Polityka prywatności

Wersja: 1.0 · ostatnia aktualizacja: 26 maja 2026.

1. Administrator danych

Administratorem danych osobowych jest Intelibyte sp. z o.o. z siedzibą w Rybniku (ul. Jabłoniowa 18, 44-270 Rybnik, woj. śląskie), wpisana do rejestru przedsiębiorców Krajowego Rejestru Sądowego pod numerem KRS 0001051332, NIP 6423246740, REGON 526034960, kapitał zakładowy 5 000,00 zł opłacony w całości (dalej „Intelibyte" lub „my"). BeautyAssist jest marką (oznaczeniem handlowym) usługi świadczonej przez Intelibyte sp. z o.o.

2. Kontakt w sprawach ochrony danych

We wszelkich sprawach dotyczących przetwarzania danych osobowych — w szczególności w celu wykonania praw opisanych w pkt 10 — prosimy o kontakt:

• e-mail: hello@beautyassist.pl (z dopiskiem „RODO" lub „IOD")
• korespondencyjnie: Intelibyte sp. z o.o., ul. Jabłoniowa 18, 44-270 Rybnik

Inspektora Ochrony Danych (IOD) nie wyznaczono — przesłanki obowiązkowego wyznaczenia z art. 37 RODO nie zachodzą; sprawami RODO zajmuje się wyznaczona osoba w strukturach Intelibyte (kontakt jak wyżej).

3. Słowniczek

• Usługa — aplikacja BeautyAssist dostępna w domenie beautyassist.pl oraz powiązane funkcjonalności (kartoteka, baza wiedzy INCI, asystent informacyjny, dokumenty RODO, powiadomienia).
• Klient — przedsiębiorca (Salon beauty, klinika, gabinet), który zawarł z Intelibyte umowę o korzystanie z Usługi na podstawie Regulaminu.
• Klient Końcowy — osoba fizyczna korzystająca z usług kosmetycznych Klienta (Salonu), której dane są wprowadzane do Usługi przez Klienta.
• Użytkownik — osoba fizyczna korzystająca ze strony beautyassist.pl lub aplikacji BeautyAssist (np. osoba kontaktowa Klienta, pracownik przypisany do Stanowiska, osoba zapisująca się na listę oczekujących).

4. Role administratora i procesora

W zależności od rodzaju danych Intelibyte działa w jednej z dwóch ról:

• Administrator danych — wobec osób kontaktowych Klientów (rejestracja, logowanie, rozliczenia), wobec Użytkowników strony beautyassist.pl (cookies, formularze kontaktowe i zapis na listę oczekujących) oraz wobec własnych pracowników i współpracowników. Niniejsza Polityka opisuje przetwarzanie w tej roli.
• Podmiot przetwarzający (procesor) — wobec danych Klientów Końcowych wprowadzanych do Usługi przez Klienta (Salon), w tym danych dotyczących zdrowia z ankiet przedzabiegowych. Administratorem tych danych jest Klient (Salon). Zasady powierzenia określa Umowa Powierzenia Przetwarzania Danych Osobowych (DPA), stanowiąca załącznik do Regulaminu. Klient Końcowy powinien w pierwszej kolejności realizować swoje prawa wobec Salonu, w którym korzysta z usług; w razie potrzeby służymy pomocą techniczną zgodnie z DPA.

5. Zakres przetwarzania, cele i podstawy prawne

5.1. Osoba kontaktowa Klienta (rejestracja i korzystanie z Konta)

• Zakres danych: imię, nazwisko, adres e-mail, dane logowania (uwierzytelnianie przez Firebase Authentication), numer telefonu (opcjonalnie), dane Klienta (firma, NIP, adres rozliczeniowy), historia korzystania z Usługi, logi techniczne (adres IP, identyfikator urządzenia, czas dostępu).
• Cele i podstawy prawne:
  • zawarcie i wykonanie umowy o korzystanie z Usługi — art. 6 ust. 1 lit. b RODO,
  • rozliczenia, fakturowanie i obsługa płatności (Stripe) — art. 6 ust. 1 lit. b oraz lit. c RODO (obowiązki wynikające z ustawy o rachunkowości, przepisów podatkowych),
  • obsługa zgłoszeń, reklamacji, wsparcie techniczne — art. 6 ust. 1 lit. b RODO,
  • zapewnienie bezpieczeństwa Usługi, przeciwdziałanie nadużyciom, logowanie zdarzeń audytowych — art. 6 ust. 1 lit. f RODO (uzasadniony interes — bezpieczeństwo platformy),
  • ustalenie, dochodzenie i obrona roszczeń — art. 6 ust. 1 lit. f RODO (uzasadniony interes — ochrona praw Intelibyte),
  • wysyłka komunikacji marketingowej dotyczącej Usługi (newsletter produktowy) — art. 6 ust. 1 lit. a RODO (zgoda, w każdej chwili odwoływalna).

