STATUS: WERSJA KOMPLETNA (KIERUNKOWA) — 10.07.2026. Wszystkie postanowienia uzupełnione
decyzjami biznesowymi i brzmieniami kierunkowymi; dokument oczekuje weryfikacji prawnika
(lista pytań:
brief-wdrozeniowy.md, sekcja 6). Nie jest poradą prawną.Przed publikacją usunąć tę notatkę oraz sekcję „Notatka wewnętrzna" na końcu.
Powiązany dokument:
regulamin-swiadczenia-uslug.md(ta umowa stanowi jego część, § 9).
zawarta pomiędzy:
Jonatan Pałka, prowadzący jednoosobową działalność gospodarczą pod marką Croeso, ul. Różana 10, 58-350 Mieroszów, NIP 8862963491, e-mail: kontakt@croeso.pl, zwany dalej „Procesorem",
a
Salonem korzystającym z usług Procesora na podstawie Regulaminu świadczenia usług, zwanym dalej „Administratorem",
łącznie zwanymi „Stronami".
usług SaaS zawartej między Stronami (dalej: „Umowa Główna") i reguluje zasady przetwarzania danych osobowych przez Procesora w imieniu Administratora, zgodnie z art. 28 RODO. 2. Administrator powierza Procesorowi przetwarzanie danych osobowych w zakresie niezbędnym do świadczenia usług opisanych w Umowie Głównej: prowadzenia kalendarza rezerwacji, obsługi klientów Administratora przez asystenta głosowego i czat AI, wysyłki powiadomień SMS, prowadzenia kartoteki klientów oraz przechowywania transkryptów rozmów. 3. Procesor przetwarza dane osobowe wyłącznie w celu i zakresie realizacji Umowy Głównej oraz na udokumentowane polecenie Administratora, chyba że obowiązek przetwarzania nakłada na Procesora prawo Unii lub prawo polskie.
Powierzenie obejmuje okres obowiązywania Umowy Głównej. Po jej zakończeniu stosuje się § 9.
Charakter przetwarzania: zbieranie, utrwalanie, przechowywanie, organizowanie, modyfikowanie, udostępnianie (personelowi Administratora), usuwanie — w drodze zautomatyzowanej (baza danych, transkrypcja głosu, wysyłka SMS).
Cel przetwarzania: rezerwacja i zarządzanie wizytami, identyfikacja klienta dzwoniącego, komunikacja z klientem (potwierdzenia, przypomnienia), prowadzenie kartoteki klienta na potrzeby świadczenia usługi fryzjerskiej/kosmetycznej przez Administratora.
Kategorie osób, których dane dotyczą: - klienci Administratora (osoby umawiające/odbywające wizyty), - personel Administratora (fryzjerzy/pracownicy — w zakresie grafiku i przypisania do usług).
Kategorie danych: - dane identyfikacyjne i kontaktowe: imię, numer telefonu, opcjonalnie e-mail, - historia wizyt: usługi, terminy, fryzjer, status stawiennictwa (w tym no-show), - treść komunikacji: nagrania i transkrypty rozmów telefonicznych, historia czatu, - notatki wprowadzone przez Administratora (preferencje, uwagi) oraz treść nagrań i transkryptów rozmów telefonicznych/czatu.
Dane o zdrowiu — podejście: minimalizacja, nie zgoda. System nie jest przeznaczony do przetwarzania danych o zdrowiu klientów. Asystent AI nie zadaje pytań o zdrowie, alergie, uczulenia ani ciążę. Jeśli klient sam poruszy taki temat, asystent prosi o przekazanie tej informacji bezpośrednio fryzjerowi podczas wizyty i nie zapisuje żadnych szczegółów do kartoteki klienta — narzędzie capture_intake nie przyjmuje już pól dotyczących zdrowia (wyłącznie preferencje i tagi niemedyczne), a narzędzie book_appointment w kanale AI nie ma pola wolnego tekstu na uwagi. W kanale samodzielnej rezerwacji (formularz na stronie Salonu) pole uwag pozostaje, z ostrzeżeniem, by nie wpisywać w nim informacji o zdrowiu, i dodatkowym zabezpieczeniem: zapis takiej notatki wymaga zaznaczonej zgody (notes_consent), inaczej notatka jest pomijana przy zapisie wizyty.
Ryzyko szczątkowe: mimo powyższego, klient może mimo prośby wspomnieć o swoim zdrowiu w trakcie rozmowy telefonicznej — taka wzmianka trafia wtedy do nagrania/transkrypcji rozmowy (call_logs), niezależnie od tego, czy asystent cokolwiek z niej zapisał do kartoteki. Adresowane przez ograniczoną retencję: nagrania i transkrypcje są automatycznie i nieodwracalnie usuwane po upływie okresu retencji ustawionego per Administrator (domyślnie 90 dni — salons.transcript_retention_days), przez codzienne zadanie działające o 3:00 (/api/cron/purge-transcripts, zweryfikowane działające na produkcji 10.07.2026). Czy sama minimalizacja + retencja 90 dni jest wystarczającym podejściem do tego szczątkowego ryzyka (bez odrębnej zgody na wypadek incydentalnej wzmianki) — patrz notatka wewnętrzna na końcu.
