Polityka Prywatności

1. Rola w systemie (Administrator vs. Podmiot Przetwarzający)

Dla zapewnienia pełnej przejrzystości, działanie platformy opiera się na rozdziale ról:

• Dla danych Najemców (właścicieli salonów, gabinetów): Właściciel platformy podpiszto.pl ([TWOJA NAZWA FIRMY / DANE REJESTROWE]) jest Administratorem Danych Osobowych. Decyduje o celach i środkach ich przetwarzania (np. w celu założenia konta, rozliczeń subskrypcyjnych).
• Dla danych Klientów Końcowych (klientów/pacjentów salonów): Właściciel platformy podpiszto.pl działa wyłącznie jako Podmiot Przetwarzający (Procesor). Dane te są wprowadzane do systemu przez Najemców. Przetwarzamy je wyłącznie na podstawie zawartej Umowy Powierzenia Przetwarzania Danych (DPA) i zgodnie z poleceniami Administratora (czyli konkretnego salonu).

2. Jakie dane przetwarzamy?

Dane Najemców (użytkownicy panelu):

• Dane rejestrowe i kontaktowe: Imię, nazwisko, adres e-mail, numer NIP, adres działalności.
• Dane systemowe: Zabezpieczone kryptograficznie poświadczenia logowania, historia aktywności w systemie, identyfikatory płatności subskrypcyjnych.

Dane Klientów Końcowych (powierzone do przetwarzania):

• Dane identyfikacyjne i kontaktowe: Imię, nazwisko, PESEL, numer dokumentu tożsamości, data urodzenia, numer telefonu, e-mail, adres.
• Dane szczególnej kategorii (art. 9 RODO): Informacje o stanie zdrowia zbierane podczas wywiadów pozabiegowych (np. przeciwwskazania, ciąża, alergie, przyjmowane leki).
• Dane wizerunkowe i biometryczne: Zdjęcia zrealizowane w ramach usługi (przed/po) oraz wektorowy, cyfrowy zapis odręcznego podpisu.

3. Cele i podstawy prawne przetwarzania

Jako Administrator Danych (dla Najemców) przetwarzamy dane w celach:

• Świadczenia usługi SaaS: Zapewnienie dostępu do aplikacji i jej funkcji (art. 6 ust. 1 lit. b RODO – wykonanie umowy).
• Obsługi płatności i księgowości: Realizacja subskrypcji oraz wystawianie faktur (art. 6 ust. 1 lit. c RODO – obowiązek prawny).
• Zapewnienia bezpieczeństwa: Monitorowanie poprawności działania platformy, zapobieganie nadużyciom oraz wsparcie techniczne (art. 6 ust. 1 lit. f RODO – prawnie uzasadniony interes).

W przypadku Danych Klientów Końcowych, cel i podstawę prawną (zazwyczaj zgodę na przetwarzanie danych zdrowotnych) ustala bezpośrednio Najemca (salon).

4. Odbiorcy danych (Subprocesorzy)

Aby zapewnić najwyższą jakość i stabilność platformy, korzystamy z usług sprawdzonych partnerów technologicznych, z którymi zawarliśmy stosowne umowy powierzenia:

• Render.com: Dostawca bezpiecznej infrastruktury serwerowej i bazodanowej.
• Amazon Web Services (AWS): Dostawca infrastruktury chmurowej, służącej do bezpiecznego przechowywania zaszyfrowanych plików i dokumentów.
• Stripe: Zewnętrzny operator płatności. Przetwarza dane transakcyjne Najemców w celu realizacji płatności za subskrypcję.
• Google: Dostawca usług sztucznej inteligencji wspierający funkcję cyfryzacji szablonów dokumentów. Zgodnie z warunkami usług płatnych, dane wprowadzane do tego modułu nie są wykorzystywane do trenowania globalnych modeli AI dostawcy.
• Fakturownia: System wspierający procesy księgowe i fakturowanie Najemców.

5. Transfer danych poza EOG

Część z naszych zaufanych partnerów (np. AWS, Stripe) posiada siedziby lub infrastrukturę w Stanach Zjednoczonych. Przekazywanie danych poza Europejski Obszar Gospodarczy odbywa się wyłącznie w oparciu o zatwierdzone przez Komisję Europejską mechanizmy prawne, w tym w szczególności o decyzję stwierdzającą odpowiedni stopień ochrony w ramach Data Privacy Framework (DPF) lub standardowe klauzule umowne.

6. Czas przechowywania danych (Retencja)

• Dane Najemców: Przechowujemy przez czas trwania umowy o świadczenie usług, a po jej zakończeniu przez okres niezbędny do obrony przed roszczeniami oraz wynikający z przepisów podatkowych (zazwyczaj 5 lat).
• Dane Klientów Końcowych: Przechowujemy w imieniu Najemcy przez okres korzystania przez niego z systemu. Narzędzia platformy umożliwiają Najemcy realizację praw klientów (np. trwałe usunięcie zdjęć wizerunku) oraz zachowanie dokumentacji przez okresy wymagane prawem (np. dla branży medycznej). Po wygaśnięciu umowy abonamentowej i upływie okresów karencji, dane powierzone są trwale i bezpowrotnie usuwane z naszych serwerów.

7. Bezpieczeństwo i środki ochrony

Wdrożyliśmy adekwatne środki techniczne i organizacyjne w celu ochrony przetwarzanych danych:

• Szyfrowanie i ochrona w spoczynku: Dane uwierzytelniające oraz najbardziej wrażliwe informacje osobiste są poddawane silnym, rynkowym algorytmom szyfrującym na poziomie bazy danych.
• Logiczna separacja danych: Architektura systemu gwarantuje ścisłą separację wprowadzanych informacji, uniemożliwiając nieuprawniony dostęp do danych pomiędzy różnymi Najemcami (salonami) korzystającymi z platformy.
• Integralność dokumentacji: System stosuje mechanizmy kryptograficzne gwarantujące nienaruszalność wygenerowanych protokołów pozabiegowych, co zabezpiecza interesy zarówno salonu, jak i jego klientów.
• Zaawansowana autoryzacja: Obsługa dwuskładnikowego uwierzytelniania (2FA) oraz ograniczenia na poziomie sesji systemowych dla operatorów.

8. Prawa osób, których dane dotyczą

Zgodnie z RODO, osobom, których dane dotyczą, przysługuje prawo do:

• Dostępu do swoich danych oraz otrzymania ich kopii.
• Sprostowania (poprawiania) danych.
• Usunięcia danych (prawo do bycia zapomnianym), o ile nie występują nadrzędne wymogi prawne.
• Ograniczenia przetwarzania.
• Wniesienia skargi do organu nadzorczego (Prezesa Urzędu Ochrony Danych Osobowych).

9. Kontakt

We wszelkich sprawach związanych z ochroną prywatności w aplikacji podpiszto.pl można się z nami kontaktować pod adresem e-mail: [TWÓJ E-MAIL KONTAKTOWY] lub pocztą tradycyjną na adres siedziby firmy.