1. Strony i zakres
Niniejsza DPA jest zawierana pomiędzy Poloomą (Procesor) a Klientem (Administrator) zidentyfikowanym w koncie Polooma. Stosuje się ją zawsze, gdy Procesor przetwarza Dane Osobowe w imieniu Administratora w związku z usługą Polooma.
2. Przedmiot i czas trwania
Przedmiot: świadczenie platformy Polooma — rezerwacje wizyt, zarządzanie klientami, komunikacja, raportowanie. Czas trwania: dopóki subskrypcja Polooma jest aktywna, plus okres usuwania określony w sekcji 8.
3. Kategorie danych i podmioty danych
Podmioty danych: klienci końcowi salonu Klienta (i ich pracownicy). Kategorie danych osobowych: dane kontaktowe (imię, email, telefon), dane demograficzne (wiek, płeć jeśli zbierane), historia usług, zdjęcia wgrywane za zgodą, metadane płatności (bez numerów kart — obsługiwane przez Stripe/Adyen), notatki dobrowolnie wpisywane przez personel salonu. Szczególne kategorie (Art. 9 RODO), takie jak notatki o stanie zdrowia, mogą być przetwarzane tylko gdy Administrator uzyskał wyraźną zgodę.
4. Obowiązki Procesora
Procesor: (a) przetwarza Dane Osobowe wyłącznie na udokumentowane polecenie Administratora; (b) zapewnia, że osoby upoważnione są zobowiązane do zachowania poufności; (c) wdraża odpowiednie środki techniczne i organizacyjne (Art. 32 RODO) — zob. Aneks A; (d) pomaga Administratorowi w odpowiedzi na żądania osób, których dane dotyczą; (e) pomaga z notyfikacją naruszeń, DPIA i konsultacjami z organami nadzorczymi; (f) usuwa lub zwraca Dane Osobowe na końcu umowy (wybór Administratora).
5. Podprzetwarzający
Administrator upoważnia Procesora do angażowania podprzetwarzających. Aktualna lista jest publikowana i utrzymywana na polooma.com/legal/sub-processors (dodawana po starcie produkcji). Administrator zostanie powiadomiony co najmniej 30 dni przed dodaniem nowego podprzetwarzającego i może wnieść uzasadniony sprzeciw.
6. Transfery międzynarodowe
Całe przetwarzanie odbywa się w UE/EOG. Jeśli transfer poza UE/EOG stanie się konieczny, Procesor oprze się na Standardowych Klauzulach Umownych (SCCs) i poinformuje Administratora wcześniej.
7. Środki bezpieczeństwa
Zob. Aneks A. Obejmuje szyfrowanie at rest i in transit, RBAC, logowanie audytowe, MFA, regularne skanowanie podatności, roczne pen-testy, dane tylko w UE i 30-dniową retencję backupów.
8. Zwrot i usuwanie
Po zakończeniu subskrypcji Polooma, Procesor — wedle wyboru Administratora: (a) zwróci wszystkie Dane Osobowe w formacie maszynowo-czytelnym (JSON lub CSV); albo (b) usunie je. Usunięcie jest realizowane w 30 dni od zakończenia, z wyjątkiem sytuacji gdy retencja jest wymagana przez prawo (Administrator zostaje wtedy poinformowany). Backupy zawierające Dane Osobowe są usuwane w ciągu 30 dni od następnej rotacji backupów.
9. Prawa audytu
Administrator może audytować zgodność Procesora z DPA — raz na rok, z 30-dniowym wyprzedzeniem, w godzinach roboczych, w sposób niezakłócający działalności Procesora. Procesor może spełnić ten obowiązek dostarczając Administratorowi najnowszy raport SOC 2 / ISO 27001.
10. Odpowiedzialność
Odpowiedzialność na mocy DPA jest regulowana przez Regulamin. Procesor odpowiada za szkody wyrządzone przetwarzaniem tylko jeśli nie spełnił obowiązków RODO skierowanych konkretnie do procesorów lub działał poza lub wbrew zgodnym z prawem instrukcjom Administratora.
11. Prawo właściwe
Niniejsza DPA podlega prawu kraju UE, w którym Procesor ma siedzibę. Spory rozstrzygane są zgodnie z klauzulą rozstrzygania sporów Regulaminu.
Aneks A — Środki techniczne i organizacyjne
Szyfrowanie: TLS 1.3 in transit, AES-256 at rest. Kontrola dostępu: RBAC z obowiązkowym 2FA dla adminów. Logowanie: append-only audit log, retencja 7 lat. Backupy: co 6 godzin, retencja 30 dni. Pen-testy: rocznie przez niezależną firmę. Personel: przeszkolony z RODO, podpisane umowy NDA, dostęp need-to-know. Reagowanie na incydenty: udokumentowana procedura z 72-godzinnym powiadomieniem Administratora.