🔒 Polityka Prywatności i Przechowywania Plików Cookies

Spis treści

I Postanowienia ogólne

  1. Niniejsza Polityka Prywatności Aplikacji GabinetOnline (dalej: „Aplikacja" lub „Platforma") ma charakter informacyjny i określa zasady przetwarzania danych osobowych przez Administratora.
  2. Administratorem danych osobowych przetwarzanych w związku z korzystaniem ze strony internetowej Aplikacji jest Rybczak i Wspólnicy Sp. z o.o. z siedzibą w Jankowicach (44-264) przy ul. Przyjemnej 4, wpisana do rejestru przedsiębiorców prowadzonego przez Sąd Rejonowy w Gliwicach, X Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS 0000361541, NIP 642-318-72-10, Regon 243640719, kapitał zakładowy: 17 500,00 PLN, adres e-mail: biuro@gabinetonline.com.pl, zwana dalej „Administratorem".
  3. GabinetOnline to platforma SaaS (oprogramowanie jako usługa) przeznaczona dla salonów fryzjerskich, kosmetycznych i beauty (dalej: „Klienci Platformy"). W zakresie danych osobowych klientów końcowych salonów Administrator pełni rolę podmiotu przetwarzającego – szczegóły w sekcji IV.
  4. Dane osobowe są przetwarzane zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO), ustawą o ochronie danych osobowych z dnia 10 maja 2018 r. oraz innymi obowiązującymi przepisami prawa.
  5. Administrator przetwarza dane zgodnie z zasadami minimalizacji, ograniczenia celu, ograniczenia przechowywania, integralności i poufności.
  6. W sprawach dotyczących ochrony danych osobowych można kontaktować się pod adresem: biuro@gabinetonline.com.pl.

II Status odwiedzającego i rodzaj danych

  1. Odwiedzającym jest każda osoba przeglądająca strony internetowe Aplikacji pod adresem gabinetonline.com.pl.
  2. Podczas przeglądania stron internetowych Aplikacji automatycznie zbierane są dane dotyczące Odwiedzającego, w szczególności: adres IP, nazwa domeny, typ przeglądarki, typ systemu operacyjnego. Dane te mogą być zbierane przez pliki Cookies.
  3. Administrator przetwarza zanonimizowane dane eksploatacyjne dla celów statystycznych i administracyjnych. Dane te mają charakter zbiorczy i anonimowy, tj. nie zawierają cech identyfikujących osoby.
  4. Użytkownikiem jest osoba posiadająca konto w Aplikacji (właściciel lub pracownik salonu). Dane przetwarzane w ramach konta obejmują: imię i nazwisko, adres e-mail, numer telefonu, nazwę firmy, dane rozliczeniowe.

III Cel i podstawy przetwarzania danych

Administrator przetwarza dane osobowe Odwiedzających i Użytkowników w następujących celach:

  1. Zawarcia i realizacji umowy o świadczenie usług, w tym umożliwienia korzystania z Platformy (art. 6 ust. 1 lit. b RODO).
  2. Obsługi konta użytkownika oraz kontaktu w sprawach dotyczących usługi (art. 6 ust. 1 lit. b RODO).
  3. Wystawiania faktur i rozliczeń (art. 6 ust. 1 lit. c RODO – obowiązek prawny).
  4. Archiwizacji i zabezpieczenia informacji na wypadek prawnej potrzeby wykazania faktów (art. 6 ust. 1 lit. f RODO – prawnie uzasadniony interes).
  5. Ustalenia, dochodzenia lub obrony przed roszczeniami (art. 6 ust. 1 lit. f RODO).
  6. Badania satysfakcji Klientów i poprawy jakości usług (art. 6 ust. 1 lit. f RODO).
  7. Przesyłania informacji handlowych i marketingowych – wyłącznie za odrębną zgodą (art. 6 ust. 1 lit. a RODO).

IV GabinetOnline jako podmiot przetwarzający dane salonów

  1. W zakresie danych osobowych klientów końcowych salonów (osób zapisanych na wizyty, przechowywanych w bazie klientów salonu), GabinetOnline pełni rolę podmiotu przetwarzającego (procesora) w rozumieniu art. 28 RODO. Administratorem tych danych pozostaje salon (Klient Platformy).
  2. Przetwarzanie odbywa się wyłącznie na udokumentowane polecenie Klienta Platformy, w celu świadczenia funkcjonalności Aplikacji (zarządzanie kalendarzem, klientami, usługami, komunikacją SMS/e-mail, raportami).
  3. Podstawą przetwarzania jest umowa o powierzenie przetwarzania danych osobowych zawierana pomiędzy GabinetOnline a każdym Klientem Platformy. Umowa reguluje m.in. zakres, cel i czas przetwarzania danych oraz zobowiązania w zakresie bezpieczeństwa.
  4. GabinetOnline nie przetwarza danych klientów salonów dla własnych celów marketingowych ani nie udostępnia ich podmiotom trzecim poza przypadkami wskazanymi w niniejszej Polityce.
  5. Salon jako administrator danych zobowiązany jest do posiadania odpowiedniej podstawy prawnej przetwarzania danych swoich klientów oraz do wypełnienia wobec nich obowiązku informacyjnego z art. 13–14 RODO.

