🔒 Політика конфіденційності та зберігання файлів Cookies

ℹ️ Цей документ є перекладом українською мовою для зручності користувачів. Юридично зобов'язальною є польськомовна версія Політики конфіденційності. У разі будь-яких розбіжностей між версіями переважну силу має польський текст.
Зміст

I Загальні положення

  1. Ця Політика конфіденційності Застосунку GabinetOnline (далі: „Застосунок" або „Платформа") має інформаційний характер і визначає правила обробки персональних даних Контролером.
  2. Контролером персональних даних, що обробляються у зв'язку з користуванням вебсайтом Застосунку, є Rybczak i Wspólnicy Sp. z o.o. з осідком у Jankowice (44-264) на ul. Przyjemna 4, внесена до реєстру підприємців, що ведеться Районним судом у Gliwice, X Господарський відділ Національного судового реєстру, за номером KRS 0000361541, NIP 642-318-72-10, Regon 243640719, статутний капітал: 17 500,00 PLN, адреса e-mail: biuro@gabinetonline.com.pl, далі „Контролер".
  3. GabinetOnline — це SaaS-платформа (програмне забезпечення як послуга), призначена для перукарень, косметичних і beauty-салонів (далі: „Клієнти Платформи"). У частині персональних даних кінцевих клієнтів салонів Контролер виконує роль суб'єкта обробки — подробиці в секції IV.
  4. Персональні дані обробляються відповідно до Регламенту Європейського Парламенту і Ради (ЄС) 2016/679 від 27 квітня 2016 р. (GDPR), польського закону про захист персональних даних від 10 травня 2018 р. та інших чинних норм права.
  5. Контролер обробляє дані відповідно до засад мінімізації, обмеження мети, обмеження зберігання, цілісності та конфіденційності.
  6. У питаннях, що стосуються захисту персональних даних, можна звертатися за адресою: biuro@gabinetonline.com.pl.

II Статус відвідувача та види даних

  1. Відвідувачем є кожна особа, яка переглядає вебсторінки Застосунку за адресою gabinetonline.com.pl.
  2. Під час перегляду вебсторінок Застосунку автоматично збираються дані щодо Відвідувача, зокрема: IP-адреса, назва домену, тип браузера, тип операційної системи. Ці дані можуть збиратися файлами Cookies.
  3. Контролер обробляє анонімізовані експлуатаційні дані для статистичних та адміністративних цілей. Ці дані мають зведений та анонімний характер, тобто не містять ознак, що ідентифікують осіб.
  4. Користувачем є особа, яка має обліковий запис у Застосунку (власник або працівник салону). Дані, що обробляються в межах облікового запису, охоплюють: ім'я та прізвище, адресу e-mail, номер телефону, назву фірми, розрахункові дані.

III Мета та підстави обробки даних

Контролер обробляє персональні дані Відвідувачів і Користувачів з такими цілями:

  1. Укладення та виконання договору про надання послуг, зокрема надання можливості користуватися Платформою (ст. 6 ч. 1 п. b GDPR).
  2. Обслуговування облікового запису користувача та контакт у питаннях, що стосуються послуги (ст. 6 ч. 1 п. b GDPR).
  3. Виставлення рахунків і розрахунків (ст. 6 ч. 1 п. c GDPR – правовий обов'язок).
  4. Архівування та збереження інформації на випадок правової потреби підтвердження фактів (ст. 6 ч. 1 п. f GDPR – правомірний інтерес).
  5. Встановлення, пред'явлення чи захист від претензій (ст. 6 ч. 1 п. f GDPR).
  6. Дослідження задоволеності Клієнтів і покращення якості послуг (ст. 6 ч. 1 п. f GDPR).
  7. Надсилання комерційної та маркетингової інформації – виключно за окремою згодою (ст. 6 ч. 1 п. a GDPR).

