Polityka Prywatności

Na potrzeby niniejszej Polityki Prywatności przyjmuje się następujące definicje:

• •Operator / Tatumi CRM — ELDAR TATTOO STUDIO, Anastazja Zhukova, NIP 9291968394, Jana Sobieskiego 16, 65-071 Zielona Góra, Polska.
• •Platforma — oprogramowanie SaaS dostępne pod adresem tatumi.pro, umożliwiające zarządzanie studiem tatuażu.
• •Użytkownik CRM — osoba fizyczna lub prawna (właściciel studia, pracownik, artysta), która zarejestrowała konto i korzysta z Platformy na podstawie Regulaminu.
• •Studio — podmiot gospodarczy (Użytkownik CRM będący właścicielem konta) korzystający z Platformy do zarządzania własną działalnością.
• •Klient Studia — osoba fizyczna będąca klientem Studia (np. osoba rezerwująca termin tatuażu), której dane są wprowadzane do Platformy przez Studio. Klient Studia nie jest stroną umowy z Operatorem.
• •Administrator (art. 4 pkt 7 RODO) — podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.
• •Podmiot przetwarzający / Procesor (art. 4 pkt 8 RODO) — podmiot, który przetwarza dane osobowe w imieniu i na polecenie Administratora.
• •DPA — Umowa Powierzenia Przetwarzania Danych Osobowych (ang. Data Processing Agreement) zawierana między Studio (jako Administratorem) a Operatorem (jako Podmiotem przetwarzającym), regulująca przetwarzanie danych Klientów Studiów.
• •RODO — Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r.

Niniejsza Polityka Prywatności ma zastosowanie do:

• •Danych osobowych Użytkowników CRM, w stosunku do których Operator działa jako Administrator
• •Danych osobowych Klientów Studiów, w stosunku do których Operator działa jako Podmiot przetwarzający na zlecenie odpowiedniego Studia
• •Danych zbieranych za pomocą plików cookies i technologii analitycznych na stronie tatumi.pro

Zakres przetwarzanych danych (Użytkownicy CRM):

• •Imię, nazwisko, adres e-mail, numer telefonu
• •Dane firmy: nazwa, NIP, adres prowadzenia działalności
• •Dane płatnicze i rozliczeniowe (przetwarzane przez Stripe — zob. §6)
• •Dane logowania (adres e-mail, hash hasła lub token OAuth Google/Apple)
• •Adres IP, dane techniczne urządzenia i przeglądarki, czas sesji
• •Historia aktywności w systemie (logi audytowe)

Cele i podstawy prawne przetwarzania danych Użytkowników CRM:

Zakres danych Klientów Studiów przetwarzanych przez Operatora jako Procesor:

• •Imię, nazwisko, numer telefonu, adres e-mail
• •Historia rezerwacji i sesji tatuażu
• •Zdjęcia tatuaży (jeśli przesłane przez Studio)
• •Dane zdrowotne zawarte w Kartach Zdrowia — wyłącznie na podstawie DPA i wyraźnej zgody klienta udzielonej Studio (zob. §5)
• •Podpis elektroniczny złożony na Karcie Zdrowia
• •Komunikaty przesłane przez kanały OmniChat (WhatsApp, Instagram, Facebook)

Operator przetwarza dane Klientów Studiów wyłącznie:

• •Na udokumentowane polecenie właściciela Studia
• •W zakresie i celu określonym w DPA
• •Przy zachowaniu poufności przez wszystkich upoważnionych pracowników Operatora
• •Z zastosowaniem środków bezpieczeństwa opisanych w §10 niniejszej Polityki
• •Nie ujawniając tych danych żadnym podmiotom trzecim bez polecenia Administratora (Studio), z wyjątkiem podprocesorów wymienionych w §6

Ważne dla klientów końcowych: Jeśli jesteś klientem studia tatuażu, które korzysta z platformy Tatumi CRM, i chcesz skorzystać ze swoich praw (dostęp, usunięcie itp.), powinieneś zwrócić się bezpośrednio do studia (Administratora Twoich danych), a nie do Operatora platformy. Operator działa wyłącznie na polecenie studia i nie podejmuje samodzielnych decyzji dotyczących Twoich danych.

