Załącznik nr 1 do Regulaminu

Umowa powierzenia przetwarzania danych (DPA)

Wersja 2.1•Obowiązuje od 10 maja 2026

W skrócie

Ta umowa reguluje, na jakich zasadach Estelio przetwarza dane klientek i pracowników salonu, które salon wprowadza do systemu. Salon pozostaje administratorem tych danych — Estelio działa wyłącznie na polecenie salonu, jako podmiot przetwarzający w rozumieniu art. 28 RODO. Akceptacja Regulaminu Estelio oznacza zawarcie tej umowy.

1. Strony umowy i jej charakter

1.1.

Niniejsza umowa powierzenia przetwarzania danych osobowych — zwana dalej DPA — zostaje zawarta pomiędzy:

Klientem korzystającym z systemu Estelio — występującym w roli administratora danych,
Fotolinea Mariusz Wacławiak (Estelio) — występującym w roli podmiotu przetwarzającego.

1.2.

DPA zostaje zawarta w związku z korzystaniem przez Klienta z systemu Estelio.

1.3.

Ważne:

Akceptacja Regulaminu Estelio oznacza zawarcie niniejszej DPA, jeżeli Klient wprowadza do systemu dane osobowe osób trzecich (klientek, pracowników, kontrahentów).

2. Czego dotyczy powierzenie

2.1.

Klient powierza Estelio przetwarzanie danych osobowych w zakresie niezbędnym do świadczenia usługi dostępu do systemu.

2.2.

Przetwarzanie odbywa się w celu:

umożliwienia Klientowi korzystania z systemu,
przechowywania danych,
obsługi funkcji systemu,
wykonywania kopii zapasowych,
zapewnienia bezpieczeństwa,
udzielania wsparcia technicznego,
utrzymania i rozwoju systemu.

3. Jak długo trwa powierzenie

3.1.

Przetwarzanie danych trwa przez cały okres obowiązywania umowy o korzystanie z Estelio.

3.2.

Po zakończeniu umowy dane mogą być przetwarzane jeszcze przez okres niezbędny do:

umożliwienia Klientowi eksportu danych,
usunięcia danych zgodnie z procedurami,
rozliczenia usług,
obsługi zgłoszeń,
zapewnienia bezpieczeństwa,
przechowywania w kopiach zapasowych (max 90 dni od ostatniej kopii),
ewentualnej obrony przed roszczeniami.

4. Charakter i sposób przetwarzania

4.1.

Przetwarzanie ma charakter zautomatyzowany i elektroniczny — odbywa się w infrastrukturze IT Estelio.

4.2.

W ramach przetwarzania dane mogą być:

przechowywane,
utrwalane,
porządkowane,
przeglądane,
pobierane i eksportowane,
modyfikowane,
usuwane lub anonimizowane,
zabezpieczane.

Wszystko to wyłącznie w zakresie niezbędnym do działania systemu.

4.3.

Estelio nie przetwarza danych powierzonych w celach własnych, z wyjątkiem:

działań technicznych niezbędnych dla bezpieczeństwa,
rozliczalności wymaganej przez RODO,
obsługi zgłoszeń od Klienta,
utrzymania i rozwoju systemu,
innych działań w zakresie dozwolonym przez przepisy prawa.

5. Czyje dane są przetwarzane

Powierzone dane mogą dotyczyć w szczególności:

klientek i klientów salonu (aktualnych i potencjalnych),
pracowników salonu,
współpracowników salonu (np. kontraktorów),
managerów,
recepcji,
kosmetologów,
osób kontaktowych po stronie Klienta,
dostawców lub kontrahentów, jeżeli Klient wprowadzi ich dane do systemu.

6. Jakie dane są przetwarzane

Powierzone dane mogą obejmować:

Dane podstawowe

imię i nazwisko,
numer telefonu,
adres e-mail,
adres pocztowy,
data urodzenia.

Dane operacyjne salonu

historia wizyt, zakupów, zabiegów i sprzedaży,
informacje o zadatkach, portfelach klientów i płatnościach,
notatki w profilu klienta,
preferencje i ulubione zabiegi,
dokumentacja, zgody i regulaminy,
pliki PDF i inne załączniki,
dane konsultacji,
przeciwwskazania i zalecenia.

Dane pracownicze

rola i uprawnienia,
zadania i komentarze,
aktywność w systemie,
wyniki, cele, premie.

Dane techniczne

logi i rejestr zdarzeń,
inne dane wprowadzone przez Klienta lub jego Użytkowników.

7. Dane szczególnych kategorii

7.1.

Estelio nie wymaga wprowadzania danych szczególnych kategorii w rozumieniu art. 9 RODO.

7.2.

Klient przyjmuje do wiadomości, że w praktyce salon beauty może wpisać do systemu informacje dotyczące zdrowia, przeciwwskazań, stanu skóry, zabiegów, konsultacji lub dokumentacji.

