Vibraé Core · Beauty
Zgodność i RODO

Dokumenty prawne · Vibraé Core Beauty

Komplet wiążących dokumentów regulujących korzystanie z platformy SaaS Vibraé Core Beauty przez właścicielki salonów beauty oraz gabinetów medycyny estetycznej. Dokumenty stanowią integralną całość i są akceptowane przy zakładaniu konta.

Wersja 1.0 · obowiązuje od 23 czerwca 2026 r.
Dokument 01

Regulamin świadczenia usług drogą elektroniczną

Vibraé Core Beauty (platforma SaaS) · relacja Vibraé ↔ właściciel salonu · Wersja 1.0, obowiązuje od 23 czerwca 2026 r.

§ 1. Postanowienia ogólne

  1. Niniejszy Regulamin określa zasady świadczenia usług drogą elektroniczną w ramach platformy informatycznej Vibraé Core Beauty (dalej: „Platforma" lub „System") przez Usługodawcę na rzecz przedsiębiorców prowadzących salony beauty oraz gabinety medycyny estetycznej.
  2. Regulamin jest regulaminem, o którym mowa w art. 8 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (u.ś.u.d.e.).
  3. Usługi świadczone są w relacji B2B (przedsiębiorca–przedsiębiorca). Z usług korzystać mogą podmioty zawierające umowę w bezpośrednim związku z prowadzoną działalnością gospodarczą lub zawodową. Postanowienia dotyczące przedsiębiorcy na prawach konsumenta zawiera § 16.
  4. Akceptacja Regulaminu jest warunkiem korzystania z Platformy, w tym z bezpłatnego okresu testowego (trial).

§ 2. Definicje

Użyte w Regulaminie pojęcia oznaczają:

  1. Usługodawca / Administrator Platformy — VIBRAE MISZCZYK SPÓŁKA JAWNA z siedzibą w Lesznie (64-100) przy ul. Żurawinowej 22, NIP 6972407287, REGON 541705405, wpisana do rejestru przedsiębiorców KRS pod numerem 0001172292; adres kontaktowy: info@vibrae.pl.
  2. Salon / Klient / Usługobiorca — przedsiębiorca, który zawarł z Usługodawcą umowę o korzystanie z Platformy (założył Konto i zaakceptował Regulamin); może nim być salon beauty lub gabinet medycyny estetycznej.
  3. Platforma / System / Vibraé Core Beauty — udostępniane w modelu SaaS (Software as a Service) oprogramowanie wraz z infrastrukturą, dostępne przez przeglądarkę internetową.
  4. Konto — wydzielony, zabezpieczony loginem i hasłem obszar Platformy przypisany do Salonu (tzw. tenant), w którym Salon zarządza danymi swoich klientek i korzysta z funkcji Systemu.
  5. Klientka / Klient Salonu — osoba fizyczna będąca klientką Salonu, której dane Salon wprowadza i przetwarza w Platformie.
  6. Personel / Specjalistki — osoby obsługujące Konto w imieniu Salonu (właściciel, recepcja, specjalistki wykonujące zabiegi i in.).
  7. Moduł — wyodrębniona funkcjonalność Systemu, którą Salon może włączyć lub wyłączyć (np. rezerwacje online, grafik, dokumentacja zabiegowa, vouchery, program lojalnościowy, płatności, raporty, faktury).
  8. Trial / Okres testowy — bezpłatny okres próbny korzystania z Platformy, o którym mowa w § 4.
  9. Plan — wybrany przez Salon płatny wariant abonamentu, zgodnie z cennikiem prezentowanym w aplikacji lub przy składaniu zamówienia.
  10. Umowa — umowa o świadczenie usług drogą elektroniczną zawarta między Usługodawcą a Salonem na zasadach Regulaminu.
  11. Umowa Powierzenia / DPA — umowa powierzenia przetwarzania danych osobowych (art. 28 RODO), stanowiąca integralną część relacji stron (Dokument 03).
  12. RODO — rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r.

§ 3. Rodzaj i zakres usług

  1. Usługodawca udostępnia Salonowi, w modelu SaaS, dostęp do Platformy stanowiącej system operacyjny / CRM do zarządzania salonem beauty lub gabinetem medycyny estetycznej, obejmujący w szczególności funkcje:
    1. prowadzenia kartotek i kont klientek,
    2. rezerwacji online oraz grafiku wizyt i zabiegów,
    3. prowadzenia dokumentacji zabiegowej (w gabinetach medycyny estetycznej — także dokumentacji zdrowotnej, zdjęć przed/po, ewidencji preparatów),
    4. zarządzania pakietami, voucherami, zadatkami, płatnościami oraz programem lojalnościowym,
    5. generowania raportów oraz komunikacji z klientkami (powiadomienia, wiadomości, przypomnienia o wizytach),
    6. wystawiania i obsługi dokumentów rozliczeniowych.
  2. Platforma ma charakter modularny. Dostępność poszczególnych Modułów zależy od wybranego Planu oraz konfiguracji włączonej przez Salon lub Usługodawcę.
  3. Usługa świadczona jest przez przeglądarkę internetową. Do korzystania z Platformy niezbędne jest: urządzenie z dostępem do Internetu, aktualna przeglądarka obsługująca JavaScript i pliki cookies oraz aktywny adres e-mail.
  4. Usługodawca może rozwijać Platformę, dodawać, modyfikować i wycofywać Moduły oraz funkcje, z poszanowaniem praw nabytych Salonu w ramach opłaconego okresu rozliczeniowego.

