BeautyBoost AI — logoBeautyBoost AI

Polityka prywatności

Ostatnia aktualizacja: 25.06.2026

1. Role i administratorzy

BeautyBoost AI (devsentinel) jest administratorem danych użytkowników panelu (kont B2B), danych rozliczeniowych oraz danych technicznych związanych z bezpieczeństwem i trialem (m.in. audyt akceptacji dokumentów, trial anti-abuse).

Salon / klinika korzystająca z widgetu chat jest administratorem danych swoich klientów końcowych (treść rozmów, dane kontaktowe podane w celu odpowiedzi lub rezerwacji).

BeautyBoost AI działa jako podmiot przetwarzający (procesor) wobec danych klientów końcowych salonu — na podstawie Umowy powierzenia przetwarzania danych (DPA).

2. Zakres i cele przetwarzania

2.1. Użytkownicy panelu (klienci BeautyBoost AI)

Przetwarzamy dane niezbędne do założenia konta, świadczenia usług i rozliczeń: adres e-mail, nazwa firmy, dane billingowe, historia płatności i faktur, logi bezpieczeństwa, audyt akceptacji dokumentów legalnych (Regulamin, Polityka, DPA, umowa elektroniczna — wersje, timestamp, źródło, zahashowany IP, user agent), identyfikatory trial anti-abuse (root domain, Meta Page ID, phone hash gdy OTP aktywny, fingerprint/IP hash jako sygnały ryzyka). Podstawy: wykonanie umowy (art. 6 ust. 1 lit. b RODO), obowiązki prawne, prawnie uzasadniony interes (bezpieczeństwo, zapobieganie nadużyciom).

2.2. Osoby kontaktujące się (formularze, e-mail)

Przetwarzamy dane podane w formularzu (np. imię, e-mail, telefon, nazwa firmy, wiadomość) w celu udzielenia odpowiedzi i ewentualnej obsługi zapytania ofertowego. Podstawa: prawnie uzasadniony interes (art. 6 ust. 1 lit. f RODO) lub zgoda.

2.3. Klienci końcowi salonu (widget chat)

W ramach widgetu chat salon zbiera m.in.: treść rozmów, dane kontaktowe podane w celu odpowiedzi lub rezerwacji, preferencje usług i terminów, dane techniczne sesji, zgody privacy / marketing / health (jeśli włączone), status wypisu marketingowego (unsubscribe). BeautyBoost AI przetwarza te dane jako procesor na zlecenie salonu. Przed rozpoczęciem rozmowy widget może wyświetlić gate prywatności (RODO) z linkiem do polityki salonu lub — gdy brak własnej — do dokumentu BeautyBoost AI.

2.3a. Dane zdrowotne

Klient końcowy nie powinien podawać szczegółowych danych medycznych bez potrzeby. Jeśli je poda w rozmowie, mogą być przetwarzane w celu obsługi zapytania lub konsultacji przez salon. Salon może włączyć opcjonalną zgodę na dane zdrowotne w konfiguracji widgetu — wtedy zgoda jest rejestrowana w audycie chat privacy consent.

2.4. Rezerwacje, link zewnętrzny i integracje kalendarzowe

Jeżeli klient włączy funkcje rezerwacji, możemy przetwarzać dane związane z umówieniem wizyty: wybraną usługę, preferowany dzień i godzinę, dane kontaktowe osoby umawiającej wizytę, status rezerwacji, identyfikatory zdarzeń kalendarza oraz techniczne metadane potrzebne do obsługi zapisu. W przypadku integracji z Google Calendar lub Microsoft Outlook/Graph przetwarzamy zaszyfrowane tokeny OAuth klienta oraz dane niezbędne do utworzenia, aktualizacji lub odczytania statusu zdarzenia w kalendarzu klienta. Gdy klient poda link zewnętrzny do systemu rezerwacji (np. Booksy, Fresha lub inny adres HTTPS), BeautyBoost AI nie pobiera danych z tego systemu — może jedynie przekierować użytkownika końcowego poza Serwis; dalsze przetwarzanie odbywa się u operatora tego systemu. W trybie ICS generujemy link do pliku kalendarza (.ics); import takiego pliku do prywatnego kalendarza odbywa się poza BeautyBoost AI.

