Polityka Prywatności Wellmify

Data obowiązywania: 08.05.2024
Wersja: 1.0

1. Najważniejsze informacje

  1. Administratorem danych osobowych użytkowników Platformy Wellmify jest Wellmify sp. z o.o.
  2. Wellmify udostępnia aplikację i usługi cyfrowe dla profesjonalistów oraz klientów, w szczególności do obsługi profilu, rezerwacji, komunikacji, płatności, opinii, powiadomień i działań marketingowych.
  3. W przypadku danych klientów dodawanych lub importowanych przez profesjonalistę do aplikacji Wellmify Pro, administratorem tych danych jest profesjonalista, a Wellmify działa jako procesor, czyli podmiot przetwarzający dane na zlecenie profesjonalisty.
  4. Szczegółowe zasady powierzenia przetwarzania danych przez profesjonalistów określa DPA, czyli umowa powierzenia przetwarzania danych osobowych, stanowiąca załącznik do Regulaminu dla Profesjonalistów.
  5. Nie sprzedajemy danych osobowych użytkowników.
  6. Korzystamy z usług zewnętrznych, m.in. Stripe, Mixpanel, Firebase, Sentry, Stream Chat, Expo, SMSApi, SMSserwer, WhatsApp/Meta, Google/Apple Maps oraz narzędzi analitycznych i diagnostycznych.
  7. Część dostawców może przetwarzać dane poza Europejskim Obszarem Gospodarczym. W takich przypadkach stosujemy wymagane zabezpieczenia, w szczególności standardowe klauzule umowne, decyzje adekwatności lub inne mechanizmy przewidziane przez RODO.
  8. Polityka dotyczy usług Wellmify kierowanych na rynek polski.

2. Administrator danych

Administratorem danych osobowych jest:

 

Wellmify spółka z ograniczoną odpowiedzialnością
Aleja Wyzwolenia 3/5/59
00-572 Warszawa
KRS: 0000521966
NIP: 1132879076
REGON: 147330870

 

Kontakt w sprawach prywatności: kontakt@wellmify.com

 

Możesz skontaktować się z nami także pisemnie na adres siedziby spółki.

3. Zakres Polityki

Polityka dotyczy korzystania z:

 

  1. aplikacji mobilnej Wellmify Pro,
  2. aplikacji i usług Wellmify dla klientów,
  3. strony internetowej Wellmify,
  4. publicznych profili profesjonalistów,
  5. web booking, linków rezerwacyjnych i podobnych narzędzi,
  6. komunikacji z Wellmify,
  7. promocji, benefitów i działań marketingowych Wellmify.

 

Polityka nie opisuje wewnętrznego panelu administracyjnego jako usługi dla użytkowników. Dostęp do danych w narzędziach administracyjnych mają wyłącznie upoważnieni pracownicy lub współpracownicy Wellmify, w zakresie potrzebnym do obsługi Platformy, supportu, bezpieczeństwa, rozliczeń i zgodności z prawem.

4. Role przy przetwarzaniu danych

Dane użytkowników Platformy

Wellmify jest administratorem danych, gdy przetwarza dane w celu:

 

  1. założenia i obsługi konta,
  2. udostępnienia aplikacji,
  3. obsługi rezerwacji,
  4. obsługi płatności online,
  5. komunikacji z użytkownikiem,
  6. analityki, diagnostyki i bezpieczeństwa,
  7. marketingu Wellmify,
  8. realizacji obowiązków prawnych.

Dane klientów dodawanych przez profesjonalistę

Jeżeli profesjonalista dodaje, importuje lub przechowuje dane swoich klientów w Wellmify Pro, np. imię, numer telefonu, adres, notatki, historię wizyt lub dane kontaktowe, to:

 

  1. profesjonalista jest administratorem tych danych,
  2. Wellmify jest procesorem,
  3. Wellmify przetwarza te dane na potrzeby technicznego działania aplikacji,
  4. szczegóły określa DPA jako załącznik do Regulaminu dla Profesjonalistów.

5. Jakie dane przetwarzamy

Konto i rejestracja

Przetwarzamy w szczególności:

 

  1. imię i nazwisko albo nazwę użytkownika,
  2. numer telefonu,
  3. kod kraju,
  4. adres e-mail, jeżeli zostanie podany,
  5. datę urodzenia, jeżeli zostanie podana,
  6. język aplikacji,
  7. region/kraj użytkownika,
  8. identyfikator użytkownika,
  9. informacje o zgodach marketingowych.

 

Rejestracja i logowanie w aplikacji odbywa się z użyciem numeru telefonu oraz kodu SMS.

Profil profesjonalisty

W przypadku profesjonalistów przetwarzamy także:

 

  1. nazwę biznesową,
  2. opis profilu,
  3. zdjęcie profilowe,
  4. zdjęcia w galerii,
  5. certyfikaty,
  6. oferowane usługi,
  7. ceny i czas trwania usług,
  8. godziny pracy,
  9. udogodnienia,
  10. języki,
  11. lokalizację pracy,
  12. adres wykonywania usług,
  13. współrzędne geograficzne,
  14. informacje o widoczności profilu na mapie,
  15. link do profilu,
  16. kod QR profilu,
  17. dane z integracji Instagram, jeżeli użytkownik ją aktywuje.

Rezerwacje i wizyty

Przetwarzamy dane dotyczące rezerwacji, w tym:

 

  1. datę i godzinę wizyty,
  2. usługę,
  3. cenę,
  4. status wizyty,
  5. zmianę terminu,
  6. anulowanie lub odrzucenie wizyty,
  7. oznaczenie wizyty jako niezrealizowanej,
  8. komentarze do wizyty,
  9. adres wizyty mobilnej,
  10. koszt dojazdu,
  11. dane klienta przypisanego do wizyty,
  12. status płatności.

Baza klientów profesjonalisty

Profesjonalista może dodać lub zaimportować dane swoich klientów. Mogą to być:

 

  1. imię i nazwisko,
  2. numer telefonu,
  3. kod kraju,
  4. zdjęcie lub avatar,
  5. data urodzenia,
  6. adres,
  7. notatki,
  8. informacja, czy klient ma konto w Wellmify,
  9. historia wizyt i rezerwacji.

 

Te dane są przetwarzane przez Wellmify jako procesora, na zlecenie profesjonalisty.

Lokalizacja

Przetwarzamy dane lokalizacyjne w dwóch sytuacjach:

 

  1. profesjonalista podaje lokalizację pracy lub adres wykonywania usług,
  2. użytkownik korzysta z funkcji „Zlokalizuj mnie” lub podobnej funkcji autouzupełnienia adresu.

 

Aplikacja może pobrać bieżącą lokalizację urządzenia tylko po udzieleniu odpowiedniego uprawnienia systemowego. Lokalizacja urządzenia jest używana do zaproponowania adresu lub lokalizacji. Lokalizacja profilu profesjonalisty, w tym współrzędne geograficzne i adres, może być zapisana na backendzie i używana do prezentowania profilu, mapy, wyszukiwania po okolicy oraz obsługi rezerwacji.

 

Publiczny profil może pokazywać przybliżoną lokalizację profesjonalisty. Dokładny adres może być udostępniony klientowi w związku z rezerwacją, jeśli jest to potrzebne do realizacji wizyty.

Płatności

Jeżeli użytkownik korzysta z płatności online, przetwarzamy dane potrzebne do obsługi płatności, w tym:

 

  1. identyfikator wizyty,
  2. kwotę płatności,
  3. status płatności,
  4. identyfikator linku płatniczego,
  5. informację o metodzie płatności,
  6. informację o rozliczeniu offline,
  7. dane wymagane do aktywacji i obsługi Stripe,
  8. informację o harmonogramie wypłat,
  9. ostatnie cyfry rachunku lub innego identyfikatora rozliczeniowego, jeżeli udostępnia je Stripe.

 

Płatności online obsługuje Stripe. Wellmify nie przechowuje pełnych danych kart płatniczych.

Chat, wiadomości i treści użytkownika

W ramach Platformy mogą być przetwarzane:

 

  1. wiadomości czatu,
  2. załączniki,
  3. zdjęcia,
  4. treści opinii,
  5. oceny,
  6. komentarze,
  7. zgłoszenia do supportu,
  8. zgłoszenia treści do moderacji.

 

Czat jest obsługiwany z wykorzystaniem Stream Chat.

Opinie i oceny

Przetwarzamy dane związane z opiniami, w tym:

 

  1. ocenę,
  2. komentarz,
  3. datę opinii,
  4. nazwę lub identyfikator autora,
  5. avatar autora, jeżeli jest dostępny,
  6. usługę, której dotyczy opinia,
  7. identyfikator wizyty lub kontaktu, jeżeli opinia jest z nim powiązana.

 

Jeżeli opinia jest anonimowa dla innych użytkowników, Wellmify może nadal przetwarzać dane techniczne potrzebne do obsługi i bezpieczeństwa funkcji opinii.