5.2. Pracownicy Klienta przypisani do Stanowisk

• Zakres danych: imię, nazwisko, adres e-mail, identyfikator użytkownika, rola (RBAC), logi aktywności w Usłudze.
• Cele i podstawy prawne: umożliwienie pracownikom korzystania z Usługi w imieniu Klienta — art. 6 ust. 1 lit. f RODO (uzasadniony interes Klienta i Intelibyte w prawidłowym świadczeniu Usługi); zapewnienie bezpieczeństwa i rozliczalności działań w systemie — art. 6 ust. 1 lit. f RODO.
• Dane pracowników wprowadzane są przez Klienta. Pracownik powinien w pierwszej kolejności zgłaszać żądania związane z RODO do swojego pracodawcy (Klienta).

5.3. Użytkownicy strony beautyassist.pl

• Zakres danych: adres IP (zanonimizowany w analityce), identyfikatory plików cookie, typ przeglądarki, system operacyjny, adres strony odsyłającej, czas wizyty.
• Cele i podstawy prawne:
  • zapewnienie podstawowego działania strony (cookies niezbędne, w tym sesyjne) — art. 6 ust. 1 lit. f RODO (uzasadniony interes — funkcjonowanie strony),
  • analityka ruchu (Google Analytics 4) — art. 6 ust. 1 lit. a RODO (zgoda wyrażana w banerze cookies, w każdej chwili odwoływalna).
• Szczegóły dotyczące plików cookie znajdują się w pkt 12.

5.4. Osoby zapisujące się na listę oczekujących lub kontaktujące się z nami

• Zakres danych: imię, nazwisko (opcjonalnie), adres e-mail, treść wiadomości, źródło zapisu (np. „lista oczekujących", „kontakt"), data zapisu.
• Cele i podstawy prawne:
  • obsługa zgłoszenia, udzielenie odpowiedzi, poinformowanie o uruchomieniu Usługi — art. 6 ust. 1 lit. a RODO (zgoda) lub art. 6 ust. 1 lit. f RODO (uzasadniony interes — odpowiedź na zapytanie),
  • w przypadku zaznaczenia odrębnej zgody marketingowej — wysyłka informacji handlowych (art. 6 ust. 1 lit. a RODO + art. 10 ustawy o świadczeniu usług drogą elektroniczną).

5.5. Klienci Końcowi (kosmetyczne klientki Salonu)

Wobec danych Klientów Końcowych Intelibyte działa wyłącznie jako procesor — administratorem jest Klient (Salon). Zakres przetwarzanych danych, kategorie i podstawy prawne określa Klient w swojej własnej polityce informacyjnej oraz w zgodach pobieranych od Klienta Końcowego. Intelibyte przetwarza je wyłącznie na udokumentowane polecenie Klienta zgodnie z DPA. Klient Końcowy powinien kierować żądania w pierwszej kolejności do Salonu.

6. Okresy przechowywania danych

• Dane Konta Klienta i osób kontaktowych — przez okres trwania umowy o korzystanie z Usługi oraz 90 dni po jej zakończeniu (okres przejściowy umożliwiający Klientowi eksport danych), po czym dane są trwale usuwane (z wyjątkiem pkt poniżej).
• Dokumenty rozliczeniowe (faktury, dowody księgowe) — 5 lat licząc od końca roku kalendarzowego, w którym powstał obowiązek podatkowy (ustawa o rachunkowości, Ordynacja podatkowa).
• Logi audytowe i bezpieczeństwa — do 12 miesięcy, chyba że przepisy prawa lub potrzeby dochodzenia roszczeń wymagają dłuższego przechowywania.
• Dane Klientów Końcowych — zgodnie z poleceniem Klienta (Salonu) jako administratora; po zakończeniu umowy z Klientem — 90 dni i usunięcie zgodnie z § 11 DPA.
• Dane z listy oczekujących i formularzy kontaktowych — do czasu wycofania zgody lub realizacji celu (np. uruchomienie Usługi i odpowiedź), nie dłużej niż 24 miesiące od ostatniej aktywności.
• Dane analityczne (cookies analityczne) — zgodnie z polityką dostawcy (GA4 — domyślnie do 14 miesięcy); szczegóły w pkt 12.