2.5. Rozmowy z AI recepcją (chat)

W ramach chat (widget na stronie, Meta Messenger / Instagram) przetwarzamy treść wiadomości, kontekst rozmowy oraz — gdy użytkownik je poda — dane kontaktowe i preferencje wizyty. Treści mogą być przekazywane do dostawców modeli AI (np. Google Gemini, z możliwym fallbackiem na inne modele skonfigurowane w infrastrukturze) wyłącznie w celu wygenerowania odpowiedzi. Klient (salon) jest administratorem danych swoich klientów końcowych; my działamy jako podmiot przetwarzający.

2.6. Dane rozliczeniowe (B2B)

W celu rozliczeń subskrypcji przetwarzamy dane konta klienta B2B, historię płatności i faktur (przez Stripe i Fakturownia), status subskrypcji oraz techniczne identyfikatory transakcji. Nie przechowujemy pełnych numerów kart płatniczych — obsługę płatności realizuje Stripe.

2.7. Marketing i wypisy

Kampanie marketingowe do klientów końcowych salonu wysyłamy wyłącznie gdy salon posiada odrębną zgodę marketingową — samo napisanie do chatu lub podanie telefonu/e-maila nie jest zgodą marketingową. Każda wiadomość marketingowa zawiera link unsubscribe; wypis blokuje przyszłe kampanie marketingowe, ale nie blokuje maili transakcyjnych (potwierdzenia, billing, aktywacja, administracja).

2.8. Abuse lockout i bezpieczeństwo chatu

Przy wykryciu nadużyć, spamu lub treści nielegalnych system może czasowo zablokować rozmowę (risk lock). Przetwarzamy dane techniczne (m.in. zahashowany IP, user agent, scoring ryzyka) w celu bezpieczeństwa — bez publikacji szczegółów reguł.

Integracja z Google Calendar i dane użytkownika Google

BeautyBoostAI umożliwia właścicielom salonów połączenie aplikacji z Google Calendar w celu obsługi rezerwacji wizyt. Integracja Google Calendar jest dobrowolna i może zostać odłączona przez użytkownika w ustawieniach aplikacji.

Poniższy opis obejmuje wymagane przez Google obszary: dane, do których aplikacja ma dostęp (Data Accessed), sposób ich wykorzystania (Data Usage), udostępnianie (Data Sharing), przechowywanie i ochronę (Data Storage & Protection) oraz retencję i usuwanie (Data Retention & Deletion).

Zakresy OAuth Google Calendar

BeautyBoostAI prosi o dostęp do Google Calendar wyłącznie w zakresie niezbędnym do obsługi rezerwacji. Każdy zakres OAuth (scope) jest używany wyłącznie w opisanym celu:

  • https://www.googleapis.com/auth/calendar.calendarlist.readonly — używany wyłącznie do odczytania listy kalendarzy Google użytkownika, aby właściciel salonu mógł wybrać kalendarz używany do obsługi rezerwacji.
  • https://www.googleapis.com/auth/calendar.events.freebusy — używany wyłącznie do sprawdzania dostępności terminów, czyli czy dany przedział czasu jest wolny lub zajęty, bez pobierania prywatnych szczegółów istniejących wydarzeń.
  • https://www.googleapis.com/auth/calendar.events — używany do tworzenia i obsługi wydarzeń rezerwacyjnych w wybranym kalendarzu Google po zebraniu danych potrzebnych do rezerwacji.

Przy sprawdzaniu dostępności BeautyBoostAI korzysta z informacji free/busy i nie pobiera tytułów, opisów, lokalizacji, uczestników ani prywatnych treści istniejących wydarzeń użytkownika, chyba że wydarzenie zostało utworzone przez BeautyBoostAI jako rezerwacja.

Jakie dane Google są dostępne dla BeautyBoostAI

W ramach integracji Google Calendar BeautyBoostAI może uzyskiwać dostęp wyłącznie do danych niezbędnych do obsługi rezerwacji wizyt, w szczególności do:

  1. listy kalendarzy Google użytkownika, aby właściciel salonu mógł wybrać kalendarz używany do rezerwacji;
  2. identyfikatora wybranego kalendarza;
  3. informacji o dostępności kalendarza, czyli o tym, czy dany przedział czasu jest wolny lub zajęty;
  4. danych wydarzeń tworzonych przez BeautyBoostAI w Google Calendar, takich jak nazwa usługi, data, godzina, czas trwania wizyty oraz podstawowe dane potrzebne do obsługi rezerwacji;
  5. technicznych identyfikatorów wydarzeń utworzonych w Google Calendar, potrzebnych do powiązania rezerwacji w BeautyBoostAI z wydarzeniem w kalendarzu;
  6. tokenów OAuth niezbędnych do utrzymania połączenia z Google Calendar, w tym tokenu odświeżania, jeżeli użytkownik udzieli takiej zgody.