7.3.

Ważne:

Klient odpowiada za samodzielną ocenę, czy wprowadzane dane są danymi szczególnych kategorii oraz za posiadanie właściwej podstawy prawnej ich przetwarzania (np. wyraźnej zgody klientki zgodnie z art. 9 ust. 2 lit. a RODO).

7.4.

Jeżeli Klient nie posiada podstawy prawnej do przetwarzania określonych danych — nie powinien wprowadzać ich do systemu.

8. Obowiązki Klienta jako administratora

Klient zobowiązuje się:

przetwarzać dane zgodnie z prawem,
posiadać właściwe podstawy prawne każdego rodzaju przetwarzania,
spełnić obowiązek informacyjny wobec osób, których dane dotyczą — czyli klientek, pracowników i innych osób (Estelio udostępnia szablon klauzuli RODO dla klientek salonu),
zapewnić poprawność i aktualność danych,
nadawać dostęp do systemu wyłącznie osobom upoważnionym,
odbierać dostęp osobom, które utraciły uprawnienia (np. byłym pracownikom),
informować Estelio o szczególnych wymaganiach dotyczących przetwarzania, jeżeli są niezbędne,
obsługiwać żądania osób, których dane dotyczą — przy wsparciu Estelio w zakresie wynikającym z tej DPA.

9. Obowiązki Estelio jako podmiotu przetwarzającego

Estelio zobowiązuje się:

przetwarzać dane wyłącznie na udokumentowane polecenie Klienta (akceptacja Regulaminu i samo korzystanie z systemu stanowi takie polecenie),
zapewnić, by osoby upoważnione do przetwarzania danych były zobowiązane do poufności,
stosować odpowiednie środki techniczne i organizacyjne ochrony danych (zob. punkt 10),
pomagać Klientowi — w miarę możliwości technicznych — w realizacji praw osób, których dane dotyczą,
wspierać Klienta w zakresie obowiązków dotyczących bezpieczeństwa danych, naruszeń i ocen skutków dla ochrony danych (DPIA), jeżeli mają zastosowanie,
po zakończeniu umowy usunąć lub zwrócić dane zgodnie z Regulaminem i decyzją Klienta — chyba że przepisy prawa wymagają ich dłuższego przechowywania,
udostępniać Klientowi informacje niezbędne do wykazania spełnienia obowiązków wynikających z art. 28 RODO, w rozsądnym zakresie.

10. Środki bezpieczeństwa

Estelio stosuje środki bezpieczeństwa odpowiednie do charakteru przetwarzania:

Bezpieczeństwo komunikacji

HTTPS — całe połączenie szyfrowane,
tokeny sesji unieważniane po wylogowaniu lub bezczynności.

Bezpieczeństwo dostępu

hasła szyfrowane bcrypt,
role i uprawnienia użytkowników,
ograniczenie dostępu administracyjnego.

Bezpieczeństwo separacji danych

każdy salon ma własny tenant_id,
zapytania do bazy filtrowane po tenant_id,
pliki PDF przechowywane poza katalogiem publicznym,
autoryzacja wymagana do dostępu do plików.

Rozliczalność

rejestr zdarzeń (kto, kiedy, co zrobił),
procedury reagowania na incydenty,
kopie zapasowe wykonywane regularnie.

Infrastruktura

serwery i kopie zapasowe utrzymywane w Unii Europejskiej,
zabezpieczenia infrastruktury serwerowej.

11. Podprocesorzy

11.1.

Klient wyraża ogólną zgodę na korzystanie przez Estelio z podprocesorów, jeżeli jest to niezbędne do świadczenia usługi.

11.2.

Aktualna lista podprocesorów Estelio:

Podmiot	Cel	Zakres danych	Lokalizacja
Hostinger	hosting serwera, bazy danych, SMTP, kopie zapasowe	dane w systemie, e-maile	UE
Stripe	płatności subskrypcyjne	dane płatnika, e-mail, dane karty po stronie Stripe	Irlandia / USA
Fakturownia.pl	fakturowanie	dane do faktury Klienta	Polska

11.3.

Estelio zobowiązuje się korzystać wyłącznie z podprocesorów, którzy zapewniają odpowiedni poziom ochrony danych — porównywalny z poziomem oczekiwanym od samego Estelio.

11.4.

Estelio informuje Klienta o istotnych zmianach dotyczących podprocesorów (dodanie nowego, zmiana zakresu) drogą e-mailową, komunikatem w systemie lub przez aktualizację listy podprocesorów na stronie.

11.5.

Jeżeli Klient nie akceptuje nowego podprocesora, może zgłosić sprzeciw w terminie 14 dni od otrzymania informacji. W przypadku braku możliwości świadczenia usługi bez danego podprocesora, każda ze stron może rozwiązać umowę.