Procesor zobowiązuje się:
przekazywania danych do państwa trzeciego), chyba że obowiązek taki nakłada prawo UE lub RP — w takim przypadku Procesor informuje Administratora o tym obowiązku przed rozpoczęciem przetwarzania, chyba że prawo zabrania udzielenia takiej informacji; 2. zapewnić, że osoby upoważnione do przetwarzania danych zobowiązały się do zachowania poufności lub podlegają ustawowemu obowiązkowi zachowania tajemnicy; 3. stosować środki techniczne i organizacyjne zapewniające bezpieczeństwo przetwarzania, odpowiednie do ryzyka (art. 32 RODO) — patrz § 7; 4. przestrzegać warunków korzystania z usług innych podmiotów przetwarzających (podprocesorów) opisanych w § 6; 5. uwzględniając charakter przetwarzania, w miarę możliwości pomagać Administratorowi w wywiązywaniu się z obowiązku odpowiadania na żądania osób, których dane dotyczą (dostęp, sprostowanie, usunięcie, ograniczenie, przenoszenie) — za pośrednictwem panelu Administratora lub na pisemny wniosek; 6. pomagać Administratorowi w wywiązywaniu się z obowiązków dot. bezpieczeństwa przetwarzania, zgłaszania naruszeń ochrony danych organowi nadzorczemu i osobom, których dane dotyczą, oraz oceny skutków dla ochrony danych, biorąc pod uwagę charakter przetwarzania oraz informacje dostępne Procesorowi; 7. po zakończeniu świadczenia usług związanych z przetwarzaniem, zależnie od decyzji Administratora, usunąć lub zwrócić wszelkie dane osobowe oraz usunąć ich istniejące kopie, chyba że prawo UE lub RP nakazuje przechowywanie danych osobowych (patrz § 9); 8. udostępniać Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 RODO oraz umożliwiać audyty, w tym inspekcje, przeprowadzane przez Administratora lub audytora upoważnionego przez Administratora — patrz § 8; 9. niezwłocznie informować Administratora, jeżeli jego zdaniem wydane polecenie stanowi naruszenie RODO lub innych przepisów o ochronie danych.
(w tym zgody klientów tam, gdzie są wymagane) i że dane przekazywane Procesorowi są zbierane zgodnie z prawem. 2. Administrator odpowiada za treść informacji przekazywanych klientom (regulamin rezerwacji, klauzula informacyjna RODO) dotyczących udziału Procesora i podprocesorów w przetwarzaniu. 3. Administrator wydaje polecenia dotyczące przetwarzania w formie dokumentowej (panel, e-mail, pisemne zgłoszenie) — Procesor nie ponosi odpowiedzialności za realizację przetwarzania niezgodnie z Umową, jeśli wynikało ono z polecenia Administratora.
podprocesorów w celu świadczenia usług objętych Umową Główną:
| Podmiot | Rola | Lokalizacja przetwarzania | Podstawa transferu | |---|---|---|---| | Supabase Inc. | baza danych, hosting danych | UE/EOG — region eu-west-2 (Londyn, Wielka Brytania) | Decyzja adekwatności KE dla Wielkiej Brytanii (2021) | | Twilio Inc. | telefonia (numer, połączenia głosowe), SMS | USA (lista subprocesorów: twilio.com/legal/sub-processors) | EU SCC wbudowane domyślnie w DPA Twilio + self-certyfikacja EU-U.S. DPF, UK Extension, Swiss-U.S. DPF | | ElevenLabs Inc. | agent głosowy i czatowy AI, przetwarzanie mowy | USA (domyślnie) — rezydencja danych w UE dostępna wyłącznie w planie Enterprise; Croeso jest obecnie na planie Starter | EU SCC wbudowane domyślnie w DPA ElevenLabs + self-certyfikacja EU-U.S. DPF (od 05.02.2026) | | Hostinger International Ltd. | hosting aplikacji webowej (VPS) | siedziba: Cypr (UE); lokalizacja serwera wg konfiguracji konta | jako podmiot z UE — bez transferu poza EOG (do potwierdzenia dokładny region serwera) |
Status EU-US Data Privacy Framework (Twilio, ElevenLabs) jest obecnie prawnie niestabilny w związku z wyrokiem Sądu Najwyższego USA z 29.06.2026 ws. niezależności FTC i wezwaniem noyb do KE z 30.06.2026 — SCC (wbudowane domyślnie w obu DPA) są traktowane jako główna, stabilniejsza podstawa transferu, DPF jako dodatkowe zabezpieczenie. Śledzić rozstrzygnięcie TSUE (sprawa Latombe) przy każdej aktualizacji tego dokumentu. 2. Procesor informuje Administratora o każdej planowanej zmianie dotyczącej dodania lub zastąpienia podprocesorów, dając Administratorowi możliwość zgłoszenia sprzeciwu w terminie 14 dni od otrzymania informacji. 3. Procesor zawiera z każdym podprocesorem umowę nakładającą te same obowiązki ochrony danych, jakie wynikają z niniejszej Umowy Powierzenia. 4. Procesor ponosi pełną odpowiedzialność wobec Administratora za wypełnienie obowiązków przez podprocesorów.