§ 4. Konto i okres testowy (trial)

  1. Korzystanie z Platformy wymaga założenia Konta poprzez podanie wymaganych danych (m.in. nazwa Salonu / firma, adres e-mail, dane osoby kontaktowej) oraz akceptacji Regulaminu i Umowy Powierzenia (DPA).
  2. Usługodawca udostępnia bezpłatny okres testowy (trial) wynoszący 7 dni, bez konieczności podawania danych karty płatniczej.
  3. Po upływie okresu testowego, w braku wyboru i opłacenia Planu, dostęp do Konta zostaje automatycznie zablokowany (zawieszony). Dane wprowadzone w trakcie trialu pozostają przechowywane przez okres wskazany w § 11 i § 12, po czym mogą zostać usunięte.
  4. Salon ponosi odpowiedzialność za poufność danych logowania oraz za działania osób, którym udostępnia dostęp do Konta. Salon zobowiązany jest niezwłocznie zgłosić Usługodawcy podejrzenie nieuprawnionego dostępu.
  5. Konto przypisane jest do jednego Salonu. Zabronione jest udostępnianie Konta podmiotom trzecim w celu obejścia zasad licencjonowania.

§ 5. Plany i płatności

  1. Po zakończeniu trialu korzystanie z Platformy jest odpłatne, zgodnie z wybranym Planem płatnym.
  2. Aktualne ceny, zakres Modułów w poszczególnych Planach oraz limity określa cennik dostępny w aplikacji lub przedstawiony Salonowi przy składaniu zamówienia.
  3. Opłaty abonamentowe pobierane są z góry za przyjęty okres rozliczeniowy (miesięczny lub roczny — zgodnie z wyborem Salonu).
  4. Płatności obsługiwane są za pośrednictwem zewnętrznego operatora płatności (Stripe, w tym Stripe Connect). Usługodawca nie przechowuje pełnych danych kart płatniczych.
  5. Usługodawca wystawia faktury w formie elektronicznej, na co Salon wyraża zgodę. Faktury wysyłane są na adres e-mail przypisany do Konta oraz, w zakresie wymaganym przepisami, udostępniane do Krajowego Systemu e-Faktur (KSeF).
  6. Brak terminowej zapłaty uprawnia Usługodawcę do zawieszenia dostępu do Konta po uprzednim wezwaniu i wyznaczeniu dodatkowego terminu (co najmniej 7 dni). Za okres zawieszenia z winy Salonu opłata nie podlega zwrotowi.
  7. Zmiana Planu na wyższy następuje niezwłocznie; zmiana na niższy — od kolejnego okresu rozliczeniowego.

§ 6. Obowiązki i oświadczenia Salonu

  1. Salon zobowiązuje się korzystać z Platformy zgodnie z prawem, Regulaminem i przeznaczeniem Systemu.
  2. Salon oświadcza, że:
    1. jest administratorem danych osobowych klientek, których dane wprowadza do Platformy, i posiada ważną podstawę prawną ich przetwarzania,
    2. w zakresie szczególnych kategorii danych — danych dotyczących zdrowia związanych z zabiegami medycyny estetycznej (m.in. wywiad medyczny, przeciwwskazania, przebieg zabiegu, dokumentacja zdjęciowa) — dysponuje odpowiednią podstawą z art. 9 RODO, w szczególności wyraźną zgodą osoby, której dane dotyczą (art. 9 ust. 2 lit. a RODO),
    3. zrealizował wobec klientek obowiązki informacyjne (art. 13–14 RODO).
  3. Salon zobowiązuje się nie wprowadzać do Platformy treści bezprawnych oraz nie wykorzystywać Systemu do rozsyłania niezamówionej informacji handlowej (spam) z naruszeniem prawa.
  4. Salon odpowiada za prawidłowość, aktualność i zgodność z prawem danych wprowadzanych do Platformy.
  5. Powierzenie przetwarzania danych klientek regulowane jest odrębną Umową Powierzenia (DPA), której zawarcie jest warunkiem korzystania z Platformy.

§ 7. Obowiązki i prawa Usługodawcy

  1. Usługodawca zobowiązuje się świadczyć usługi z należytą starannością, utrzymywać Platformę i podejmować rozsądne działania zapewniające jej dostępność i bezpieczeństwo.
  2. Usługodawca ma prawo:
    1. dokonywać aktualizacji, prac konserwacyjnych i rozwojowych Platformy,
    2. czasowo ograniczyć lub wstrzymać dostęp do Systemu w celu przeprowadzenia niezbędnych prac technicznych, w miarę możliwości informując o tym z wyprzedzeniem,
    3. zablokować Konto w razie istotnego naruszenia Regulaminu lub przepisów prawa przez Salon, albo w razie zaległości w płatnościach (zgodnie z § 5 ust. 6).
  3. Usługodawca nie ingeruje w treść danych klientek wprowadzanych przez Salon, poza zakresem niezbędnym do świadczenia usługi, zapewnienia bezpieczeństwa lub wykonania obowiązków prawnych, działając jako podmiot przetwarzający w granicach DPA.

