Polityka prywatności
Niniejsza Polityka prywatności opisuje, w jaki sposób NAKIEDY Sp. z o.o. — operator usługi Miblo — przetwarza dane osobowe w związku z prowadzeniem serwisu miblo.pl, świadczeniem usług dla przedsiębiorców oraz udostępnianiem publicznych wizytówek z rezerwacją online. Dokument wyjaśnia, kiedy działamy jako administrator danych, a kiedy jako podmiot przetwarzający dane w imieniu naszych Klientów (salonów, klinik, studiów i innych firm usługowych).
The Polish version is the sole binding version.
1. Wstęp i zakres
Polityka dotyczy przetwarzania danych osobowych następujących kategorii osób:
- Klientów-przedsiębiorców oraz osób ich reprezentujących — osób fizycznych prowadzących działalność gospodarczą oraz osób działających w imieniu Klientów będących spółkami lub innymi podmiotami (członków zarządu, osób kontaktowych, osób dokonujących rejestracji);
- Użytkowników — pracowników i współpracowników Klientów — osób, którym Klient nadał dostęp do Panelu w ramach swojego konta;
- Klientów końcowych salonów — osób korzystających z usług naszych Klientów, w szczególności rezerwujących terminy lub dokonujących zakupów za pośrednictwem Wizytówek;
- odwiedzających serwis miblo.pl i Wizytówki — osób odwiedzających strony w domenie miblo.pl (w tym stronę marketingową oraz publiczne Wizytówki Klientów pod adresami www.miblo.pl/u/<adres>), w zakresie danych technicznych i logów gromadzonych na tej domenie; administratorem tych danych jest Miblo.
W odniesieniu do danych Klientów końcowych (kategoria c) rola Miblo zależy od kontekstu — szczegółowo opisuje to punkt 3. Osoby dokonujące rezerwacji w konkretnym salonie w sprawach dotyczących ich danych powinny kierować się przede wszystkim do tego salonu jako administratora danych oraz do jego polityki prywatności (zob. punkt 3 i 8).
2. Administrator i kontakt
Administratorem danych osobowych w zakresie opisanym w niniejszej Polityce (z zastrzeżeniem roli podmiotu przetwarzającego — punkt 3) jest:
NAKIEDY SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ z siedzibą w Wejherowie, ul. 3 Maja 15/4, 84-200 Wejherowo, wpisana do rejestru przedsiębiorców Krajowego Rejestru Sądowego pod numerem KRS 0000613743, dla której akta rejestrowe prowadzi Sąd Rejonowy Gdańsk-Północ w Gdańsku, REGON 364245886, NIP 5882417353, kapitał zakładowy 5 000 PLN. Usługa oferowana jest pod marką „Miblo".
Kontakt ogólny: kontakt@miblo.pl.
Kontakt w sprawie danych osobowych: iod@miblo.pl.
3. Rozdzielenie ról: administrator a podmiot przetwarzający
Miblo występuje w dwóch odrębnych rolach, w zależności od tego, czyje dane i w jakim celu są przetwarzane:
| Miblo jako administrator (ADO) | Miblo jako podmiot przetwarzający (procesor) |
|---|---|
Miblo samodzielnie decyduje o celach i sposobach przetwarzania następujących danych:
|
Miblo przetwarza w imieniu i na udokumentowane polecenie Klienta następujące dane,
wprowadzane przez Klienta do systemu:
|
Osoby dokonujące rezerwacji u konkretnego Klienta (Klienci końcowi) w sprawach dotyczących swoich danych kierowane są do polityki prywatności swojego salonu jako administratora danych. Miblo, jako podmiot przetwarzający, wspiera Klienta w obsłudze żądań tych osób (punkt 8).
