Polityka prywatności

1. Administrator i procesor danych

1. Administratorem Twoich danych osobowych jest Salon ([Nazwa Salonu], NIP [—], [—]). To Salon decyduje o celach i sposobach przetwarzania Twoich danych.
2. Subito (Instrumental Yevheniia Mikhalova) przetwarza Twoje dane jako procesor (podmiot przetwarzający) w rozumieniu art. 28 RODO w imieniu i na zlecenie Salonu — na podstawie zawartej z Salonem umowy powierzenia przetwarzania danych (DPA).
3. Subito = agent rozliczeniowy Salonu w rozumieniu art. 758 § 1 Kodeksu cywilnego. Subito nie jest sprzedawcą usługi — pośredniczy tylko technicznie w sprzedaży subskrypcji Salonu.
4. Kontakt w sprawach RODO: kontakt@gosubito.pl (Salon) lub kontakt@gosubito.pl (Subito).

2. Jakie dane przetwarzamy

• Imię i nazwisko
• Adres e-mail
• Numer telefonu
• Dane płatnicze (przetwarzane wyłącznie przez Stripe — tokenizowane, my widzimy tylko ostatnie 4 cyfry karty + datę ważności)
• Historia wizyt i subskrypcji
• „Cyfrowy paszport stylizacji" — preferencje strzyżenia (długość fade, styl, ulubiony szampon) i zdjęcia przed/po (jeśli barber je dodał za Twoją zgodą)
• Adres IP, dane przeglądarki (cele bezpieczeństwa i analityka, jeśli wyrazisz zgodę)

Dane szczególnej kategorii (art. 9 RODO) nie są przez nas przetwarzane poza ewentualnymi notatkami stylizacyjnymi (np. alergie na kosmetyki). W takich przypadkach Salon uzyskuje od Ciebie odrębną zgodę.

3. Cele i podstawy prawne przetwarzania

• Realizacja umowy subskrypcji — art. 6 ust. 1 lit. b RODO
• Wystawianie paragonów i faktur (w tym przez KSeF dla B2B) — art. 6 ust. 1 lit. c RODO (obowiązek prawny: ustawa o VAT, Ordynacja podatkowa)
• Raportowanie DAC7 do Krajowej Administracji Skarbowej — art. 6 ust. 1 lit. c RODO (obowiązek prawny: ustawa z 23.05.2024 r. wdrażająca dyrektywę 2021/514/UE). Subito raz w roku, do 31 stycznia, raportuje obroty Salonu do MF. Twoje dane osobowe NIE są raportowane — tylko dane Salonu.
• Kontakt z Tobą w sprawach wizyt (SMS przypomnienia, e-mail) — art. 6 ust. 1 lit. b/f RODO
• Marketing własny Salonu — art. 6 ust. 1 lit. f RODO (uzasadniony interes), tylko jeśli wyraziłeś osobną zgodę
• Bezpieczeństwo Platformy i wykrywanie oszustw — art. 6 ust. 1 lit. f RODO

4. Podwykonawcy (procesory / subprocesory)

Twoje dane przekazujemy następującym podmiotom:

Wszystkie podmioty zewnętrzne są zgodne z RODO. Transfer do USA odbywa się na podstawie Standardowych Klauzul Umownych (SCC) — decyzja wykonawcza Komisji 2021/914, plus certyfikacji EU-US Data Privacy Framework (DPF) — decyzja KE 2023/1795.

Dodatkowo, w ramach obowiązku DAC7, raz w roku Subito przekazuje do Szefa Krajowej Administracji Skarbowej (KAS) dane Salonu (nie Klienta) — zgodnie z ustawą z 23.05.2024 r.

5. Twoje prawa

• Prawo dostępu — możesz pobrać kopię wszystkich swoich danych jako plik JSON: zaloguj się i przejdź do /account → Twoje dane osobowe → „Pobierz wszystkie moje dane". Endpoint API: GET /api/me/export.
• Prawo sprostowania — popraw dane w /account lub napisz do nas.
• Prawo usunięcia („prawo do bycia zapomnianym") — kliknij „Usuń konto" w /account → Twoje dane osobowe. Endpoint API: POST /api/me/delete. Konto wchodzi w 30-dniowy okres karencji (możesz odwrócić kontaktując się z nami), po czym dane są bezpowrotnie usuwane (oprócz faktur VAT, patrz pkt 7).
• Prawo ograniczenia przetwarzania
• Prawo przenoszenia danych (export JSON spełnia ten wymóg)
• Prawo sprzeciwu (np. wobec marketingu, wyłącz w /account → Powiadomienia)
• Prawo wniesienia skargi do Prezesa UODO (ul. Stawki 2, 00-193 Warszawa)
• Prawo odstąpienia od umowy (14 dni od zawarcia, jeśli usługa nie została jeszcze rozpoczęta) — formularz odstąpienia

Aby skorzystać z któregokolwiek z praw, napisz do nas na kontakt@gosubito.pl (Salon) lub kontakt@gosubito.pl (Subito).

6. Pliki cookies

Aplikacja używa dwóch kategorii cookies:

• Niezbędne (zawsze aktywne, nie wymagają zgody, art. 173 ust. 3 Prawa telekomunikacyjnego):
  • __session, __client_uat (Clerk) — utrzymanie sesji logowania
  • __stripe_mid, __stripe_sid (Stripe) — antyfraud podczas płatności
  • gosubito-consent — zapisanie Twojej decyzji o cookies (max 365 dni)
  • salon_pref — zapamiętanie ostatnio odwiedzonego salonu
• Analityczne (wymagają zgody, przycisk „Akceptuję" w bannerze):
  • Sentry — monitoring błędów front-endu, session replay (z maskowaniem treści, bez nagrywania danych płatniczych)
  Bez tej zgody Sentry nie zbiera żadnych danych z Twojej przeglądarki.

Nie używamy cookies marketingowych ani trackingowych firm trzecich (brak Facebook Pixel, Google Analytics itp.). Wszystkie nasze decyzje śledzenia są transparentne i można je wycofać w dowolnym momencie.

7. Okres przechowywania

Dane przechowujemy przez okres trwania subskrypcji. Po usunięciu konta:

• 30-dniowy okres karencji (możliwość odwrócenia decyzji)
• Po 30 dniach — twarde usunięcie (cron /api/cron/gdpr-purge kasuje wiersz użytkownika i kaskadowo: subskrypcje, wizyty, paszport, zdjęcia)
• Faktury VAT — przechowujemy 5 lat zgodnie z art. 70 § 1 Ordynacji podatkowej i art. 86 § 1 ustawy o rachunkowości (po anonimizacji rekordów osobowych zostaje tylko nr faktury, kwota, NIP)
• Raporty DAC7 — przechowujemy 5 lat po końcu roku raportowanego (wymóg ustawy z 23.05.2024 r.)

8. Zmiany Polityki Prywatności

1. Polityka może być zmieniana — o istotnych zmianach poinformujemy Cię e-mailem na minimum 14 dni przed wejściem zmian w życie.
2. Aktualna wersja jest zawsze dostępna pod adresem gosubito.pl/polityka-prywatnosci.

9. Powiązane dokumenty

• Regulamin świadczenia usług subskrypcyjnych
• Umowa agencyjna Subito ↔ Barber (art. 758 kc)
• DPA — Umowa powierzenia przetwarzania danych (art. 28 RODO)
• Wzór formularza odstąpienia od umowy (Załącznik nr 2 do ustawy o prawach konsumenta)