§ 8. Dostępność usługi (SLA)

  1. Usługodawca dokłada starań, aby Platforma była dostępna w sposób ciągły. Z uwagi na charakter usługi i wykorzystanie infrastruktury podmiotów trzecich (m.in. dostawców hostingu i baz danych), Usługodawca nie gwarantuje nieprzerwanej dostępności. W wersji 1.0 Regulaminu Usługodawca nie zobowiązuje się do utrzymania gwarantowanego poziomu dostępności (SLA/uptime); dostępność jest świadczona z należytą starannością, z wyłączeniem:
    1. planowanych prac konserwacyjnych (w miarę możliwości w godzinach nocnych, po wcześniejszym powiadomieniu),
    2. przerw wynikających z awarii lub działań dostawców infrastruktury (podprzetwarzających),
    3. zdarzeń siły wyższej oraz okoliczności niezależnych od Usługodawcy.
  2. Zgłoszenia awarii oraz zapytania wsparcia technicznego przyjmowane są pod adresem info@vibrae.pl, w dni robocze. Usługodawca podejmuje rozsądne starania, by reagować bez zbędnej zwłoki.
  3. Usługa świadczona jest w modelu „as is" w zakresie dopuszczalnym przepisami prawa, z zastrzeżeniem należytej staranności Usługodawcy.

§ 9. Ograniczenie odpowiedzialności

  1. Odpowiedzialność Usługodawcy wobec Salonu z tytułu Umowy ograniczona jest do szkody rzeczywistej, z wyłączeniem utraconych korzyści oraz szkód pośrednich, i — w zakresie dozwolonym prawem — do wysokości opłat netto uiszczonych przez Salon na rzecz Usługodawcy w okresie 12 miesięcy poprzedzających zdarzenie będące źródłem szkody.
  2. Ograniczenia odpowiedzialności nie stosuje się do szkód wyrządzonych umyślnie oraz w innych przypadkach, w których wyłączenie lub ograniczenie odpowiedzialności jest niedopuszczalne na mocy bezwzględnie obowiązujących przepisów prawa.
  3. Usługodawca nie odpowiada za:
    1. skutki podania przez Salon nieprawidłowych lub nieaktualnych danych,
    2. treść i zgodność z prawem danych klientek wprowadzonych przez Salon,
    3. skutki korzystania z Platformy niezgodnie z Regulaminem lub prawem,
    4. przerwy i nieprawidłowości wynikające z działania dostawców infrastruktury, sieci Internet lub siły wyższej.
  4. Salon zobowiązany jest do wykonywania we własnym zakresie kopii / eksportu kluczowych danych, w granicach udostępnianych przez Platformę narzędzi eksportu.

§ 10. Własność intelektualna

  1. Wszelkie prawa do Platformy (oprogramowanie, kod, interfejs, znaki towarowe, w tym oznaczenie „Vibraé") przysługują Usługodawcy lub jego licencjodawcom i podlegają ochronie prawnej.
  2. Salon uzyskuje niewyłączną, nieprzenoszalną licencję na korzystanie z Platformy w okresie obowiązywania Umowy, wyłącznie na potrzeby własnej działalności. Salon nie nabywa praw do kodu źródłowego ani prawa do zwielokrotniania lub modyfikowania oprogramowania.
  3. Dane wprowadzone przez Salon (dane Salonu oraz dane klientek) pozostają w dyspozycji Salonu — patrz § 11.

§ 11. Dane Salonu, eksport i usunięcie

  1. Dane wprowadzone do Platformy przez Salon (w tym kartoteki klientek, grafiki, dokumentacja zabiegowa, raporty) stanowią dane Salonu. Usługodawca przetwarza je jako podmiot przetwarzający, w granicach DPA.
  2. W okresie obowiązywania Umowy Salon ma dostęp do swoich danych oraz — w zakresie udostępnionym przez Platformę — możliwość ich eksportu.
  3. Po rozwiązaniu lub wygaśnięciu Umowy Usługodawca, na żądanie Salonu zgłoszone w terminie 30 dni od zakończenia Umowy, umożliwi eksport danych Salonu lub przekaże je w powszechnie używanym formacie. Po upływie tego terminu Usługodawca usuwa lub anonimizuje dane, z zastrzeżeniem danych, które musi zachować na podstawie przepisów prawa (np. dokumentacja rozliczeniowa) — zgodnie z DPA.
  4. Szczegółowe zasady usunięcia / zwrotu danych osobowych klientek reguluje DPA.

§ 12. Czas trwania i rozwiązanie Umowy

  1. Umowa zawierana jest na czas nieoznaczony, z okresami rozliczeniowymi zgodnymi z wybranym Planem, chyba że strony postanowią inaczej.
  2. Każda ze stron może wypowiedzieć Umowę ze skutkiem na koniec opłaconego okresu rozliczeniowego. Salon może zrezygnować z usługi również poprzez zaprzestanie odnawiania abonamentu.
  3. Usługodawca może rozwiązać Umowę ze skutkiem natychmiastowym w razie rażącego naruszenia Regulaminu przez Salon, w szczególności korzystania z Platformy w sposób bezprawny lub zagrażający bezpieczeństwu Systemu, po bezskutecznym wezwaniu do zaprzestania naruszeń.
  4. Rozwiązanie Umowy nie zwalnia Salonu z obowiązku zapłaty należności wymagalnych do dnia jej zakończenia. Opłaty za bieżący, opłacony okres rozliczeniowy co do zasady nie podlegają zwrotowi, chyba że bezwzględnie obowiązujące przepisy stanowią inaczej.

