Polityka prywatności BookSite

Administratorem danych osobowych w zakresie opisanym w niniejszej Polityce jest INFLUE SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ, KRS 0000855000, NIP 8212668824, REGON 386773579, adres: ul. Poziomkowa 25, 08-110 Siedlce, Polska, dalej: Administrator albo Usługodawca. W firmie Administratora z uwagi na brak nałożenia ustawowego obowiązku – nie został powołany dedykowany Inspektor Ochrony Danych (IOD).

Kontakt w sprawach związanych z BookSite: kontakt@booksite.pl. Kontakt w sprawach ochrony danych osobowych: biuro@influemedia.pl.

Polityka dotyczy strony booksite.pl, panelu app.booksite.pl, formularzy kontaktowych i onboardingowych, wersji demo, komunikacji handlowej, płatności, wsparcia technicznego, publicznych stron klientów na subdomenach BookSite oraz widgetu rezerwacji osadzanego na stronach klientów.

W zakresie danych osobowych osób rezerwujących wizytę przez stronę albo widget klienta, administratorem danych jest co do zasady właściciel danego gabinetu, salonu albo kliniki. BookSite dostarcza wtedy infrastrukturę techniczną i przetwarza dane jako podmiot przetwarzający na podstawie regulaminu, umowy lub umowy powierzenia przetwarzania danych.

• BookSite jako administrator: dane odwiedzających stronę, leadów, klientów biznesowych, właścicieli kont, użytkowników panelu, osób kontaktowych, danych rozliczeniowych, logów bezpieczeństwa i komunikacji technicznej.
• Klient BookSite jako administrator: dane osób, które rezerwują wizytę u klienta, w tym dane niezbędne do obsługi terminu, kontaktu, przypomnień i historii rezerwacji.
• BookSite jako procesor: hosting strony lub widgetu, zapis rezerwacji, wysyłka wiadomości transakcyjnych, synchronizacja dostępności, wsparcie techniczne, kopie zapasowe i utrzymanie systemu.

• Dane marketingowe i leadowe: imię i nazwisko, email, telefon, branża, notatka lub link do obecnej strony/profilu/cennika, adres URL zgłoszenia, parametry UTM, data kontaktu oraz skrót adresu IP.
• Dane konta i trialu: nazwa firmy, slug/adres strony, email właściciela, telefon, branża, wybrany tryb produktu, status konta, role użytkowników oraz historia logowania.
• Dane rezerwacji przetwarzane dla klienta: imię i nazwisko osoby rezerwującej, telefon, opcjonalny email, wybrana usługa, pracownik, termin, status rezerwacji, źródło rezerwacji oraz historia wiadomości transakcyjnych.
• Dane techniczne: adres IP lub jego skrót, user-agent, ścieżka strony, referrer, identyfikatory sesji, tokeny autoryzacyjne w formie hashowanej, logi systemowe, zdarzenia audytowe oraz informacje o błędach.
• Dane płatnicze i rozliczeniowe: identyfikatory klienta i subskrypcji Stripe, wybrany plan, status płatności, okres rozliczeniowy, dane do faktury i informacje wymagane przepisami rachunkowymi. BookSite nie przechowuje pełnych danych karty płatniczej.
• Dane stron i integracji: treści strony, usługi, cenniki, personel, godziny dostępności, media, konfiguracja domeny, Google Place ID oraz techniczne informacje o integracjach takich jak Google Calendar.
• Dane przetwarzane automatycznie lub z użyciem AI: publicznie dostępne albo przekazane przez klienta informacje potrzebne do przygotowania demo, opisów usług, struktury strony, konfiguracji kalendarza lub uporządkowania cennika.

• Obsługa zapytań, demo i sprzedaży: art. 6 ust. 1 lit. f RODO, czyli prawnie uzasadniony interes polegający na odpowiadaniu na zapytania i prowadzeniu komunikacji B2B; w przypadku dobrowolnej zgody marketingowej również art. 6 ust. 1 lit. a RODO.
• Założenie konta, trial, wykonanie usługi i komunikacja operacyjna: art. 6 ust. 1 lit. b RODO, a dla osób działających w imieniu firmy także art. 6 ust. 1 lit. f RODO.
• Rozliczenia, faktury i obowiązki podatkowe: art. 6 ust. 1 lit. c RODO.
• Bezpieczeństwo, rate limiting, zapobieganie nadużyciom, audyt i dochodzenie roszczeń: art. 6 ust. 1 lit. f RODO.
• Analityka marketingowa po zgodzie: art. 6 ust. 1 lit. a RODO oraz przepisy prawa telekomunikacyjnego w zakresie przechowywania lub odczytu informacji na urządzeniu użytkownika.
• Dane rezerwacji klientów końcowych: przetwarzamy je na polecenie klienta BookSite jako podmiot przetwarzający, na zasadach określonych w umowie powierzenia lub regulaminie usługi.