V Asystent AI – przetwarzanie danych

Aplikacja zawiera wbudowanego Asystenta AI opartego na zewnętrznym modelu językowym (LLM). Poniższa sekcja wyjaśnia, jak dane są przetwarzane w ramach tej funkcjonalności.
  1. Co jest wysyłane do modelu AI: Treści wpisywane przez użytkownika w oknie czatu Asystenta AI mogą zawierać dane osobowe (np. imiona klientów, numery telefonów, informacje o wizytach). Dane te są przekazywane do zewnętrznego dostawcy modelu językowego wyłącznie w celu wygenerowania odpowiedzi asystenta.
  2. Dostawca modelu AI: Aplikacja korzysta z API firmy Anthropic PBC (Claude) oraz OpenAI (GPT). Dane są przetwarzane przez tych dostawców jako podprocesory na podstawie zawartych umów (DPA). Szczegóły w sekcji VIII i IX.
  3. Minimalizacja danych: Do modelu AI przekazywane są wyłącznie informacje niezbędne do udzielenia odpowiedzi. System nie wysyła haseł, danych płatniczych ani danych szczególnych kategorii (art. 9 RODO).
  4. Historia rozmów: Treści rozmów z Asystentem AI są zapisywane w bazie danych Platformy na serwerze w Polsce i mogą być analizowane przez wewnętrzny system nadzoru (AI Supervisor) w celu poprawy jakości odpowiedzi asystenta. Dostęp do historii mają wyłącznie uprawnieni pracownicy Administratora.
  5. Podstawa prawna: Przetwarzanie danych w ramach Asystenta AI odbywa się na podstawie art. 6 ust. 1 lit. b RODO (wykonanie umowy) oraz art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes polegający na doskonaleniu usługi).
  6. Jak wyłączyć: Korzystanie z Asystenta AI jest dobrowolne. Użytkownik może nie korzystać z okna czatu asystenta – nie wpływa to na dostęp do pozostałych funkcji Aplikacji.

VI Integracja z Google Calendar

Aplikacja udostępnia opcjonalną integrację z usługą Google Calendar, umożliwiającą synchronizację wizyt do prywatnego kalendarza Google pracownika salonu. Integracja jest dobrowolna i aktywowana wyłącznie po świadomym połączeniu konta Google przez danego pracownika.
  1. Jakie dane są przekazywane: Po połączeniu kalendarza, w celu synchronizacji grafiku pracy, do usługi Google Calendar przekazywane są informacje o wizytach obsługiwanych przez danego pracownika: data, godzina rozpoczęcia i czas trwania wizyty oraz nazwa usługi. Opcjonalnie – wyłącznie jeśli właściciel salonu włączył tę opcję w ustawieniach (domyślnie wyłączoną) – przekazywane jest również imię i nazwisko klienta.
  2. Czego nie przekazujemy: Do Google nie są przekazywane numery telefonów, adresy e-mail, dane płatnicze ani inne dane klientów poza wymienionymi powyżej.
  3. Zakres dostępu: Aplikacja korzysta z uprawnienia Google calendar.events, które pozwala wyłącznie na tworzenie, aktualizowanie i usuwanie wydarzeń odpowiadających wizytom w kalendarzu połączonego użytkownika. Aplikacja nie odczytuje innych wydarzeń z kalendarza użytkownika ani nie zarządza listami kalendarzy.
  4. Podstawa prawna: Przetwarzanie w ramach integracji odbywa się na podstawie zgody pracownika (art. 6 ust. 1 lit. a RODO) wyrażanej przy połączeniu kalendarza oraz w celu wykonania umowy o świadczenie usług (art. 6 ust. 1 lit. b RODO).
  5. Przekazywanie poza EOG: Administratorem usługi Google Calendar jest Google Ireland Ltd., a dane mogą być przetwarzane także przez Google LLC na serwerach w Stanach Zjednoczonych, poza Europejskim Obszarem Gospodarczym – szczegóły w sekcjach IX i X.
  6. Zgoda i jej wycofanie: Połączenie kalendarza wymaga świadomej zgody pracownika, zapisywanej wraz z datą i adresem IP. Użytkownik może w każdej chwili odłączyć kalendarz w ustawieniach swojego profilu – od tego momentu nowe wizyty nie są już przesyłane do Google. Wydarzenia utworzone wcześniej pozostają w kalendarzu Google użytkownika i mogą zostać przez niego usunięte ręcznie.
  7. Zgodność z politykami Google: Wykorzystanie informacji otrzymanych z interfejsów Google API odbywa się zgodnie z Google API Services User Data Policy, w tym z wymogami Limited Use. Dane uzyskane z Google Calendar wykorzystywane są wyłącznie w celu świadczenia opisanej funkcji synchronizacji wizyt i nie są wykorzystywane do innych celów.
  8. Jak wyłączyć: Korzystanie z integracji jest dobrowolne. Pracownik może w ogóle nie łączyć kalendarza – nie wpływa to na dostęp do pozostałych funkcji Aplikacji.