12. Naruszenia ochrony danych

12.1.

Estelio informuje Klienta o naruszeniu ochrony danych osobowych bez zbędnej zwłoki po jego stwierdzeniu, jeżeli naruszenie dotyczy danych powierzonych przez Klienta.

12.2.

Informacja, w miarę dostępności, obejmuje:

charakter naruszenia,
kategorie i przybliżoną liczbę osób, których dane dotyczą,
możliwe konsekwencje naruszenia,
zastosowane lub proponowane środki zaradcze.

12.3.

Ważne:

Klient jako administrator odpowiada za samodzielną ocenę, czy naruszenie wymaga zgłoszenia do Prezesa UODO w terminie 72 godzin (art. 33 RODO) oraz czy konieczne jest zawiadomienie osób, których dane dotyczą (art. 34 RODO).

12.4.

Estelio wspiera Klienta w ocenie incydentu w zakresie informacji technicznych, którymi dysponuje.

12.5.

W przypadku naruszenia obejmującego dane wielu salonów, Estelio zawiadamia wszystkie salony, których dane mogły zostać naruszone, bez zbędnej zwłoki po stwierdzeniu naruszenia.

13. Realizacja praw osób, których dane dotyczą

13.1.

Jeżeli osoba, której dane dotyczą (np. klientka salonu), zwróci się bezpośrednio do Estelio w sprawie danych wprowadzonych przez Klienta, Estelio może:

przekazać zgłoszenie do Klienta (właściwego salonu),
poinformować osobę, że administratorem jej danych jest salon,
udzielić salonowi wsparcia w zakresie technicznej obsługi zgłoszenia.

13.2.

Estelio nie podejmuje samodzielnych decyzji dotyczących usunięcia, sprostowania, ograniczenia ani wydania danych powierzonych — chyba że wynika to z polecenia Klienta, Regulaminu, przepisów prawa lub konieczności zapewnienia bezpieczeństwa systemu.

Szczegółowa procedura obsługi takich żądań znajduje się w Procedurze obsługi wniosków RODO.

14. Usuwanie danych

14.1.

System Estelio może stosować różne mechanizmy usuwania danych — usunięcie logiczne, anonimizację, usunięcie fizyczne — zależnie od typu danych i funkcji systemu.

14.2.

Gdy Klient usuwa dane osoby z systemu, Estelio wykonuje operację zgodnie z funkcjami systemu i poleceniem Klienta.

14.3.

Dane mogą pozostawać przez ograniczony czas w kopiach zapasowych lub logach technicznych, jeżeli jest to konieczne dla bezpieczeństwa, integralności systemu, rozliczalności lub odtworzenia danych.

Maksymalny okres przechowywania:

Dane w kopiach zapasowych są przechowywane maksymalnie 90 dni od ostatniej kopii.

15. Żądania organów publicznych

15.1.

Jeżeli Estelio otrzyma żądanie organu publicznego dotyczące danych powierzonych przez Klienta:

oceni żądanie pod kątem formalnym i prawnym,
poinformuje Klienta o takim żądaniu, jeżeli przepisy prawa na to pozwalają,
udostępni dane wyłącznie w zakresie wymaganym przez prawo.

15.2.

Estelio nigdy nie udostępnia danych „na zapas" ani bez podstawy prawnej.

16. Audyt i informacje

16.1.

Estelio udostępnia Klientowi informacje niezbędne do wykazania zgodności z art. 28 RODO, w rozsądnym zakresie.

16.2.

Audyt nie może naruszać:

bezpieczeństwa systemu,
tajemnicy przedsiębiorstwa,
praw innych Klientów,
ciągłości działania Estelio.

16.3.

Szczegółowe warunki audytu — jeżeli będzie konieczny — strony ustalą indywidualnie.

17. Zakończenie powierzenia

17.1.

Po zakończeniu umowy Klient może zażądać eksportu danych w terminie określonym w Regulaminie (standardowo 30 dni).

17.2.

Po upływie terminu na eksport, Estelio może usunąć lub zanonimizować dane powierzone — chyba że przepisy prawa wymagają ich dalszego przechowywania.

17.3.

Kopie zapasowe są przechowywane przez technicznie uzasadniony czas (max 90 dni), po czym są nadpisywane lub usuwane zgodnie z cyklem backupów.

18. Postanowienia końcowe

18.1.

Niniejsza DPA stanowi integralną część Regulaminu Estelio.

18.2.

W razie sprzeczności między Regulaminem a niniejszą DPA w zakresie powierzenia danych osobowych, pierwszeństwo mają postanowienia tej umowy.

Kontakt w sprawach DPA

Wszystkie pytania dotyczące powierzenia przetwarzania danych prosimy kierować na adres:

kontakt@estelio.com.pl