BeautyBoost AI — logoBeautyBoost AI

Umowa powierzenia przetwarzania danych osobowych

Ostatnia aktualizacja: 14.06.2026

Dokument wymaga finalnej weryfikacji prawnej przed masową sprzedażą.

1. Strony umowy

Administrator danych — salon, klinika medycyny estetycznej lub inny podmiot korzystający z BeautyBoost AI (Użytkownik / Klient w rozumieniu Regulaminu), który decyduje o celach i sposobach przetwarzania danych swoich klientów końcowych.

Podmiot przetwarzający (procesor) — devsentinel Krzysztof Jaroński, ul. Wiosenna 22 lok. 1, 83-032 Skowarcz, NIP: 9571051805, świadczący usługę BeautyBoost AI (SaaS).

Umowa zostaje zawarta poprzez akceptację niniejszego dokumentu przy zakładaniu konta / rozpoczęciu triala oraz zawarcie umowy o świadczenie usług drogą elektroniczną na warunkach Regulaminu.

2. Przedmiot powierzenia

Procesor przetwarza dane osobowe w imieniu Administratora wyłącznie w celu:

  • udostępnienia i utrzymania systemu SaaS BeautyBoost AI (panel, konfiguracja usług salonu);
  • obsługi widgetu chat i kanałów komunikacji (w tym Meta Messenger / Instagram DM, jeśli włączone);
  • obsługi zgłoszeń, leadów i rezerwacji w zakresie skonfigurowanym przez Administratora;
  • wysyłki wiadomości e-mail i automatyzacji (follow-up, reaktywacje) — w tym kampanii mailingowych wyłącznie gdy Administrator posiada wymagane zgody marketingowe od odbiorców;
  • integracji technicznych wymaganych przez usługę: kalendarze (Google / Microsoft), Meta, Stripe, Fakturownia, Brevo, analityka po zgodzie cookies, dostawca modeli AI;
  • rozliczeń subskrypcji, bezpieczeństwa, zapobiegania nadużyciom (trial anti-abuse, abuse lockout chatu) oraz realizacji obowiązków prawnych Procesora wobec Użytkownika panelu.

3. Czas trwania

Umowa powierzenia obowiązuje przez czas trwania umowy o świadczenie usług BeautyBoost AI oraz — w zakresie niezbędnym — przez okres retencji po jej zakończeniu (m.in. dane rozliczeniowe, audyt zgód, dowody wykonania obowiązków), zgodnie z Polityką prywatności i Regulaminem.

4. Charakter i cel przetwarzania

  • obsługa zapytań klientów końcowych przez chat i powiązane kanały;
  • rezerwacje, terminy wizyt i komunikacja w sprawie usług salonu;
  • automatyzacje marketingowe i operacyjne skonfigurowane przez Administratora;
  • panel klienta B2B, raportowanie i administracja kontem;
  • rozliczenia, fakturowanie i wsparcie techniczne.

5. Kategorie danych i osób

5.1. Kategorie danych (w zależności od konfiguracji i treści rozmów)

  • dane identyfikacyjne i kontaktowe klientów końcowych (imię, e-mail, telefon);
  • treść rozmów w chat;
  • preferencje usług, terminów i innych ustaleń wizyty;
  • dane techniczne sesji (np. user agent, zahashowany adres IP, identyfikatory sesji);
  • zgody privacy / marketing / health data zarejestrowane w widgetcie chat;
  • status wypisu z kampanii marketingowych (unsubscribe);
  • potencjalnie dane dotyczące zdrowia lub stanu medycznego — jeśli klient końcowy poda je w rozmowie lub Administrator włączy opcjonalną zgodę na dane zdrowotne w konfiguracji widgetu.

5.2. Kategorie osób

  • klienci salonu / kliniki (użytkownicy chatu);
  • użytkownicy panelu BeautyBoost AI (pracownicy / właściciele salonu);
  • osoby kontaktowe Administratora.

