# Polityka prywatności Beauty App
## 1. Postanowienia ogólne
1. Niniejsza Polityka prywatności ma charakter informacyjny, co oznacza, że nie jest ona źródłem obowiązków dla Użytkowników Aplikacji. Polityka zawiera przede wszystkim zasady dotyczące przetwarzania danych osobowych przez Administratora, w tym podstawy, cele i okres przetwarzania danych osobowych oraz prawa osób, których dane dotyczą.
2. Definicje:
1. **Administrator** — **Joanna Skowronek**, prowadząca działalność gospodarczą pod adresem ul. Przyszłości 1F/6, 67-100 Nowa Sól, NIP: 9252111502, REGON: 366216720.
2. **Aplikacja** — system Beauty App, w tym panel webowy i funkcje administracyjne, służący do prowadzenia dokumentacji zabiegowej i obsługi klientek salonów beauty.
3. **Dane osobowe** — wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej; możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
4. **DPA** — umowa powierzenia przetwarzania danych osobowych między Administratorem a Użytkownikiem jako administratorem danych Klientek.
5. **Klientka** — osoba, której dane są wprowadzane przez Użytkownika w ramach dokumentacji zabiegowej.
6. **Polityka** — niniejsza polityka prywatności.
7. **RODO** — rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Oficjalny tekst: <http://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX%3A32016R0679>.
8. **Użytkownik** — osoba posiadająca konto w Aplikacji.
3. Z Administratorem można skontaktować się za pośrednictwem:
1. poczty elektronicznej, wysyłając wiadomość na adres: **kontakt.beautyapp@gmail.com**;
2. poczty tradycyjnej, pisząc na adres: Joanna Skowronek, ul. Przyszłości 1F/6, 67-100 Nowa Sól.
4. Dane osobowe przetwarzane są przez Administratora zgodnie z obowiązującymi przepisami prawa, w szczególności z:
1. Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. — RODO;
2. ustawą z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną;
3. ustawą z dnia 16 lipca 2004 r. — Prawo telekomunikacyjne.
5. Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych, Administrator wdrożył odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z RODO. Środki te obejmują w szczególności szyfrowanie transmisji danych, kontrolę dostępu opartą na rolach, bezpieczne przechowywanie danych uwierzytelniających oraz regularne przeglądy zabezpieczeń. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.
6. Data obowiązywania Polityki: **2026-05-08**.
7. Wszelkie słowa, wyrażenia i akronimy występujące w niniejszej Polityce i rozpoczynające się dużą literą (np. Użytkownik, Aplikacja, Usługa) należy rozumieć zgodnie z ich definicją zawartą w Regulaminie Aplikacji dostępnym w Aplikacji.
## 1a. Inspektor ochrony danych
Administrator nie wyznaczył Inspektora Ochrony Danych Osobowych. Wszelkie zapytania związane z ochroną danych osobowych należy kierować bezpośrednio do Administratora na adres e-mail: **kontakt.beautyapp@gmail.com** lub pisemnie na adres: Joanna Skowronek, ul. Przyszłości 1F/6, 67-100 Nowa Sól.
## 2. Kogo dotyczy ta Polityka
Niniejsza Polityka opisuje zasady przetwarzania danych:
- Użytkowników kont w Beauty App,
- osób kontaktujących się z Administratorem,
- osób, które otrzymują wiadomości systemowe wysyłane przez Aplikację.
W zakresie danych Klientek salonu (kart zabiegowych, danych o zdrowiu, podpisów), administratorem danych jest salon / Użytkownik Aplikacji, a Beauty App działa jako podmiot przetwarzający na podstawie DPA.
## 3. Zakres przetwarzanych danych
Administrator przetwarza w szczególności następujące kategorie danych osobowych:
- **dane konta**: adres e-mail, hasło (w systemie uwierzytelniania), imię i nazwisko, nazwa firmy, NIP, numer telefonu;
- **dane dostępowe i techniczne**: identyfikatory konta, logi bezpieczeństwa, dane o zdarzeniach w Aplikacji, adres IP, typ i wersja przeglądarki, język przeglądarki, typ i wersja systemu operacyjnego, rozdzielczość ekranu, identyfikator urządzenia, data i godzina korzystania z Aplikacji;
- **dane komunikacyjne**: treści wiadomości systemowych i e-maili technicznych;
- **dane rozliczeniowe** (jeśli dotyczy): informacje niezbędne do realizacji płatności i prowadzenia księgowości.