IV GabinetOnline як суб'єкт обробки даних салонів

  1. У частині персональних даних кінцевих клієнтів салонів (осіб, записаних на візити, що зберігаються в базі клієнтів салону), GabinetOnline виконує роль суб'єкта обробки (процесора) у розумінні ст. 28 GDPR. Контролером цих даних залишається салон (Клієнт Платформи).
  2. Обробка відбувається виключно на задокументоване доручення Клієнта Платформи з метою надання функціоналу Застосунку (управління календарем, клієнтами, послугами, комунікацією SMS/e-mail, звітами).
  3. Підставою обробки є договір про доручення обробки персональних даних, що укладається між GabinetOnline та кожним Клієнтом Платформи. Договір регулює, зокрема, обсяг, мету та час обробки даних, а також зобов'язання щодо безпеки.
  4. GabinetOnline не обробляє дані клієнтів салонів для власних маркетингових цілей і не надає їх третім особам, окрім випадків, зазначених у цій Політиці.
  5. Салон як контролер даних зобов'язаний мати відповідну правову підставу обробки даних своїх клієнтів та виконувати щодо них інформаційний обов'язок зі ст. 13–14 GDPR.

V AI-асистент – обробка даних

Застосунок містить вбудованого AI-асистента на основі зовнішньої мовної моделі (LLM). Ця секція пояснює, як обробляються дані в межах цього функціоналу.
  1. Що надсилається до AI-моделі: Зміст, що вводиться користувачем у вікні чату AI-асистента, може містити персональні дані (наприклад, імена клієнтів, номери телефонів, інформацію про візити). Ці дані передаються зовнішньому постачальнику мовної моделі виключно з метою генерування відповіді асистента.
  2. Постачальник AI-моделі: Застосунок використовує API компаній Anthropic PBC (Claude) та OpenAI (GPT). Дані обробляються цими постачальниками як субпроцесорами на підставі укладених договорів (DPA). Подробиці в секціях VIII і IX.
  3. Мінімізація даних: До AI-моделі передається виключно інформація, необхідна для надання відповіді. Система не надсилає паролі, платіжні дані чи дані особливих категорій (ст. 9 GDPR).
  4. Історія розмов: Зміст розмов з AI-асистентом зберігається в базі даних Платформи на сервері в Польщі та може аналізуватися внутрішньою системою нагляду (AI Supervisor) з метою покращення якості відповідей асистента. Доступ до історії мають виключно уповноважені працівники Контролера.
  5. Правова підстава: Обробка даних у межах AI-асистента відбувається на підставі ст. 6 ч. 1 п. b GDPR (виконання договору) та ст. 6 ч. 1 п. f GDPR (правомірний інтерес, що полягає в удосконаленні послуги).
  6. Як вимкнути: Користування AI-асистентом є добровільним. Користувач може не користуватися вікном чату асистента – це не впливає на доступ до інших функцій Застосунку.

VI Інтеграція з Google Calendar

Застосунок надає опціональну інтеграцію з сервісом Google Calendar, що дозволяє синхронізувати візити в особистий календар Google працівника салону. Інтеграція є добровільною та активується виключно після свідомого з'єднання облікового запису Google відповідним працівником.
  1. Які дані передаються: Після з'єднання календаря, з метою синхронізації графіку роботи, до сервісу Google Calendar передається інформація про візити, які обслуговує відповідний працівник: дата, час початку і тривалість візиту та назва послуги. Опціонально – виключно якщо власник салону увімкнув цю опцію в налаштуваннях (за замовчуванням вимкнену) – передається також ім'я та прізвище клієнта.
  2. Чого ми не передаємо: До Google не передаються номери телефонів, адреси e-mail, платіжні дані чи інші дані клієнтів, окрім зазначених вище.
  3. Обсяг доступу: Застосунок використовує дозвіл Google calendar.events, який дозволяє виключно створювати, оновлювати та видаляти події, що відповідають візитам у календарі з'єднаного користувача. Застосунок не зчитує інші події з календаря користувача та не керує списками календарів.
  4. Правова підстава: Обробка в межах інтеграції відбувається на підставі згоди працівника (ст. 6 ч. 1 п. a GDPR), наданої під час з'єднання календаря, та з метою виконання договору про надання послуг (ст. 6 ч. 1 п. b GDPR).
  5. Передача за межі ЄЕП: Контролером сервісу Google Calendar є Google Ireland Ltd., а дані можуть оброблятися також Google LLC на серверах у Сполучених Штатах, за межами Європейського економічного простору – подробиці в секціях IX і X.
  6. Згода та її відкликання: З'єднання календаря вимагає свідомої згоди працівника, що зберігається разом із датою та IP-адресою. Користувач може будь-якої миті від'єднати календар у налаштуваннях свого профілю – з цього моменту нові візити вже не передаються до Google. Події, створені раніше, залишаються в календарі Google користувача та можуть бути видалені ним вручну.
  7. Відповідність політикам Google: Використання інформації, отриманої з інтерфейсів Google API, відбувається відповідно до Google API Services User Data Policy, зокрема з вимогами Limited Use. Дані, отримані з Google Calendar, використовуються виключно з метою надання описаної функції синхронізації візитів і не використовуються для інших цілей.
  8. Як вимкнути: Користування інтеграцією є добровільним. Працівник може взагалі не з'єднувати календар – це не впливає на доступ до інших функцій Застосунку.

