STATUS: WERSJA KOMPLETNA (KIERUNKOWA) — 10.07.2026. Wszystkie postanowienia uzupełnione

decyzjami biznesowymi i brzmieniami kierunkowymi; dokument oczekuje weryfikacji prawnika

(lista pytań: brief-wdrozeniowy.md, sekcja 6). Nie jest poradą prawną.

Przed publikacją usunąć tę notatkę oraz sekcję „Notatka wewnętrzna" na końcu.

Powiązany dokument: regulamin-swiadczenia-uslug.md (ta umowa stanowi jego część, § 9).

Umowa powierzenia przetwarzania danych osobowych

zawarta pomiędzy:

Jonatan Pałka, prowadzący jednoosobową działalność gospodarczą pod marką Croeso, ul. Różana 10, 58-350 Mieroszów, NIP 8862963491, e-mail: kontakt@croeso.pl, zwany dalej „Procesorem",

a

Salonem korzystającym z usług Procesora na podstawie Regulaminu świadczenia usług, zwanym dalej „Administratorem",

łącznie zwanymi „Stronami".

§ 1. Przedmiot i cel umowy

  1. Niniejsza umowa (dalej: „Umowa Powierzenia") stanowi integralną część umowy o świadczenie

usług SaaS zawartej między Stronami (dalej: „Umowa Główna") i reguluje zasady przetwarzania danych osobowych przez Procesora w imieniu Administratora, zgodnie z art. 28 RODO. 2. Administrator powierza Procesorowi przetwarzanie danych osobowych w zakresie niezbędnym do świadczenia usług opisanych w Umowie Głównej: prowadzenia kalendarza rezerwacji, obsługi klientów Administratora przez asystenta głosowego i czat AI, wysyłki powiadomień SMS, prowadzenia kartoteki klientów oraz przechowywania transkryptów rozmów. 3. Procesor przetwarza dane osobowe wyłącznie w celu i zakresie realizacji Umowy Głównej oraz na udokumentowane polecenie Administratora, chyba że obowiązek przetwarzania nakłada na Procesora prawo Unii lub prawo polskie.

§ 2. Czas trwania powierzenia

Powierzenie obejmuje okres obowiązywania Umowy Głównej. Po jej zakończeniu stosuje się § 9.

§ 3. Charakter, cel, kategorie danych i osób

Charakter przetwarzania: zbieranie, utrwalanie, przechowywanie, organizowanie, modyfikowanie, udostępnianie (personelowi Administratora), usuwanie — w drodze zautomatyzowanej (baza danych, transkrypcja głosu, wysyłka SMS).

Cel przetwarzania: rezerwacja i zarządzanie wizytami, identyfikacja klienta dzwoniącego, komunikacja z klientem (potwierdzenia, przypomnienia), prowadzenie kartoteki klienta na potrzeby świadczenia usługi fryzjerskiej/kosmetycznej przez Administratora.

Kategorie osób, których dane dotyczą: - klienci Administratora (osoby umawiające/odbywające wizyty), - personel Administratora (fryzjerzy/pracownicy — w zakresie grafiku i przypisania do usług).

Kategorie danych: - dane identyfikacyjne i kontaktowe: imię, numer telefonu, opcjonalnie e-mail, - historia wizyt: usługi, terminy, fryzjer, status stawiennictwa (w tym no-show), - treść komunikacji: nagrania i transkrypty rozmów telefonicznych, historia czatu, - notatki wprowadzone przez Administratora (preferencje, uwagi) oraz treść nagrań i transkryptów rozmów telefonicznych/czatu.

Dane o zdrowiu — podejście: minimalizacja, nie zgoda. System nie jest przeznaczony do przetwarzania danych o zdrowiu klientów. Asystent AI nie zadaje pytań o zdrowie, alergie, uczulenia ani ciążę. Jeśli klient sam poruszy taki temat, asystent prosi o przekazanie tej informacji bezpośrednio fryzjerowi podczas wizyty i nie zapisuje żadnych szczegółów do kartoteki klienta — narzędzie capture_intake nie przyjmuje już pól dotyczących zdrowia (wyłącznie preferencje i tagi niemedyczne), a narzędzie book_appointment w kanale AI nie ma pola wolnego tekstu na uwagi. W kanale samodzielnej rezerwacji (formularz na stronie Salonu) pole uwag pozostaje, z ostrzeżeniem, by nie wpisywać w nim informacji o zdrowiu, i dodatkowym zabezpieczeniem: zapis takiej notatki wymaga zaznaczonej zgody (notes_consent), inaczej notatka jest pomijana przy zapisie wizyty.