## 3a. Logowanie przez Google (OAuth)
1. Aplikacja umożliwia rejestrację i logowanie za pośrednictwem konta Google (Google OAuth). Uwierzytelnienie następuje na stronie Google. W ramach tego procesu Aplikacja otrzymuje dane profilu publicznego Użytkownika, w szczególności adres e-mail oraz imię i nazwisko. Są to dane niezbędne i wystarczające do identyfikacji oraz bezpiecznego założenia konta w Beauty App.
2. Administrator nie uzyskuje dostępu do hasła konta Google ani uprawnień do publikowania treści w imieniu Użytkownika.
3. W przypadku usunięcia konta Google przez Użytkownika, konto w Beauty App oraz związane z nim dane pozostają aktywne do czasu ich usunięcia przez Użytkownika w Aplikacji lub na jego żądanie.
4. Informacje o tym, w jaki sposób Google wykorzystuje dane osobowe, dostępne są w Polityce prywatności Google: <https://policies.google.com/privacy>.
## 4. Cele i podstawy prawne przetwarzania
1. **Rejestracja i prowadzenie konta, świadczenie usługi** — rejestracja konta Użytkownika, zapewnienie dostępu do funkcji Aplikacji, obsługa kart zabiegowych, dokumentacji klientek, zarządzanie ustawieniami konta. Podstawa prawna: wykonanie umowy, której stroną jest Użytkownik, lub podjęcie działań na żądanie Użytkownika przed zawarciem umowy — art. 6 ust. 1 lit. b RODO.
2. **Komunikacja serwisowa** — wysyłka wiadomości systemowych związanych z kontem (powiadomienia o zmianach, zaproszenia, kody weryfikacyjne, reset hasła), a także udzielanie odpowiedzi na zapytania Użytkowników. Podstawa prawna: wykonanie umowy — art. 6 ust. 1 lit. b RODO, a w zakresie kontaktu inicjowanego przez Użytkownika — prawnie uzasadniony interes Administratora — art. 6 ust. 1 lit. f RODO.
3. **Obsługa bezpieczeństwa i zapobieganie nadużyciom** — zapewnienie bezpieczeństwa Aplikacji i danych Użytkowników, wykrywanie i zapobieganie oszustwom, nadużyciom oraz innym działaniom niebezpiecznym dla Aplikacji lub Użytkowników. Podstawa prawna: prawnie uzasadniony interes Administratora — art. 6 ust. 1 lit. f RODO.
4. **Wykonanie obowiązków prawnych** — realizacja obowiązków wynikających z przepisów prawa, w szczególności podatkowych i rachunkowych. Podstawa prawna: wypełnienie obowiązku prawnego ciążącego na Administratorze — art. 6 ust. 1 lit. c RODO.
5. **Ustalenie, dochodzenie i obrona roszczeń** — umożliwienie ewentualnego ustalenia i dochodzenia roszczeń lub obrony przed nimi. Podstawa prawna: prawnie uzasadniony interes Administratora — art. 6 ust. 1 lit. f RODO.
6. **Analityka i statystyki** — prowadzenie statystyk korzystania z Aplikacji, analiza sposobu użytkowania w celu rozwoju i ulepszania usługi. Podstawa prawna: prawnie uzasadniony interes Administratora — art. 6 ust. 1 lit. f RODO.
7. **Obsługa skarg i reklamacji** — rozpatrywanie złożonych skarg i reklamacji, udzielanie odpowiedzi na pytania i wątpliwości oraz ustosunkowanie się do roszczeń zgłoszonych przez Użytkownika. Podstawa prawna: prawnie uzasadniony interes Administratora — art. 6 ust. 1 lit. f RODO, a w zakresie roszczeń wynikających z umowy — wykonanie umowy — art. 6 ust. 1 lit. b RODO.
8. **Marketing** (jeśli realizowany) — przesyłanie informacji handlowych i marketingowych, w tym powiadomień o nowych funkcjach i promocjach. Podstawa prawna: zgoda osoby, której dane dotyczą — art. 6 ust. 1 lit. a RODO. Zgoda może zostać cofnięta w dowolnym momencie, bez wpływu na zgodność z prawem przetwarzania dokonanego przed jej cofnięciem.
## 5. Odbiorcy danych
1. Dane osobowe Użytkowników mogą być przekazywane następującym kategoriom odbiorców:
1. **Dostawcy infrastruktury i bazy danych** — podmioty zapewniające hosting, przechowywanie danych i infrastrukturę techniczną Aplikacji (w szczególności Supabase Inc.). Administrator udostępnia dane w zakresie niezbędnym do zapewnienia ciągłości i bezpieczeństwa usługi.