BeautyBoostAI nie wykorzystuje integracji Google Calendar do pobierania prywatnych treści wydarzeń użytkownika w celach marketingowych, reklamowych, profilowania ani analityki niezwiązanej z obsługą rezerwacji.

W jaki sposób BeautyBoostAI używa danych Google

Dane Google Calendar są używane wyłącznie w celu realizacji funkcji widocznych dla użytkownika w aplikacji BeautyBoostAI, w szczególności do:

  1. połączenia konta Google Calendar z kontem salonu w BeautyBoostAI;
  2. wyświetlenia listy kalendarzy, aby użytkownik mógł wybrać kalendarz do obsługi rezerwacji;
  3. sprawdzania dostępności terminów przed zaproponowaniem klientowi godziny wizyty;
  4. niewysyłania rezerwacji na terminy oznaczone jako zajęte;
  5. proponowania alternatywnych wolnych terminów;
  6. tworzenia wydarzeń rezerwacyjnych w wybranym kalendarzu Google Calendar po zebraniu danych potrzebnych do rezerwacji;
  7. utrzymania technicznego powiązania pomiędzy rezerwacją w BeautyBoostAI a wydarzeniem utworzonym w Google Calendar.

BeautyBoostAI nie sprzedaje danych Google użytkowników, nie używa ich do reklam, nie wykorzystuje ich do profilowania i nie używa ich do trenowania modeli AI/ML.

Udostępnianie danych Google

BeautyBoostAI nie udostępnia danych Google Calendar reklamodawcom, brokerom danych ani podmiotom zajmującym się profilowaniem użytkowników.

Dane Google Calendar mogą być przetwarzane wyłącznie przez podmioty techniczne wspierające działanie BeautyBoostAI, takie jak dostawcy hostingu, infrastruktury serwerowej, bazy danych, monitoringu technicznego lub obsługi bezpieczeństwa. Takie podmioty przetwarzają dane wyłącznie w zakresie niezbędnym do działania aplikacji, utrzymania bezpieczeństwa, diagnostyki technicznej lub wykonania obowiązków prawnych.

BeautyBoostAI nie przekazuje prywatnych treści wydarzeń Google Calendar do dostawców modeli AI w celu trenowania modeli. Funkcje AI w BeautyBoostAI służą do rozumienia rozmowy klienta i obsługi procesu rezerwacji, natomiast dostępność terminów pochodzi z Google Calendar i jest wykorzystywana jako źródło prawdy dla wolnych i zajętych slotów.

Dane Google mogą zostać ujawnione wyłącznie wtedy, gdy jest to wymagane przez prawo, niezbędne do zapewnienia bezpieczeństwa aplikacji, przeciwdziałania nadużyciom, realizacji żądania użytkownika lub obsługi integracji Google Calendar.

Przechowywanie i ochrona danych Google

Tokeny OAuth (w tym token odświeżania), identyfikatory kalendarzy, identyfikatory wydarzeń oraz dane rezerwacji są przechowywane po stronie serwera i nie są udostępniane publicznie. Tokeny OAuth są szyfrowane przed zapisem w bazie danych (AES-256-GCM) i przechowywane z ograniczonym dostępem po stronie serwera. Dostęp do tych danych jest ograniczony do upoważnionych procesów backendowych BeautyBoostAI, które są niezbędne do działania integracji Google Calendar.

Komunikacja z Google Calendar odbywa się przez zabezpieczone połączenia HTTPS. Sekrety aplikacji, tokeny i klucze dostępowe są przechowywane jako dane serwerowe i nie są ujawniane w kodzie klienta, widżecie chatu ani publicznych odpowiedziach API.

BeautyBoostAI stosuje środki bezpieczeństwa takie jak kontrola dostępu, ograniczenia po stronie serwera, logowanie diagnostyczne bez tokenów i sekretów, mechanizmy ochrony przed nadużyciami oraz ograniczenie zakresu danych przetwarzanych przez aplikację do danych potrzebnych do obsługi rezerwacji.

Okres przechowywania i usuwanie danych Google

Dane Google Calendar są przechowywane tylko tak długo, jak jest to potrzebne do działania integracji, obsługi rezerwacji, bezpieczeństwa aplikacji, rozliczalności lub wykonania obowiązków prawnych.

Tokeny OAuth oraz dane połączenia z Google Calendar są przechowywane do czasu odłączenia integracji przez użytkownika, usunięcia konta salonu lub cofnięcia dostępu w ustawieniach konta Google.