4. Cele, podstawy prawne i zakres przetwarzania
W zakresie, w jakim Miblo jest administratorem danych (punkt 3), dane osobowe przetwarzane są w następujących celach i na następujących podstawach prawnych:
- Zawarcie i wykonanie umowy o korzystanie z Serwisu (rejestracja, obsługa konta, świadczenie usługi, komunikacja obsługowa) — art. 6 ust. 1 lit. b RODO (niezbędność do wykonania umowy), wobec Klientów-przedsiębiorców i osób ich reprezentujących.
- Obowiązki księgowe i podatkowe, w tym wystawianie i przechowywanie faktur (KSeF) — art. 6 ust. 1 lit. c RODO (obowiązek prawny).
- Zapewnienie bezpieczeństwa Serwisu, ustalenie, dochodzenie i obrona roszczeń oraz statystyka i rozwój usługi — art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes Miblo), obejmujące m.in. rejestrowanie zdarzeń, wykrywanie nadużyć i analizę korzystania z Serwisu.
- Dane Użytkowników — pracowników i współpracowników Klientów (kategoria b) przetwarzamy w związku ze świadczeniem usługi na rzecz Klienta oraz w celu zapewnienia bezpieczeństwa (art. 6 ust. 1 lit. b i f RODO). Dane te pochodzą od Klienta — pracodawcy lub podmiotu współpracującego, który zaprasza daną osobę do korzystania z Panelu. Informację o źródle danych podajemy zgodnie z art. 14 ust. 2 lit. f RODO.
Komunikacja i marketing. Komunikacja dotycząca usługi (transakcyjna) — w tym powiadomienia o zmianach, przypomnienia o zbliżającym się końcu okresu abonamentowego lub próbnego, informacje o awariach i pracach serwisowych — prowadzona jest na podstawie art. 6 ust. 1 lit. b lub f RODO. Informacje handlowe (marketing bezpośredni) wysyłamy wyłącznie zgodnie z przepisami o komunikacji elektronicznej (Prawo komunikacji elektronicznej) — na podstawie zgody lub w innym dopuszczalnym prawnie zakresie, z możliwością sprzeciwu (rezygnacji) w każdej chwili.
Dane Klientów końcowych nigdy nie są wykorzystywane do celów marketingowych Miblo. W odniesieniu do tych danych Miblo działa wyłącznie jako podmiot przetwarzający, na polecenie Klienta (punkt 3).
5. Odbiorcy danych
Dane osobowe mogą być udostępniane trzem odrębnym grupom odbiorców, różniącym się rolą prawną:
(a) Podprocesorzy Miblo
Podmioty przetwarzające dane w imieniu Miblo (lub Klienta — w zakresie danych powierzonych), na podstawie umów powierzenia, wyłącznie w celu świadczenia usługi:
- Amazon Web Services (AWS), region eu-central-1 (Frankfurt, Niemcy) — hosting i infrastruktura chmurowa, na której działa Serwis;
- SMSAPI (Polska) — bramka do wysyłki wiadomości SMS.
Funkcje sztucznej inteligencji dostępne w Serwisie działają w oparciu o model językowy uruchomiony na infrastrukturze własnej Operatora — dane nie są w tym celu przekazywane zewnętrznym dostawcom usług AI.
Aktualny rejestr podprocesorów dostępny jest dla Klientów w Panelu, w sekcji /rodo.
(b) Odbiorcy aktywowani przez Klienta (integracje)
Jeżeli Klient samodzielnie aktywuje integrację, dane mogą być przekazywane do usług podmiotów trzecich zaangażowanych przez Klienta:
- Google (Kalendarz Google, Google Meet) oraz Zoom — integracje działają w oparciu o tokeny autoryzacyjne (OAuth) pracowników Klienta; dane trafiają na konta Google lub Zoom Klienta i są przetwarzane na warunkach tych dostawców.
To Klient angażuje danego odbiorcę — aktywacja integracji stanowi upoważnienie Klienta do transmisji danych do tego odbiorcy (zgodnie z UPDO). Miblo nie decyduje o włączeniu tych integracji.