7. Odbiorcy danych

Dane osobowe mogą być udostępniane następującym kategoriom odbiorców:

• Podprzetwarzający (procesorzy) — dostawcy infrastruktury i usług niezbędnych do działania BeautyAssist, na podstawie umów powierzenia (art. 28 RODO). Aktualna lista podprzetwarzających:
  • Google Cloud Platform (Google Ireland Ltd.) — hosting, Firestore, Cloud Storage, Cloud Run, Cloud KMS; region przetwarzania: GCP europe-west3 (Frankfurt, Niemcy, Europejski Obszar Gospodarczy).
  • Google Vertex AI (część GCP) — modele AI dla asystenta informacyjnego; region europe-west3.
  • Firebase (część GCP) — uwierzytelnianie, powiadomienia push; region europe-west3.
  • Stripe Payments Europe Ltd. — obsługa płatności; Irlandia (EOG) + USA (transfer zabezpieczony Standardowymi Klauzulami Umownymi — SCC).
  • Resend (Resend Inc.) — wysyłka transakcyjnych wiadomości e-mail; USA + EOG (transfer zabezpieczony SCC).
• Dostawcy narzędzi analitycznych — Google Analytics 4 (Google Ireland Ltd.) — wyłącznie po wyrażeniu zgody przez Użytkownika w banerze cookies.
• Biuro księgowe i doradcy prawni Intelibyte — w zakresie niezbędnym do realizacji obowiązków księgowych i prawnych.
• Organy publiczne — wyłącznie w przypadkach przewidzianych prawem (np. na żądanie sądu, prokuratury, organów ścigania, Prezesa UODO).

Pełna i aktualna lista podprzetwarzających znajduje się w Załączniku nr 2 do DPA.

8. Transfer danych poza Europejski Obszar Gospodarczy (EOG)

Podstawowa infrastruktura BeautyAssist przetwarza dane w regionie GCP europe-west3 (Frankfurt, Niemcy, EOG). Niektórzy podprzetwarzający mogą jednak realizować część operacji poza EOG:

• Stripe — część operacji w USA. Transfer zabezpieczony Standardowymi Klauzulami Umownymi (SCC) zatwierdzonymi przez Komisję Europejską (decyzja 2021/914).
• Resend — infrastruktura częściowo w USA. Transfer zabezpieczony SCC.

Kopia stosowanych Standardowych Klauzul Umownych jest dostępna na żądanie, kontakt: hello@beautyassist.pl.

9. Zautomatyzowane podejmowanie decyzji i profilowanie

BeautyAssist nie podejmuje zautomatyzowanych decyzji wywołujących skutki prawne lub w podobny sposób istotnie wpływających na Użytkownika lub Klienta Końcowego w rozumieniu art. 22 RODO. W szczególności:

• Moduł analizy składników INCI prezentuje informacje o ogólnych przeciwwskazaniach składników. Wszystkie decyzje dotyczące przebiegu zabiegu podejmuje wyłącznie kosmetolog Salonu (Klienta) — Usługa ma charakter informacyjny i dokumentacyjny.
• Asystent informacyjny AI udziela odpowiedzi o charakterze edukacyjnym i organizacyjnym (informacje o składnikach, przygotowaniu do wizyty, dokumentacji). Asystent nie podejmuje rekomendacji ani decyzji medycznych — w sprawach dotyczących stanu zdrowia odsyła do kosmetologa Salonu lub lekarza.
• Profilowanie marketingowe na podstawie ruchu na stronie beautyassist.pl — obecnie nie stosujemy. W ramach planowanego marketplace produktów kosmetycznych (planowany start: 2027) zostaną uruchomione mechanizmy rekomendacyjne oparte na danych konta zalogowanego Klienta (historia zamówień, preferencje); mechanizmy te nie wywołują skutków prawnych ani istotnie wpływających w rozumieniu art. 22 RODO. Przed udostępnieniem marketplace polityka zostanie odpowiednio zaktualizowana.

Powyższe jest zgodne z wymogami nadzoru ludzkiego (human oversight) określonymi w art. 14 Aktu w sprawie sztucznej inteligencji (AI Act).

