RealHealers

Umowa powierzenia przetwarzania danych osobowych

Załącznik do Regulaminu dla Przewodników. Reguluje powierzenie przetwarzania danych osobowych Użytkowników przez Przewodnika (Administrator) firmie RealHealers GmbH (Przetwarzający) zgodnie z art. 28 RODO.

Ostatnia aktualizacja: 2026-06-28

Strony i preambuła

Niniejsza Umowa powierzenia przetwarzania danych osobowych stanowi załącznik do Regulaminu dla Przewodników i zostaje zawarta pomiędzy: RealHealers GmbH z siedzibą pod adresem Glatthof 6, 9245 Oberbüren, Szwajcaria, zarejestrowaną w rejestrze handlowym Kantonu St. Gallen (Handelsregisteramt des Kantons St. Gallen) (zwaną dalej: „Przetwarzającym” lub „RealHealers”) a Przewodnikiem (zwanym/ą dalej „Administratorem” lub „Przewodnikiem”) z chwilą akceptacji Regulaminu przez Przewodnika. Dane identyfikacyjne Przewodnika są danymi podanymi przez Przewodnika w formularzu rejestracyjnym lub w panelu konta.

Zważywszy, że: RealHealers prowadzi serwis internetowy pod adresem https://realhealers.com/ („Serwis”), za pośrednictwem którego świadczy usługi drogą elektroniczną na rzecz Przewodników i Użytkowników, w tym udostępnia funkcjonalności umożliwiające oferowanie, rezerwowanie, obsługę, przeprowadzanie lub dokumentowanie Sesji;

pomiędzy Przewodnikiem a RealHealers została zawarta umowa o korzystanie z Serwisu, na podstawie której Przewodnik korzysta z funkcjonalności Serwisu w celu oferowania i świadczenia usług na rzecz Użytkowników;

Przewodnik świadczy usługi na rzecz klientów Serwisu („Użytkownik”) na podstawie odrębnej umowy o przeprowadzenie sesji zawieranej bezpośrednio z Użytkownikiem;

w związku ze świadczeniem usług przez Przewodnika na rzecz Użytkowników, Przewodnik zbiera oraz przetwarza dane osobowe Użytkowników, w tym dane szczególnych kategorii określone w art. 9 RODO, w szczególności dane dotyczące zdrowia fizycznego i psychicznego oraz inne informacje ujawnione w trakcie sesji;

w zakresie, w jakim Przewodnik korzysta z Usług Serwisowych, RealHealers może przetwarzać dane osobowe Użytkowników w imieniu Przewodnika jako podmiot przetwarzający;

poza zakresem niniejszej Umowy pozostają czynności, w ramach których RealHealers przetwarza dane osobowe jako odrębny administrator, w szczególności w związku z prowadzeniem Serwisu, obsługą kont, płatności, rozliczeń, bezpieczeństwem Serwisu, analityką, przeciwdziałaniem nadużyciom, obsługą reklamacji, dochodzeniem roszczeń oraz realizacją własnych obowiązków prawnych;

Strony zamierzają uregulować zasady przetwarzania danych osobowych powierzonych przez Administratora Przetwarzającemu zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO). Wykonując obowiązek przewidziany w art. 28 RODO, Strony zgodnie postanowiły zawrzeć niniejszą Umowę o następującej treści.

§1 Przedmiot umowy

Administrator powierza Przetwarzającemu dane osobowe do przetwarzania na zasadach i w celu, który określa niniejsza Umowa.

Przetwarzający oświadcza, że będzie przetwarzał powierzone mu dane osobowe zgodnie z niniejszą Umową, RODO oraz innymi przepisami prawa regulującymi kwestie ochrony danych osobowych.

