Umowa Powierzenia Przetwarzania Danych Osobowych (DPA)

Wersja: 1.0 · w mocy od 26 maja 2026 · Załącznik nr 1 do Regulaminu BeautyAssist.

Pełna treść DPA (PDF)

13 paragrafów + 4 załączniki · zgodna z art. 28 RODO i wytycznymi EROD 07/2020

Czym jest DPA

DPA to umowa, w której Klient (Salon) jako administrator danych powierza Intelibyte sp. z o.o. (jako podmiotowi przetwarzającemu) przetwarzanie danych osobowych Klientów Końcowych w ramach usługi BeautyAssist. Zawarcie DPA jest obowiązkowe na podstawie art. 28 ust. 3 RODO za każdym razem, gdy administrator korzysta z usług zewnętrznego procesora.

DPA zostaje zawarta z chwilą akceptacji Regulaminu — Klient nie musi podpisywać odrębnego dokumentu, ale może otrzymać podpisaną wersję na żądanie (kontakt: hello@beautyassist.pl).

Strony umowy

Procesor: Intelibyte sp. z o.o., KRS 0001051332, NIP 6423246740, ul. Jabłoniowa 18, 44-270 Rybnik.
Administrator: Klient (przedsiębiorca prowadzący Salon) zarejestrowany w usłudze BeautyAssist.

Najważniejsze postanowienia (streszczenie)

Streszczenie ma charakter informacyjny. Wiążąca jest treść pełnej DPA (PDF powyżej).

Zakres powierzenia

Dane Klientów Końcowych Salonu: imię, nazwisko, kontakt, historia wizyt, notatki, zdjęcia (opcjonalnie).
Dane szczególnych kategorii (art. 9 RODO) — alergie, choroby, ciąża, przyjmowane leki — przetwarzane na podstawie zgody Klienta Końcowego pobranej przez Salon.
Dane pracowników Salonu (Stanowiska): imię, nazwisko, email, rola.

Cel i charakter przetwarzania

Świadczenie usługi BeautyAssist zgodnie z Regulaminem — hosting, baza wiedzy INCI, asystent informacyjny AI, dokumenty RODO, kopie zapasowe.
Procesor przetwarza dane wyłącznie na udokumentowane polecenie Administratora.

Lokalizacja przetwarzania

Infrastruktura podstawowa: Google Cloud Platform, region europe-west3 (Frankfurt) — Europejski Obszar Gospodarczy.
Transfer poza EOG — wyłącznie u podprzetwarzających Stripe (rozliczenia) i Resend (e-mail), zabezpieczony Standardowymi Klauzulami Umownymi (SCC); nie obejmuje danych Klientów Końcowych.

Podprzetwarzający (subprocessor)

Google Cloud Platform — hosting (EOG Frankfurt)
Google Vertex AI — modele AI (EOG Frankfurt)
Firebase — uwierzytelnianie + push (EOG Frankfurt)
Stripe Payments Europe Ltd. — rozliczenia (Irlandia + USA SCC)
Resend — e-mail (USA + EOG SCC)

Procesor powiadamia Administratora o planowanej zmianie podprzetwarzającego z wyprzedzeniem 30 dni. Administrator może w tym terminie zgłosić uzasadniony sprzeciw.

Środki techniczne i organizacyjne (art. 32 RODO)

Szyfrowanie w spoczynku (Cloud KMS z kluczami zarządzanymi przez klienta, AES-256).
Szyfrowanie w transmisji (TLS 1.3, HSTS preload).
Uwierzytelnianie wieloskładnikowe (MFA) dla pracowników Procesora.
Kontrola dostępu oparta na rolach (RBAC).
Segmentacja sieciowa (VPC), prywatne endpoints.
Kopie zapasowe: RTO ≤ 4 h, RPO ≤ 1 h, geo-redundancja.
Audyt: Cloud Audit Logs, retencja 12 miesięcy.
Polityki bezpieczeństwa informacji, coroczne szkolenia RODO i cyberbezpieczeństwa.

Pełna lista — Załącznik nr 3 do DPA.

Naruszenia ochrony danych

Procesor powiadamia Administratora o naruszeniu bez zbędnej zwłoki, nie później niż w terminie 48 godzin od jego stwierdzenia.
Notyfikacja zawiera 12 informacji wymaganych przez art. 33 ust. 3 RODO (wzór — Załącznik nr 4).
Procesor wspiera Administratora w realizacji obowiązku notyfikacji do Prezesa UODO i osób, których dane dotyczą.

Audyt

Administrator ma prawo do audytu Procesora z wyprzedzeniem co najmniej 30 dni.
Maksymalnie jeden audyt rocznie (poza przypadkami naruszeń lub żądania organu nadzorczego).
Procesor może spełnić obowiązek audytu poprzez udostępnienie aktualnych raportów ISO 27001 lub SOC 2.

Retencja i usunięcie po zakończeniu

Po zakończeniu umowy Procesor przechowuje dane przez 90 dni (okres przejściowy na eksport), a następnie trwale je usuwa.
Administrator może w panelu zażądać natychmiastowego usunięcia w terminie do 7 dni.
Po usunięciu Procesor potwierdza fakt usunięcia drogą e-mailową.

Odpowiedzialność

Każda ze Stron odpowiada za szkody w zakresie własnego naruszenia DPA i przepisów o ochronie danych.
Łączna odpowiedzialność Procesora ograniczona do równowartości opłat zapłaconych przez Administratora w ciągu 12 miesięcy poprzedzających zdarzenie. Ograniczenie nie dotyczy szkód wyrządzonych umyślnie.

Zmiany DPA

O istotnych zmianach DPA informujemy Administratorów z wyprzedzeniem co najmniej 14 dni przed wejściem w życie — drogą e-mailową na adres wskazany w Koncie oraz komunikatem w panelu Usługi. Każda wersja zawiera datę wejścia w życie widoczną na początku dokumentu.

Dokumenty powiązane

Regulamin BeautyAssist — umowa główna (DPA jest jej załącznikiem nr 1)
Polityka prywatności — informacja zgodna z art. 13 RODO (rola Intelibyte jako administratora)
Informacje o zgodności z RODO

Pytania dotyczące DPA: hello@beautyassist.pl (z dopiskiem „DPA" lub „RODO").