Dane techniczne i diagnostyczne

Przetwarzamy dane techniczne, w tym:

 

  1. identyfikator użytkownika,
  2. identyfikator urządzenia lub instalacji,
  3. token push,
  4. wersję aplikacji,
  5. system operacyjny,
  6. model urządzenia,
  7. język aplikacji,
  8. region,
  9. adres IP,
  10. daty i godziny zdarzeń,
  11. endpointy API,
  12. logi błędów,
  13. informacje o awariach,
  14. zdarzenia analityczne,
  15. dane o interakcjach z aplikacją.

 

W kodzie aplikacji potwierdzono logowanie zdarzeń technicznych i diagnostycznych, w tym przez narzędzia typu Kibana/proxy logging, Sentry, Mixpanel i Firebase.

Marketing, analityka i reklamy

Możemy przetwarzać dane w celach analitycznych i marketingowych, w tym:

 

  1. zdarzenia w aplikacji,
  2. kliknięcia,
  3. wyświetlenia reklam i banerów,
  4. źródło instalacji,
  5. dane kampanii,
  6. identyfikator Mixpanel,
  7. identyfikatory reklamowe, jeżeli są dostępne i dozwolone,
  8. informacje o promocjach i benefitach,
  9. zgody marketingowe.

 

Korzystamy m.in. z Mixpanel, Firebase Analytics, AppsFlyer, Branch, Meta/Facebook SDK oraz UXCam. Mixpanel może otrzymywać dane identyfikujące użytkownika, takie jak ID użytkownika, e-mail, numer telefonu i imię/nazwa.

 

UXCam może być używany do diagnostyki sesji i poprawy jakości aplikacji. Pola tekstowe i dane wrażliwe powinny być maskowane. Obecnie narzędzie może być wyłączone, ale Polityka obejmuje jego możliwe użycie w przyszłości.

Komunikacja SMS, e-mail, push i WhatsApp

Możemy kontaktować się z użytkownikiem przez:

 

  1. SMS,
  2. e-mail,
  3. powiadomienia push,
  4. wiadomości WhatsApp,
  5. komunikaty w aplikacji.

 

Wiadomości mogą dotyczyć:

 

  1. logowania i kodów SMS,
  2. rezerwacji,
  3. przypomnień,
  4. zmian terminów,
  5. płatności,
  6. bezpieczeństwa konta,
  7. supportu,
  8. marketingu, jeżeli użytkownik wyraził zgodę.

 

Do obsługi komunikacji mogą być wykorzystywane SMSApi, SMSserwer, WhatsApp/Meta, dostawcy poczty e-mail, Expo, Apple Push Notification Service i Firebase Cloud Messaging.

6. Cele i podstawy prawne przetwarzania

Cel

Dane

Podstawa prawna

Założenie i obsługa konta

dane konta, telefon, e-mail, identyfikatory

art. 6 ust. 1 lit. b RODO

Logowanie i autoryzacja SMS

telefon, kod kraju, dane techniczne

art. 6 ust. 1 lit. b RODO

Obsługa profilu profesjonalisty

dane profilu, zdjęcia, opis, usługi, ceny, lokalizacja

art. 6 ust. 1 lit. b RODO

Obsługa rezerwacji

dane wizyt, klientów, usług, terminów

art. 6 ust. 1 lit. b RODO lub art. 6 ust. 1 lit. f RODO

Dane klientów dodanych przez profesjonalistę

dane kontaktowe, notatki, historia wizyt

przetwarzanie na zlecenie profesjonalisty, art. 28 RODO

Płatności online

kwota, status, identyfikatory płatności

art. 6 ust. 1 lit. b, c i f RODO

Faktury, księgowość i podatki

dane rozliczeniowe

art. 6 ust. 1 lit. c RODO

Support i reklamacje

dane kontaktowe, opis sprawy, korespondencja

art. 6 ust. 1 lit. b i f RODO

Bezpieczeństwo i przeciwdziałanie nadużyciom

logi, IP, identyfikatory, zdarzenia techniczne

art. 6 ust. 1 lit. f RODO

Diagnostyka i crash reporting

dane techniczne, błędy, logi

art. 6 ust. 1 lit. f RODO

Analityka produktu

zdarzenia w aplikacji, identyfikatory, dane techniczne

art. 6 ust. 1 lit. f RODO lub zgoda, jeżeli jest wymagana

Marketing e-mail, SMS, push, WhatsApp

dane kontaktowe, zgody, zdarzenia marketingowe

art. 6 ust. 1 lit. a RODO oraz przepisy PKE

Powiadomienia transakcyjne

token push, telefon, e-mail, dane wizyty

art. 6 ust. 1 lit. b i f RODO

Lokalizacja urządzenia

współrzędne urządzenia

zgoda/uprawnienie systemowe, art. 6 ust. 1 lit. a RODO

Dochodzenie i obrona roszczeń

dane konta, płatności, logi, korespondencja

art. 6 ust. 1 lit. f RODO

Realizacja obowiązków prawnych

dane wymagane przepisami

art. 6 ust. 1 lit. c RODO

7. Dane szczególnych kategorii

Nie prosimy użytkowników o podawanie danych szczególnych kategorii, takich jak dane o zdrowiu, przekonaniach religijnych, orientacji seksualnej czy dane biometryczne.

 

W branży beauty/wellness użytkownicy mogą jednak dobrowolnie wpisać informacje dotyczące zdrowia, alergii, przeciwwskazań lub preferencji w notatkach, wiadomościach albo komentarzach do wizyty. Nie należy wpisywać takich danych, jeżeli nie są potrzebne do realizacji usługi.

 

Jeżeli profesjonalista zapisuje takie dane o swoim kliencie, robi to jako administrator danych tego klienta. Wellmify przetwarza je technicznie jako procesor, zgodnie z DPA.

8. Czy podanie danych jest obowiązkowe

Podanie danych jest dobrowolne, ale niektóre dane są potrzebne do korzystania z Platformy.

 

  1. Numer telefonu jest potrzebny do rejestracji i logowania.
  2. Imię lub nazwa użytkownika są potrzebne do obsługi konta.
  3. Dane profilu są potrzebne, jeżeli profesjonalista chce mieć aktywny profil.
  4. Lokalizacja jest potrzebna, jeżeli profesjonalista chce być widoczny na mapie lub obsługiwać rezerwacje lokalne.
  5. Dane płatnicze są potrzebne, jeżeli użytkownik chce korzystać z płatności online.
  6. Dostęp do kontaktów, zdjęć, aparatu, lokalizacji i powiadomień jest dobrowolny i zależy od zgód systemowych.

 

Brak podania niektórych danych może ograniczyć działanie wybranych funkcji.

9. Komu przekazujemy dane

Dane mogą być przekazywane następującym kategoriom odbiorców:

 

  1. dostawcom hostingu, infrastruktury backendowej i przechowywania plików, w tym Microsoft Azure,
  2. dostawcom płatności, w szczególności Stripe,
  3. dostawcom SMS, w szczególności SMSApi i SMSserwer,
  4. dostawcom komunikacji WhatsApp/Meta,
  5. dostawcom poczty e-mail,
  6. dostawcom push notifications, w tym Expo, Apple i Google/Firebase,
  7. dostawcom analityki, w tym Mixpanel, Firebase Analytics, AppsFlyer, Branch i Meta/Facebook SDK,
  8. dostawcom diagnostyki i crash reportingu, w tym Sentry i UXCam,
  9. dostawcom czatu, w tym Stream Chat,
  10. dostawcom map, lokalizacji i autouzupełniania adresów, w tym Google Maps lub Apple Maps,
  11. dostawcom integracji społecznościowych, w tym Instagram/Meta,
  12. partnerom promocji, jeżeli użytkownik korzysta z promocji lub benefitu,
  13. podmiotom obsługującym księgowość, prawo, podatki, windykację, support i bezpieczeństwo,
  14. operatorom sklepów z aplikacjami, jeżeli jest to potrzebne do dystrybucji aplikacji,
  15. organom publicznym, jeżeli wymagają tego przepisy.

 

Dostęp do danych po stronie Wellmify mają tylko osoby upoważnione i tylko w zakresie potrzebnym do wykonywania swoich zadań.

10. Transfer danych poza EOG

Część dostawców Wellmify działa globalnie lub ma siedzibę poza Europejskim Obszarem Gospodarczym. Dotyczy to w szczególności dostawców analityki, komunikacji, płatności, diagnostyki, hostingu, chatu i usług marketingowych.

 

Jeżeli dane są przekazywane poza EOG, stosujemy zabezpieczenia wymagane przez RODO, w szczególności:

 

  1. standardowe klauzule umowne Komisji Europejskiej,
  2. decyzje Komisji Europejskiej stwierdzające odpowiedni stopień ochrony,
  3. dodatkowe środki techniczne i organizacyjne, jeżeli są potrzebne,
  4. umowy powierzenia przetwarzania danych, jeżeli dostawca działa jako procesor.