§ 13. Reklamacje

  1. Salon może składać reklamacje dotyczące działania Platformy na adres info@vibrae.pl.
  2. Reklamacja powinna zawierać: oznaczenie Salonu, opis problemu oraz oczekiwany sposób rozpatrzenia.
  3. Usługodawca rozpatruje reklamację w terminie 14 dni od jej otrzymania i informuje Salon o sposobie rozpatrzenia drogą elektroniczną. W razie potrzeby uzupełnienia informacji termin biegnie od ich dostarczenia.

§ 14. Zmiany Regulaminu

  1. Usługodawca może zmienić Regulamin z ważnych przyczyn, w szczególności: zmiany przepisów prawa, zmiany zakresu lub sposobu świadczenia usług, zmian technologicznych, zmian cennika lub zakresu Modułów.
  2. O zmianie Regulaminu Usługodawca poinformuje Salon drogą elektroniczną (e-mail lub komunikat w Platformie) z wyprzedzeniem co najmniej 14 dni przed wejściem zmian w życie.
  3. Brak zgody na zmianę Regulaminu Salon może wyrazić poprzez wypowiedzenie Umowy przed dniem wejścia zmian w życie. Dalsze korzystanie z Platformy po tym dniu oznacza akceptację zmienionego Regulaminu.

§ 15. Prawo właściwe i sąd

  1. W sprawach nieuregulowanych Regulaminem zastosowanie mają przepisy prawa polskiego, w szczególności Kodeksu cywilnego, ustawy o świadczeniu usług drogą elektroniczną oraz RODO.
  2. Prawem właściwym dla Umowy jest prawo polskie.
  3. Sądem właściwym do rozstrzygania sporów wynikających z Umowy jest sąd powszechny właściwy miejscowo dla siedziby Usługodawcy (Leszno).
  4. Jeżeli którekolwiek postanowienie Regulaminu okaże się nieważne lub bezskuteczne, pozostałe postanowienia pozostają w mocy.

§ 16. Przedsiębiorca na prawach konsumenta

  1. Postanowienie informacyjne: jeżeli Salonem jest osoba fizyczna prowadząca jednoosobową działalność gospodarczą zawierająca Umowę bezpośrednio związaną z jej działalnością, lecz nieposiadającą dla niej charakteru zawodowego (wynikającego w szczególności z przedmiotu wykonywanej działalności ujawnionego w CEIDG), do takiego przedsiębiorcy stosuje się niektóre przepisy o ochronie konsumentów (m.in. art. 385[5], art. 556[4], art. 556[5] i art. 576[5] Kodeksu cywilnego oraz wybrane przepisy ustawy o prawach konsumenta o odstąpieniu od umowy zawartej na odległość).
  2. W takim zakresie postanowienia Regulaminu ograniczające prawa konsumenckie stosuje się wyłącznie w granicach dozwolonych przepisami bezwzględnie obowiązującymi.

§ 17. Postanowienia końcowe

  1. Integralną częścią relacji stron są: Polityka Prywatności (Dokument 02), Umowa Powierzenia Przetwarzania Danych Osobowych — DPA (Dokument 03) oraz Wykaz Podprzetwarzających (Dokument 04).
  2. Regulamin obowiązuje w wersji 1.0 od dnia 23 czerwca 2026 r.
Dokument 02

Polityka prywatności Vibraé

Jak Vibraé przetwarza dane właścicieli salonów i odwiedzających · Wersja 1.0, obowiązuje od 23 czerwca 2026 r.

1. Zakres dokumentu

Niniejsza Polityka opisuje, jak VIBRAE MISZCZYK SPÓŁKA JAWNA przetwarza dane osobowe:

Ważne rozróżnienie ról. W odniesieniu do danych klientek Salonu wprowadzanych do Platformy administratorem jest Salon, a Vibraé działa jako podmiot przetwarzający (na zasadach Umowy Powierzenia / DPA — Dokument 03). Niniejsza Polityka dotyczy danych, dla których administratorem jest Vibraé — tj. danych salonów, ich przedstawicieli oraz odwiedzających.

2. Administrator danych

Administratorem danych jest:
VIBRAE MISZCZYK SPÓŁKA JAWNA
ul. Żurawinowa 22, 64-100 Leszno
NIP 6972407287, REGON 541705405, KRS 0001172292
Kontakt w sprawach danych osobowych: info@vibrae.pl

Administrator nie wyznaczył Inspektora Ochrony Danych. We wszystkich sprawach dotyczących przetwarzania danych osobowych można kontaktować się pod adresem info@vibrae.pl.

3. Cele, podstawy prawne i okresy przechowywania

Cel przetwarzaniaPodstawa prawna (RODO)Okres przechowywania
Rejestracja Konta i uruchomienie okresu testowego (trial)art. 6 ust. 1 lit. b (wykonanie umowy / działania przed jej zawarciem)przez czas trwania trialu i Umowy; dane z nieaktywowanego trialu — do 90 dni
Świadczenie usługi (udostępnianie Platformy)art. 6 ust. 1 lit. bprzez czas trwania Umowy
Rozliczenia, fakturowanie, księgowośćart. 6 ust. 1 lit. c (obowiązek prawny)przez okres wymagany prawem podatkowym (co do zasady 5 lat od końca roku podatkowego)
Kontakt, obsługa zapytań i wsparcieart. 6 ust. 1 lit. b oraz lit. f (uzasadniony interes)przez czas obsługi i do przedawnienia ewentualnych roszczeń
Marketing własny (informacje o produkcie, oferty)art. 6 ust. 1 lit. f (uzasadniony interes) lub lit. a (zgoda — komunikacja elektroniczna)do wniesienia sprzeciwu / cofnięcia zgody
Ustalenie, dochodzenie i obrona roszczeńart. 6 ust. 1 lit. fdo upływu terminów przedawnienia roszczeń
Bezpieczeństwo Platformy, logi techniczneart. 6 ust. 1 lit. fdo 12 miesięcy