(c) Odrębni administratorzy
Podmioty, które przetwarzają dane jako niezależni administratorzy, we własnych celach i na własnej podstawie prawnej:
- Przelewy24 / PayPro S.A. — obsługa płatności za subskrypcję Miblo. Jeżeli Klient korzysta z tenantowej wtyczki depozytów (płatności Klientów końcowych), łańcuch jest inny: rozliczenie następuje bezpośrednio pomiędzy Klientem a PayPro na koncie merchanta Klienta, a dane Klienta końcowego przekazywane są w imieniu Klienta.
- biuro księgowe — w zakresie obsługi księgowej i podatkowej Miblo;
- organy publiczne — gdy obowiązek udostępnienia danych wynika z przepisów prawa lub żądania uprawnionego organu.
6. Przekazywanie danych poza EOG
Co do zasady dane przetwarzane są w ramach Europejskiego Obszaru Gospodarczego (EOG) — infrastruktura Serwisu działa w regionie AWS eu-central-1 (Frankfurt).
Opcjonalne integracje aktywowane przez Klienta (Google, Zoom — punkt 5 lit. b) mogą wiązać się z przekazaniem danych poza EOG. Takie przekazanie następuje wyłącznie po włączeniu integracji przez Klienta i opiera się na odpowiednich mechanizmach transferu — decyzji Komisji Europejskiej stwierdzającej odpowiedni stopień ochrony (w tym ramach ochrony danych UE–USA / DPF) albo standardowych klauzulach umownych (SCC).
Funkcje sztucznej inteligencji nie wiążą się z transferem danych — model językowy działa lokalnie, na infrastrukturze Operatora (punkt 5 lit. a).
7. Okresy przechowywania danych
| Kategoria danych | Okres przechowywania |
|---|---|
| Dane konta aktywnego (Klienta i Użytkowników) | przez czas trwania umowy o korzystanie z Serwisu. |
| Dane po rozwiązaniu lub wygaśnięciu umowy | do upływu okresu przedawnienia roszczeń wynikających z umowy — w zakresie niezbędnym do ustalenia, dochodzenia lub obrony roszczeń. |
| Dokumenty księgowe i faktury | przez okres wymagany przepisami podatkowymi i o rachunkowości — 5 lat, licząc od końca roku, w którym powstał obowiązek podatkowy. |
| Dane powierzone (Klientów końcowych i pracowników Klienta) | przez czas trwania UPDO; po zakończeniu umowy — 30-dniowy okres na eksport danych, po którym dane są usuwane lub zwracane zgodnie z UPDO i decyzją Klienta. |
| Logi bezpieczeństwa oraz audytowy rejestr zdarzeń rezerwacji | przez okres świadczenia usługi (rejestr zdarzeń rezerwacji prowadzony jest w trybie „tylko do dopisywania"). |
| Dane urządzeń i sesji (uwierzytelnianie) | rekordy urządzeń są usuwane po 90 dniach braku aktywności (a rekordy oznaczające wylogowanie — po 30 dniach); sesja użytkownika wygasa po 60 minutach bezczynności. |
8. Prawa osób, których dane dotyczą
- Osobie, której dane dotyczą, przysługuje prawo: dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia danych oraz wniesienia sprzeciwu wobec przetwarzania — w zakresie i na zasadach określonych w RODO.
- Przysługuje również prawo wniesienia skargi do organu nadzorczego — Prezesa Urzędu Ochrony Danych Osobowych (PUODO).
- Wniosek dotyczący realizacji praw można złożyć na adres iod@miblo.pl. Odpowiedzi udzielamy bez zbędnej zwłoki, co do zasady w terminie jednego miesiąca od otrzymania żądania.
