GDPR v tantrickém salonu - Jak bezpečně chránit citlivé údaje klientů

Vedení tantrického salonu se může zdát jako čistě duchovní cesta, ale za rohem čeká tvrdá realita - evropské nařízení o ochraně osobních údajů. Jak se GDPR dotýká intimních služeb a co musíte udělat, aby vaše klienty nedostal do veřejného prostoru? Tenhle článek vás provede všemi nezbytnými kroky, od právního základu po technické zabezpečení, a pomůže vám předejít nepříjemným pokutám.

Co je GDPR a proč ho potřebují i tantrické salony?

GDPR je obecné nařízení EU, které upravuje sběr, zpracování a ukládání osobních údajů. Vstoupilo v platnost 25. května 2018 a nahradilo starý zákon č. 101/2000 Sb. od té doby, co se pravidla neustále upřesňují.

Tantrické salony se řadí mezi „zdravotnické a wellness služby“, což znamená, že zpracovávají citlivé údaje - například zdravotní anamnézu, sexuální orientaci či informace o sexuálním životě klienta.Podle čl. 9 GDPR jsou tyto údaje zvláštní kategorií, podléhající nejpřísnějším podmínkám. To je hlavní rozdíl oproti běžným masážním salonům, kde stačí uchovat jméno a telefon.

Jaké údaje jsou v tantrickém salonu považovány za citlivé?

Každý terapeut se musí zeptat na několik klíčových oblastí:

• Zdravotní stav (např. chronické onemocnění, alergie)
• Sexuální dysfunkce či požadavek na specifické techniky
• Psychologické problémy (úzkost, trauma)
• Informace o předchozích sexuálních zkušenostech, pokud jsou relevantní pro terapii

Úřad pro ochranu osobních údajů (ÚOOÚ) uvádí, že právě tyto kategorie představují 43 % všech kontrol v sektoru wellness v roce 2023. Chcete-li se vyhnout sankcím, musíte mít jasný právní základ a výslovný souhlas klienta.

Právní povinnosti provozovatele tantrického salonu

Na základě Zákona č. 110/2019 Sb. (novela GDPR) jsou hlavní povinnosti:

1. Získat písemný souhlas specificky pro zpracování citlivých údajů (čl. 9 (2)(a) GDPR).
2. Uchovávat souhlas v zabezpečené podobě a evidovat, kdo a kdy souhlas udělil.
3. Uchovávat údaje maximálně 10 let po ukončení služby (účetní lhůta). Delší uchovávání musí mít další právní odůvodnění.
4. Vypracovat a zveřejnit Prohlášení o ochraně údajů - jasně a srozumitelně i pro laické čtenáře.
5. Provést riskové hodnocení a zavést technické i organizační opatření (čl. 32 GDPR).

Pokud některý z těchto bodů chybí, hrozí pokuty až 10 % ročního obratu nebo 20 mil. Kč. Pamatujete na případ „Tantra Praha“, který v roce 2022 dostal pokutu 50 000 Kč za chybějící písemný souhlas? To je dobrý varovný signál.

Krok za krokem: praktický návod na zabezpečení dat

Nejprve si připravte jednoduchý formulář, který klient podepíše osobně nebo elektronicky. Formulář by měl obsahovat:

• Identifikaci druhu údajů (zdravotní, sexuální, psychologické).
• Účel zpracování (např. individuální terapie, statistické výzkumy - pokud jsou anonymizované).
• Možnost odvolat souhlas kdykoliv (čl. 7 GDPR).

Dále zabezpečte fyzické i digitální úložiště. Většina českých salonů používá lokální šifrované databáze - např. VeraCrypt s AES‑256. Zde je stručná srovnávací tabulka.

Pokud nemáte rozpočet na profesionální řešení, můžete využít šablony poskytnuté ÚOOÚ nebo Asociací tantrických terapeutů - jsou zdarma a splňují základní požadavky.

Časté chyby, které vás mohou stát peníze

Podle průzkumu Asociace wellness podnikatelů z října 2023 se 68 % salonů dopouští alespoň jedné z následujících chyb:

• Uchovávání citlivých údajů v nešifrovaných Excelových tabulkách.
• Chybějící písemný souhlas - často nahrazený pouhým „zaškrtnutím“ v rezervačním formuláři.
• Neposkytnutí možnosti výmazu údajů na žádost klienta (čl. 17 GDPR).

Tyto chyby vedly k únikům, jako byl případ v Brně, kde byla HIV pozitivita klienta zveřejněna kvůli špatně zabezpečenému Excelu. V takových situacích ÚOOÚ může udělit pokutu až 5 % obratu.

Co dělat, když dojde k úniku dat?

První 72 hodin jsou kritické. Musíte:

1. Okamžitě informovat ÚOOÚ a podat oznámení o porušení (čl. 33 GDPR).
2. Kontaktovat dotčené klienty a nabídnout vysvětlení i nápravu - například bezplatnou konzultaci o ochraně soukromí.
3. Zavést dodatečná bezpečnostní opatření (např. přechod z Excelu na VeraCrypt).
4. Dokumentovat celý incident v interním protokolu pro budoucí audity.

Podle statistiky ÚOOÚ z roku 2023 byly v 91 % případů porušení způsobeny nedostatečně ošetřeným rezervačním systémem. Proto se vyplatí investovat do řešení, která mají certifikaci GDPR.

Budoucí vývoj - co nás čeká v příštích letech?

EU plánuje novou směrnici, která by mohla klasifikovat tantrické masáže jako zdravotnické služby. To by vyžadovalo certifikaci podle normy ČSN EN ISO 27001 a pravděpodobně i vyšší investice do IT bezpečnosti. Již dnes vidíme, že 40 % salonů má k dispozici profesionální Prohlášení o ochraně údajů díky bezplatným šablonám od Asociace tantrických terapeutů.

Nicméně zatím jen 35 % provozoven dokáže financovat přechod na plnohodnotný ISO 27001 systém, což naznačuje, že mnohé menší salóny mohou čelit uzavření, pokud nevyhledají podporu. Doporučujeme proto už nyní vytvořit „GDPR plán“ na 3 roky dopředu a zvažovat externí poradenství (průměr 1 200 Kč/hod). I jednoduché auditní checklisty pomáhají udržet soulad s novými požadavky.

Rychlý kontrolní seznam pro vlastníky tantrických salonů

• Máte písemný souhlas pro všechny citlivé údaje? (Ano/Ne)
• Ukládáte data v šifrované podobě? (Ano/Ne)
• Disponujete prohlášením o ochraně údajů ve srozumitelném jazyce? (Ano/Ne)
• Provádíte čtvrtletní audit bezpečnosti? (Ano/Ne)
• Máte proceduru pro hlášení úniku dat do 72 hodin? (Ano/Ne)

Odpovědi vám rychle ukážou, kde jsou mezery a co je nejdříve potřebné doplnit.