11. Jak długo przechowujemy dane

Dane przechowujemy tak długo, jak jest to potrzebne do celów opisanych w Polityce.

 

  1. Dane konta przechowujemy przez okres korzystania z konta.
  2. Po żądaniu usunięcia konta konto jest dezaktywowane, a dane są przechowywane przez okres wymagany prawem lub potrzebny do zabezpieczenia, dochodzenia albo obrony roszczeń, a następnie usuwane lub anonimizowane.
  3. Dane rozliczeniowe i podatkowe przechowujemy przez okres wymagany przepisami podatkowymi i księgowymi.
  4. Dane dotyczące zgód przechowujemy przez czas obowiązywania zgody oraz przez okres potrzebny do wykazania jej udzielenia lub wycofania.
  5. Dane marketingowe przetwarzamy do czasu wycofania zgody lub skutecznego sprzeciwu.
  6. Dane techniczne, diagnostyczne, analityczne i logi przechowujemy co do zasady nie dłużej niż 18 miesięcy, chyba że dłuższe przechowywanie jest potrzebne ze względów bezpieczeństwa, roszczeń lub obowiązków prawnych.
  7. Token push przechowujemy do czasu wyrejestrowania urządzenia, wylogowania, usunięcia konta albo utraty ważności tokenu.
  8. Dane przechowywane lokalnie na urządzeniu pozostają na urządzeniu do czasu wylogowania, usunięcia aplikacji, wyczyszczenia danych aplikacji albo nadpisania przez aplikację.
  9. Dane klientów dodane przez profesjonalistę przechowujemy zgodnie z dyspozycjami profesjonalisty jako administratora oraz zasadami DPA.

12. Dane przechowywane lokalnie na urządzeniu

Aplikacja może zapisywać dane lokalnie na urządzeniu, w tym:

 

  1. token logowania,
  2. identyfikator urządzenia lub instalacji,
  3. ustawienia języka,
  4. ustawienia regionu,
  5. preferencje zgód,
  6. informacje o zakończonym onboardingu,
  7. wybrane ustawienia aplikacji,
  8. tymczasowe dane lokalizacji,
  9. ukryte reklamy lub banery,
  10. dane pomocnicze potrzebne do działania aplikacji.

 

Aplikacja korzysta z lokalnego storage MMKV z szyfrowaniem. Nie oznacza to jednak, że użytkownik powinien traktować urządzenie jako bezpieczne w każdej sytuacji. Warto chronić urządzenie hasłem, biometrią lub inną metodą blokady.

13. Cookies i podobne technologie

Strona internetowa Wellmify, WebView oraz niektóre narzędzia zewnętrzne mogą korzystać z cookies lub podobnych technologii.

 

Cookies mogą być używane do:

 

  1. prawidłowego działania strony,
  2. utrzymania sesji,
  3. zapamiętywania preferencji,
  4. analityki,
  5. pomiaru skuteczności kampanii,
  6. personalizacji treści i reklam,
  7. obsługi integracji zewnętrznych.

 

Cookies niekonieczne są wykorzystywane zgodnie z ustawieniami zgód użytkownika, jeżeli przepisy wymagają zgody.

14. Powiadomienia push, SMS, e-mail i WhatsApp

Powiadomienia transakcyjne mogą dotyczyć m.in.:

 

  1. rejestracji i logowania,
  2. kodów SMS,
  3. rezerwacji,
  4. przypomnień o wizytach,
  5. zmian terminu,
  6. płatności,
  7. wiadomości,
  8. bezpieczeństwa konta,
  9. ważnych zmian w aplikacji.

 

Komunikacja marketingowa przez SMS, e-mail, push lub WhatsApp jest wysyłana tylko wtedy, gdy użytkownik wyraził odpowiednią zgodę albo gdy przepisy pozwalają na taki kontakt na innej podstawie.

 

Użytkownik może wycofać zgodę marketingową w ustawieniach aplikacji lub kontaktując się z Wellmify.

15. Analityka, diagnostyka i rozwój produktu

Korzystamy z analityki i diagnostyki, aby:

 

  1. mierzyć działanie aplikacji,
  2. wykrywać błędy,
  3. poprawiać funkcje,
  4. analizować skuteczność onboardingu,
  5. rozumieć, które funkcje są używane,
  6. mierzyć kampanie marketingowe,
  7. zapobiegać nadużyciom.

 

W tym celu możemy korzystać z Mixpanel, Firebase Analytics, AppsFlyer, Branch, Meta/Facebook SDK, Sentry, UXCam i wewnętrznych logów technicznych.

 

Jeżeli wymagają tego przepisy lub ustawienia systemowe, analityka marketingowa lub reklamowa działa na podstawie zgody użytkownika.

16. Profilowanie i automatyczne decyzje

Możemy analizować sposób korzystania z aplikacji, aby dopasować komunikację, poprawiać produkt, mierzyć kampanie i pokazywać właściwe informacje w aplikacji.

 

Nie podejmujemy wobec użytkowników decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu, które wywoływałyby skutki prawne lub podobnie istotnie wpływały na użytkownika.

17. Integracja Instagram

Profesjonalista może połączyć profil Wellmify z Instagramem, jeżeli funkcja jest dostępna.

 

W takim przypadku możemy przetwarzać:

 

  1. nazwę użytkownika Instagram,
  2. status połączenia,
  3. token lub kod autoryzacyjny,
  4. wybrane zdjęcia lub materiały z konta Instagram,
  5. informacje potrzebne do połączenia i odłączenia integracji.

 

Profesjonalista odpowiada za to, że ma prawo do wykorzystania materiałów pobranych z Instagramu w profilu Wellmify.

18. Płatności Stripe

Jeżeli użytkownik korzysta z płatności online, dane płatnicze mogą być przekazywane do Stripe.

 

Stripe może działać jako niezależny administrator danych lub procesor, zależnie od konkretnego procesu płatności i roli Stripe. Szczegółowe informacje o przetwarzaniu danych przez Stripe znajdują się w dokumentach prywatności Stripe.

 

Wellmify nie przechowuje pełnych danych kart płatniczych.

19. Prawa użytkownika

Użytkownik ma prawo do:

 

  1. dostępu do danych,
  2. sprostowania danych,
  3. usunięcia danych,
  4. ograniczenia przetwarzania,
  5. przenoszenia danych,
  6. sprzeciwu wobec przetwarzania,
  7. wycofania zgody,
  8. wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

 

Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania dokonanego przed jej wycofaniem.

 

Żądania można kierować na adres: kontakt@wellmify.com.

 

Jeżeli żądanie dotyczy danych klienta dodanych przez profesjonalistę, właściwym administratorem może być profesjonalista. W takim przypadku Wellmify może przekazać żądanie profesjonalisty albo pomóc profesjonalistowi w jego realizacji jako procesor.

20. Prawo skargi do UODO

Użytkownik ma prawo wnieść skargę do Prezesa Urzędu Ochrony Danych Osobowych.

 

Adres organu:

 

Prezes Urzędu Ochrony Danych Osobowych
ul. Stawki 2
00-193 Warszawa
https://uodo.gov.pl

21. Bezpieczeństwo danych

Stosujemy środki techniczne i organizacyjne mające chronić dane, w tym:

 

  1. kontrolę dostępu,
  2. upoważnienia dla osób mających dostęp do danych,
  3. szyfrowanie wybranych danych lokalnych,
  4. zabezpieczenia komunikacji,
  5. monitoring błędów i nadużyć,
  6. rejestrowanie zdarzeń technicznych,
  7. procedury obsługi incydentów,
  8. umowy z dostawcami przetwarzającymi dane.

 

Nie możemy jednak zagwarantować pełnego bezpieczeństwa urządzenia użytkownika, sieci internetowej ani systemów dostawców zewnętrznych.

22. Dane dzieci i osób niepełnoletnich

Usługi Wellmify nie są kierowane do dzieci poniżej 16 roku życia.

 

Jeżeli osoba niepełnoletnia korzysta z Platformy, powinna robić to wyłącznie w zakresie dozwolonym przez prawo i za zgodą przedstawiciela ustawowego, jeżeli taka zgoda jest wymagana.

 

Profesjonaliści korzystający z Wellmify Pro powinni być pełnoletni albo posiadać podstawę prawną do prowadzenia działalności i zawierania umów.

23. Zmiany Polityki Prywatności

Możemy zmieniać Politykę Prywatności, jeżeli zmieniają się:

 

  1. funkcje Platformy,
  2. zakres przetwarzanych danych,
  3. dostawcy usług,
  4. przepisy prawa,
  5. nasze procesy bezpieczeństwa,
  6. model płatności lub komunikacji.

 

O istotnych zmianach poinformujemy użytkowników w aplikacji, e-mailem, SMS-em lub innym odpowiednim kanałem.

