę na stronę, wyślij email do starych klientek z wyjaśnieniem. Nie będzie kary, jeśli szybko naprawisz.

P: Jak długo mogę przechowywać dane? O: RODO mówi "nie dłużej niż trzeba". W praktyce: 2 lata od ostatniej wizyty (potem usunąć, chyba że klientka się zgodzi na dłużej).

P: Czy moja recepcjonistka może mieć dostęp do wszystkich danych? O: Powinna mieć dostęp tylko do danych, które potrzebuje (imiona, numery, preferencje usług). Dane medyczne powinny widzieć tylko specjalistki, które je zbierały.

Obawy o RODO? Napisz — wyjaśnimy co dokładnie trzeba robić dla Twojego biznesu.

Tagi:#RODO#prawo#ochrona danych#chatbot#klient#zgodność
Udostępnij:

Wypróbuj Botiko za darmo

14 dni testu, bez karty kredytowej.

Zacznij teraz →