4. Odbiorcy danych i podprzetwarzający

  1. Dane mogą być udostępniane podmiotom wspierającym Vibraé w świadczeniu usług (podprzetwarzającym / dostawcom), w szczególności: dostawcy bazy danych, uwierzytelniania, storage i hostingu backendu (Supabase), hostingu warstwy frontowej i funkcji serverless (Netlify), wysyłki wiadomości e-mail i SMS (Brevo / Sendinblue), obsługi płatności (Stripe) — wyłącznie w zakresie niezbędnym do realizacji celów. Pełny wykaz zawiera Dokument 04 „Wykaz Podprzetwarzających".
  2. Dane do faktur są udostępniane do Krajowego Systemu e-Faktur (KSeF), który jest odbiorcą danych z mocy prawa, a nie podprzetwarzającym.
  3. Dane mogą być udostępniane podmiotom uprawnionym na podstawie przepisów prawa oraz doradcom (np. księgowość, obsługa prawna) na zasadach poufności.

5. Przekazywanie danych poza EOG

Dane przetwarzane są co do zasady na terenie Unii Europejskiej / Europejskiego Obszaru Gospodarczego (EOG). Baza danych i storage (Supabase) zlokalizowane są w regionie Unii Europejskiej — Frankfurt (eu-central-1). Część dostawców przetwarza dane poza EOG — w szczególności Netlify (USA; hosting warstwy frontowej i funkcje serverless) oraz Stripe — w takich przypadkach Vibraé zapewnia odpowiednie zabezpieczenia w rozumieniu rozdziału V RODO, w szczególności standardowe klauzule umowne (SCC) zatwierdzone przez Komisję Europejską. Status lokalizacji poszczególnych dostawców wskazano w Dokumencie 04.

6. Prawa osób, których dane dotyczą

Przysługuje Państwu prawo do:

W celu realizacji praw prosimy o kontakt na adres info@vibrae.pl.

Jeżeli Państwa dane przetwarzane są przez Vibraé jako podmiot przetwarzający w imieniu Salonu (dotyczy klientek Salonu), żądania dotyczące tych danych należy kierować do właściwego Salonu jako administratora; Vibraé przekaże takie żądania Salonowi.

7. Pliki cookies (strony marketingowe / landing)

  1. Strony marketingowe Vibraé mogą wykorzystywać pliki cookies oraz podobne technologie.
  2. Cookies niezbędne do działania strony i aplikacji (m.in. sesja logowania, token uwierzytelnienia, bezpieczeństwo) stosowane są na podstawie uzasadnionego interesu / wykonania umowy (art. 6 ust. 1 lit. f oraz lit. b) i nie wymagają zgody.
  3. Cookies analityczne / marketingowe stosowane są wyłącznie po wyrażeniu zgody za pośrednictwem banera cookies (o ile zostaną wdrożone); zgodę można w każdej chwili wycofać lub zmienić w ustawieniach przeglądarki / banera.
  4. Ustawienia plików cookies można zmienić w przeglądarce. Ograniczenie cookies niezbędnych może uniemożliwić logowanie i korzystanie z aplikacji.

8. Dobrowolność podania danych

Podanie danych przy zakładaniu Konta / trialu jest dobrowolne, lecz niezbędne do zawarcia i wykonania Umowy. Podanie danych do faktury wynika z obowiązków podatkowych.

9. Zautomatyzowane podejmowanie decyzji

Vibraé nie podejmuje wobec salonów ani odwiedzających decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu, wywołujących skutki prawne lub podobnie istotnych (brak profilowania w rozumieniu art. 22 RODO). Platforma Vibraé Core Beauty nie wykorzystuje mechanizmów sztucznej inteligencji do przetwarzania danych osobowych.

10. Zmiany Polityki

Polityka może być aktualizowana. Aktualna wersja publikowana jest na stronie Platformy wraz z datą obowiązywania. Niniejsza wersja 1.0 obowiązuje od dnia 23 czerwca 2026 r.

Dokument 03

Umowa powierzenia przetwarzania danych osobowych (DPA)

art. 28 RODO · Vibraé (procesor) ↔ Salon (administrator) · Wersja 1.0, obowiązuje od 23 czerwca 2026 r.

Strony

Podmiot przetwarzający (Procesor): VIBRAE MISZCZYK SPÓŁKA JAWNA, ul. Żurawinowa 22, 64-100 Leszno, NIP 6972407287, REGON 541705405, KRS 0001172292 (dalej: „Procesor" lub „Vibraé"); kontakt: info@vibrae.pl.

Administrator danych (Salon): przedsiębiorca korzystający z platformy Vibraé Core Beauty, którego dane identyfikacyjne (firma, NIP, adres) wskazane są w Koncie / w Umowie głównej (dalej: „Administrator" lub „Salon").