24. Kontakt

W sprawach dotyczących prywatności i ochrony danych osobowych można kontaktować się z nami:

 

E-mail: kontakt@wellmify.com
Adres: Wellmify sp. z o.o., Aleja Wyzwolenia 3/5/59, 00-572 Warszawa

25. Załącznik DPA dla profesjonalistów

Jeżeli profesjonalista korzysta z Wellmify Pro do przechowywania lub obsługi danych swoich klientów, szczegółowe zasady powierzenia przetwarzania danych osobowych określa DPA, czyli umowa powierzenia przetwarzania danych osobowych, stanowiąca załącznik do Regulaminu dla Profesjonalistów.

 

DPA określa w szczególności:

 

  1. przedmiot i czas przetwarzania,
  2. charakter i cel przetwarzania,
  3. kategorie danych,
  4. kategorie osób, których dane dotyczą,
  5. obowiązki Wellmify jako procesora,
  6. zasady korzystania z podprocesorów,
  7. zasady bezpieczeństwa,
  8. zasady pomocy profesjonalistom w realizacji praw osób, których dane dotyczą,
  9. zasady usunięcia lub zwrotu danych po zakończeniu współpracy.

 

Poniżej draft DPA jako załącznika do Regulaminu dla Profesjonalistów. To jest wersja praktyczna, gotowa jako baza do konsultacji prawnej. Ułożyłem ją tak, żeby spełniała minimum z art. 28 RODO, ale jednocześnie nie dawała profesjonalistom nadmiernie szerokich uprawnień operacyjnych wobec Wellmify.

Załącznik nr [●] do Regulaminu dla Profesjonalistów

Umowa powierzenia przetwarzania danych osobowych

Data Processing Agreement / DPA

Data obowiązywania: 08.05.2024
Wersja: 1.0

1. Strony DPA

  1. Niniejsza umowa powierzenia przetwarzania danych osobowych, dalej „DPA”, stanowi załącznik do Regulaminu dla Profesjonalistów Wellmify.
  2. DPA jest zawierana pomiędzy:
    1. Profesjonalistą korzystającym z aplikacji Wellmify Pro, który wprowadza, importuje lub przechowuje dane swoich klientów w aplikacji Wellmify Pro, dalej „Administratorem” albo „Profesjonalistą”;
    2. Wellmify sp. z o.o. z siedzibą w Warszawie, dalej „Podmiotem przetwarzającym” albo „Wellmify”.
  3. DPA ma zastosowanie do każdego Profesjonalisty korzystającego z Wellmify Pro, niezależnie od tego, czy jest przedsiębiorcą, czy osobą fizyczną korzystającą z aplikacji jako profesjonalista.
  4. DPA jest zawierana w formie elektronicznej przez akceptację Regulaminu dla Profesjonalistów.

2. Cel DPA

  1. Celem DPA jest uregulowanie zasad przetwarzania danych osobowych klientów Profesjonalisty przez Wellmify jako podmiot przetwarzający w rozumieniu art. 28 RODO.
  2. DPA dotyczy wyłącznie danych osobowych wprowadzanych, importowanych lub przechowywanych przez Profesjonalistę w aplikacji Wellmify Pro.
  3. DPA nie dotyczy danych, dla których Wellmify jest samodzielnym administratorem, w szczególności danych kont użytkowników Wellmify, danych technicznych Platformy, danych analitycznych Wellmify, danych dotyczących płatności obsługiwanych przez zewnętrznych operatorów oraz publicznych opinii publikowanych w Platformie.

3. Definicje

  1. „RODO” oznacza Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679.
  2. „Dane powierzone” oznaczają dane osobowe klientów lub potencjalnych klientów Profesjonalisty, które Profesjonalista wprowadza, importuje lub przechowuje w Wellmify Pro.
  3. „Klient Profesjonalisty” oznacza osobę, której dane zostały dodane do Wellmify Pro przez Profesjonalistę albo w związku z rezerwacją obsługiwaną przez Profesjonalistę.
  4. „Podprocesor” oznacza dalszy podmiot przetwarzający, z którego korzysta Wellmify przy świadczeniu usług Wellmify Pro.
  5. „Regulamin” oznacza Regulamin dla Profesjonalistów Wellmify.
  6. „Platforma” oznacza aplikację Wellmify Pro oraz powiązane systemy techniczne niezbędne do jej działania.

4. Role stron

  1. Profesjonalista jest administratorem Danych powierzonych.
  2. Wellmify jest podmiotem przetwarzającym Dane powierzone na zlecenie Profesjonalisty.
  3. Profesjonalista samodzielnie ustala cele i podstawy prawne przetwarzania Danych powierzonych.
  4. Wellmify przetwarza Dane powierzone wyłącznie w zakresie niezbędnym do świadczenia usług Wellmify Pro oraz zgodnie z udokumentowanymi poleceniami Profesjonalisty.
  5. Jeżeli Klient Profesjonalisty samodzielnie założy konto w aplikacji Wellmify dla klientów, Wellmify staje się administratorem danych tego klienta w zakresie obsługi jego konta i usług świadczonych bezpośrednio temu klientowi. Nie zmienia to roli Profesjonalisty jako administratora danych, które sam wprowadził do Wellmify Pro.

5. Przedmiot, charakter i czas trwania przetwarzania

  1. Przedmiotem przetwarzania jest techniczna obsługa Danych powierzonych w aplikacji Wellmify Pro.
  2. Charakter przetwarzania obejmuje w szczególności: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, pobieranie, przeglądanie, wykorzystywanie, przesyłanie, udostępnianie w ramach funkcji aplikacji, ograniczanie, usuwanie i anonimizację.
  3. Przetwarzanie odbywa się w sposób zautomatyzowany, w systemach informatycznych Wellmify i dostawców wykorzystywanych przez Wellmify.
  4. DPA obowiązuje przez okres korzystania przez Profesjonalistę z Wellmify Pro oraz przez okres niezbędny do eksportu, usunięcia, anonimizacji, zabezpieczenia roszczeń, obsługi kopii zapasowych i realizacji obowiązków prawnych po zakończeniu korzystania z aplikacji.

6. Cele przetwarzania

Wellmify przetwarza Dane powierzone w następujących celach:

 

  1. prowadzenie bazy klientów Profesjonalisty,
  2. obsługa rezerwacji i wizyt,
  3. tworzenie wizyt manualnych,
  4. wysyłanie potwierdzeń, przypomnień i informacji o wizytach,
  5. obsługa zmiany lub anulowania terminu,
  6. obsługa komunikacji między Profesjonalistą a klientem,
  7. obsługa linków płatniczych i informacji o płatnościach, jeżeli funkcja jest dostępna,
  8. obsługa historii wizyt,
  9. obsługa notatek i komentarzy związanych z klientem lub wizytą,
  10. wysyłka komunikacji marketingowej w imieniu Profesjonalisty, jeżeli Profesjonalista zleci taką komunikację i posiada właściwą podstawę prawną,
  11. support techniczny,
  12. bezpieczeństwo, diagnostyka, zapobieganie nadużyciom i utrzymanie aplikacji.

7. Kategorie osób, których dane dotyczą

Dane powierzone mogą dotyczyć:

 

  1. klientów Profesjonalisty,
  2. potencjalnych klientów Profesjonalisty,
  3. osób zaimportowanych z kontaktów urządzenia Profesjonalisty,
  4. osób, z którymi Profesjonalista komunikuje się w ramach rezerwacji lub obsługi wizyty,
  5. osób niepełnoletnich, jeżeli Profesjonalista doda ich dane do aplikacji.

 

Wellmify nie weryfikuje wieku klientów Profesjonalisty. Profesjonalista odpowiada za legalność przetwarzania danych osób niepełnoletnich.

8. Kategorie Danych powierzonych

Dane powierzone mogą obejmować:

 

  1. imię i nazwisko,
  2. numer telefonu,
  3. kod kraju,
  4. avatar lub zdjęcie,
  5. datę urodzenia,
  6. adres,
  7. notatki,
  8. komentarze do klienta lub wizyty,
  9. historię wizyt,
  10. dane o rezerwacjach,
  11. dane o usługach przypisanych do wizyty,
  12. datę, godzinę i status wizyty,
  13. adres wizyty mobilnej,
  14. koszt usługi lub dojazdu,
  15. status płatności,
  16. wiadomości czatu między Profesjonalistą a klientem,
  17. zdjęcia klientów, jeżeli taka funkcja zostanie udostępniona w Wellmify Pro.

9. Dane szczególnych kategorii

  1. Wellmify Pro nie jest przeznaczone do przetwarzania danych szczególnych kategorii, w szczególności danych o zdrowiu.
  2. Wellmify nie wymaga ani nie zachęca Profesjonalisty do wprowadzania danych o zdrowiu, alergiach, przeciwwskazaniach, ciąży, zabiegach medycznych ani innych danych szczególnych kategorii.
  3. Jeżeli Profesjonalista mimo to wprowadzi takie dane w notatce, komentarzu, wiadomości lub innym polu tekstowym, Profesjonalista odpowiada za posiadanie właściwej podstawy prawnej ich przetwarzania.
  4. Wellmify przetwarza takie dane wyłącznie technicznie, jako Podmiot przetwarzający, w zakresie wynikającym z działania aplikacji.

