Umowa powierzenia przetwarzania danych osobowych (Załącznik: DPA)

Zawarta elektronicznie pomiędzy: Partnerem (administratorem danych) – użytkownikiem biznesowym Usług (salon/gabinet/osoba samozatrudniona), który akceptuje Regulamin Terminka, oraz DOIT-BI Sp. z o.o. z siedzibą we Wrocławiu, pl. Powstańców Śląskich 1/11, 53-329 Wrocław, KRS 0001034827, NIP 8992959861, REGON 525250584 – działającą pod marką Terminka ("Podmiot przetwarzający" / "Terminka").

March 18, 2026

§1. Przedmiot, czas trwania i charakter przetwarzania

  1. Niniejszy Załącznik reguluje zasady powierzenia Termince przetwarzania danych osobowych, których administratorem jest Partner, w związku z korzystaniem z Usług, w szczególności aplikacji Terminka Partner oraz powiązanych modułów.

  2. Czas trwania: przez okres obowiązywania umowy o świadczenie Usług (Regulamin) oraz do chwili usunięcia lub zwrotu danych zgodnie z §10 DPA.

  3. Charakter i cel: hostowanie, przechowywanie, organizowanie, porządkowanie, konsultowanie, udostępnianie na żądanie Partnera, transmisja, ograniczanie i usuwanie – w celu umożliwienia obsługi klientów Partnera, prowadzenia kalendarza i rezerwacji, administracji Kontem Partnera, korzystania z funkcji płatnych Terminki, komunikacji, raportowania i integracji wskazanych przez Partnera. Jeżeli Partner korzysta z funkcji publicznej prezentacji Profilu lub oferty, przetwarzanie może obejmować również udostępnianie danych i materiałów Partnera w kanałach Terminki zgodnie z konfiguracją i instrukcjami Partnera.

§2. Kategorie danych i osób, zakres czynności

  1. Kategorie osób: klienci Partnera (obecni i potencjalni), personel Partnera, użytkownicy kont Partnera.

  2. Kategorie danych: dane identyfikacyjne i kontaktowe (np. imię i nazwisko, telefon, e-mail), dane rezerwacji (terminy, statusy, usługi), notatki wizyt, zgody marketingowe (jeśli zbierane), komunikacja, identyfikatory płatności i rozliczeń związanych z korzystaniem przez Partnera z funkcji płatnych Terminki, dane techniczne (logi, IP, identyfikatory urządzeń).

  3. Szczególne kategorie danych: Terminka nie wymaga przetwarzania szczególnych kategorii danych osobowych. Jeżeli Partner zdecyduje się je przetwarzać, potwierdza posiadanie odpowiedniej podstawy prawnej i ogranicza zakres danych do niezbędnego minimum. Terminka przetwarza takie dane wyłącznie na udokumentowane polecenie Partnera i stosuje adekwatne środki bezpieczeństwa.

§3. Instrukcje i obowiązki Partnera (Administratora)

  1. Partner oświadcza, że posiada właściwą podstawę prawną do przetwarzania danych oraz przekazywania ich Termince.

  2. Terminka przetwarza dane wyłącznie na udokumentowane polecenie Partnera (w tym poprzez konfiguracje w panelu, API, akceptację odpowiednich opcji w interfejsie Usług oraz pisemne lub e-mailowe instrukcje), chyba że obowiązek przetwarzania nakłada prawo UE lub RP. Polecenie Partnera może obejmować również opcjonalne wsparcie wdrożeniowe, w tym techniczne utworzenie Konta, wstępne uzupełnienie Profilu oraz import lub wprowadzenie danych oferty, usług, cen, czasu trwania usług i danych kontaktowych na podstawie materiałów przekazanych przez Partnera.

  3. Partner odpowiada za spełnienie wobec osób, których dane dotyczą, obowiązków informacyjnych i realizację żądań, przy wsparciu Terminki zgodnie z §6 DPA.

§4. Obowiązki Terminki (Podmiotu przetwarzającego)

Terminka zobowiązuje się w szczególności do:

  1. zapewnienia, by osoby dopuszczone do danych zachowały poufność i były odpowiednio przeszkolone;

  2. stosowania odpowiednich środków technicznych i organizacyjnych zgodnie z art. 32 RODO;

  3. wspierania Partnera w realizacji obowiązków z art. 32–36 RODO, w szczególności dotyczących bezpieczeństwa, zgłaszania naruszeń, oceny skutków i konsultacji;

  4. pomocy w realizacji praw osób, o której mowa w §6 DPA;

  5. prowadzenia rejestru kategorii czynności przetwarzania, jeżeli jest wymagany;

  6. niezatrudniania innego podmiotu przetwarzającego bez spełnienia §5 DPA;

  7. informowania Partnera o wiążącym poleceniu prawnym, jeżeli prawo nie zabrania takiego ujawnienia;

  8. po zakończeniu świadczenia Usług – usunięcia lub zwrotu danych zgodnie z §10 DPA.

§5. Podmioty podprzetwarzające (subprocesorzy)

  1. Partner udziela ogólnego zezwolenia na korzystanie przez Terminkę z subprocesorów.

  2. Aktualny wykaz subprocesorów jest publikowany na stronie Podprzetwarzający. Terminka zapewnia, że na każdego subprocesora nakłada obowiązki nie mniej restrykcyjne niż w niniejszym DPA.