Na stronie marketingowej BookSite stosujemy mechanizm zgody (zgodnie z przepisami Prawa telekomunikacyjnego / Prawa Komunikacji Elektronicznej). Decyzja użytkownika (zgoda lub jej brak) zapisywana jest w lokalnej pamięci przeglądarki. Własna analityka BookSite uruchamia się dopiero po akceptacji (zgodnie z art. 6 ust. 1 lit. a RODO) i może zapisać bezciasteczkowy losowy identyfikator sesji, aby łączyć zdarzenia lejka bez konieczności identyfikowania osoby z imienia i nazwiska. Profilowanie w BookSite do celów marketingu zautomatyzowanego nie odbywa się bez wyraźnej zgody.

W panelu klienta mogą być stosowane weryfikatory logowania oraz niezbędne pliki cookies lub podobne technologie (localStorage/sessionStorage) w celu utrzymania sesji uwierzytelnionej, zapewniające logowanie, chroniące uwierzytelnianie przed formami złośliwego ataku. Te mechanizmy są technicznie konieczne do świadczenia usługi i nie służą profilowaniu reklamowemu ani marketingowi na polecenie firm zewnętrznych.

Dane mogą być udostępniane osobom upoważnionym przez Administratora oraz dostawcom usług niezbędnych do działania BookSite, w szczególności dostawcom hostingu i infrastruktury chmurowej, bazy danych, poczty email, wysyłki SMS, płatności, monitoringu, cache, rate limitingu, obsługi domen, przechowywania plików, księgowości, doradztwa prawnego i obsługi klienta.

Aktualna architektura przewiduje korzystanie m.in. z Vercel, Neon, Upstash, Stripe, SMSAPI.pl, dostawców SMTP lub email transakcyjnego oraz innych narzędzi technicznych w zakresie koniecznym do utrzymania usługi. Dane mogą być także udostępniane organom publicznym, jeżeli wynika to z przepisów prawa.

BookSite jest projektowany i konfigurowany z założeniem utrzymywania podstawowych danych aplikacyjnych w regionach UE/EOG tam, gdzie wybrany dostawca daje taką możliwość. Dotyczy to w szczególności infrastruktury aplikacyjnej i bazy danych, które w konfiguracji produkcyjnej powinny być uruchamiane w regionach europejskich, np. Frankfurt / eu-central-1 / fra1 albo równoważnych.

Nie oznacza to absolutnej gwarancji, że żadne dane lub metadane techniczne nigdy nie opuszczą EOG. Wybrani dostawcy infrastruktury, płatności, poczty, SMS, bezpieczeństwa, monitoringu, wsparcia lub narzędzi AI mogą przetwarzać ograniczone dane techniczne, rozliczeniowe albo pomocnicze poza EOG, jeżeli wynika to z ich architektury, wsparcia, bezpieczeństwa lub obowiązków prawnych.

Jeżeli korzystanie z dostawców technologicznych powoduje przekazanie danych poza Europejski Obszar Gospodarczy, odbywa się ono z zastosowaniem mechanizmów wymaganych przez RODO, w szczególności standardowych klauzul umownych, decyzji stwierdzających odpowiedni stopień ochrony albo innych dopuszczalnych zabezpieczeń.