10. Prawa osób, których dane dotyczą

Zgodnie z art. 15-22 RODO przysługują Państwu następujące prawa:

• Prawo dostępu — uzyskania potwierdzenia, czy przetwarzamy Państwa dane, oraz uzyskania kopii tych danych.
• Prawo do sprostowania — żądania poprawienia nieprawidłowych lub uzupełnienia niekompletnych danych.
• Prawo do usunięcia („prawo do bycia zapomnianym") — z zastrzeżeniem ograniczeń wynikających z obowiązków prawnych (np. retencja faktur).
• Prawo do ograniczenia przetwarzania w przypadkach określonych w art. 18 RODO.
• Prawo do przenoszenia danych — otrzymania danych w ustrukturyzowanym formacie nadającym się do odczytu maszynowego oraz żądania ich przesłania innemu administratorowi.
• Prawo sprzeciwu wobec przetwarzania opartego na uzasadnionym interesie (art. 6 ust. 1 lit. f RODO) — w tym wobec marketingu bezpośredniego.
• Prawo do wycofania zgody w dowolnym momencie, bez wpływu na zgodność przetwarzania przed wycofaniem (dotyczy danych przetwarzanych na podstawie zgody, np. newsletter, cookies analityczne).
• Prawo wniesienia skargi do organu nadzorczego — Prezesa Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl).

Wniosek można złożyć drogą e-mailową lub korespondencyjnie (dane w pkt 2). Odpowiadamy bez zbędnej zwłoki, nie później niż w terminie miesiąca; w razie potrzeby termin może zostać przedłużony o kolejne dwa miesiące — Państwo zostaną o tym poinformowani.

11. Dobrowolność podania danych

Podanie danych osobowych jest dobrowolne, ale niezbędne do:

• zawarcia i wykonania umowy o korzystanie z Usługi (rejestracja Konta) — brak danych uniemożliwia korzystanie z Usługi,
• wystawienia faktur i rozliczeń — wymaga danych wynikających z przepisów podatkowych,
• otrzymywania komunikacji marketingowej, zapisu na listę oczekujących lub kontaktu — wymaga podania danych kontaktowych i wyrażenia odpowiednich zgód.

12. Pliki cookies i podobne technologie

Strona beautyassist.pl używa plików cookies oraz podobnych technologii (m.in. localStorage do zapamiętania zgód) w dwóch kategoriach:

• Niezbędne — wymagane do podstawowego działania strony, w szczególności do zapamiętania wyboru zgód. Nie wymagają zgody. Podstawa: art. 6 ust. 1 lit. f RODO + art. 173 ust. 3 pkt 2 Prawa telekomunikacyjnego.
• Analityczne — Google Analytics 4 (Google Ireland Ltd.); ładowane wyłącznie po wyrażeniu zgody w banerze cookies, z anonimizacją adresów IP. Podstawa: art. 6 ust. 1 lit. a RODO.

Pełen opis stosowanych cookies (nazwy, dostawcy, okresy przechowywania), zarządzanie preferencjami i wycofanie zgody — w dedykowanej Polityce cookies.

13. Bezpieczeństwo danych

Stosujemy środki techniczne i organizacyjne odpowiadające ryzyku, o których mowa w art. 32 RODO, w tym: szyfrowanie w spoczynku (Cloud KMS, AES-256), szyfrowanie w transmisji (TLS 1.3), uwierzytelnianie wieloskładnikowe (MFA) dla pracowników Intelibyte, kontrolę dostępu opartą na rolach (RBAC), segmentację sieciową, kopie zapasowe (RTO ≤ 4 h, RPO ≤ 1 h), monitorowanie i logowanie zdarzeń, zarządzanie podatnościami (SBOM, automatyczne skanowanie zależności), polityki bezpieczeństwa informacji oraz coroczne szkolenia RODO i cyberbezpieczeństwa. Pełny opis środków znajduje się w Załączniku nr 3 do DPA.

W przypadku naruszenia ochrony danych osobowych dochowamy obowiązków notyfikacyjnych zgodnie z art. 33 i 34 RODO (powiadomienie Prezesa UODO w ciągu 72 godzin oraz, jeśli zachodzą przesłanki, powiadomienie osób, których dane dotyczą).

14. Zmiany Polityki prywatności

Polityka może być aktualizowana w związku ze zmianami przepisów prawa, zmianami w Usłudze lub w celu poprawy klarowności dokumentu. O istotnych zmianach informujemy z odpowiednim wyprzedzeniem — drogą e-mailową na adres wskazany w Koncie lub komunikatem w panelu Usługi. Każda wersja zawiera datę ostatniej aktualizacji widoczną na początku dokumentu.

15. Dokumenty powiązane

• Regulamin świadczenia usługi BeautyAssist
• Informacje o zgodności z RODO
• Umowa Powierzenia Przetwarzania Danych Osobowych (DPA) — udostępniana w procesie rejestracji oraz na żądanie (hello@beautyassist.pl).