- Jeżeli żądanie dotyczy danych Klienta końcowego przetwarzanych przez Miblo jako podmiot przetwarzający (punkt 3), właściwym administratorem jest salon (Klient) — wniosek należy skierować do niego. Miblo, jako podmiot przetwarzający, wspiera Klienta w realizacji takich żądań; system udostępnia w tym celu m.in. funkcję anonimizacji i usuwania danych.
9. Decyzje zautomatyzowane i profilowanie
Miblo nie podejmuje wobec osób, których dane dotyczą, decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu (w tym profilowaniu), które wywoływałyby wobec nich skutki prawne lub w podobny sposób istotnie na nie wpływały.
Funkcje sztucznej inteligencji dostępne w Serwisie mają charakter pomocniczy — wspierają personel salonu w codziennej pracy, a decyzje pozostają po stronie człowieka.
10. Cookies i podobne technologie
W Serwisie wykorzystujemy pliki cookies i podobne technologie w zakresie opisanym poniżej.
Cookies niezbędne (Panel)
W panelu administracyjnym (app.miblo.pl) używane są cookies niezbędne do działania usługi, w szczególności do utrzymania sesji i zapewnienia bezpieczeństwa:
- cookie sesyjne — utrzymuje zalogowaną sesję Użytkownika; sesja wygasa po 60 minutach bezczynności;
- device_id — identyfikuje urządzenie na potrzeby bezpieczeństwa i zarządzania zaufanymi urządzeniami (ważność do ok. 395 dni);
- REMEMBERME — cookie funkcji „zapamiętaj mnie", umożliwiające pozostanie zalogowanym (ważność 30 dni); ustawiane wyłącznie, gdy Użytkownik wybierze tę opcję.
Powyższe cookies są ustawiane jako HttpOnly, z atrybutem SameSite=Lax, a w środowisku produkcyjnym — jako Secure. Preferencje Użytkownika (m.in. wybór języka) zapisywane są po stronie konta lub sesji, a nie w odrębnym pliku cookie.
Analityka (strony marketingowe)
Na stronach marketingowych w domenie www.miblo.pl korzystamy z narzędzia Google Analytics 4 (dostawca: Google), które wykorzystuje cookies do sporządzania anonimowych statystyk ruchu i sposobu korzystania ze stron. Dane te służą wyłącznie celom statystycznym i rozwojowi serwisu.
Pamięć przeglądarki (Wizytówka)
Publiczne Wizytówki Klientów (www.miblo.pl/u/<adres>) korzystają z pamięci przeglądarki (session storage) w celu zachowania stanu procesu rezerwacji — na przykład wybranej lokalizacji podczas składania rezerwacji. Dane te pozostają w przeglądarce odwiedzającego.
Zarządzanie cookies
Cookies i pamięcią przeglądarki można zarządzać z poziomu ustawień przeglądarki internetowej — w tym je przeglądać, blokować i usuwać. Ograniczenie cookies niezbędnych może uniemożliwić poprawne działanie Panelu.
11. Bezpieczeństwo
Miblo stosuje środki techniczne i organizacyjne odpowiednie do ryzyka związanego z przetwarzaniem danych, w szczególności:
- szyfrowanie transmisji danych (protokół TLS);
- szyfrowanie i zarządzanie kluczami z wykorzystaniem usługi AWS KMS;
- kontrolę dostępu opartą na rolach i uprawnieniach;
- wykonywanie kopii zapasowych na potrzeby ciągłości i bezpieczeństwa usługi;
- rejestrowanie zdarzeń (logowanie) na potrzeby wykrywania i wyjaśniania incydentów.
12. Zmiany Polityki
Polityka prywatności może być aktualizowana. Każda wersja jest oznaczona datą (wersjonowanie). O istotnych zmianach informujemy w Serwisie, a w uzasadnionych przypadkach — również innym odpowiednim kanałem. Dalsze korzystanie z Serwisu po wejściu w życie zmian oznacza zapoznanie się z aktualną treścią Polityki.
← Powrót na stronę główną