Niniejsza Umowa Powierzenia (dalej: „Umowa" lub „DPA") zostaje zawarta w związku z Umową o świadczenie usług drogą elektroniczną (dalej: „Umowa Główna" — Dokument 01) i stanowi jej integralną część. Zawarcie DPA następuje poprzez akceptację jej treści przy zakładaniu Konta / okresu testowego.

§ 1. Definicje

Pojęcia: „dane osobowe", „przetwarzanie", „administrator", „podmiot przetwarzający", „podmiot przetwarzający dalej (podprzetwarzający)", „naruszenie ochrony danych osobowych", „organ nadzorczy" — rozumiane są zgodnie z RODO (rozporządzenie (UE) 2016/679).

§ 2. Przedmiot, charakter i cel powierzenia

  1. Administrator powierza Procesorowi przetwarzanie danych osobowych w zakresie i w celu niezbędnym do świadczenia usług na podstawie Umowy Głównej, tj. udostępniania i obsługi platformy Vibraé Core Beauty (CRM dla salonu beauty / gabinetu medycyny estetycznej).
  2. Charakter i cel przetwarzania: hostowanie, przechowywanie, udostępnianie, organizowanie, modyfikowanie (na polecenie Administratora poprzez funkcje Systemu), tworzenie kopii zapasowych oraz usuwanie danych — wyłącznie w celu realizacji funkcji Platformy (m.in. kartoteki klientek, rezerwacje i grafik, dokumentacja zabiegowa, vouchery, program lojalnościowy, komunikacja, rozliczenia klientek Salonu).
  3. Procesor przetwarza dane wyłącznie na udokumentowane polecenie Administratora. Za udokumentowane polecenie uznaje się również korzystanie przez Administratora z funkcji Platformy oraz postanowienia Umowy Głównej i niniejszej DPA. Jeżeli obowiązek przetwarzania nakłada na Procesora prawo Unii lub państwa członkowskiego, Procesor informuje o tym Administratora przed przetwarzaniem, chyba że prawo to zabrania takiego informowania z uwagi na ważny interes publiczny.

§ 3. Czas trwania

  1. Umowa obowiązuje przez okres obowiązywania Umowy Głównej.
  2. Po zakończeniu Umowy Głównej stosuje się postanowienia § 9 (usunięcie / zwrot danych).

§ 4. Rodzaj danych i kategorie osób

  1. Kategorie osób, których dane dotyczą: klientki Salonu, osoby kontaktowe / pracownicy / współpracownicy Salonu (personel, specjalistki) w zakresie obsługi Konta.
  2. Rodzaj danych zwykłych: dane identyfikacyjne i kontaktowe (imię, nazwisko, telefon, e-mail), data urodzenia, dane dotyczące współpracy z Salonem (pakiety, wizyty, zabiegi, płatności, vouchery, korespondencja), dane logowania klientek do paneli.
  3. Szczególne kategorie danych (art. 9 RODO): dane dotyczące zdrowia związane z zabiegami medycyny estetycznej, w szczególności wywiad medyczny, przeciwwskazania, opis przebiegu zabiegu, powikłania oraz dokumentacja zdjęciowa (zdjęcia przed/po). Przetwarzanie tych danych odbywa się wyłącznie wówczas, gdy Administrator dysponuje właściwą podstawą z art. 9 ust. 2 RODO (w szczególności wyraźną zgodą osoby, której dane dotyczą), za co odpowiada Administrator.
  4. Pełny, aktualizowany wykaz kategorii danych stanowi Załącznik nr 1.

§ 5. Obowiązki Procesora

Procesor zobowiązuje się w szczególności do:

  1. przetwarzania danych wyłącznie na udokumentowane polecenie Administratora;
  2. zapewnienia, by osoby upoważnione do przetwarzania danych zobowiązały się do zachowania poufności lub podlegały ustawowemu obowiązkowi poufności;
  3. podjęcia środków bezpieczeństwa wymaganych na mocy art. 32 RODO (§ 7);
  4. przestrzegania warunków korzystania z usług podprzetwarzających (§ 6);
  5. pomocy Administratorowi (§ 8) w realizacji praw osób, których dane dotyczą, oraz w wypełnianiu obowiązków z art. 32–36 RODO;
  6. usunięcia lub zwrotu danych po zakończeniu świadczenia usług (§ 9);
  7. udostępniania Administratorowi informacji niezbędnych do wykazania spełnienia obowiązków oraz umożliwienia audytów (§ 10);
  8. niezwłocznego informowania Administratora, jeżeli jego zdaniem wydane polecenie stanowi naruszenie RODO lub innych przepisów o ochronie danych.

§ 6. Podprzetwarzający (sub-processors)