VII Dobrowolność podania danych

  1. Podanie danych jest dobrowolne, jednak może okazać się niezbędne do zawarcia umowy i korzystania z Platformy (np. adres e-mail do założenia konta).
  2. Brak podania danych wymaganych do rejestracji uniemożliwi korzystanie z Aplikacji.
  3. Podanie danych w celu otrzymywania informacji handlowych jest całkowicie dobrowolne i można je w każdej chwili cofnąć.

VIII Przekazywanie danych osobowych

  1. Administrator może przekazywać dane osobowe następującym kategoriom podmiotów:
  2. Dane nie są sprzedawane ani udostępniane podmiotom trzecim w celach marketingowych bez zgody osoby, której dane dotyczą.

IX Podprocesory i podmioty trzecie

GabinetOnline korzysta z usług następujących podprocesorów, którym może powierzać dane osobowe:

Podmiot Rola / usługa Siedziba Zabezpieczenia transferu
Hosting (serwer aplikacji)
OVH Sp. z o.o.		 Infrastruktura serwerowa, baza danych Polska / EOG Brak transferu poza EOG
Anthropic PBC Model językowy Claude (Asystent AI) USA DPA + Standardowe Klauzule Umowne (SCCs)
OpenAI LLC Model GPT (Asystent AI – zapytania pomocnicze) USA DPA + Standardowe Klauzule Umowne (SCCs)
Google Ireland Ltd. / Google LLC Google Calendar – synchronizacja wizyt do kalendarza pracownika (opcjonalna, po połączeniu konta) Irlandia / USA EU-U.S. Data Privacy Framework
Operator SMS - JustSend Wysyłka wiadomości SMS do klientów salonów Polska Brak transferu poza EOG

Administrator zobowiązuje podprocesorów do przetwarzania danych wyłącznie zgodnie z instrukcjami i na potrzeby świadczenia określonej usługi, z zachowaniem odpowiednich środków bezpieczeństwa.

X Przekazywanie danych poza Europejski Obszar Gospodarczy

  1. W związku z korzystaniem z usług Anthropic PBC i OpenAI LLC, treści rozmów z Asystentem AI mogą być przekazywane do Stanów Zjednoczonych.
  2. Przekazywanie danych do USA odbywa się na podstawie Standardowych Klauzul Umownych (SCCs) przyjętych przez Komisję Europejską, które stanowią odpowiednie zabezpieczenie w rozumieniu art. 46 RODO.
  3. Umowy DPA (Data Processing Addendum) zawarte z Anthropic i OpenAI regulują zakres, cel i warunki przetwarzania danych oraz zobowiązują dostawców do ich usunięcia po zakończeniu umowy.
  4. W przypadku skorzystania z opcjonalnej integracji z Google Calendar (sekcja VI), dane wizyt mogą być przekazywane do Google LLC w Stanach Zjednoczonych. Podstawą transferu jest udział Google LLC w programie EU-U.S. Data Privacy Framework, uznanym przez Komisję Europejską za zapewniający odpowiedni stopień ochrony danych w rozumieniu art. 45 RODO.
  5. Użytkownik ma prawo do uzyskania kopii zastosowanych zabezpieczeń – w tym celu prosimy o kontakt pod adresem biuro@gabinetonline.com.pl.