Ryzyko szczątkowe: mimo powyższego, klient może mimo prośby wspomnieć o swoim zdrowiu w trakcie rozmowy telefonicznej — taka wzmianka trafia wtedy do nagrania/transkrypcji rozmowy (call_logs), niezależnie od tego, czy asystent cokolwiek z niej zapisał do kartoteki. Adresowane przez ograniczoną retencję: nagrania i transkrypcje są automatycznie i nieodwracalnie usuwane po upływie okresu retencji ustawionego per Administrator (domyślnie 90 dnisalons.transcript_retention_days), przez codzienne zadanie działające o 3:00 (/api/cron/purge-transcripts, zweryfikowane działające na produkcji 10.07.2026). Czy sama minimalizacja + retencja 90 dni jest wystarczającym podejściem do tego szczątkowego ryzyka (bez odrębnej zgody na wypadek incydentalnej wzmianki) — patrz notatka wewnętrzna na końcu.

§ 4. Obowiązki Procesora

Procesor zobowiązuje się:

  1. przetwarzać dane osobowe wyłącznie na udokumentowane polecenie Administratora (w tym w zakresie

przekazywania danych do państwa trzeciego), chyba że obowiązek taki nakłada prawo UE lub RP — w takim przypadku Procesor informuje Administratora o tym obowiązku przed rozpoczęciem przetwarzania, chyba że prawo zabrania udzielenia takiej informacji; 2. zapewnić, że osoby upoważnione do przetwarzania danych zobowiązały się do zachowania poufności lub podlegają ustawowemu obowiązkowi zachowania tajemnicy; 3. stosować środki techniczne i organizacyjne zapewniające bezpieczeństwo przetwarzania, odpowiednie do ryzyka (art. 32 RODO) — patrz § 7; 4. przestrzegać warunków korzystania z usług innych podmiotów przetwarzających (podprocesorów) opisanych w § 6; 5. uwzględniając charakter przetwarzania, w miarę możliwości pomagać Administratorowi w wywiązywaniu się z obowiązku odpowiadania na żądania osób, których dane dotyczą (dostęp, sprostowanie, usunięcie, ograniczenie, przenoszenie) — za pośrednictwem panelu Administratora lub na pisemny wniosek; 6. pomagać Administratorowi w wywiązywaniu się z obowiązków dot. bezpieczeństwa przetwarzania, zgłaszania naruszeń ochrony danych organowi nadzorczemu i osobom, których dane dotyczą, oraz oceny skutków dla ochrony danych, biorąc pod uwagę charakter przetwarzania oraz informacje dostępne Procesorowi; 7. po zakończeniu świadczenia usług związanych z przetwarzaniem, zależnie od decyzji Administratora, usunąć lub zwrócić wszelkie dane osobowe oraz usunąć ich istniejące kopie, chyba że prawo UE lub RP nakazuje przechowywanie danych osobowych (patrz § 9); 8. udostępniać Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 RODO oraz umożliwiać audyty, w tym inspekcje, przeprowadzane przez Administratora lub audytora upoważnionego przez Administratora — patrz § 8; 9. niezwłocznie informować Administratora, jeżeli jego zdaniem wydane polecenie stanowi naruszenie RODO lub innych przepisów o ochronie danych.

§ 5. Obowiązki Administratora

  1. Administrator zapewnia, że posiada podstawę prawną do przetwarzania powierzanych danych

(w tym zgody klientów tam, gdzie są wymagane) i że dane przekazywane Procesorowi są zbierane zgodnie z prawem. 2. Administrator odpowiada za treść informacji przekazywanych klientom (regulamin rezerwacji, klauzula informacyjna RODO) dotyczących udziału Procesora i podprocesorów w przetwarzaniu. 3. Administrator wydaje polecenia dotyczące przetwarzania w formie dokumentowej (panel, e-mail, pisemne zgłoszenie) — Procesor nie ponosi odpowiedzialności za realizację przetwarzania niezgodnie z Umową, jeśli wynikało ono z polecenia Administratora.