  1. Administrator wyraża ogólną zgodę na korzystanie przez Procesora z podprzetwarzających w celu świadczenia usług. Aktualny wykaz podprzetwarzających stanowi Załącznik nr 2 oraz dostępny jest w Dokumencie 04 „Wykaz Podprzetwarzających".
  2. Na dzień zawarcia Umowy Procesor korzysta z podprzetwarzających: Supabase (baza danych, uwierzytelnianie, storage, hosting backendu), Netlify (hosting warstwy frontowej i funkcji serverless), Brevo / Sendinblue (wysyłka wiadomości e-mail i SMS), Stripe (obsługa płatności, w tym Stripe Connect).
  3. Procesor zapewnia, że na podprzetwarzających nałożone zostaną — w drodze umowy — obowiązki ochrony danych odpowiadające obowiązkom z niniejszej DPA. Procesor odpowiada wobec Administratora za działania i zaniechania podprzetwarzających jak za własne.
  4. Procesor poinformuje Administratora o zamiarze zmiany (dodania lub zastąpienia) podprzetwarzającego z wyprzedzeniem co najmniej 14 dni, drogą elektroniczną lub poprzez aktualizację Wykazu. Administratorowi przysługuje prawo sprzeciwu wobec zmiany z uzasadnionych przyczyn dotyczących ochrony danych, zgłoszone w terminie 14 dni. W razie sprzeciwu, którego strony nie zdołają rozwiązać, Administratorowi przysługuje prawo wypowiedzenia Umowy Głównej w części dotkniętej zmianą.
  5. W przypadku transferu danych poza Europejski Obszar Gospodarczy (EOG) Procesor zapewni zastosowanie odpowiednich zabezpieczeń w rozumieniu rozdziału V RODO (m.in. standardowych klauzul umownych — SCC). Dane przetwarzane są co do zasady w EOG; status lokalizacji poszczególnych podprzetwarzających wskazano w Wykazie (Dokument 04).

§ 7. Bezpieczeństwo przetwarzania (art. 32 RODO)

  1. Procesor wdraża odpowiednie środki techniczne i organizacyjne zapewniające stopień bezpieczeństwa odpowiadający ryzyku, w szczególności:
    1. szyfrowanie danych w tranzycie (protokół TLS/HTTPS) między przeglądarką a Platformą oraz między komponentami infrastruktury;
    2. izolację danych poszczególnych Salonów (tenantów) na poziomie bazy danych, w tym poprzez mechanizm Row-Level Security (RLS), uniemożliwiający dostęp jednego Salonu do danych innego;
    3. kontrolę dostępu opartą na rolach i uwierzytelnianiu (loginy, hasła, sesje), z zasadą ograniczania dostępu do niezbędnego minimum;
    4. kopie zapasowe danych wykonywane w ramach infrastruktury bazodanowej, umożliwiające odtworzenie danych;
    5. korzystanie z renomowanych dostawców infrastruktury zapewniających bezpieczeństwo na poziomie centrów danych (w tym szyfrowanie danych w spoczynku po stronie dostawcy);
    6. bieżącą aktualizację komponentów i ograniczanie grona osób z dostępem administracyjnym.
  2. Wykaz środków może być aktualizowany wraz z rozwojem Platformy, przy zachowaniu poziomu bezpieczeństwa nie niższego niż dotychczasowy.

§ 8. Pomoc Administratorowi

  1. Prawa osób, których dane dotyczą: Procesor, w miarę możliwości, pomaga Administratorowi — poprzez odpowiednie środki techniczne i organizacyjne oraz funkcje Platformy — w realizacji obowiązku odpowiadania na żądania osób (dostęp, sprostowanie, usunięcie, ograniczenie, przenoszenie, sprzeciw). Jeżeli żądanie wpłynie bezpośrednio do Procesora, przekaże je niezwłocznie Administratorowi i nie odpowie na nie samodzielnie bez polecenia, chyba że obowiązek taki wynika z przepisów.
  2. Naruszenia ochrony danych: Procesor zgłasza Administratorowi naruszenie ochrony danych bez zbędnej zwłoki, nie później niż w ciągu 72 godzin od jego stwierdzenia, przekazując informacje niezbędne do wykonania przez Administratora obowiązków z art. 33–34 RODO (charakter naruszenia, kategorie i przybliżona liczba osób/rekordów, możliwe konsekwencje, podjęte/proponowane środki).
  3. DPIA i uprzednie konsultacje: Procesor pomaga Administratorowi w realizacji obowiązków z art. 35–36 RODO (ocena skutków dla ochrony danych, uprzednie konsultacje z organem nadzorczym), w zakresie i przy uwzględnieniu charakteru przetwarzania oraz informacji dostępnych Procesorowi.
  4. Procesor może uzależnić udzielenie ponadstandardowej pomocy (przekraczającej zwykłą obsługę) od pokrycia uzasadnionych kosztów, o czym uprzedzi Administratora.

§ 9. Usunięcie lub zwrot danych

  1. Po zakończeniu świadczenia usług, zależnie od decyzji Administratora, Procesor usuwa wszelkie dane osobowe albo zwraca je Administratorowi (umożliwiając eksport w powszechnie używanym formacie) oraz usuwa istniejące kopie, chyba że prawo Unii lub państwa członkowskiego nakazuje przechowywanie danych.
  2. Decyzję (usunięcie albo zwrot) Administrator zgłasza w terminie 30 dni od zakończenia Umowy Głównej. Po bezskutecznym upływie tego terminu Procesor jest uprawniony do usunięcia danych.
  3. Usunięcie obejmuje również usunięcie kopii zapasowych w ramach standardowych cykli rotacji backupów — najpóźniej w terminie do 30 dni.

§ 10. Audyty i informacje

  1. Procesor udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków z art. 28 RODO.
  2. Procesor umożliwia Administratorowi (lub upoważnionemu audytorowi związanemu poufnością) przeprowadzanie audytów, w tym inspekcji, oraz przyczynia się do nich. Audyt odbywa się po uprzednim, rozsądnym powiadomieniu (co najmniej 14 dni), w godzinach pracy, w sposób minimalizujący zakłócenia działalności i bezpieczeństwa innych Salonów (tenantów), nie częściej niż raz w roku, z wyjątkiem audytów wywołanych naruszeniem lub żądaniem organu.
  3. Procesor może w pierwszej kolejności udostępnić wyniki audytów własnych / dostawców infrastruktury oraz dokumentację środków bezpieczeństwa.