Na potrzeby niniejszej Umowy Strony ustalają następujące znaczenie pojęć: Dane osobowe — informacje o zidentyfikowanej lub identyfikowalnej osobie fizycznej w rozumieniu art. 4 pkt 1 RODO, powierzone Przetwarzającemu na podstawie niniejszej Umowy, w zakresie określonym w §3; Dane poufne — wszelkie informacje, dane, materiały, dokumenty i Dane osobowe otrzymane od Administratora i od współpracujących z nim osób oraz dane uzyskane w jakikolwiek inny sposób, w formie ustnej, pisemnej, elektronicznej lub innej; Podprocesor — podmiot trzeci, któremu RealHealers powierza dalsze przetwarzanie Danych osobowych objętych Umową wyłącznie w zakresie niezbędnym do świadczenia Usług Serwisowych (w szczególności hosting, przechowywanie danych, komunikacja, transkrypcja, generowanie notatek lub narzędzia AI), na podstawie umowy spełniającej wymogi art. 28 RODO; Przetwarzanie danych osobowych — wszelkie operacje wykonywane na Danych osobowych w sposób zautomatyzowany lub niezautomatyzowany; Regulamin — dokument określający zasady świadczenia usług drogą elektroniczną przez RealHealers na rzecz Przewodników oraz warunki korzystania z Serwisu; Usługi Serwisowe — funkcjonalności Serwisu służące przygotowaniu, obsłudze, przeprowadzeniu lub udokumentowaniu Sesji świadczonej przez Przewodnika na rzecz Użytkownika (m.in. komunikacja, obsługa rezerwacji, przechowywanie materiałów, rejestracja nagrań, automatyczna transkrypcja, generowanie notatek lub podsumowań oraz narzędzia AI), o ile dostępne i wykorzystane przez Przewodnika.

§2 Oświadczenia Stron

Administrator oświadcza, że jest Administratorem danych osobowych w rozumieniu art. 4 pkt 7 RODO, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania Danych osobowych.

Przetwarzający oświadcza, że jest podmiotem przetwarzającym w rozumieniu art. 4 pkt 8 RODO, co oznacza, że będzie przetwarzał Dane osobowe w imieniu i na polecenie Administratora.

Przewodnik przyjmuje do wiadomości, że RealHealers może przetwarzać dane osobowe Użytkowników także jako odrębny administrator, w zakresie wskazanym w Regulaminie oraz polityce prywatności RealHealers.

§3 Zakres i cel przetwarzania danych

Powierzenie przetwarzania danych osobowych obejmuje wyłącznie Dane osobowe Użytkowników, które są przetwarzane przez RealHealers w imieniu Przewodnika w związku z korzystaniem przez Przewodnika z Usług Serwisowych.

Poza zakresem niniejszej Umowy pozostaje przetwarzanie danych osobowych przez RealHealers jako odrębnego administratora, w szczególności w zakresie prowadzenia Serwisu, zakładania i obsługi kont, prezentacji profili Przewodników, zapewnienia bezpieczeństwa Serwisu, przeciwdziałania nadużyciom, obsługi reklamacji, dochodzenia roszczeń, realizacji obowiązków prawnych, analityki produktu, rozwoju Serwisu oraz usług podmiotów trzecich, w tym w zakresie obsługi płatności.

Zakres powierzanych danych osobowych obejmuje w szczególności: dane identyfikacyjne Użytkowników (imię i nazwisko, data urodzenia, płeć); dane kontaktowe Użytkowników (nr telefonu, adres e-mail, adres korespondencyjny, jeśli został podany); dane przekazywane przed Sesją, w tym w nagraniach głosowych lub innych materiałach przekazanych dobrowolnie przez Użytkownika; dane zawarte w komunikacji pomiędzy Przewodnikiem a Użytkownikiem prowadzonej za pośrednictwem Serwisu przed Sesją; dane przekazywane przez Użytkownika w trakcie Sesji; dane zawarte w notatkach głosowych Przewodnika, transkrypcjach lub krótkich notatkach sporządzonych przy użyciu narzędzi AI, jeżeli Użytkownik wyraził na to wyraźną zgodę.