6. Obowiązki Procesora

Procesor zobowiązuje się do:

  • przetwarzania danych wyłącznie na udokumentowane polecenie Administratora (konfiguracja panelu, Regulamin, niniejsza umowa);
  • zachowania poufności osób upoważnionych do przetwarzania;
  • stosowania środków bezpieczeństwa adekwatnych do ryzyka (m.in. szyfrowanie, kontrola dostępu, logowanie zdarzeń);
  • wspierania Administratora w realizacji praw osób, których dane dotyczą, w zakresie technicznie możliwym;
  • wspierania przy zgłoszeniach naruszeń ochrony danych;
  • usunięcia lub zwrotu danych po zakończeniu umowy — z uwzględnieniem retencji wymaganej prawem i audytu;
  • udostępnienia informacji niezbędnych do wykazania zgodności oraz audytu (w rozsądnym zakresie).

7. Obowiązki Administratora

Administrator oświadcza, że:

  • posiada podstawę prawną przetwarzania danych swoich klientów końcowych;
  • zbiera zgody marketingowe przed wysyłką kampanii i respektuje wypisy (unsubscribe);
  • informuje klientów końcowych o przetwarzaniu (w tym poprzez gate prywatności w widgetcie chat, jeśli włączony);
  • nie wykorzystuje systemu do treści niezgodnych z prawem (spam, nienawiść, nielegalne porady medyczne poza zakresem usług salonu itd.).

8. Podprocesorzy

Administrator wyraża ogólną zgodę na korzystanie z podprocesorów wymienionych w Polityce prywatności, w tym m.in.:

  • Netlify — hosting aplikacji;
  • Supabase — baza danych i backend;
  • Brevo — e-mail transakcyjny i kampanie (po zgodzie marketingowej odbiorcy);
  • Stripe — płatności;
  • Fakturownia — faktury VAT;
  • Meta — Messenger / Instagram DM;
  • Google Calendar / Microsoft Outlook (Graph) — integracje kalendarzowe;
  • Google Analytics — analityka strony marketingowej wyłącznie po zgodzie cookies (Consent Mode v2);
  • dostawca modeli AI (np. Google Gemini) — generowanie odpowiedzi w chat;
  • dostawca SMS (np. SerwerSMS) — wyłącznie gdy funkcja SMS jest aktywna w produkcyjnej konfiguracji; tryb SMS_PROVIDER=mock nie jest aktywną usługą SMS dla klientów końcowych.

O istotnych zmianach listy podprocesorów Procesor poinformuje z odpowiednim wyprzedzeniem (np. aktualizacja Polityki prywatności).

9. Transfer poza EOG

Jeżeli podprocesor przetwarza dane poza Europejskim Obszarem Gospodarczym, transfer odbywa się z zachowaniem wymogów RODO (m.in. standardowe klauzule umowne SCC lub inne mechanizmy przewidziane prawem), o czym informuje Polityka prywatności.

10. Naruszenia danych

Procesor niezwłocznie informuje Administratora o stwierdzonym naruszeniu ochrony danych osobowych dotyczącym danych powierzonych, jeżeli może ono powodować wysokie ryzyko naruszenia praw osób. Strony współpracują przy dochowaniu obowiązków informacyjnych wobec organu nadzorczego i osób, których dane dotyczą.

11. Usuwanie konta i retencja

Po żądaniu usunięcia konta przez Użytkownika panelu dane operacyjne mogą zostać usunięte lub zanonimizowane zgodnie z Regulaminem i Polityką prywatności. Dane wymagane prawnie (rozliczenia, audyt akceptacji dokumentów, dowody zgód marketingowych / wypisów / chat privacy consent) mogą być przechowywane przez ograniczony czas.

12. Dozwolone domeny i bezpieczeństwo chatu

Widget chat może być osadzany wyłącznie na domenach skonfigurowanych przez Administratora (allowed domains). Procesor może czasowo ograniczyć lub zablokować rozmowę (abuse lockout) przy wykryciu nadużyć, spamu lub treści nielegalnych — w celu ochrony infrastruktury i innych użytkowników.

13. Kontakt

W sprawach dotyczących powierzenia danych skontaktuj się z Procesorem przez formularz na stronie lub e-mail podany w stopce Serwisu. W sprawach danych klientów końcowych salonu — kontakt z Administratorem (salonem) jako właściwym administratorem tych danych.

← Powrót na stronę główną