Umowa powierzenia przetwarzania danych osobowych (Załącznik: DPA)

Zawarta elektronicznie pomiędzy: Partnerem (administratorem danych) – użytkownikiem biznesowym Usług (salon/gabinet/osoba samozatrudniona), który akceptuje Regulamin Terminka, oraz DOIT-BI Sp. z o.o. z siedzibą we Wrocławiu, pl. Powstańców Śląskich 1/11, 53-329 Wrocław, KRS 0001034827, NIP 8992959861, REGON 525250584 – działającą pod marką Terminka ("Podmiot przetwarzający" / "Terminka").

November 17, 2025
§1. Przedmiot, czas trwania i charakter przetwarzania
  1. Niniejszy Załącznik reguluje zasady powierzenia Termince przetwarzania danych osobowych, których administratorem jest Partner, w związku z korzystaniem z Usług (w szczególności aplikacji Terminka Partner i powiązanych modułów).
  2. Czas trwania: przez okres obowiązywania umowy o świadczenie Usług (Regulamin) oraz do chwili usunięcia/zwrotu danych zgodnie z §10 DPA.
  3. Charakter i cel: hostowanie, przechowywanie, organizowanie, porządkowanie, konsultowanie, udostępnianie na żądanie Partnera, transmisja, ograniczanie, usuwanie – w celu umożliwienia obsługi klientów Partnera, prowadzenia kalendarza i rezerwacji, rozliczeń, komunikacji, raportowania i integracji wskazanych przez Partnera.
§2. Kategorię danych i osób, zakres czynności
  1. Kategorie osób: klienci Partnera (obecni i potencjalni), personel Partnera, użytkownicy kont Partnera.
  2. Kategorie danych: dane identyfikacyjne i kontaktowe (np. imię i nazwisko, telefon, e‑mail), dane rezerwacji (terminy, statusy, usługi), notatki wizyt, zgody marketingowe (jeśli zbierane), komunikacja, identyfikatory transakcji i rozliczeń, dane techniczne (logi, IP, identyfikatory urządzeń).
  3. Szczególne kategorie danych: Terminka nie wymaga i nie rekomenduje przetwarzania danych zdrowotnych. Jeżeli Partner zdecyduje się je przetwarzać, potwierdza posiadanie odpowiedniej podstawy prawnej i ogranicza zakres do niezbędnego minimum; Terminka przetwarza je wyłącznie na udokumentowane polecenie (§3 ust. 2 DPA) i stosuje adekwatne środki bezpieczeństwa.
§3. Instrukcje i obowiązki Partnera (Administratora)
  1. Partner oświadcza, że posiada właściwą podstawę prawną do przetwarzania danych oraz przekazywania ich Termince.
  2. Terminka przetwarza dane wyłącznie na udokumentowane polecenie Partnera (w tym poprzez konfiguracje w panelu, API i pisemne/e‑mailowe instrukcje), chyba że obowiązek przetwarzania nakłada prawo UE lub RP.
  3. Partner odpowiada za spełnienie wobec osób, których dane dotyczą, obowiązków informacyjnych i realizację żądań, przy wsparciu Terminki zgodnie z §6 DPA.
§4. Obowiązki Terminki (Podmiotu przetwarzającego)

Terminka zobowiązuje się w szczególności do:

  1. zapewnienia, by osoby dopuszczone do danych zachowały poufność (zobowiązania/klauzule) i były odpowiednio przeszkolone;
  2. stosowania odpowiednich środków technicznych i organizacyjnych zgodnie z art. 32 RODO;
  3. wspierania Partnera w realizacji obowiązków z art. 32–36 RODO (bezpieczeństwo, zgłaszanie naruszeń, ocena skutków, konsultacje);
  4. pomocy w realizacji praw osób, o której mowa w §6 DPA;
  5. prowadzenia rejestru kategorii czynności przetwarzania;
  6. niezatrudniania innego podmiotu przetwarzającego bez spełnienia §5 DPA;
  7. informowania Partnera o wiążącym poleceniu prawnym, jeżeli prawo nie zabrania takiego ujawnienia;
  8. po zakończeniu świadczenia Usług – usunięcia lub zwrotu danych zgodnie z §10 DPA.
§5. Podmiot Podprzetwarzający (subprocesorzy)
  1. Partner udziela ogólnego zezwolenia na korzystanie przez Terminkę z subprocesorów.
  2. Aktualny wykaz jest publikowany na stronie Podprzetwarzający (Załącznik C Polityka Prywatności). Terminka zapewnia, że na każdego subprocesora nakłada obowiązki nie mniej restrykcyjne niż w niniejszym DPA.
  3. Terminka poinformuje Partnera o planowanych zmianach w wykazie z co najmniej 15‑dniowym wyprzedzeniem (e‑mail lub komunikat w panelu). Brak sprzeciwu w tym terminie oznacza zgodę. W razie sprzeciwu Strony podejmą starania, by znaleźć rozwiązanie (np. wyłączenie danej integracji); w braku możliwości – Partner może rozwiązać umowę w części dot. danej funkcjonalności.
§6. Prawa osób, których dane dotyczą
  1. Terminka, mając na względzie charakter przetwarzania, pomaga Partnerowi w realizacji wniosków osób (dostęp, sprostowanie, usunięcie, ograniczenie, przenoszenie, sprzeciw).
  2. Jeżeli żądanie trafi bezpośrednio do Terminki, przekażemy je Partnerowi, o ile nie ciąży na nas prawny obowiązek samodzielnej odpowiedzi.
  3. Terminka wdraża procesy umożliwiające terminową obsługę wniosków i ich udokumentowanie.
§7. Naruszenia ochrony danych
  1. O każdym naruszeniu ochrony danych Terminka zawiadomi Partnera bez zbędnej zwłoki po stwierdzeniu naruszenia, przekazując co najmniej informacje wymagane art. 33 ust. 3 RODO, w miarę ich dostępności.
  2. Terminka współpracuje przy analizie ryzyka, przygotowaniu zgłoszeń do UODO/osób i działaniach naprawczych.
§8. Środki techniczne i organizacyjne (TOM)

Co najmniej: szyfrowanie transmisji (TLS), kontrola dostępu i uprawnień (role/ACL, MFA dla personelu), segmentacja środowisk, pseudonimizacja tam, gdzie to możliwe, szyfrowanie wybranych danych w spoczynku, rejestrowanie i monitorowanie zdarzeń, testy bezpieczeństwa i zarządzanie podatnościami, kopie zapasowe i odtwarzanie, procedury ciągłości działania, weryfikacja dostawców, zasada minimalizacji. Szczegółowy opis TOM może być udostępniany Partnerom na życzenie w postaci arkusza kontroli.

§9. Audyty i inspekcje
  1. Partner ma prawo przeprowadzić audyt (desk‑audit na podstawie ankiety/raportów) nie częściej niż raz na 12 miesięcy, z 14‑dniowym wyprzedzeniem, w godzinach pracy i bez nadmiernego zakłócania działalności Terminki; audyt on‑site możliwy w uzasadnionych przypadkach.
  2. Strony zapewnią poufność i bezpieczeństwo informacji. Koszty nadzwyczajnych audytów ponosi Partner, chyba że audyt wykaże istotne naruszenia po stronie Terminki.
§10. Zwrot i usunięcie danych
  1. Po zakończeniu świadczenia Usług Terminka, według wyboru Partnera zgłoszonego w ciągu 30 dni, zapewni eksport danych w ustrukturyzowanym formacie (np. CSV/JSON) i następnie usunie dane z systemów operacyjnych w terminie do 60 dni, chyba że dłuższe przechowywanie wymagane jest przepisami prawa (wówczas dane zostaną odpowiednio zablokowane).
  2. Kopie zapasowe ulegają nadpisaniu/usunięciu w standardowych cyklach retencyjnych.
§11. Transfery poza EOG

Jeżeli dochodzi do przekazania danych poza EOG, Terminka zapewnia podstawę prawną zgodnie z rozdziałem V RODO (np. SCC) oraz – gdy to konieczne – dodatkowe środki (np. szyfrowanie, ograniczenia dostępu). Preferowane lokalizacje centrów danych: EOG.

§12. Odpowiedzialność i pierwszeństwo

Odpowiedzialność Stron określa umowa główna (Regulamin) w zakresie dopuszczalnym przez prawo; postanowienia RODO mają pierwszeństwo. W razie sprzeczności zapisów, pierwszeństwo w kwestiach przetwarzania danych ma niniejszy Załącznik - DPA.

§13. Wejście w życie i forma
  1. DPA wchodzi w życie z chwilą akceptacji Regulaminu przez Partnera (click‑wrap) i stanowi jego integralną część.
  2. Strony potwierdzają, że DPA jest zawarte w formie elektronicznej (art. 28 ust. 9 RODO) i jest równoważne formie pisemnej.
  3. Terminka prowadzi ewidencję akceptacji (m.in. data/godzina, identyfikator konta, adres IP, wersja dokumentu) oraz udostępnia aktualną wersję online.
Dane kontaktowe w sprawach ochrony danych:

IOD: rodo@doit-bi.com
Adres korespondencyjny: DOIT-BI Sp. z o.o., pl. Powstańców Śląskich 1/11, 53‑329 Wrocław, Polska.