Przetwarzanie danych Klientów Studiów przez Operatora odbywa się wyłącznie na podstawie Umowy Powierzenia Przetwarzania Danych Osobowych (ang. Data Processing Agreement, DPA), zawieranej między Studio (jako Administratorem) a Operatorem (jako Podmiotem przetwarzającym) zgodnie z art. 28 RODO.

Tryb zawarcia DPA:

• •DPA jest zawierana automatycznie w momencie aktywacji subskrypcji przez właściciela Studia — stanowi integralną część Regulaminu korzystania z Platformy.
• •Właściciel Studia, akceptując Regulamin i aktywując konto, wyraża zgodę na zawarcie DPA i potwierdza, że posiada podstawę prawną do przetwarzania danych swoich Klientów za pośrednictwem Platformy.
• •Pełna treść DPA dostępna jest na żądanie pod adresem: legal@tatumi.pro

Kluczowe postanowienia DPA (art. 28 ust. 3 RODO):

• •Operator przetwarza dane wyłącznie na udokumentowane polecenie Studia
• •Operator zapewnia, że osoby upoważnione do przetwarzania zobowiązały się do zachowania poufności
• •Operator pomaga Studiu w realizacji praw osób, których dane dotyczą (art. 15–22 RODO)
• •Operator niezwłocznie informuje Studio o jakimkolwiek naruszeniu ochrony danych dotyczącym danych Klientów Studia
• •Operator po zakończeniu świadczenia usług usuwa lub zwraca wszelkie dane Klientów Studia (do wyboru przez Studio)
• •Operator udostępnia Studiu wszelkie informacje niezbędne do wykazania spełnienia obowiązków (art. 28 ust. 3 lit. h RODO)

Odpowiedzialność Studia jako Administratora:

Studio (właściciel konta) jako Administrator danych Klientów jest odpowiedzialne za:

• •Poinformowanie Klientów o przetwarzaniu ich danych (obowiązek informacyjny art. 13 RODO) — przed wprowadzeniem ich danych do Platformy
• •Uzyskanie odpowiednich zgód lub zapewnienie innej podstawy prawnej przetwarzania
• •Uzyskanie wyraźnej zgody na przetwarzanie danych szczególnej kategorii (dane zdrowotne w Kartach Zdrowia) — art. 9 ust. 2 lit. a RODO
• •Realizację wniosków Klientów dotyczących ich praw (przed skierowaniem ich do Operatora)

W zakresie przetwarzania danych zdrowotnych zawartych w Kartach Zdrowia:

• •Administratorem tych danych jest wyłącznie Studio (właściciel konta CRM), które korzysta z funkcji Karty Zdrowia wobec swoich Klientów.
• •Operator nie jest Administratorem danych zdrowotnych Klientów Studiów — jest wyłącznie Podmiotem przetwarzającym na podstawie DPA (§4).
• •Podstawą przetwarzania danych zdrowotnych przez Studio musi być wyraźna zgoda Klienta Studia (art. 9 ust. 2 lit. a RODO) lub inna przesłanka z art. 9 ust. 2 RODO.
• •Formularz Karty Zdrowia na Platformie zawiera mechanizm uzyskania i rejestracji zgody Klienta Studia. Operator dostarcza jedynie narzędzie techniczne — to Studio jest odpowiedzialne za prawidłowość i legalność procesu zbierania zgód.
• •Operator przetwarza dane zdrowotne wyłącznie w celu technicznego przechowywania i udostępniania ich upoważnionym użytkownikom danego Studia — nie analizuje, nie profiluje ani nie wykorzystuje tych danych do własnych celów.
• •Dane zdrowotne są szyfrowane w spoczynku (AES-256) i w tranzycie (TLS 1.3). Dostęp jest ograniczony wyłącznie do upoważnionych pracowników Studia i technicznych podprocesorów Operatora na zasadzie minimalnych uprawnień.

Uwaga dla studiów korzystających z Kart Zdrowia: Przed uruchomieniem tej funkcji właściciel Studia zobowiązany jest do zapewnienia Klientom odpowiedniej informacji o przetwarzaniu ich danych zdrowotnych (art. 13 RODO) oraz uzyskania ich wyraźnej zgody (art. 9 ust. 2 lit. a RODO). Platforma dostarcza gotowy formularz w 5 językach, jednak to Studio ponosi odpowiedzialność prawną za prawidłowość całego procesu.