10. Opinie klientów

  1. Publiczne opinie, oceny i komentarze publikowane w Platformie nie są objęte DPA, jeżeli Wellmify decyduje o zasadach ich publikacji, widoczności, moderacji, sortowania lub prezentacji.
  2. W takim zakresie Wellmify działa jako samodzielny administrator danych.
  3. DPA obejmuje prywatne notatki Profesjonalisty o kliencie, jeżeli Profesjonalista zapisuje je w Wellmify Pro.

11. Obowiązki Profesjonalisty jako Administratora

Profesjonalista zobowiązuje się:

 

  1. przetwarzać Dane powierzone zgodnie z prawem;
  2. posiadać właściwą podstawę prawną przetwarzania danych swoich klientów;
  3. spełnić obowiązki informacyjne wobec osób, których dane wprowadza do Wellmify Pro;
  4. poinformować swoich klientów, że korzysta z Wellmify jako narzędzia wspierającego obsługę rezerwacji, komunikacji i klientów;
  5. nie wprowadzać danych, których nie ma prawa przetwarzać;
  6. nie wprowadzać danych szczególnych kategorii, chyba że posiada właściwą podstawę prawną;
  7. nie wprowadzać danych pracowników, współpracowników ani członków zespołu, jeżeli aplikacja nie udostępnia takiej funkcji;
  8. dbać o prawidłowość, aktualność i adekwatność Danych powierzonych;
  9. odpowiadać na żądania osób, których dane dotyczą, jako administrator danych;
  10. zapewnić legalność komunikacji marketingowej wysyłanej w jego imieniu;
  11. posiadać odpowiednie zgody lub inne podstawy prawne dla komunikacji SMS, e-mail, push lub WhatsApp wysyłanej w jego imieniu;
  12. nie wydawać Wellmify poleceń sprzecznych z prawem;
  13. nie wykorzystywać Wellmify Pro do spamowania, nękania, wysyłania bezprawnych treści ani komunikacji bez wymaganych zgód.

12. Obowiązki Wellmify jako Podmiotu przetwarzającego

Wellmify zobowiązuje się:

 

  1. przetwarzać Dane powierzone wyłącznie na udokumentowane polecenie Profesjonalisty;
  2. zapewnić, że osoby upoważnione do przetwarzania Danych powierzonych zobowiązały się do poufności;
  3. stosować odpowiednie środki techniczne i organizacyjne ochrony danych;
  4. wspierać Profesjonalistę w realizacji praw osób, których dane dotyczą, w zakresie możliwym technicznie i organizacyjnie;
  5. wspierać Profesjonalistę w realizacji obowiązków z art. 32-36 RODO, w zakresie informacji dostępnych Wellmify;
  6. informować Profesjonalistę, jeżeli zdaniem Wellmify jego polecenie narusza RODO lub inne przepisy o ochronie danych;
  7. korzystać z Podprocesorów zgodnie z zasadami określonymi w DPA;
  8. po zakończeniu świadczenia usług usunąć, zwrócić lub zanonimizować Dane powierzone zgodnie z DPA, chyba że prawo lub uzasadnione potrzeby roszczeniowe, bezpieczeństwa albo techniczne wymagają dalszego ograniczonego przechowywania;
  9. udostępniać Profesjonaliście informacje potrzebne do wykazania zgodności z art. 28 RODO w zakresie opisanym w DPA.

13. Udokumentowane polecenia

  1. Poleceniem Profesjonalisty jest w szczególności:
    1. korzystanie z funkcji Wellmify Pro;
    2. wprowadzenie, import, edycja lub usunięcie danych;
    3. zlecenie wysyłki przypomnień, wiadomości lub kampanii;
    4. konfiguracja rezerwacji i komunikacji;
    5. zgłoszenie supportowe;
    6. zaakceptowanie Regulaminu i DPA.
  2. Wellmify może odmówić wykonania polecenia, jeżeli uzna, że jest sprzeczne z prawem, Regulaminem, DPA, bezpieczeństwem Platformy lub prawami osób trzecich.

14. Komunikacja w imieniu Profesjonalisty

  1. Wellmify może wysyłać komunikaty do klientów Profesjonalisty w imieniu Profesjonalisty, w szczególności:
    1. potwierdzenia utworzenia wizyty,
    2. przypomnienia o wizycie,
    3. informacje o zmianie terminu,
    4. informacje o odwołaniu wizyty,
    5. linki płatnicze,
    6. prośby o opinię,
    7. komunikację marketingową zleconą przez Profesjonalistę.
  2. Komunikacja może być wysyłana przez SMS, e-mail, push, WhatsApp lub inny kanał udostępniony przez Wellmify.
  3. Profesjonalista odpowiada za legalność komunikacji kierowanej do swoich klientów, w szczególności za posiadanie wymaganych zgód marketingowych, jeżeli komunikacja ma charakter marketingowy.
  4. Wellmify odpowiada za techniczną wysyłkę komunikacji w zakresie wynikającym z działania aplikacji.

15. Podprocesorzy

  1. Profesjonalista udziela Wellmify ogólnej zgody na korzystanie z Podprocesorów potrzebnych do świadczenia usług Wellmify Pro.
  2. Lista kategorii Podprocesorów i dostawców znajduje się w Załączniku nr 2 do DPA.
  3. Wellmify zapewnia, że z Podprocesorami zawiera umowy nakładające obowiązki ochrony danych zgodne z art. 28 RODO, jeżeli dany dostawca działa jako podprocesor.
  4. Niektórzy dostawcy, w szczególności operatorzy płatności, komunikacji lub platform zewnętrznych, mogą działać jako niezależni administratorzy danych w określonym zakresie. W takim przypadku ich odpowiedzialność wynika z ich własnych dokumentów i przepisów prawa.
  5. Wellmify poinformuje Profesjonalistę o planowanym dodaniu lub zastąpieniu istotnego Podprocesora z co najmniej 14-dniowym wyprzedzeniem.
  6. Informacja może zostać przekazana e-mailem, w aplikacji, w panelu użytkownika, przez aktualizację listy Podprocesorów albo innym trwałym lub dostępnym kanałem komunikacji.
  7. Profesjonalista może zgłosić sprzeciw wobec nowego Podprocesora w terminie 14 dni od otrzymania informacji, wyłącznie z uzasadnionych przyczyn dotyczących ochrony danych osobowych.
  8. Jeżeli sprzeciw jest uzasadniony, Wellmify może:
    1. zaproponować rozwiązanie ograniczające ryzyko,
    2. zaproponować alternatywny sposób świadczenia usługi, jeżeli jest dostępny,
    3. zakończyć świadczenie danej funkcji lub rozwiązać umowę z Profesjonalistą w zakresie, w jakim dalsze świadczenie usługi bez danego Podprocesora nie jest możliwe.
  9. Brak sprzeciwu w terminie oznacza akceptację zmiany.

16. Transfer danych poza EOG

  1. Profesjonalista wyraża zgodę na transfer Danych powierzonych poza Europejski Obszar Gospodarczy, jeżeli jest to potrzebne do świadczenia usług Wellmify Pro lub korzystania z Podprocesorów.
  2. Transfer danych poza EOG odbywa się zgodnie z RODO, w szczególności na podstawie:
    1. decyzji Komisji Europejskiej stwierdzającej odpowiedni stopień ochrony,
    2. standardowych klauzul umownych,
    3. innych mechanizmów przewidzianych przez RODO.
  3. Wellmify stosuje dodatkowe środki organizacyjne lub techniczne, jeżeli są wymagane w świetle oceny ryzyka transferu.
  4. Jeżeli transfer wynika z korzystania przez Profesjonalistę lub klienta z usługi zewnętrznej, np. WhatsApp, Stripe lub Instagram, zastosowanie mogą mieć także zasady prywatności tego dostawcy.

17. Bezpieczeństwo przetwarzania

  1. Wellmify stosuje środki techniczne i organizacyjne odpowiednie do ryzyka przetwarzania.
  2. Środki bezpieczeństwa opisuje Załącznik nr 1 do DPA.
  3. Wellmify może aktualizować środki bezpieczeństwa, jeżeli nie obniża to ogólnego poziomu ochrony Danych powierzonych.
  4. Wellmify nie gwarantuje bezpieczeństwa urządzenia Profesjonalisty, sieci, z której korzysta Profesjonalista, ani działań samego Profesjonalisty.