§ 6. Dalsze powierzenie (podprocesorzy)

  1. Administrator wyraża ogólną zgodę na korzystanie przez Procesora z następujących

podprocesorów w celu świadczenia usług objętych Umową Główną:

| Podmiot | Rola | Lokalizacja przetwarzania | Podstawa transferu | |---|---|---|---| | Supabase Inc. | baza danych, hosting danych | UE/EOG — region eu-west-2 (Londyn, Wielka Brytania) | Decyzja adekwatności KE dla Wielkiej Brytanii (2021) | | Twilio Inc. | telefonia (numer, połączenia głosowe), SMS | USA (lista subprocesorów: twilio.com/legal/sub-processors) | EU SCC wbudowane domyślnie w DPA Twilio + self-certyfikacja EU-U.S. DPF, UK Extension, Swiss-U.S. DPF | | ElevenLabs Inc. | agent głosowy i czatowy AI, przetwarzanie mowy | USA (domyślnie) — rezydencja danych w UE dostępna wyłącznie w planie Enterprise; Croeso jest obecnie na planie Starter | EU SCC wbudowane domyślnie w DPA ElevenLabs + self-certyfikacja EU-U.S. DPF (od 05.02.2026) | | Hostinger International Ltd. | hosting aplikacji webowej (VPS) | siedziba: Cypr (UE); lokalizacja serwera wg konfiguracji konta | jako podmiot z UE — bez transferu poza EOG (do potwierdzenia dokładny region serwera) |

Status EU-US Data Privacy Framework (Twilio, ElevenLabs) jest obecnie prawnie niestabilny w związku z wyrokiem Sądu Najwyższego USA z 29.06.2026 ws. niezależności FTC i wezwaniem noyb do KE z 30.06.2026 — SCC (wbudowane domyślnie w obu DPA) są traktowane jako główna, stabilniejsza podstawa transferu, DPF jako dodatkowe zabezpieczenie. Śledzić rozstrzygnięcie TSUE (sprawa Latombe) przy każdej aktualizacji tego dokumentu. 2. Procesor informuje Administratora o każdej planowanej zmianie dotyczącej dodania lub zastąpienia podprocesorów, dając Administratorowi możliwość zgłoszenia sprzeciwu w terminie 14 dni od otrzymania informacji. 3. Procesor zawiera z każdym podprocesorem umowę nakładającą te same obowiązki ochrony danych, jakie wynikają z niniejszej Umowy Powierzenia. 4. Procesor ponosi pełną odpowiedzialność wobec Administratora za wypełnienie obowiązków przez podprocesorów.

§ 7. Środki techniczne i organizacyjne

Procesor stosuje w szczególności: - szyfrowanie połączeń (TLS/SSL) między klientem a aplikacją oraz między aplikacją a bazą danych, - kontrolę dostępu opartą o role (RLS w bazie danych — każdy Administrator/salon widzi wyłącznie własne dane, izolacja na poziomie zapytań po salon_id), - ograniczoną retencję transkryptów rozmów — konfigurowalną per Administrator (domyślnie 90 dni), po której treść jest usuwana automatycznie, - kopie zapasowe bazy danych — mechanizm backupów włączony (WAL-G); Point-In-Time Recovery nie jest obecnie włączone (decyzja biznesowa o ewentualnym włączeniu — notatka wewnętrzna), - rejestrowanie dostępu administracyjnego do danych — dziennik zdarzeń obejmujący operacje wykonywane z uprawnieniami administracyjnymi poza narzędziami agenta (np. tworzenie/zawieszanie Konta Salonu, podpinanie numeru telefonu).