2. **Dostawcy poczty elektronicznej i SMTP** — podmioty realizujące wysyłkę wiadomości systemowych (e-maile z kodami weryfikacyjnymi, kartami zabiegowymi, powiadomieniami). Dane przekazywane są w zakresie niezbędnym do dostarczenia wiadomości.
3. **Dostawcy płatności** — podmioty obsługujące płatności elektroniczne (w szczególności PayU S.A.). Dane przekazywane są w zakresie niezbędnym do realizacji transakcji płatniczej.
4. **Dostawcy usług uwierzytelniania** — podmioty zapewniające logowanie do Aplikacji (w szczególności Google Ireland Limited w zakresie logowania OAuth i integracji z kalendarzem). Dane przekazywane są w zakresie niezbędnym do weryfikacji tożsamości Użytkownika.
5. **Dostawcy usług księgowych, prawnych i doradczych** — podmioty zapewniające Administratorowi wsparcie księgowe, prawne lub doradcze. Dane udostępniane są w przypadku i w zakresie niezbędnym do realizacji danego celu przetwarzania.
2. Każdy podmiot przetwarzający otrzymuje dane wyłącznie w zakresie niezbędnym do realizacji usługi i jest związany odpowiednimi zobowiązaniami w zakresie ochrony danych osobowych.
## 6. Przekazywanie danych poza EOG
1. Niektórzy odbiorcy danych mogą mieć siedzibę poza Europejskim Obszarem Gospodarczym (EOG). Poziom ochrony danych osobowych poza EOG może różnić się od poziomu zapewnianego przez prawo europejskie.
2. Administrator przekazuje dane osobowe poza EOG tylko wtedy, gdy jest to konieczne, i z zapewnieniem odpowiedniego stopnia ochrony, stosując w szczególności:
1. współpracę z podmiotami przetwarzającymi dane w państwach, w odniesieniu do których Komisja Europejska wydała decyzję stwierdzającą odpowiedni stopień ochrony danych osobowych;
2. standardowe klauzule umowne wydane przez Komisję Europejską;
3. inne odpowiednie zabezpieczenia przewidziane przepisami RODO.
3. W szczególności Supabase Inc. (infrastruktura i baza danych) przechowuje dane na serwerach w Unii Europejskiej, przy czym jako podmiot z siedzibą w USA podlega odpowiednim mechanizmom transferu danych. Google Ireland Limited przetwarza dane w zakresie logowania OAuth i integracji kalendarzowej na podstawie decyzji adekwatności lub standardowych klauzul umownych.
## 7. Okres przechowywania danych
Dane osobowe są przetwarzane przez czas obowiązywania i realizacji celu, dla którego zostały zebrane, w tym:
1. **dane konta** — przez okres aktywności konta, a po jego usunięciu — do czasu upływu okresu przedawnienia roszczeń (co do zasady 3 lata od zakończenia usługi);
2. **dane rozliczeniowe i księgowe** — przez okres 5 lat od początku roku następującego po roku obrotowym, którego dane dotyczą, zgodnie z przepisami prawa rachunkowego;
3. **dane przetwarzane na podstawie zgody** — do czasu wycofania zgody lub zakończenia celu przetwarzania;
4. **dane przetwarzane na podstawie prawnie uzasadnionego interesu** — do czasu jego wygaśnięcia lub zgłoszenia skutecznego sprzeciwu;
5. **logi techniczne i bezpieczeństwa** — przez okres niezbędny dla celów bezpieczeństwa, diagnostyki i wykrywania nadużyć, nie dłużej niż 12 miesięcy od ich zebrania.
Okres przetwarzania danych może być przedłużony w przypadku, gdy przetwarzanie jest niezbędne do ustalenia i dochodzenia ewentualnych roszczeń lub obrony przed nimi.
## 8. Prawa osób, których dane dotyczą
Każdemu Użytkownikowi, którego dane osobowe są przetwarzane, przysługują następujące uprawnienia:
1. **Prawo cofnięcia zgody na przetwarzanie danych** (art. 7 ust. 3 RODO) — wycofanie zgody na przetwarzanie danych osobowych w dowolnym momencie, bez wpływu na zgodność z prawem przetwarzania dokonanego przed jej cofnięciem.
2. **Prawo dostępu do danych** (art. 15 RODO) — uzyskanie informacji o celu i sposobie przetwarzania danych, kategoriach przetwarzanych danych, odbiorcach lub kategoriach odbiorców, planowanym okresie przechowywania oraz uzyskanie kopii danych.