  3. Terminka poinformuje Partnera o planowanych zmianach w wykazie z co najmniej 15-dniowym wyprzedzeniem (e-mail lub komunikat w panelu). Brak sprzeciwu w tym terminie oznacza zgodę. W razie sprzeciwu Strony podejmą starania, by znaleźć rozwiązanie, np. wyłączenie danej integracji; w braku możliwości Partner może rozwiązać umowę w części dotyczącej danej funkcjonalności.

§6. Prawa osób, których dane dotyczą

  1. Terminka, mając na względzie charakter przetwarzania, pomaga Partnerowi w realizacji wniosków osób, których dane dotyczą, w szczególności w zakresie dostępu, sprostowania, usunięcia, ograniczenia, przenoszenia i sprzeciwu.

  2. Jeżeli żądanie trafi bezpośrednio do Terminki, Terminka przekaże je Partnerowi, o ile nie ciąży na niej prawny obowiązek samodzielnej odpowiedzi.

  3. Terminka wdraża procesy umożliwiające terminową obsługę wniosków oraz ich udokumentowanie.

§7. Naruszenia ochrony danych

  1. O każdym naruszeniu ochrony danych Terminka zawiadomi Partnera bez zbędnej zwłoki po stwierdzeniu naruszenia, przekazując co najmniej informacje wymagane art. 33 ust. 3 RODO, w miarę ich dostępności.

  2. Terminka współpracuje z Partnerem przy analizie ryzyka, przygotowaniu zgłoszeń do UODO lub osób, których dane dotyczą, oraz przy działaniach naprawczych.

§8. Środki techniczne i organizacyjne (TOM)

Terminka stosuje co najmniej następujące środki techniczne i organizacyjne:

  • szyfrowanie transmisji (TLS),
  • kontrolę dostępu i uprawnień, w tym role/ACL oraz MFA dla personelu,
  • segmentację środowisk,
  • pseudonimizację tam, gdzie to możliwe,
  • szyfrowanie wybranych danych w spoczynku,
  • rejestrowanie i monitorowanie zdarzeń,
  • testy bezpieczeństwa i zarządzanie podatnościami,
  • kopie zapasowe i procedury odtwarzania,
  • procedury ciągłości działania,
  • weryfikację dostawców,
  • zasadę minimalizacji danych.

Szczegółowy opis TOM może być udostępniany Partnerom na życzenie w postaci arkusza kontroli albo innej równoważnej dokumentacji.

§9. Audyty i inspekcje

  1. Partner ma prawo przeprowadzić audyt typu desk-audit na podstawie ankiety, raportów lub dokumentacji nie częściej niż raz na 12 miesięcy, z 14-dniowym wyprzedzeniem, w godzinach pracy i bez nadmiernego zakłócania działalności Terminki. Audyt on-site jest możliwy wyłącznie w uzasadnionych przypadkach.

  2. Strony zapewnią poufność i bezpieczeństwo informacji ujawnianych w toku audytu. Koszty nadzwyczajnych audytów ponosi Partner, chyba że audyt wykaże istotne naruszenia po stronie Terminki.

§10. Zwrot i usunięcie danych

  1. Po zakończeniu świadczenia Usług Terminka, według wyboru Partnera zgłoszonego w ciągu 30 dni, zapewni eksport danych w ustrukturyzowanym formacie (np. CSV/JSON), a następnie usunie dane z systemów operacyjnych w terminie do 60 dni, chyba że dłuższe przechowywanie wymagane jest przepisami prawa; w takim przypadku dane zostaną odpowiednio zablokowane.

  2. Kopie zapasowe ulegają nadpisaniu lub usunięciu w standardowych cyklach retencyjnych.

§11. Transfery poza EOG

Jeżeli dochodzi do przekazania danych poza EOG, Terminka zapewnia podstawę prawną zgodnie z rozdziałem V RODO, np. standardowe klauzule umowne (SCC), oraz – gdy to konieczne – dodatkowe środki, takie jak szyfrowanie lub ograniczenia dostępu. Preferowane lokalizacje centrów danych: EOG.

§12. Odpowiedzialność i pierwszeństwo

  1. Odpowiedzialność Stron określa umowa główna (Regulamin) w zakresie dopuszczalnym przez prawo; postanowienia RODO mają pierwszeństwo.

  2. W razie sprzeczności zapisów, pierwszeństwo w kwestiach przetwarzania danych ma niniejszy Załącznik – DPA.

§13. Wejście w życie i forma

  1. DPA wchodzi w życie z chwilą akceptacji Regulaminu przez Partnera (click-wrap) i stanowi jego integralną część.

  2. Strony potwierdzają, że DPA jest zawarte w formie elektronicznej zgodnie z art. 28 ust. 9 RODO i jest równoważne formie pisemnej.

  3. Terminka prowadzi ewidencję akceptacji, obejmującą w szczególności datę i godzinę akceptacji, identyfikator konta, adres IP oraz wersję dokumentu, oraz udostępnia aktualną wersję online.

Dane kontaktowe w sprawach ochrony danych

Kontakt ds. ochrony danych: rodo@terminka.com

Adres korespondencyjny:
DOIT-BI Sp. z o.o.
pl. Powstańców Śląskich 1/11
53-329 Wrocław
Polska