§ 11. Odpowiedzialność

  1. Każda ze stron odpowiada za szkody wynikłe z przetwarzania niezgodnego z RODO w zakresie, w jakim nie wywiązała się z obowiązków nałożonych na nią przez RODO lub niniejszą DPA.
  2. Odpowiedzialność Procesora wobec Administratora z tytułu niniejszej DPA podlega ograniczeniom przewidzianym w Umowie Głównej (§ 9 Regulaminu — limit do wysokości opłat netto z 12 miesięcy poprzedzających zdarzenie), w zakresie dopuszczalnym przepisami prawa, z zastrzeżeniem bezwzględnie obowiązujących przepisów dotyczących ochrony danych osobowych.

§ 12. Postanowienia końcowe

  1. W sprawach nieuregulowanych stosuje się RODO oraz prawo polskie.
  2. W razie sprzeczności postanowień DPA z Umową Główną w zakresie ochrony danych osobowych — pierwszeństwo ma DPA.
  3. Załączniki stanowią integralną część DPA.

Załącznik nr 1 — Wykaz kategorii danych i osób

Kategoria osóbRodzaj danychKategoria RODO
Klientki Salonuimię, nazwisko, telefon, e-mail, data urodzeniadane zwykłe
Klientki Salonupakiety, historia wizyt i zabiegów, płatności/abonament, vouchery, korespondencja, dane logowania do paneludane zwykłe
Klientki Salonu (medycyna estetyczna)wywiad medyczny, przeciwwskazania, przebieg zabiegu, powikłania, dokumentacja zdjęciowa (przed/po), ewidencja preparatówszczególna kategoria (zdrowie, art. 9 RODO)
Osoby obsługujące Konto (właściciel, personel, specjalistki)imię, nazwisko, e-mail, telefon, login, roladane zwykłe

Załącznik nr 2 — Wykaz podprzetwarzających

Patrz Dokument 04 „Wykaz Podprzetwarzających". Na dzień zawarcia Umowy: Supabase, Netlify, Brevo / Sendinblue, Stripe.

Dokument 04

Wykaz podprzetwarzających (sub-processors)

Vibraé Core Beauty · Wersja 1.0, obowiązuje od 23 czerwca 2026 r.

Administrator Platformy / Podmiot przetwarzający: VIBRAE MISZCZYK SPÓŁKA JAWNA, ul. Żurawinowa 22, 64-100 Leszno, NIP 6972407287, KRS 0001172292; kontakt: info@vibrae.pl.

Poniższy wykaz obejmuje podmioty, którym Vibraé powierza przetwarzanie danych (podprzetwarzający) w celu świadczenia usług w ramach platformy Vibraé Core Beauty.

PodmiotRola / usługaRegion przetwarzaniaPodstawa transferu (jeśli poza EOG)
Supabase Baza danych, uwierzytelnianie, przechowywanie plików (storage), hosting backendu Unia Europejska — Frankfurt (region eu-central-1) Przetwarzanie w EOG — transfer co do zasady nie występuje
Netlify Hosting warstwy frontowej i funkcji serverless USA (funkcje serverless, domyślnie region us-east-1); CDN globalny Standardowe klauzule umowne (SCC) — DPA Netlify (przetwarzanie poza EOG)
Brevo (Sendinblue) Wysyłka wiadomości e-mail i SMS (powiadomienia, przypomnienia) UE (Francja) Przetwarzanie w EOG — transfer nie występuje
Stripe Obsługa płatności (abonamenty, faktury, Stripe Connect) UE (Irlandia); część operacji może odbywać się poza EOG Standardowe klauzule umowne (SCC) dla operacji poza EOG

Uwagi

  1. KSeF nie jest podprzetwarzającym. Dane przekazywane do Krajowego Systemu e-Faktur w związku z fakturowaniem trafiają do organu/systemu będącego odbiorcą z mocy prawa, a nie podmiotem przetwarzającym dane na zlecenie Vibraé.
  2. Brak dostawców AI. Platforma Vibraé Core Beauty nie wykorzystuje usług sztucznej inteligencji; do przetwarzania danych nie są angażowani dostawcy modeli AI.
  3. Lista podprzetwarzających może ulegać zmianie. Vibraé zastrzega prawo dodawania, zastępowania lub usuwania podprzetwarzających w miarę rozwoju Platformy.
  4. Powiadamianie salonów. O istotnych zmianach (dodanie lub zastąpienie podprzetwarzającego) Vibraé poinformuje salony z wyprzedzeniem co najmniej 14 dni, drogą elektroniczną lub poprzez aktualizację niniejszego wykazu. Salonowi przysługuje prawo sprzeciwu z uzasadnionych przyczyn dotyczących ochrony danych, na zasadach określonych w DPA (Dokument 03).
  5. Transfery poza EOG. Tam, gdzie dane przetwarzane są poza Europejskim Obszarem Gospodarczym, Vibraé zapewnia odpowiednie zabezpieczenia (rozdział V RODO), w szczególności standardowe klauzule umowne (SCC).
↑ Wróć do spisu treści