GDPR és törzsvásárlói adatok kisvállalkozásoknak

Törzsvendég csapat · 2026. július 5.

A GDPR szó hallatán a legtöbb kisvállalkozó legyint vagy megijed — pedig a törzsvásárlói program adatvédelme néhány világos szabályra épül, és jól csinálva nem teher, hanem bizalomépítő eszköz. Nézzük, mit kell tudnod, ha hűségprogramot vezetsz be.

Ki az adatkezelő, és ki az adatfeldolgozó?

A vendégeid adatainak adatkezelője te vagy — a te üzleted, a te hűségprogramod. A szoftverszolgáltató (mint mi) adatfeldolgozó: a te megbízásodból, a te utasításaid szerint tárolja és mozgatja az adatokat. Ehhez a viszonyhoz adatfeldolgozói szerződés (DPA) kell kettőtök között — ezt nálunk kész sablonként kapod meg, ügyvédi ellenőrzésre előkészítve.

A kevesebb adat több

A GDPR egyik alapelve az adattakarékosság — és ez a hűségprogramnak kifejezetten jót tesz. Egy pecsétgyűjtő kártyához valójában egyetlen kötelező adat kell: a vendég neve. Minden más opcionális: a születésnap a szülinapi ajándékhoz (elég a hónap és a nap, évszám nélkül!), az e-mail vagy telefonszám csak akkor, ha tényleg használni fogod. Minél kevesebb adatot kérsz, annál gyorsabb a regisztráció és annál kisebb a felelősséged.

A hozzájárulás: mikor, mire, hogyan?

A hűségprogram jogalapja tipikusan a vendég hozzájárulása, amelyet a regisztrációkor ad meg — egy jelölőnégyzettel, amely az adatkezelési tájékoztatóra mutat. Két dolog számít: a tájékoztató legyen ténylegesen elérhető és közérthető (kinek az adata, mire, meddig), és a hozzájárulás ténye legyen rögzítve. A mi rendszerünk a hozzájárulás időpontját és a tájékoztató akkori verzióját is eltárolja — ellenőrzésnél ez a különbség a „mondom, hogy elfogadta” és a „bizonyítom, hogy elfogadta” között.

A vendég jogai: törlés és hozzáférés

A GDPR két legtöbbet emlegetett joga a hozzáférés és a törlés. Papíralapon mindkettő kínszenvedés; digitálisan mindkettő egy gomb. A vendég a saját kártyája alján megnézheti, milyen adatot tárolsz róla („Adataim”), és maga kezdeményezheti a törlést is — a rendszer harminc napon belül véglegesen eltávolítja az adatokat, a kártyáit érvényteleníti. Neked ezzel egyetlen teendőd sincs, és a NAIH-panasz esélye is drasztikusan csökken, ha a vendég maga tudja intézni.

Az adatok megőrzésére is legyen szabályod: az inaktív vendégek adatait érdemes idővel anonimizálni. Nálunk ez automatikus — aki két éve nem járt nálad, annak az adatai maguktól anonimizálódnak.

Sütik és követés: amire nincs is szükség

Meglepő, de igaz: egy jól megcsinált hűségprogramnak nincs szüksége marketing sütikre, sem harmadik feles követőkódokra. A kártya működéséhez csak technikailag szükséges munkamenet kell, a statisztikák pedig süti nélkül is mérhetők. Ez nemcsak jogilag tisztább — a vendégeknek is elmondhatod: „nálunk nincs kukkolás, csak pecsétek”.

Az adatvédelem mint eladási érv

És itt jön a csavar: mindez nem védekezés, hanem érv. A vendég, aki látja, hogy a kártyáján ott az „Adataim törlése” gomb, hogy csak a nevét kérted el, és hogy a tájékoztató két perc alatt elolvasható — az bízni fog benned. A szépségszalonokban és egészség-közeli szolgáltatásoknál ez különösen erős: a diszkréció a szakma része.

Ellenőrzőlista bevezetéshez

A minimum, amivel nyugodtan alszol: adatkezelési tájékoztató a program feltételeivel (kész sablont kapsz), hozzájárulás-rögzítés a regisztrációnál, adatfeldolgozói szerződés a szolgáltatóval, önkiszolgáló törlési lehetőség a vendégnek, és megőrzési szabály az inaktív adatokra. Ha ez az öt pont megvan — és a rendszerünkben alapból megvan —, a GDPR nem akadály, hanem egy jól megválaszolt vendégkérdés.