3. **Prawo do sprostowania danych** (art. 16 RODO) — poprawienie lub uzupełnienie niekompletnych danych osobowych, gdy są one błędne, uległy zmianie lub zdezaktualizowały się.
4. **Prawo do usunięcia danych** (art. 17 RODO) — usunięcie danych przetwarzanych bez uzasadnionych podstaw prawnych (tzw. „prawo do bycia zapomnianym").
5. **Prawo do ograniczenia przetwarzania** (art. 18 RODO) — ograniczenie przetwarzania danych w przypadkach, w których:
1. osoba kwestionuje prawidłowość danych osobowych,
2. przetwarzanie jest niezgodne z prawem, a osoba sprzeciwia się usunięciu danych,
3. Administrator nie potrzebuje już danych do celów przetwarzania, ale są one potrzebne osobie do ustalenia, dochodzenia lub obrony roszczeń,
4. osoba wniosła sprzeciw wobec przetwarzania — do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie Administratora są nadrzędne wobec podstaw sprzeciwu.
6. **Prawo do przenoszenia danych** (art. 20 RODO) — uzyskanie swoich danych osobowych w ustrukturyzowanym formacie lub wskazanie innego administratora, któremu dane powinny zostać przekazane, o ile będzie to technicznie możliwe.
7. **Prawo do sprzeciwu** (art. 21 RODO) — wniesienie sprzeciwu wobec przetwarzania danych na podstawie prawnie uzasadnionego interesu, z przyczyn związanych ze szczególną sytuacją osoby. Administrator zaprzestanie przetwarzania danych w tych celach, o ile nie będą istniały inne, przeważające prawnie uzasadnione podstawy przetwarzania.
8. **Prawo do niepodlegania decyzjom zautomatyzowanym** (art. 22 RODO) — prawo do tego, by nie podlegać decyzji opierającej się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, która wywołuje skutki prawne lub w podobny sposób istotnie wpływa na osobę.
9. **Prawo do wniesienia skargi do organu nadzorczego** — prawo do wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa), nadzorującego zgodność przetwarzania danych z przepisami. Szczegóły: <https://uodo.gov.pl/pl/83/155>.
Aby skorzystać z przysługujących uprawnień, należy skontaktować się z Administratorem:
1. wysyłając e-mail na adres: **kontakt.beautyapp@gmail.com**;
2. za pośrednictwem poczty tradycyjnej: Joanna Skowronek, ul. Przyszłości 1F/6, 67-100 Nowa Sól.
## 9. Dobrowolność podania danych
Podanie danych osobowych jest dobrowolne, jednak w zakresie oznaczonym jako wymagany — niezbędne do utworzenia konta i korzystania z funkcji Aplikacji. Brak podania danych wymaganych może uniemożliwić świadczenie usługi.
## 10. Zautomatyzowane podejmowanie decyzji i profilowanie
1. Dane osobowe nie są wykorzystywane do podejmowania wobec Użytkownika decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, które wywołują skutki prawne lub w podobny sposób istotnie wpływają na Użytkownika.
2. Osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec niej skutki prawne lub w podobny sposób istotnie na nią wpływa.
## 11. Cookies i technologie lokalne
1. Aplikacja Beauty App nie stosuje własnych plików cookies do celów funkcjonalnych, analitycznych ani marketingowych.
2. Aplikacja może korzystać z mechanizmu localStorage przeglądarki w celu obsługi sesji logowania Użytkownika. Dane sesji przechowywane lokalnie nie są przekazywane podmiotom trzecim.
3. Niektóre usługi zewnętrzne (np. dostawca logowania, hosting) mogą ustawiać własne pliki cookies. Ich zakres i cele określają polityki prywatności tych podmiotów. Szczegóły zawiera odrębna Polityka cookies dostępna w Aplikacji.
4. W ramach Aplikacji mogą zostać zamieszczone linki do zewnętrznych stron internetowych lub usług (np. strony dostawców płatności, Google). Administrator nie ponosi odpowiedzialności za polityki prywatności ani za zawartość plików cookies stosowanych przez te podmioty zewnętrzne. Zaleca się zapoznanie z politykami prywatności tych podmiotów przed skorzystaniem z ich usług.
## 12. Zmiany Polityki
1. Polityka może być aktualizowana w przypadku zmian przepisów prawa, zmian technologicznych lub zmian organizacyjnych.
2. O istotnych zmianach Polityki Użytkownik zostanie poinformowany w Aplikacji lub za pośrednictwem poczty e-mail.
3. Aktualna wersja Polityki jest dostępna stale w Aplikacji.