Użytkownik może w każdej chwili odłączyć Google Calendar w ustawieniach BeautyBoostAI. Po odłączeniu integracji BeautyBoostAI usuwa lub dezaktywuje dane połączenia wymagane do dalszego dostępu do Google Calendar, w szczególności tokeny OAuth używane do komunikacji z Google Calendar.

Użytkownik może również zażądać usunięcia danych, kontaktując się z BeautyBoostAI pod adresem: kontakt@beautyboostai.pl. Żądanie może obejmować usunięcie konta, danych integracji Google Calendar oraz danych rezerwacji, o ile dalsze przechowywanie nie jest wymagane przez prawo lub uzasadnione obowiązkami rozliczeniowymi, bezpieczeństwem albo dochodzeniem roszczeń.

Zgodność z zasadami Google API Services User Data Policy

Wykorzystanie przez BeautyBoostAI informacji otrzymanych z Google APIs jest zgodne z Google API Services User Data Policy, w tym z wymaganiami Limited Use. BeautyBoostAI używa danych Google wyłącznie do zapewnienia lub ulepszenia funkcji widocznych dla użytkownika, związanych z integracją Google Calendar i obsługą rezerwacji wizyt.

3. Okres przechowywania

Dane przechowujemy przez okres niezbędny do realizacji celu: wykonania umowy, dochodzenia roszczeń, wypełnienia obowiązków prawnych (np. księgowych, podatkowych) lub do momentu wycofania zgody / skutecznego sprzeciwu.

  • Konto panelu — czas trwania umowy + retencja rozliczeniowa i prawna;
  • Leady i rozmowy chat — czas umowy z salonem + do 24 miesięcy (lub krócej na żądanie);
  • Billing / faktury — zgodnie z przepisami podatkowymi i rachunkowymi;
  • Legal acceptance audit — dowód akceptacji dokumentów przy rejestracji;
  • Marketing unsubscribe / consent audit — dowód wykonania obowiązków marketingowych;
  • Trial anti-abuse identities — ograniczony czas, zapobieganie wielokrotnym trialom;
  • Chat privacy consent events — audyt zgód w widgetcie;
  • Risk locks — czas blokady + krótki audyt bezpieczeństwa.

Po usunięciu konta przez użytkownika panelu dane operacyjne mogą zostać usunięte lub zanonimizowane; dane wymagane prawnie mogą być zachowane w ograniczonym zakresie (patrz Regulamin).

4. Prawa osób, których dane dotyczą

Przysługują Ci prawa: dostępu do danych (art. 15 RODO), sprostowania (art. 16), usunięcia (art. 17), ograniczenia przetwarzania (art. 18), przenoszenia danych (art. 20), sprzeciwu (art. 21) oraz wniesienia skargi do organu nadzorczego (Prezes Urzędu Ochrony Danych Osobowych). W przypadkach opartych na zgodzie — możesz ją w każdej chwili wycofać bez wpływu na zgodność z prawem przetwarzania przed wycofaniem.

5. Odbiorcy i przekazywanie danych

Dane mogą być udostępniane: dostawcom usług IT (hosting, e-mail, narzędzia analityczne) oraz podmiotom uprawnionym na podstawie przepisów prawa. W przypadku korzystania z usług podmiotów spoza EOG możliwe jest przekazanie danych do państwa trzeciego z zachowaniem wymogów RODO (np. standardowe klauzule umowne, decyzje Komisji Europejskiej).

5a. Podprocesorzy

W świadczeniu usług BeautyBoost AI korzystamy z następujących podprocesorów. Z każdym z nich obowiązują umowy powierzenia przetwarzania lub równoważne zobowiązania zgodne z RODO. Transfery danych poza EOG (gdzie występują) realizowane są z wykorzystaniem standardowych klauzul umownych (SCC) lub innych przewidzianych prawem mechanizmów.