VII Добровільність надання даних

  1. Надання даних є добровільним, проте може виявитися необхідним для укладення договору та користування Платформою (наприклад, адреса e-mail для створення облікового запису).
  2. Ненадання даних, потрібних для реєстрації, унеможливить користування Застосунком.
  3. Надання даних з метою отримання комерційної інформації є повністю добровільним, і його можна будь-якої миті відкликати.

VIII Передача персональних даних

  1. Контролер може передавати персональні дані таким категоріям суб'єктів:
  2. Дані не продаються та не надаються третім особам для маркетингових цілей без згоди суб'єкта даних.

IX Субпроцесори та треті особи

GabinetOnline користується послугами таких субпроцесорів, яким може доручати персональні дані:

Суб'єкт Роль / послуга Осідок Засоби захисту передачі
Хостинг (сервер застосунку)
OVH Sp. z o.o.		 Серверна інфраструктура, база даних Польща / ЄЕП Без передачі за межі ЄЕП
Anthropic PBC Мовна модель Claude (AI-асистент) США DPA + Стандартні договірні положення (SCCs)
OpenAI LLC Модель GPT (AI-асистент – допоміжні запити) США DPA + Стандартні договірні положення (SCCs)
Google Ireland Ltd. / Google LLC Google Calendar – синхронізація візитів у календар працівника (опціональна, після з'єднання облікового запису) Ірландія / США EU-U.S. Data Privacy Framework
Оператор SMS - JustSend Надсилання SMS-повідомлень клієнтам салонів Польща Без передачі за межі ЄЕП

Контролер зобов'язує субпроцесорів обробляти дані виключно відповідно до інструкцій та для потреб надання визначеної послуги, із дотриманням відповідних засобів безпеки.

X Передача даних за межі Європейського економічного простору

  1. У зв'язку з користуванням послугами Anthropic PBC та OpenAI LLC зміст розмов з AI-асистентом може передаватися до Сполучених Штатів.
  2. Передача даних до США відбувається на підставі Стандартних договірних положень (SCCs), прийнятих Європейською Комісією, які становлять відповідний засіб захисту в розумінні ст. 46 GDPR.
  3. Договори DPA (Data Processing Addendum), укладені з Anthropic та OpenAI, регулюють обсяг, мету та умови обробки даних і зобов'язують постачальників видалити їх після завершення договору.
  4. У разі користування опціональною інтеграцією з Google Calendar (секція VI) дані візитів можуть передаватися до Google LLC у Сполучених Штатах. Підставою передачі є участь Google LLC у програмі EU-U.S. Data Privacy Framework, визнаній Європейською Комісією такою, що забезпечує відповідний рівень захисту даних у розумінні ст. 45 GDPR.
  5. Користувач має право отримати копію застосованих засобів захисту – для цього просимо звертатися за адресою biuro@gabinetonline.com.pl.