§ 8. Audyty i kontrola

  1. Procesor udostępnia Administratorowi, na jego pisemny wniosek, informacje niezbędne do

wykazania zgodności z niniejszą Umową. 2. Administrator może przeprowadzić audyt raz w roku kalendarzowym, po uprzednim 14-dniowym powiadomieniu, w godzinach pracy Procesora i bez zakłócania bieżącego świadczenia usług innym Administratorom.

§ 9. Zakończenie powierzenia

  1. Po zakończeniu Umowy Głównej, w terminie 30 dni, Procesor — zgodnie z decyzją

Administratora — usuwa lub zwraca wszystkie powierzone dane osobowe oraz usuwa ich istniejące kopie, chyba że przepisy prawa nakazują dalsze przechowywanie (np. przepisy podatkowe dot. dokumentów rozliczeniowych). 2. Zgłoszenie naruszenia ochrony danych: Procesor informuje Administratora o stwierdzonym naruszeniu ochrony danych osobowych bez zbędnej zwłoki, nie później niż w ciągu 24 godzin od jego wykrycia.

§ 10. Odpowiedzialność

  1. Procesor odpowiada za szkody spowodowane przetwarzaniem, jeśli nie dopełnił obowiązków,

które RODO nakłada bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem poleceniami Administratora lub wbrew tym poleceniom. 2. Odpowiedzialność Procesora wobec osób, których dane dotyczą, za naruszenie RODO (art. 82) ma charakter ustawowy i nie podlega ograniczeniu niniejszą Umową ani Regulaminem Głównym — ograniczenie odpowiedzialności z Regulaminu Głównego (§ 8.2) dotyczy wyłącznie roszczeń kontraktowych Administratora wobec Procesora, nie roszczeń osób trzecich z tytułu RODO. Brzmienie do potwierdzenia przez prawnika.

§ 11. Postanowienia końcowe

  1. W sprawach nieuregulowanych niniejszą Umową Powierzenia zastosowanie mają przepisy RODO

oraz Umowa Główna. 2. Zmiana niniejszej Umowy wymaga formy dokumentowej. 3. Prawem właściwym jest prawo polskie.


NOTATKA WEWNĘTRZNA — usunąć przed publikacją:

  1. Wersja kierunkowa z 10.07.2026 (§ 3 przepisane 10.07.2026 wieczorem: minimalizacja

zamiast konstrukcji opartej na zgodzie — kod zmieniony wcześniej tego dnia, dokument dogoniony). Do potwierdzenia przez prawnika (pełna lista: brief-wdrozeniowy.md, sekcja 6): (a) czy minimalizacja (AI nie pyta, nie zapisuje) + retencja transkryptów 90 dni to wystarczające podejście do szczątkowego ryzyka incydentalnej wzmianki o zdrowiu w nagraniu, czy potrzebna dodatkowa zgoda/klauzula; (b) § 10.2 (rozdział odpowiedzialności kontraktowej vs. ustawowej z art. 82); (c) status DPF (§ 6) — sprawa w toku, monitorować. 2. ~~PKD w CEIDG~~ — potwierdzone przez Jonatana 10.07.2026, wpis obejmuje działalność Croeso. 3. Pobrać i podłączyć do teczki firmowej realne pliki DPA Twilio i ElevenLabs (twilio.com/en-us/legal/data-protection-addendum, elevenlabs.io/dpa). 4. Hostinger w § 6: zweryfikować dokładny region serwera VPS i pobrać ich DPA. 5. PITR (§ 7): decyzja biznesowa czy włączyć płatny dodatek Supabase. Ryzyko dla tej decyzji jest teraz niższe niż pierwotnie oceniano — baza nie przechowuje już ustrukturyzowanych danych zdrowotnych klientów (capture_intake ich nie przyjmuje), tylko szczątkowe wzmianki w transkryptach, które i tak są usuwane po 90 dniach. Nadal warto zweryfikować w panelu Supabase (Database → Backups) czy backupy okresowe faktycznie się wykonują — API zwróciło pustą listę 10.07.2026. 6. notes_consent w book_appointment dotyczy dziś wyłącznie kanału self-service (formularz na stronie) — kanał AI nie ma już pola notes w ogóle, więc tam bramka jest nieużywana/nieaktualna. Sprawdzić, czy migracja i kod są zresyncowane na produkcję.