PodprocesorCel przetwarzaniaSiedziba / EOG
NetlifyHosting aplikacji (frontend, serwery)USA (SCC)
SupabaseBaza danych, przechowywanie danych aplikacji i użytkownikówUE / USA (w zależności od regionu; SCC)
Google (Gemini)Przetwarzanie treści w celu działania AI (chat, odpowiedzi)USA (SCC)
Google (Calendar API)OAuth i synchronizacja wizyt w Kalendarzu Google klienta, jeśli klient włączy integracjęUSA / UE (SCC lub inne mechanizmy zgodne z RODO)
Microsoft (Outlook / Graph)OAuth i synchronizacja wizyt w kalendarzu Microsoft klienta, jeśli klient włączy integracjęUSA / UE (SCC lub inne mechanizmy zgodne z RODO)
Google AnalyticsAnalityka ruchu na stronie marketingowej — wyłącznie po zgodzie użytkownika (cookies analityczne)USA (SCC)
FakturowniaWystawianie faktur VAT po opłaceniu subskrypcjiPolska (EOG)
Meta (Facebook / Instagram)Messenger, Instagram DM — dostarczanie i odbieranie wiadomościUSA (SCC)
Brevo (Sendinblue)E-mail transakcyjny (powiadomienia, follow-up, kampanie)Francja (EOG)
StripePłatności, subskrypcje, fakturyUSA / Irlandia (SCC)
SerwerSMS / SMS.plSMS i OTP — wyłącznie gdy aktywny produkcyjny dostawca SMS (nie tryb mock)Polska (EOG)

Lista może być aktualizowana w związku ze zmianą dostawców. W razie pytań dotyczących konkretnego podprocesora skontaktuj się z nami (dane w sekcji Kontakt).

6. Pliki cookies i technologia śledząca

BeautyBoost AI korzysta z plików cookies i podobnych technologii w następujących kategoriach. Wybór kategorii opcjonalnych dokonujesz w banerze cookies przy pierwszej wizycie lub w dowolnym momencie przez link „Ustawienia cookies” w stopce strony.

  • Niezbędne — wymagane do działania Serwisu, bezpieczeństwa (np. sesja logowania, ochrona CSRF), formularzy, panelu użytkownika, chatu oraz zapamiętania Twoich ustawień cookies. Zawsze aktywne; nie wymagają osobnej zgody.
  • Analityczne — pomagają zrozumieć, jak użytkownicy korzystają ze strony marketingowej BeautyBoost AI (np. Google Analytics, Ahrefs Analytics — jeśli skonfigurowane). Stosujemy je wyłącznie po Twojej zgodzie. Domyślnie analityka jest wyłączona (Google Consent Mode v2: odmowa przechowywania danych analitycznych i reklamowych). Po akceptacji możemy mierzyć ruch w sposób zanonimizowany (m.in. anonymize IP). Treść rozmów w chacie nie jest wysyłana do narzędzi analitycznych (GA4, GTM, Ahrefs) jako dane analityczne.
  • Funkcjonalne — pozwalają zapamiętać wybrane ustawienia interfejsu i poprawić wygodę korzystania z serwisu. Aktywne tylko po Twojej zgodzie.
  • Reklamowe — kategoria technicznie przewidziana na przyszłość (pomiar kampanii reklamowych, remarketing). Obecnie nie jest aktywna, dopóki nie uruchomimy narzędzi reklamowych i nie włączymy tej kategorii w banerze cookies. Gdy kategoria nie jest aktywna, zgody reklamowe Google (ad_storage, ad_user_data, ad_personalization) pozostają wyłączone.

Decyzję możesz w każdej chwili zmienić przez link „Ustawienia cookies” w stopce strony. Odmowa analityki lub cookies funkcjonalnych nie blokuje korzystania z Serwisu. Po cofnięciu zgody analitycznej usuwamy znane cookies analityczne Google w przeglądarce, o ile jest to technicznie możliwe po stronie klienta.

Zapis Twojej decyzji o cookies przechowujemy lokalnie w przeglądarce (localStorage, first-party). Możesz też zarządzać cookies w ustawieniach przeglądarki. Zmiana wersji polityki cookies może wymagać ponownego wyboru w banerze.

7. Bezpieczeństwo

Stosujemy środki techniczne i organizacyjne odpowiednie do ryzyka naruszenia praw i wolności (m.in. szyfrowanie, ograniczenie dostępu, umowy z podwykonawcami). W przypadku incydentu naruszenia ochrony danych osobowych informujemy organ nadzorczy i — gdy wymagane — osoby, których dane dotyczą, zgodnie z art. 33–34 RODO.

8. Zmiany polityki

Polityka może być aktualizowana w związku ze zmianą przepisów lub sposobu świadczenia usług. O istotnych zmianach poinformujemy przez Serwis lub e-mail. Aktualna wersja jest zawsze dostępna pod adresem tej strony.

9. Kontakt

W sprawach dotyczących danych osobowych skontaktuj się z nami przez formularz na stronie lub e-mail podany w stopce Serwisu. W kwestiach regulaminowych zob. Regulamin.

← Powrót na stronę główną