Operator angażuje następujących podprocesorów (sub-processors). Dotyczy to zarówno danych Użytkowników CRM, jak i — w stosownym zakresie — danych Klientów Studiów przetwarzanych przez Operatora jako Procesor:

• •Google LLC (Firebase / Google Cloud Platform) — infrastruktura chmurowa, baza danych Firestore, Firebase Authentication, Cloud Storage, Cloud Logging. Siedziba: USA. Transfer: EU-US Data Privacy Framework (DPF) + SCC (decyzja KE 2021/914).
• •Stripe, Inc. — przetwarzanie płatności subskrypcji wyłącznie danych Użytkowników CRM. Siedziba: USA. Transfer: SCC + PCI DSS Level 1. Dane Klientów Studiów nie są przekazywane do Stripe.
• •Meta Platforms Ireland Ltd. — WhatsApp Business API, Instagram Graph API, Facebook Messenger API (moduł OmniChat). Dotyczy wyłącznie studiów, które aktywowały integrację. Siedziba: Irlandia (EOG). Zob. politykę prywatności Meta.
• •SMSAPI sp. z o.o. / Twilio / SendGrid — wysyłka powiadomień SMS i e-mail. Podstawa: umowa z podmiotem z EOG lub SCC.
• •Sentry, Inc. — monitoring błędów (dane pseudonimizowane; IP skrócony, brak danych zdrowotnych). Siedziba: USA. Transfer: SCC.
• •Vercel, Inc. — hosting i CDN frontendu platformy. Siedziba: USA. Transfer: SCC.

Lista podprocesorów jest aktualizowana. Aktualna lista dostępna jest na żądanie pod adresem privacy@tatumi.pro. Operator informuje Studia o planowanych zmianach w wykazie podprocesorów zgodnie z art. 28 ust. 2 RODO.

Operator nie sprzedaje danych osobowych (ani Użytkowników CRM, ani Klientów Studiów) żadnym podmiotom trzecim w celach komercyjnych.

Część podprocesorów wymienionych w §6 ma siedzibę w USA lub innych państwach spoza EOG. Każdy transfer danych do państwa trzeciego odbywa się na podstawie co najmniej jednego z następujących zabezpieczeń:

• •Uczestnictwo dostawcy w EU-US Data Privacy Framework (DPF) — mechanizm uznany przez Komisję Europejską za zapewniający odpowiedni poziom ochrony (decyzja wykonawcza KE z 10 lipca 2023 r.)
• •Standardowe Klauzule Umowne (SCC) zatwierdzone przez Komisję Europejską (decyzja 2021/914/UE) — stosowane gdy dostawca nie uczestniczy w DPF
• •Ocena ryzyka transferu (Transfer Impact Assessment, TIA) wykonana dla każdego dostawcy spoza EOG

Na żądanie Operator udostępnia kopię zastosowanych zabezpieczeń: privacy@tatumi.pro.

Zakres i sposób realizacji praw zależy od roli Operatora w stosunku do konkretnych danych:

Katalog praw (dotyczy Użytkowników CRM bezpośrednio u Operatora):

• •Prawo dostępu (art. 15) — uzyskania informacji i kopii przetwarzanych danych
• •Prawo do sprostowania (art. 16) — poprawienia nieprawidłowych danych
• •Prawo do usunięcia (art. 17) — "prawo do bycia zapomnianym"
• •Prawo do ograniczenia przetwarzania (art. 18)
• •Prawo do przenoszenia danych (art. 20) — w formacie JSON lub CSV
• •Prawo do sprzeciwu (art. 21) — m.in. wobec marketingu bezpośredniego
• •Prawo do wycofania zgody — bez wpływu na zgodność z prawem przetwarzania przed wycofaniem
• •Prawo do skargi do Prezesa UODO (ul. Stawki 2, 00-193 Warszawa, kancelaria@uodo.gov.pl)

Na stronach publicznych tatumi.pro (lądowanie, rejestracja, zalogowanie) stosowane są pliki cookies wyłącznie do celów technicznych i analitycznych. W panelu CRM stosowane są wyłącznie niezbędne cookies sesyjne.

Ustawienia cookies można zmienić w dowolnym momencie poprzez baner na stronie lub ustawienia przeglądarki.