18. Dostęp pracowników Wellmify do Danych powierzonych

  1. Dostęp do Danych powierzonych mogą mieć wyłącznie upoważnieni pracownicy lub współpracownicy Wellmify.
  2. Dostęp jest przyznawany zgodnie z zasadą minimalnych uprawnień.
  3. Dostęp powinien być ograniczony do osób, które potrzebują go do obsługi technicznej, supportu, bezpieczeństwa, rozliczeń, utrzymania Platformy albo realizacji obowiązków prawnych.
  4. Dostęp jest objęty obowiązkiem poufności.
  5. Wellmify prowadzi procedury nadawania i odbierania dostępów.
  6. Dostęp do danych produkcyjnych jest logowany w zakresie przyjętym przez Wellmify.

19. Środowiska testowe

  1. Wellmify co do zasady nie wykorzystuje Danych powierzonych w środowiskach testowych, developerskich ani stagingowych.
  2. Jeżeli wyjątkowo jest to konieczne do diagnostyki, odtworzenia błędu lub zapewnienia bezpieczeństwa Platformy, Wellmify stosuje adekwatne ograniczenia, w szczególności anonimizację, pseudonimizację, minimalizację danych lub ograniczenie dostępu.
  3. Dane testowe nie powinny być wykorzystywane do celów niezwiązanych z utrzymaniem i rozwojem Platformy.

20. Naruszenia ochrony danych

  1. Wellmify poinformuje Profesjonalistę o naruszeniu ochrony Danych powierzonych bez zbędnej zwłoki po stwierdzeniu naruszenia.
  2. Informacja zostanie przekazana na adres e-mail Profesjonalisty albo przez inny dostępny kanał kontaktu.
  3. Kontakt Wellmify w sprawach naruszeń: kontakt@wellmify.com.
  4. Informacja o naruszeniu będzie zawierać, w miarę dostępności:
    1. opis charakteru naruszenia,
    2. kategorie i przybliżoną liczbę osób, których dane dotyczą,
    3. kategorie i przybliżoną liczbę rekordów danych,
    4. możliwe konsekwencje naruszenia,
    5. środki zastosowane lub proponowane przez Wellmify,
    6. dane kontaktowe do dalszej komunikacji.
  5. Profesjonalista jako administrator danych odpowiada za ocenę, czy naruszenie wymaga zgłoszenia do Prezesa UODO lub poinformowania osób, których dane dotyczą.
  6. Wellmify udzieli Profesjonaliście rozsądnej pomocy w realizacji tych obowiązków, w zakresie informacji dostępnych Wellmify.

21. Prawa osób, których dane dotyczą

  1. Profesjonalista odpowiada za realizację praw osób, których dotyczą Dane powierzone.
  2. Jeżeli klient Profesjonalisty zgłosi żądanie bezpośrednio do Wellmify, a żądanie dotyczy Danych powierzonych, Wellmify:
    1. poinformuje klienta, że właściwym administratorem jest Profesjonalista, lub
    2. przekaże żądanie Profesjonaliście, jeżeli jest możliwe ustalenie właściwego Profesjonalisty.
  3. Wellmify nie realizuje samodzielnie merytorycznie żądań dotyczących Danych powierzonych, chyba że:
  1. otrzyma udokumentowane polecenie Profesjonalisty,
  2. wynika to z przepisów prawa,
  3. żądanie dotyczy danych, dla których Wellmify jest samodzielnym administratorem.
  1. Wellmify udziela Profesjonaliście pomocy w realizacji żądań osób, których dane dotyczą, w zakresie możliwym technicznie i organizacyjnie.
  2. Wellmify udziela pomocy bez zbędnej zwłoki, co do zasady w terminie do 20 dni roboczych od otrzymania kompletnego żądania Profesjonalisty, chyba że krótszy termin jest konieczny do spełnienia obowiązków wynikających z prawa.

22. Audyt i wykazanie zgodności

  1. Wellmify udostępnia Profesjonaliście informacje niezbędne do wykazania spełnienia obowiązków wynikających z art. 28 RODO.
  2. Podstawową formą audytu jest audyt dokumentacyjny, obejmujący w szczególności:
    1. opis środków bezpieczeństwa,
    2. informacje o Podprocesorach,
    3. informacje o procedurach ochrony danych,
    4. odpowiedzi na rozsądne pytania Profesjonalisty dotyczące przetwarzania Danych powierzonych.
  3. Profesjonalista może przeprowadzić audyt nie częściej niż raz w roku, chyba że audyt jest konieczny w związku z poważnym naruszeniem ochrony Danych powierzonych albo żądaniem organu nadzorczego.
  4. Profesjonalista powinien poinformować Wellmify o planowanym audycie z co najmniej 30-dniowym wyprzedzeniem.
  5. Audyt nie może:
  1. naruszać bezpieczeństwa Platformy,
  2. prowadzić do ujawnienia danych innych użytkowników,
  3. obejmować kodu źródłowego, sekretów, kluczy, architektury bezpieczeństwa w zakresie, którego ujawnienie mogłoby obniżyć bezpieczeństwo,
  4. zakłócać działania Wellmify,
  5. naruszać tajemnicy przedsiębiorstwa Wellmify lub jej dostawców.
  1. Audyt onsite jest dopuszczalny tylko wyjątkowo, jeżeli jest wymagany przez przepisy prawa, organ nadzorczy lub uzasadniony poważnym naruszeniem ochrony Danych powierzonych i nie da się osiągnąć celu audytu w sposób dokumentacyjny.
  2. Koszty audytu ponosi Profesjonalista, chyba że bezwzględnie obowiązujące przepisy wymagają innego rozwiązania.

23. Eksport danych

  1. Profesjonalista może żądać eksportu Danych powierzonych w czasie korzystania z Wellmify Pro.
  2. Po zakończeniu korzystania z Wellmify Pro Profesjonalista może żądać eksportu Danych powierzonych przez 30 dni od zakończenia umowy lub dezaktywacji konta.
  3. Eksport jest udostępniany w formacie CSV lub innym formacie obsługiwanym przez Wellmify.
  4. Wellmify przygotuje eksport w terminie do 30 dni od otrzymania kompletnego żądania.
  5. W przypadku żądań skomplikowanych, dużej ilości danych lub ograniczeń technicznych termin może zostać wydłużony do 60 dni, o czym Wellmify poinformuje Profesjonalistę.

24. Usunięcie, anonimizacja i retencja po zakończeniu współpracy

  1. Po zakończeniu korzystania z Wellmify Pro konto Profesjonalisty może zostać dezaktywowane, a przetwarzanie Danych powierzonych ograniczone.
  2. Wellmify usuwa albo anonimizuje Dane powierzone nie później niż w terminie 18 miesięcy od zakończenia korzystania z Wellmify Pro, chyba że:
    1. Profesjonalista wcześniej skutecznie zażąda usunięcia danych,
    2. przepisy prawa wymagają dłuższego przechowywania,
    3. dane są potrzebne do ustalenia, dochodzenia lub obrony roszczeń,
    4. dane są potrzebne do bezpieczeństwa, przeciwdziałania nadużyciom lub obsługi incydentów,
    5. dane znajdują się w kopiach zapasowych usuwanych zgodnie z cyklem backupów.
  3. Jeżeli Profesjonalista zażąda wcześniejszego usunięcia danych, Wellmify wykona żądanie w rozsądnym terminie, o ile nie zachodzi jedna z podstaw dalszego ograniczonego przechowywania wskazanych w ust. 2.
  4. Kopie zapasowe mogą być przechowywane maksymalnie przez 6 miesięcy.
  5. Kopie zapasowe są usuwane lub nadpisywane cyklicznie. Usunięcie pojedynczego rekordu z backupu może nie być technicznie możliwe, ale dane z backupów nie są przywracane do aktywnego przetwarzania, chyba że jest to konieczne dla bezpieczeństwa, ciągłości działania lub odtworzenia systemu.
  6. Po przywróceniu danych z backupu Wellmify ponownie zastosuje odpowiednie instrukcje usunięcia lub anonimizacji w zakresie technicznie możliwym.

25. Ograniczenie przetwarzania po zakończeniu

Po zakończeniu korzystania z Wellmify Pro Wellmify może przetwarzać Dane powierzone wyłącznie w zakresie potrzebnym do:

 

  1. eksportu danych,
  2. usunięcia lub anonimizacji,
  3. obsługi kopii zapasowych,
  4. bezpieczeństwa,
  5. obsługi roszczeń,
  6. realizacji obowiązków prawnych,
  7. wyjaśnienia reklamacji, sporów lub incydentów.

26. Odpowiedzialność

  1. Strony ponoszą odpowiedzialność za naruszenie DPA zgodnie z RODO, przepisami prawa i Regulaminem.
  2. Profesjonalista odpowiada za legalność przetwarzania Danych powierzonych, w szczególności za podstawy prawne, obowiązki informacyjne i legalność komunikacji z klientami.
  3. Wellmify odpowiada za przetwarzanie Danych powierzonych zgodnie z DPA i udokumentowanymi poleceniami Profesjonalisty.
  4. Ograniczenia odpowiedzialności określone w Regulaminie mają zastosowanie do DPA w zakresie dopuszczalnym przez RODO i bezwzględnie obowiązujące przepisy prawa.
  5. DPA nie ogranicza praw osób, których dane dotyczą, ani uprawnień organu nadzorczego.