Procesor stosuje w szczególności: - szyfrowanie połączeń (TLS/SSL) między klientem a aplikacją oraz między aplikacją a bazą danych, - kontrolę dostępu opartą o role (RLS w bazie danych — każdy Administrator/salon widzi wyłącznie własne dane, izolacja na poziomie zapytań po salon_id), - ograniczoną retencję transkryptów rozmów — konfigurowalną per Administrator (domyślnie 90 dni), po której treść jest usuwana automatycznie, - kopie zapasowe bazy danych — mechanizm backupów włączony (WAL-G); Point-In-Time Recovery nie jest obecnie włączone (decyzja biznesowa o ewentualnym włączeniu — notatka wewnętrzna), - rejestrowanie dostępu administracyjnego do danych — dziennik zdarzeń obejmujący operacje wykonywane z uprawnieniami administracyjnymi poza narzędziami agenta (np. tworzenie/zawieszanie Konta Salonu, podpinanie numeru telefonu).
wykazania zgodności z niniejszą Umową. 2. Administrator może przeprowadzić audyt raz w roku kalendarzowym, po uprzednim 14-dniowym powiadomieniu, w godzinach pracy Procesora i bez zakłócania bieżącego świadczenia usług innym Administratorom.
Administratora — usuwa lub zwraca wszystkie powierzone dane osobowe oraz usuwa ich istniejące kopie, chyba że przepisy prawa nakazują dalsze przechowywanie (np. przepisy podatkowe dot. dokumentów rozliczeniowych). 2. Zgłoszenie naruszenia ochrony danych: Procesor informuje Administratora o stwierdzonym naruszeniu ochrony danych osobowych bez zbędnej zwłoki, nie później niż w ciągu 24 godzin od jego wykrycia.
które RODO nakłada bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem poleceniami Administratora lub wbrew tym poleceniom. 2. Odpowiedzialność Procesora wobec osób, których dane dotyczą, za naruszenie RODO (art. 82) ma charakter ustawowy i nie podlega ograniczeniu niniejszą Umową ani Regulaminem Głównym — ograniczenie odpowiedzialności z Regulaminu Głównego (§ 8.2) dotyczy wyłącznie roszczeń kontraktowych Administratora wobec Procesora, nie roszczeń osób trzecich z tytułu RODO. Brzmienie do potwierdzenia przez prawnika.
oraz Umowa Główna. 2. Zmiana niniejszej Umowy wymaga formy dokumentowej. 3. Prawem właściwym jest prawo polskie.
NOTATKA WEWNĘTRZNA — usunąć przed publikacją:
zamiast konstrukcji opartej na zgodzie — kod zmieniony wcześniej tego dnia, dokument dogoniony). Do potwierdzenia przez prawnika (pełna lista: brief-wdrozeniowy.md, sekcja 6): (a) czy minimalizacja (AI nie pyta, nie zapisuje) + retencja transkryptów 90 dni to wystarczające podejście do szczątkowego ryzyka incydentalnej wzmianki o zdrowiu w nagraniu, czy potrzebna dodatkowa zgoda/klauzula; (b) § 10.2 (rozdział odpowiedzialności kontraktowej vs. ustawowej z art. 82); (c) status DPF (§ 6) — sprawa w toku, monitorować. 2. ~~PKD w CEIDG~~ — potwierdzone przez Jonatana 10.07.2026, wpis obejmuje działalność Croeso. 3. Pobrać i podłączyć do teczki firmowej realne pliki DPA Twilio i ElevenLabs (twilio.com/en-us/legal/data-protection-addendum, elevenlabs.io/dpa). 4. Hostinger w § 6: zweryfikować dokładny region serwera VPS i pobrać ich DPA. 5. PITR (§ 7): decyzja biznesowa czy włączyć płatny dodatek Supabase. Ryzyko dla tej decyzji jest teraz niższe niż pierwotnie oceniano — baza nie przechowuje już ustrukturyzowanych danych zdrowotnych klientów (capture_intake ich nie przyjmuje), tylko szczątkowe wzmianki w transkryptach, które i tak są usuwane po 90 dniach. Nadal warto zweryfikować w panelu Supabase (Database → Backups) czy backupy okresowe faktycznie się wykonują — API zwróciło pustą listę 10.07.2026. 6. notes_consent w book_appointment dotyczy dziś wyłącznie kanału self-service (formularz na stronie) — kanał AI nie ma już pola notes w ogóle, więc tam bramka jest nieużywana/nieaktualna. Sprawdzić, czy migracja i kod są zresyncowane na produkcję.