XI Строк зберігання даних

Категорія даних Строк зберігання
Дані облікового запису користувача (власник/працівник салону) Протягом строку дії договору + 3 роки після його завершення (претензії)
Розрахункові дані та рахунки 5 років від кінця податкового року (правовий обов'язок)
Дані клієнтів салонів (база клієнтів) До видалення салоном або розірвання договору із салоном
Історія розмов з AI-асистентом 12 місяців від дати розмови, потім автоматичне видалення
Дані з'єднання Google Calendar (токени доступу, статус, згода) До від'єднання календаря працівником або розірвання договору; токени зберігаються в зашифрованому вигляді
Системні логи та логи безпеки 90 днів
Статистичні дані (анонімізовані) Безстроково (без можливості ідентифікації особи)
Дані, що обробляються на підставі згоди До відкликання згоди

XII Права суб'єкта даних

  1. Кожній особі, дані якої обробляє Контролер, належать такі права:
  2. Щоб скористатися наведеними правами, слід звернутися до Контролера: письмово на адресу осідку або електронною поштою на адресу biuro@gabinetonline.com.pl.
  3. Контролер розглядає звернення без зайвої затримки, не довше ніж протягом 30 днів. У виняткових випадках строк може бути продовжено ще на 60 днів, про що Контролер поінформує заявника.
  4. Клієнти салонів (особи, які є клієнтами салону, що користується GabinetOnline) повинні в першу чергу спрямовувати вимоги безпосередньо до салону як контролера їхніх даних. GabinetOnline як процесор негайно передасть таку вимогу відповідному салону.

XIII Політика Cookies

  1. Файли Cookies — це комп'ютерні дані, зокрема текстові файли, що зберігаються на кінцевому пристрої Відвідувача та призначені для користування вебсторінками Застосунку.
  2. Файли Cookies зазвичай містять назву вебсторінки, з якої вони походять, час зберігання на кінцевому пристрої та унікальний номер. Вони безпечні для пристрою та не мають шкідливого впливу.
  3. Надання згоди на збереження файлів Cookies є добровільним. Її відсутність може обмежити доступ до деяких функцій Застосунку.
  4. Контролер застосовує файли Cookies з такими цілями:
  5. Відвідувач може визначити умови користування файлами Cookies за допомогою налаштувань власного браузера або панелі управління згодами, доступної на сторінці Застосунку.
  6. Обмеження чи вимкнення файлів Cookies може вплинути на роботу деяких функцій Застосунку, зокрема унеможливити вхід.

XIV Використовувані файли cookies

У межах Застосунку застосовуються два основні види файлів cookies: сесійні (тимчасові, видаляються після закриття браузера) та постійні (зберігаються протягом визначеного часу або до видалення користувачем).

Назва Вид Час дії Мета
PHPSESSID Сесійний До закриття браузера Нативний файл PHP – підтримання сесії користувача, автентифікація.
cookies-accepted Постійний 1 рік Запам'ятовування рішення про прийняття чи відхилення політики cookies.

Детальна інформація щодо управління файлами cookies у популярних браузерах:

XV Безпека даних

  1. Контролер застосовує відповідні технічні та організаційні засоби, що забезпечують захист оброблюваних персональних даних від несанкціонованого доступу, втрати, знищення чи розголошення, зокрема:
  2. Усі зміни в коді Застосунку, що могли б вплинути на обробку даних, підлягають внутрішньому процесу перевірки та затвердження перед впровадженням на продакшн-середовище.
  3. У разі порушення захисту персональних даних Контролер негайно вживе заходів відповідно до ст. 33–34 GDPR, зокрема в разі потреби повідомить Голову UODO та суб'єктів даних.

XVI Прикінцеві положення

  1. Ця Політика конфіденційності регулюється матеріальним і процесуальним польським правом.
  2. Контролер залишає за собою право вносити зміни до цієї Політики конфіденційності. Про істотні зміни Користувачів буде поінформовано щонайменше за 14 днів електронною поштою або сповіщенням у Застосунку.
  3. Дата останнього оновлення цієї Політики: травень 2026.
  4. З усіх питань, що стосуються захисту персональних даних, просимо звертатися: biuro@gabinetonline.com.pl.
Rybczak i Wspólnicy Sp. z o.o.
KRS: 0000361541  |  NIP: 642-318-72-10
ul. Przyjemna 4, 44-264 Jankowice
E-mail: biuro@gabinetonline.com.pl
← Повернутися на головну