27. Pierwszeństwo DPA

  1. W zakresie powierzenia przetwarzania danych osobowych DPA ma pierwszeństwo przed Regulaminem.
  2. W pozostałym zakresie stosuje się Regulamin.
  3. Jeżeli postanowienie DPA okaże się nieważne lub nieskuteczne, pozostałe postanowienia pozostają w mocy.

28. Prawo właściwe

  1. Do DPA stosuje się prawo polskie oraz RODO.
  2. Spory związane z DPA będą rozstrzygane zgodnie z zasadami określonymi w Regulaminie, z zastrzeżeniem bezwzględnie obowiązujących przepisów prawa.

Załącznik nr 1 do DPA

Środki techniczne i organizacyjne

Wellmify stosuje w szczególności następujące środki techniczne i organizacyjne:

1. Kontrola dostępu

  1. Dostęp do systemów produkcyjnych jest ograniczony do upoważnionych osób.
  2. Uprawnienia są nadawane zgodnie z zasadą minimalnego dostępu.
  3. Dostęp jest odbierany po zakończeniu współpracy lub zmianie roli.
  4. Dostęp pracowników i współpracowników jest objęty obowiązkiem poufności.

2. Bezpieczeństwo aplikacji i infrastruktury

  1. Komunikacja z aplikacją odbywa się z użyciem zabezpieczonych kanałów transmisji.
  2. Dane lokalne w aplikacji mogą być przechowywane z użyciem szyfrowanego storage.
  3. Systemy są monitorowane pod kątem błędów, awarii i zdarzeń bezpieczeństwa.
  4. Wellmify stosuje mechanizmy autoryzacji użytkowników.
  5. Wellmify stosuje tokeny i identyfikatory urządzeń w celu utrzymania sesji i bezpieczeństwa.

3. Backupy i ciągłość działania

  1. Wellmify stosuje kopie zapasowe w celu zapewnienia ciągłości działania.
  2. Backupy są przechowywane przez ograniczony czas.
  3. Backupy są usuwane lub nadpisywane cyklicznie.
  4. Dostęp do backupów jest ograniczony.

4. Logowanie i monitoring

  1. Wellmify prowadzi logi techniczne i diagnostyczne.
  2. Logi mogą obejmować zdarzenia API, błędy, identyfikatory techniczne i zdarzenia bezpieczeństwa.
  3. Logi są wykorzystywane do diagnostyki, bezpieczeństwa i utrzymania Platformy.
  4. Dostęp do logów jest ograniczony do upoważnionych osób.

5. Środowiska testowe

  1. Co do zasady Wellmify nie używa danych produkcyjnych w środowiskach testowych.
  2. Jeżeli wyjątkowo jest to konieczne, stosuje minimalizację, pseudonimizację, anonimizację lub ograniczenia dostępu.

6. Poufność

  1. Osoby mające dostęp do Danych powierzonych są zobowiązane do zachowania poufności.
  2. Obowiązek poufności obowiązuje także po zakończeniu współpracy z Wellmify.

7. Incydenty

  1. Wellmify stosuje procedury obsługi incydentów bezpieczeństwa.
  2. Incydenty są analizowane i dokumentowane w zakresie wymaganym prawem i dobrymi praktykami.
  3. Profesjonalista jest informowany o naruszeniu Danych powierzonych zgodnie z DPA.

Załącznik nr 2 do DPA

Podprocesorzy i dostawcy

Profesjonalista udziela ogólnej zgody na korzystanie przez Wellmify z następujących kategorii Podprocesorów i dostawców:

 

Kategoria

Przykładowy dostawca

Zakres

Hosting, infrastruktura, przechowywanie plików

Microsoft Azure

hosting, backend, storage, backupy

Czat

Stream Chat

wiadomości, załączniki, komunikacja klient-profesjonalista

Push notifications

Expo, Apple, Google/Firebase

tokeny push, wysyłka powiadomień

SMS

SMSApi, SMSserwer

SMS-y transakcyjne i marketingowe w imieniu Profesjonalisty

WhatsApp

WhatsApp/Meta

wiadomości transakcyjne lub marketingowe w imieniu Profesjonalisty

E-mail

dostawcy poczty e-mail używani przez Wellmify

wiadomości transakcyjne, weryfikacyjne i supportowe

Płatności

Stripe

płatności, linki płatnicze, wypłaty; dostawca może działać jako niezależny administrator w części procesów

Diagnostyka i błędy

Sentry

crash reporting, błędy, diagnostyka

Analityka produktu

Mixpanel, Firebase Analytics

zdarzenia, identyfikatory, analityka użycia

Atrybucja i kampanie

AppsFlyer, Branch, Meta/Facebook SDK

kampanie, źródła instalacji, reklamy

Nagrania sesji i UX

UXCam

diagnostyka sesji, z maskowaniem pól tekstowych

Mapy i lokalizacja

Google Maps, Apple Maps

geokodowanie, autouzupełnianie adresów, mapy

Integracje społecznościowe

Instagram/Meta

integracja profilu, zdjęcia, status połączenia

 

Nie każdy dostawca przetwarza każdą kategorię Danych powierzonych. Zakres przetwarzania zależy od funkcji używanych przez Profesjonalistę i klienta.

Załącznik nr 3 do DPA

Opis przetwarzania

Element

Opis

Administrator

Profesjonalista korzystający z Wellmify Pro

Podmiot przetwarzający

Wellmify sp. z o.o.

Usługa

Wellmify Pro

Kategorie osób

klienci, potencjalni klienci, osoby z kontaktów, osoby komunikujące się z Profesjonalistą

Kategorie danych

imię, telefon, kod kraju, avatar, data urodzenia, adres, notatki, historia wizyt, dane rezerwacji, wiadomości, status płatności, zdjęcia po wdrożeniu funkcji

Dane szczególne

nieprzeznaczone do przetwarzania, ale możliwe technicznie, jeśli Profesjonalista wpisze je w polach tekstowych

Cele

CRM, rezerwacje, przypomnienia, komunikacja, płatności, historia wizyt, marketing na polecenie Profesjonalisty, support

Charakter

zbieranie, przechowywanie, organizowanie, modyfikowanie, przesyłanie, usuwanie, anonimizacja

Czas trwania

okres korzystania z Wellmify Pro oraz okres retencji opisany w DPA

Transfer poza EOG

możliwy, zgodnie z RODO i zabezpieczeniami transferowymi

Retencja po zakończeniu

zasadniczo do 18 miesięcy, backupy do 6 miesięcy

Eksport

CSV lub inny obsługiwany format, co do zasady do 30 dni

  • Política de Privacidade – Wellmify Brasil

    Última atualização: 17/03/2026

    A presente Política de Privacidade descreve como a Wellmify sp. z o.o., com sede em ul. Świętokrzyska 30/85, 00-116 Varsóvia, Polônia (“Wellmify”, “nós”), trata dados pessoais de usuários localizados no Brasil.

    Esta Política está em conformidade com a Lei nº 13.709/2018 (Lei Geral de Proteção de Dados – LGPD) e regulamentações aplicáveis da Autoridade Nacional de Proteção de Dados (ANPD).

    1. Controlador dos dados pessoais

    O controlador dos dados pessoais é:

    Wellmify sp. z o.o.
    ul. Świętokrzyska 30/85
    00-116 Varsóvia, Polônia

    E-mail: wellmify@wellmify.com
    Telefone: +48 535 684 411

    2. Aplicabilidade

    Esta Política aplica-se a:

    • usuários da aplicação móvel Wellmify;

    • clientes que realizam agendamentos;

    • profissionais e estabelecimentos cadastrados;

    • pessoas que entram em contato conosco.

    3. Dados pessoais coletados

    3.1. Dados fornecidos pelo usuário

    • nome e sobrenome;

    • número de telefone;

    • e-mail (opcional);

    • data de nascimento (opcional);

    • foto de perfil (opcional);

    • endereço (quando necessário, ex.: serviços com deslocamento).

    3.2. Dados de uso e técnicos

    • histórico de agendamentos, cancelamentos e atividades;

    • mensagens enviadas via chat;

    • avaliações e opiniões;

    • dados de dispositivo e identificadores técnicos;

    • endereço IP;

    • dados analíticos coletados por ferramentas externas.

    3.3. Dados de prestadores de serviços

    • nome completo;

    • nome do negócio;

    • endereço;

    • telefone;

    • e-mail;

    • dados fiscais;

    • informações operacionais e comerciais;

    • conteúdos como fotos e logotipos.