XI Okres przechowywania danych

Kategoria danych Okres przechowywania
Dane konta użytkownika (właściciel/pracownik salonu) Przez czas trwania umowy + 3 lata po jej zakończeniu (roszczenia)
Dane rozliczeniowe i faktury 5 lat od końca roku podatkowego (obowiązek prawny)
Dane klientów salonów (baza klientów) Do czasu usunięcia przez salon lub rozwiązania umowy z salonem
Historia rozmów z Asystentem AI 12 miesięcy od daty rozmowy, następnie automatyczne usunięcie
Dane połączenia Google Calendar (tokeny dostępu, status, zgoda) Do czasu odłączenia kalendarza przez pracownika lub rozwiązania umowy; tokeny przechowywane w postaci zaszyfrowanej
Logi systemowe i bezpieczeństwa 90 dni
Dane statystyczne (zanonimizowane) Bezterminowo (brak możliwości identyfikacji osoby)
Dane przetwarzane na podstawie zgody Do czasu cofnięcia zgody

XII Prawa osoby, której dane dotyczą

  1. Każdej osobie, której dane przetwarza Administrator, przysługują następujące prawa:
  2. W celu skorzystania z powyższych praw należy skontaktować się z Administratorem: pisemnie na adres siedziby lub e-mailowo na adres biuro@gabinetonline.com.pl.
  3. Administrator rozpatruje wnioski bez zbędnej zwłoki, nie dłużej niż w ciągu 30 dni. W wyjątkowych przypadkach termin może zostać przedłużony o kolejne 60 dni, o czym Administrator poinformuje wnioskodawcę.
  4. Klienci salonów (osoby będące klientami salonu korzystającego z GabinetOnline) powinni w pierwszej kolejności kierować żądania bezpośrednio do salonu jako administratora ich danych. GabinetOnline jako procesor niezwłocznie przekaże takie żądanie do odpowiedniego salonu.

XIII Polityka Cookies

  1. Pliki Cookies (ciasteczka) są danymi informatycznymi, w szczególności plikami tekstowymi, przechowywanymi w urządzeniu końcowym Odwiedzającego i przeznaczonymi do korzystania ze stron internetowych Aplikacji.
  2. Pliki Cookies zawierają zazwyczaj nazwę strony internetowej, z której pochodzą, czas przechowywania na urządzeniu końcowym oraz unikalny numer. Są bezpieczne dla urządzenia i nie mają szkodliwego wpływu.
  3. Wyrażenie zgody na zapisywanie plików Cookies jest dobrowolne. Jej brak może ograniczyć dostęp do niektórych funkcjonalności Aplikacji.
  4. Administrator stosuje pliki Cookies w następujących celach:
  5. Odwiedzający może określić warunki korzystania z plików Cookies za pomocą ustawień własnej przeglądarki internetowej lub panelu zarządzania zgodami dostępnego na stronie Aplikacji.
  6. Ograniczenie lub wyłączenie plików Cookies może wpłynąć na działanie niektórych funkcji Aplikacji, w szczególności uniemożliwić zalogowanie się.

XIV Wykorzystywane pliki cookies

W ramach Aplikacji stosowane są dwa zasadnicze rodzaje plików cookies: sesyjne (tymczasowe, usuwane po zamknięciu przeglądarki) oraz stałe (przechowywane przez określony czas lub do usunięcia przez użytkownika).

Nazwa Rodzaj Czas wygaśnięcia Cel
PHPSESSID Sesyjny Do zamknięcia przeglądarki Natywny plik PHP – utrzymanie sesji użytkownika, uwierzytelnienie.
cookies-accepted Stały 1 rok Zapamiętanie decyzji o akceptacji lub odrzuceniu polityki cookies.

Szczegółowe informacje na temat zarządzania plikami cookies w popularnych przeglądarkach:

XV Bezpieczeństwo danych

  1. Administrator stosuje odpowiednie środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych przed nieuprawnionym dostępem, utratą, zniszczeniem lub ujawnieniem, w szczególności:
  2. Wszelkie zmiany w kodzie Aplikacji, które mogłyby wpłynąć na przetwarzanie danych, podlegają wewnętrznemu procesowi weryfikacji i zatwierdzania przed wdrożeniem na środowisko produkcyjne.
  3. W przypadku naruszenia ochrony danych osobowych Administrator niezwłocznie podejmie działania zgodne z art. 33–34 RODO, w tym w razie potrzeby powiadomi Prezesa UODO oraz osoby, których dane dotyczą.

XVI Postanowienia końcowe

  1. Niniejsza Polityka Prywatności podlega prawu polskiemu materialnemu i procesowemu.
  2. Administrator zastrzega sobie prawo do wprowadzania zmian w niniejszej Polityce Prywatności. O istotnych zmianach Użytkownicy zostaną poinformowani z co najmniej 14-dniowym wyprzedzeniem drogą e-mailową lub przez powiadomienie w Aplikacji.
  3. Data ostatniej aktualizacji niniejszej Polityki: maj 2026.
  4. We wszelkich sprawach dotyczących ochrony danych osobowych prosimy o kontakt: biuro@gabinetonline.com.pl.
Rybczak i Wspólnicy Sp. z o.o.
KRS: 0000361541  |  NIP: 642-318-72-10
ul. Przyjemna 4, 44-264 Jankowice
E-mail: biuro@gabinetonline.com.pl
← Wróć do strony głównej