Wersja dokumentu: 2026-05-24. Niniejsza Umowa powierzenia przetwarzania danych osobowych (dalej: „Umowa” / „DPA”) zawierana jest na podstawie art. 28 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO) i stanowi integralną część Regulaminu akceptowanego przy zakładaniu konta.
1. Strony i role
- Administrator — salon (przedsiębiorca) korzystający z usługi Trimora, decydujący o celach i sposobach przetwarzania danych swoich klientów końcowych.
- Procesor (podmiot przetwarzający) — Damian Zieliński, prowadzący serwis Trimora, e-mail: kontakt@trimora.pl.
Administrator powierza Procesorowi przetwarzanie danych osobowych w zakresie i na zasadach określonych w niniejszej Umowie, wyłącznie w celu świadczenia usługi.
2. Przedmiot, czas, charakter i cel przetwarzania
- Przedmiot: przetwarzanie danych klientów końcowych Administratora w ramach systemu rezerwacji i zarządzania salonem.
- Czas: przez okres obowiązywania umowy o świadczenie usługi (posiadania konta).
- Charakter i cel: przechowywanie i przetwarzanie danych w celu obsługi rezerwacji, komunikacji z klientami, programów lojalnościowych, płatności i statystyk.
3. Rodzaj danych i kategorie osób
- Kategorie osób: klienci końcowi salonu, osoby rezerwujące wizyty, pracownicy salonu wprowadzeni do systemu.
- Rodzaj danych: imię i nazwisko, e-mail, numer telefonu, historia wizyt i rezerwacji, notatki o kliencie, dane lojalnościowe, dane transakcyjne.
- Dane szczególnej kategorii: system nie jest przeznaczony do przetwarzania danych szczególnych (art. 9 RODO). Jeżeli Administrator wprowadza w notatkach informacje mogące dotyczyć zdrowia (np. alergie), robi to na własną odpowiedzialność i zapewnia odpowiednią podstawę prawną oraz zgodę osoby.
4. Obowiązki Procesora (art. 28 ust. 3 RODO)
Procesor zobowiązuje się, że:
- przetwarza dane wyłącznie na udokumentowane polecenie Administratora (za polecenie uznaje się korzystanie z funkcji systemu), chyba że obowiązek wynika z prawa;
- zapewnia, że osoby upoważnione do przetwarzania zobowiązały się do zachowania poufności;
- stosuje środki bezpieczeństwa wymagane art. 32 RODO (pkt 6);
- przestrzega warunków korzystania z podprocesorów (pkt 5);
- w miarę możliwości pomaga Administratorowi w realizacji żądań osób, których dane dotyczą (pkt 7);
- pomaga Administratorowi wywiązać się z obowiązków z art. 32–36 RODO (bezpieczeństwo, zgłaszanie naruszeń, ocena skutków);
- po zakończeniu świadczenia usługi usuwa lub zwraca dane (pkt 9);
- udostępnia informacje niezbędne do wykazania zgodności oraz umożliwia audyty (pkt 8).
5. Podprocesorzy (art. 28 ust. 2 i 4)
Administrator udziela Procesorowi ogólnej zgody na korzystanie z podprocesorów wymienionych w aktualnej Liście podprocesorów. O zamiarze dodania lub zmiany podprocesora Procesor informuje z wyprzedzeniem co najmniej 14 dni, umożliwiając zgłoszenie sprzeciwu. Procesor nakłada na podprocesorów obowiązki ochrony danych nie mniej restrykcyjne niż w niniejszej Umowie i odpowiada za ich działania jak za własne.
6. Bezpieczeństwo przetwarzania (art. 32)
Procesor stosuje m.in.:
- szyfrowanie transmisji (TLS), haszowanie haseł (bcrypt), uwierzytelnianie dwuskładnikowe (2FA/TOTP);
- kontrolę dostępu w oparciu o role i zasadę najmniejszych uprawnień;
- rejestrowanie zdarzeń (audit log), monitoring i wykrywanie nadużyć (rate-limiting, ochrona przed SSRF);
- regularne kopie zapasowe oraz aktualizacje i skanowanie podatności;
- separację środowisk i nagłówki bezpieczeństwa (HSTS, CSP, X-Frame-Options).
7. Pomoc w realizacji praw osób
System udostępnia Administratorowi narzędzia do realizacji praw osób (dostęp, sprostowanie, usunięcie/anonimizacja, eksport danych) w panelu (Ustawienia → RODO). Procesor wspiera Administratora w obsłudze żądań, których nie da się zrealizować samodzielnie w panelu.
8. Zgłaszanie naruszeń ochrony danych (art. 33)
W razie stwierdzenia naruszenia ochrony danych powierzonych przez Administratora, Procesor zgłasza je Administratorowi bez zbędnej zwłoki, nie później niż w ciągu 48 godzin od wykrycia, przekazując informacje niezbędne Administratorowi do dokonania zgłoszenia do Prezesa UODO (w terminie 72 godzin) oraz, w razie potrzeby, powiadomienia osób.
9. Audyt i kontrola
Procesor udostępnia Administratorowi informacje niezbędne do wykazania zgodności z art. 28 oraz umożliwia audyty (w tym inspekcje) — z zachowaniem rozsądnego wyprzedzenia, poufności i bezpieczeństwa innych klientów. Audyty mogą być realizowane poprzez udostępnienie dokumentacji, raportów lub odpowiedzi na kwestionariusz.
10. Usunięcie lub zwrot danych po zakończeniu
Po rozwiązaniu umowy o świadczenie usługi Procesor, zależnie od wyboru Administratora, zwraca dane (eksport) lub je usuwa, a także usuwa istniejące kopie, chyba że obowiązek przechowywania wynika z prawa. Usunięcie salonu z panelu skutkuje trwałym usunięciem danych powierzonych.
11. Transfery do państw trzecich
Dane podstawowe przechowywane są w EOG. Ewentualne transfery do państw trzecich (np. niektórzy podprocesorzy w USA) odbywają się wyłącznie na podstawie decyzji o adekwatności, EU Data Privacy Framework lub Standardowych Klauzul Umownych (SCC) — zgodnie z Listą podprocesorów.
12. Odpowiedzialność
Każda ze Stron odpowiada za szkody wyrządzone przetwarzaniem niezgodnym z RODO na zasadach art. 82 RODO. Ograniczenia odpowiedzialności określa Regulamin.
13. Zawarcie i czas obowiązywania
Umowę uznaje się za zawartą z chwilą akceptacji przy zakładaniu konta (zaznaczenie zgody). System zapisuje datę oraz wersję zaakceptowanego dokumentu. W razie istotnej zmiany treści Umowy Administrator może zostać poproszony o ponowną akceptację. Umowa obowiązuje przez czas świadczenia usługi.
14. Postanowienia końcowe
W sprawach nieuregulowanych stosuje się RODO i prawo polskie. Spory rozstrzyga sąd właściwy miejscowo dla siedziby Procesora.