    4. Finalidades do tratamento

    Os dados pessoais são tratados para:

    • criação e gestão de contas;

    • realização de agendamentos;

    • comunicação com usuários (push, SMS, e-mail);

    • funcionamento da aplicação;

    • suporte e atendimento;

    • segurança e prevenção a fraudes;

    • análises e melhoria do produto;

    • marketing e comunicação comercial (mediante consentimento).

    Base legal: execução de contrato, legítimo interesse e/ou consentimento, conforme aplicável.

    5. Marketing e perfilamento

    A Wellmify poderá utilizar dados para:

    • envio de comunicações de marketing (push, SMS, e-mail);

    • personalização de conteúdo;

    • análise de comportamento do usuário.

    O usuário pode aceitar ou recusar essas permissões e pode revogar o consentimento a qualquer momento nas configurações da aplicação.

    6. Compartilhamento de dados

    Podemos compartilhar dados com:

    • prestadores de serviços escolhidos pelo usuário (nome, telefone, endereço se aplicável);

    • fornecedores de tecnologia e serviços;

    • ferramentas de análise e marketing;

    • parceiros de pagamento (Stripe);

    • autoridades legais, quando exigido por lei.

    7. Ferramentas e tecnologias utilizadas

    A Wellmify utiliza serviços de terceiros, incluindo:

    • Google Analytics (análise de uso);

    • Mixpanel (análise comportamental);

    • Firebase Cloud Messaging (notificações push);

    • Stripe (processamento de pagamentos).

    Esses serviços podem coletar dados técnicos, identificadores de dispositivos e informações de uso.

    8. Transferência internacional de dados

    Os dados pessoais podem ser transferidos e armazenados fora do Brasil, incluindo em servidores localizados na União Europeia e nos Estados Unidos.

    A Wellmify adota medidas adequadas para garantir a proteção dos dados, conforme exigido pela LGPD.

    9. Retenção de dados

    Os dados pessoais são armazenados:

    • durante o período de uso da conta;

    • até fevereiro do ano seguinte ao último uso;

    • ou conforme necessário para cumprimento de obrigações legais.

    10. Direitos do titular

    Nos termos da LGPD, o usuário pode:

    • acessar seus dados;

    • corrigir dados incorretos;

    • solicitar exclusão;

    • solicitar portabilidade;

    • revogar consentimento;

    • solicitar informações sobre compartilhamento;

    • opor-se ao tratamento em determinadas situações.

    Para exercer seus direitos, entre em contato via:

    📧 wellmify@wellmify.com

    A verificação do titular poderá ser realizada por meio do número de telefone associado à conta.

    11. Segurança da informação

    A Wellmify adota medidas técnicas e organizacionais para proteger os dados contra:

    • acesso não autorizado;

    • perda;

    • alteração;

    • divulgação indevida.

    12. Incidentes de segurança

    Em caso de incidente de segurança relevante, a Wellmify tomará medidas apropriadas e poderá notificar:

    • os usuários afetados;

    • a Autoridade Nacional de Proteção de Dados (ANPD).

    13. Dados de menores

    A aplicação Wellmify não é destinada a menores de idade.

    14. Conteúdo público

    Usuários podem publicar avaliações contendo:

    • descrição do serviço;

    • nome;

    • primeira letra do sobrenome.

    Essas informações podem ser visíveis publicamente.

    15. Relação com prestadores de serviços

    Os prestadores de serviços (salões, profissionais) são responsáveis pelos dados dos seus clientes no contexto da prestação de serviços.

    A Wellmify poderá atuar:

    • como controladora para seus próprios fins;

    • como operadora em nome dos prestadores, quando aplicável.

    16. Alterações nesta Política

    Esta Política pode ser atualizada periodicamente. A versão mais recente estará sempre disponível na aplicação.

    17. Contato

    Em caso de dúvidas ou solicitações relacionadas à privacidade:

    📧 wellmify@wellmify.com
    📞 +48 535 684 411

     

Politika privatnosti – Wellmify Srbija

Poslednje ažuriranje: 17.03.2026

Ova Politika privatnosti opisuje kako Wellmify sp. z o.o., sa sedištem u ul. Świętokrzyska 30/85, 00-116 Varšava, Poljska („Wellmify“, „mi“) obrađuje lične podatke korisnika u Republici Srbiji.

Ova Politika je usklađena sa Zakonom o zaštiti podataka o ličnosti Republike Srbije.

1. Rukovalac podataka

Rukovalac ličnih podataka je:

Wellmify sp. z o.o.
ul. Świętokrzyska 30/85
00-116 Varšava, Poljska

E-mail: wellmify@wellmify.com
Telefon: +48 535 684 411

2. Na koga se odnosi ova Politika

Ova Politika se odnosi na:

  • korisnike mobilne aplikacije Wellmify;

  • klijente koji zakazuju usluge;

  • pružaoce usluga (salone, stručnjake);

  • osobe koje nas kontaktiraju.

3. Koje podatke prikupljamo

3.1. Podaci koje korisnik daje

  • ime i prezime;

  • broj telefona;

  • e-mail (opciono);

  • datum rođenja (opciono);

  • profilna slika (opciono);

  • adresa (ako je potrebna za uslugu).

3.2. Podaci o korišćenju i tehnički podaci

  • istorija rezervacija i aktivnosti;

  • poruke u okviru aplikacije;

  • recenzije i ocene;

  • IP adresa;

  • podaci o uređaju;

  • analitički podaci.

3.3. Podaci pružalaca usluga

  • ime i prezime;

  • naziv biznisa;

  • adresa;

  • kontakt podaci;

  • poreski podaci;

  • poslovni i operativni podaci;

  • fotografije i logo.

4. Svrhe obrade podataka

Vaše podatke obrađujemo u sledeće svrhe:

  • kreiranje i upravljanje nalogom;

  • omogućavanje rezervacija;

  • komunikacija (push, SMS, e-mail);

  • funkcionisanje aplikacije;

  • korisnička podrška;

  • bezbednost i sprečavanje zloupotreba;

  • analitika i unapređenje proizvoda;

  • marketing (uz vašu saglasnost).

Pravni osnov: izvršenje ugovora, legitimni interes i/ili saglasnost.

5. Marketing i profilisanje

Možemo koristiti podatke za:

  • slanje marketinških poruka;

  • personalizaciju sadržaja;

  • analizu ponašanja korisnika.

Korisnik može u svakom trenutku:

  • dati ili povući saglasnost,

  • promeniti podešavanja u aplikaciji.

6. Deljenje podataka

Vaše podatke možemo deliti sa:

  • pružaocima usluga koje izaberete (ime, telefon, adresa ako je potrebno);

  • tehnološkim partnerima;

  • analitičkim i marketinškim alatima;

  • partnerima za plaćanja (Stripe);

  • nadležnim organima, kada je to zakonski obavezno.

7. Tehnologije i alati

Koristimo sledeće alate:

  • Google Analytics

  • Mixpanel

  • Firebase (push notifikacije)

  • Stripe

Ovi alati mogu prikupljati tehničke podatke i podatke o korišćenju aplikacije.

8. Prenos podataka u inostranstvo

Vaši podaci mogu biti preneti i obrađivani van Republike Srbije, uključujući Evropsku uniju i SAD.

Obezbeđujemo odgovarajuće mere zaštite u skladu sa zakonom.

9. Čuvanje podataka

Podatke čuvamo:

  • tokom trajanja naloga;

  • do februara naredne kalendarske godine;

  • ili duže, ako je to zakonski potrebno.

10. Vaša prava

Imate pravo da:

  • pristupite svojim podacima;

  • ispravite podatke;

  • zatražite brisanje;

  • ograničite obradu;

  • prenesete podatke;

  • povučete saglasnost;

  • uložite prigovor.

Kontakt:
📧 wellmify@wellmify.com

Identitet korisnika može biti verifikovan putem broja telefona povezanog sa nalogom.

11. Bezbednost podataka

Primenujemo tehničke i organizacione mere za zaštitu podataka od:

  • neovlašćenog pristupa;

  • gubitka;

  • zloupotrebe.

12. Povrede bezbednosti

U slučaju povrede podataka:

  • preduzimamo odgovarajuće mere;

  • obaveštavamo nadležni organ i korisnike kada je to potrebno.

13. Maloletnici

Aplikacija nije namenjena maloletnim licima.

14. Javni sadržaj

Korisnici mogu objavljivati recenzije koje sadrže:

  • opis;

  • ime;

  • prvo slovo prezimena.

15. Odnos sa pružaocima usluga

Pružaoci usluga su odgovorni za podatke svojih klijenata.

Wellmify može delovati kao:

  • rukovalac;

  • obrađivač (po nalogu pružaoca usluga).

16. Izmene politike

Ova Politika može biti izmenjena. Najnovija verzija će biti dostupna u aplikaciji.

17. Kontakt

📧 wellmify@wellmify.com
📞 +48 535 684 411