Operator wdraża następujące środki techniczne i organizacyjne zgodnie z art. 32 RODO:

• •Szyfrowanie danych w tranzycie: TLS 1.3 dla wszystkich połączeń
• •Szyfrowanie danych w spoczynku: AES-256 na poziomie Google Cloud (dotyczy wszystkich danych, w tym Klientów Studiów)
• •Uwierzytelnianie dwuskładnikowe (2FA) dostępne dla wszystkich kont
• •Kontrola dostępu oparta na rolach (RBAC): każdy użytkownik ma dostęp tylko do swoich danych
• •Izolacja danych pomiędzy studiami: Studio A nie ma dostępu do danych Studia B
• •Automatyczne kopie zapasowe (Firebase / Google Cloud) z retencją min. 30 dni
• •Monitoring i alerty bezpieczeństwa w czasie rzeczywistym (Cloud Audit Logs)
• •Procedura reagowania na naruszenia: powiadomienie PUODO w ciągu 72 h (art. 33 RODO); powiadomienie Studii i — gdy konieczne — Klientów Studiów (art. 34 RODO)

Obowiązuje zasada minimalizacji okresu przechowywania (art. 5 ust. 1 lit. e RODO):

Dane Użytkowników CRM (Operator = Administrator):

• •Konto aktywne: przez cały czas trwania subskrypcji
• •Po zakończeniu subskrypcji: 30 dni dla eksportu danych przez Użytkownika, następnie anonimizacja
• •Dane do faktur i rozliczeń: 5 lat od końca roku obrotowego (ustawa o rachunkowości)
• •Logi bezpieczeństwa i audytowe: do 12 miesięcy

Dane Klientów Studiów (Operator = Podmiot przetwarzający):

• •Okres przechowywania ustala wyłącznie Studio (Administrator) zgodnie z własnymi obowiązkami prawnymi i polityką prywatności oferowaną klientom
• •Na żądanie Studia Operator niezwłocznie usuwa lub anonimizuje wskazane dane Klientów
• •Po zakończeniu umowy ze Studiem: Operator usuwa dane Klientów Studia w ciągu 30 dni, chyba że przepisy prawa nakazują dłuższe przechowywanie

Uwaga dotycząca Kart Zdrowia: Operator nie narzuca okresu przechowywania danych zdrowotnych — decyzja należy do Studia. W świetle art. 29 ust. 1 ustawy o prawach pacjenta dokumentacja medyczna jest przechowywana przez min. 20 lat. Studia świadczące usługi zbliżone do zabiegów z pogranicza kosmetyki i zdrowia powinny skonsultować wymagany okres retencji z prawnikiem.

• •Operator informuje Użytkowników CRM o zmianach Polityki z wyprzedzeniem min. 14 dni (e-mail + komunikat w aplikacji)
• •Studia będące Administratorami danych Klientów są informowane o zmianach w wykazie podprocesorów zgodnie z DPA
• •Aktualna wersja Polityki zawsze dostępna pod adresem tatumi.pro/legal/privacy z datą wejścia w życie

W sprawach ochrony danych (tylko Użytkownicy CRM — Operator jako Administrator):

• •E-mail: privacy@tatumi.pro
• •E-mail ogólny: eldar@eldar-tattoo.pl
• •Adres: ELDAR TATTOO STUDIO, Jana Sobieskiego 16, 65-071 Zielona Góra, Polska

W sprawach DPA i przetwarzania danych Klientów Studiów (zapytania od Studiów):

• •E-mail: legal@tatumi.pro

Organ nadzorczy: Prezes Urzędu Ochrony Danych Osobowych (PUODO), ul. Stawki 2, 00-193 Warszawa, tel. 22 531 03 00, kancelaria@uodo.gov.pl, uodo.gov.pl.

Operator nie jest zobowiązany do wyznaczenia Inspektora Ochrony Danych (IOD/DPO) na podstawie art. 37 RODO. Działalność związana z przetwarzaniem danych szczególnej kategorii (dane zdrowotne w Kartach Zdrowia) ma miejsce wyłącznie w roli Podmiotu przetwarzającego na zlecenie Studiów — nie Operatora jako Administratora — i nie osiąga skali wymagającej obowiązkowego wyznaczenia IOD.