• Dane konta i umowy: przez czas trwania współpracy, a następnie co do zasady do 6 lat od końca roku, w którym mogły powstać roszczenia, chyba że dłuższy lub krótszy okres wynika z przepisów prawa albo konkretnej sytuacji.
• Dane fakturowe i podatkowe: przez okres wymagany przepisami podatkowymi i rachunkowymi, co do zasady 5 lat od końca roku podatkowego, w którym upłynął termin płatności podatku.
• Dane leadowe: przez czas potrzebny do obsługi zapytania i dalszej komunikacji B2B, co do zasady nie dłużej niż 24 miesiące od ostatniego kontaktu, chyba że wcześniej osoba wniesie sprzeciw, wycofa zgodę albo zachodzi inna podstawa dalszego przechowywania.
• Dane analityczne: przez okres potrzebny do analizy skuteczności strony i lejka sprzedaży, co do zasady nie dłużej niż 25 miesięcy, a identyfikatory lokalne do czasu wyczyszczenia localStorage lub zmiany zgody przez użytkownika.
• Dane rezerwacji przetwarzane jako procesor: zgodnie z poleceniem klienta BookSite, umową powierzenia oraz okresem utrzymania konta, eksportu, retencji technicznej i kopii zapasowych.
• Logi bezpieczeństwa i audyt: przez okres uzasadniony wymogami bezpieczeństwa, rozliczalności i ochrony przed nadużyciami.

Osobie, której dane dotyczą, przysługuje prawo dostępu do danych, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia danych, sprzeciwu wobec przetwarzania opartego na prawnie uzasadnionym interesie, cofnięcia zgody w dowolnym momencie oraz wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Jeżeli zapytanie dotyczy danych rezerwacji przetwarzanych dla konkretnego gabinetu, salonu albo kliniki, możemy przekazać je właściwemu klientowi BookSite jako administratorowi tych danych lub obsługiwać je zgodnie z jego udokumentowanym poleceniem.

BookSite nie wymaga od osób rezerwujących podawania danych szczególnych kategorii, takich jak szczegółowe dane o zdrowiu. Klienci działający w branżach medycznych, fizjoterapeutycznych lub kosmetologicznych powinni konfigurować formularze w sposób minimalizujący zakres danych i zbierać dane wrażliwe tylko wtedy, gdy mają do tego samodzielną podstawę prawną oraz spełniają obowiązki informacyjne wobec swoich pacjentów lub klientów.

BookSite nie jest systemem elektronicznej dokumentacji medycznej, repozytorium historii choroby ani narzędziem do obsługi nagłych przypadków. Klienci nie powinni wprowadzać do formularzy rezerwacji diagnoz, opisów leczenia, numerów PESEL, dokumentacji medycznej ani innych danych wrażliwych, jeżeli nie jest to konieczne i prawnie zabezpieczone po stronie klienta.

Stosujemy środki techniczne i organizacyjne adekwatne do ryzyka, w tym kontrolowany dostęp do panelu, tokeny logowania przechowywane w formie hashowanej, rate limiting, logi audytowe, separację kont, szyfrowane połączenia HTTPS oraz ograniczanie zakresu danych w logach technicznych.

BookSite może wykorzystywać automatyzację do przygotowania wersji demo strony, przeniesienia publicznie dostępnych lub przekazanych przez klienta informacji, analizy zdarzeń technicznych i usprawnienia onboardingu. Nie podejmujemy wobec osób fizycznych decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu, które wywoływałyby skutki prawne lub podobnie istotnie na nie wpływały w rozumieniu art. 22 RODO.

Dane klientów BookSite i dane klientów końcowych nie są wykorzystywane przez BookSite do trenowania ogólnych modeli AI ani sprzedawane w takim celu. Jeżeli do przygotowania demo, uporządkowania cennika lub wygenerowania treści używany jest zewnętrzny dostawca AI, dane są przekazywane wyłącznie w zakresie potrzebnym do wykonania danej funkcji, na podstawie odpowiednich warunków powierzenia lub podpowierzenia oraz z ustawieniami ograniczającymi użycie danych do trenowania modeli dostawcy, o ile dany dostawca takie ustawienia udostępnia.

Klient nie powinien przekazywać do procesu demo lub automatyzacji danych medycznych, danych szczególnych kategorii, dokumentacji pacjentów ani informacji niepotrzebnych do przygotowania strony lub kalendarza. Jeżeli klient mimo to takie dane przekaże, odpowiada za posiadanie właściwej podstawy prawnej i zakres przekazania.

Polityka może być aktualizowana w przypadku zmian prawnych, technologicznych, organizacyjnych lub produktowych. Aktualna wersja dokumentu jest publikowana pod stałym adresem /polityka-prywatnosci wraz z numerem wersji i datą obowiązywania.