GDPR-kompatibilis foglalási rendszer: mit kell tudnod 2026-ban?

A magyar szolgáltató vállalkozások (szalonok, kozmetikák, masszázs központok, orvosi rendelők) érzékeny vendég adatokkal dolgoznak. Allergia, bőrtípus, kontraindikáció, fotó dokumentáció, egészségügyi információk. Ezek a GDPR szerint 'különleges adatok' kategóriába esnek, amelyek szigorúbb védelmet igényelnek.

A NAIH (Nemzeti Adatvédelmi és Információszabadság Hatóság) Magyarországon a GDPR magyar végrehajtóhatósága. Bírság: 100 ezer Ft-tól 20 millió euróig (vagy az éves árbevétel 4%-áig), súlyos esetben.

A foglalási rendszer az adatkezelési folyamat középpontjában áll. Ha nem GDPR-megfelelő, a vállalkozás közvetlen kockázatot vállal.

A foglalási rendszernek a következőket kell támogatnia:

• Adatkezelési napló (audit log): minden hozzáférés és módosítás naplózva
• Ügyfél export: a vendég kérésére teljes adat-export PDF vagy JSON formátumban
• Felejtéshez való jog: a vendég kérésére minden adat törölhető (anonimizálással kombinálva)
• Adatkezelési tájékoztató: foglaláskor a vendég látja és elfogadja
• Hozzájárulás kezelése: külön hozzájárulás marketing email-hez, fotózáshoz, harmadik fél integrációhoz
• Titkosított tárolás: az adatok nyugalmi állapotban (encryption at rest) és átvitelben (TLS 1.3)
• Kétfaktoros hitelesítés: a tulajdonos és dolgozó belépéséhez
• Hozzáférési jogosultságok: dolgozónként eltérő hozzáférés (pl. dolgozó nem lát másik dolgozó vendégeit)

A NAIH a magyar GDPR végrehajtás során néhány specifikus szempontra kiemelten figyel:

Adatvédelmi tisztviselő (DPO): kötelező 250+ fős vállalkozásnál, vagy ha érzékeny adatokat kezel rendszeresen. Sok kozmetikus és masszázs központ ebbe a körbe esik.

Adatvédelmi hatásvizsgálat (DPIA): új technológiák bevezetésekor (pl. AI receptionist, biometrikus belépés) szükséges lehet.

Nemzetközi adattovábbítás: ha a foglalási rendszer szervere EU-n kívül van (pl. USA), az SCC vagy más jogi alap szükséges. A Bookinda EU szervereken működik, így ez nem jelent problémát.

Bírság példa 1: egy 50 fős kozmetikai szalon vendégfotókat WhatsApp-on tárolt, és kérésre sem tudta törölni az adatokat. NAIH bírság: 2,5 millió forint.

Bírság példa 2: egy magyar fitnesz lánc a vendégek biometrikus adatait kifejezett hozzájárulás nélkül tárolta. NAIH bírság: 8,7 millió forint.

Bírság példa 3: egy szalonnál a foglalási rendszer átviteli kapcsolata nem volt titkosítva, és adatszivárgás történt. NAIH bírság: 1,2 millió forint.

Ezeknek mindegyikét egy GDPR-megfelelő foglalási rendszer megelőzheti. A Bookinda 80+ funkciómodulja között ezek alapból kezelve vannak.

A Bookinda kifejezetten a magyar GDPR és NAIH követelményekhez igazodik. Adatkezelési napló (audit log) minden vállalkozásnál, ügyfélexport egyetlen kattintással, automatikusan kezelt törlési jog, kétfaktoros hitelesítés, valamint dolgozó szintű jogosultságkezelés.

A szerverek EU-n belül (Németország) találhatók, így nemzetközi adattovábbítási bonyodalmak nincsenek. Az adatok nyugalmi állapotban AES-256 titkosítással tárolva, átvitelben TLS 1.3 használva.

Részletes adatvédelmi tájékoztató sablon és adatkezelési tájékoztató elérhető, amelyet a vendégnek foglaláskor mutatunk és elfogadtatunk. Magyar nyelvű, NAIH-kompatibilis szöveggel.

Ha most válogatsz a rendszerek között, ezeket nézd át:

• Van-e adatkezelési napló (audit log)?
• Egyetlen kattintásra ügyfél export elérhető-e?
• Felejtéshez való jog automatizált-e?
• Adatok EU-n belül szervereken vannak-e?
• Titkosítás nyugalmi állapotban (AES-256) és átvitelben (TLS 1.3)?
• Kétfaktoros hitelesítés a tulajdonosnak és dolgozónak?
• Dolgozó-szintű jogosultsági kontroll?
• Hozzájárulás kezelése külön marketing, fotó, integráció szinten?
• NAIH-kompatibilis adatkezelési tájékoztató sablon elérhető?