Dane określone w ust. 3 lit. c–f mogą obejmować dane szczególnych kategorii w rozumieniu art. 9 RODO, w szczególności dane dotyczące zdrowia psychicznego i fizycznego, samopoczucia, życia seksualnego, przekonań religijnych lub światopoglądowych, relacji rodzinnych, doświadczeń osobistych, trudności życiowych, traum lub innych informacji o szczególnie wrażliwym charakterze.

Powierzone Dane osobowe będą przetwarzane przez RealHealers wyłącznie w zakresie niezbędnym do udostępnienia, utrzymania i technicznej obsługi Usług Serwisowych, z których korzysta Przewodnik.

Administrator jest wyłącznie odpowiedzialny za uzyskanie od Użytkownika zgody, o której mowa w ust. 3 lit. f, oraz za wykazanie jej udzielenia.

Przewodnik odpowiada za zgodność z prawem przetwarzania Danych osobowych jako administrator, w szczególności za posiadanie właściwej podstawy prawnej przetwarzania, wykonanie obowiązków informacyjnych wobec Użytkowników oraz uzyskanie wymaganych zgód, w tym zgód na nagrywanie, transkrypcję, tworzenie notatek lub korzystanie z narzędzi AI, jeżeli są wymagane.

Przewodnik odpowiada za treść danych i materiałów wprowadzanych do Serwisu lub przekazywanych za pomocą Serwisu oraz za zgodność swoich poleceń z RODO i innymi przepisami prawa.

Udokumentowanymi poleceniami Przewodnika są: Regulamin, niniejsza Umowa, ustawienia wybrane przez Przewodnika w Serwisie oraz czynności wykonywane przez Przewodnika w ramach korzystania z Usług Serwisowych.

§4 Obowiązki Przetwarzającego

Przetwarzający zobowiązuje się do: przetwarzania Danych osobowych wyłącznie na udokumentowane polecenie Administratora, chyba że obowiązek przetwarzania wynika z prawa UE, prawa państwa członkowskiego lub prawa właściwego dla Przetwarzającego (w takim przypadku Przetwarzający informuje Administratora o tym obowiązku przed rozpoczęciem przetwarzania, chyba że prawo zabrania udzielenia takiej informacji z uwagi na ważny interes publiczny);

poinformowania Administratora, jeżeli w ocenie Przetwarzającego wydane mu polecenie stanowi naruszenie RODO lub innych przepisów o ochronie danych osobowych;

stosowania odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poziomu bezpieczeństwa odpowiadającego ryzyku przetwarzania;

zapewnienia, aby osoby upoważnione do przetwarzania Danych osobowych zobowiązały się do zachowania tajemnicy albo podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;

ograniczenia dostępu do Danych osobowych do osób i podmiotów, którym dostęp jest niezbędny do świadczenia Usług Serwisowych;

prowadzenia rejestru kategorii czynności przetwarzania, o ile taki obowiązek wynika z art. 30 ust. 2 RODO;

pomagania Administratorowi, z uwzględnieniem charakteru przetwarzania oraz informacji dostępnych Przetwarzającemu, w wywiązywaniu się z obowiązku odpowiadania na żądania osób, których dane dotyczą, oraz z obowiązków określonych w art. 32–36 RODO;

informowania Administratora o wykorzystywaniu narzędzi automatyzacji lub narzędzi AI w zakresie, w jakim jest to niezbędne do wykonania przez Administratora obowiązków wynikających z przepisów o ochronie danych osobowych.

Obowiązki Przetwarzającego dotyczące korzystania z Podprocesorów, powiadamiania o naruszeniach ochrony danych, wykazywania zgodności, audytu oraz zakończenia powierzenia określają dalsze postanowienia niniejszej Umowy.

§5 Podpowierzenie

Przetwarzający może korzystać z Podprocesorów w zakresie niezbędnym do świadczenia Usług Serwisowych. Administrator udziela Przetwarzającemu ogólnej zgody na korzystanie z Podprocesorów.

Aktualna lista Podprocesorów stanowi Załącznik nr 1 do niniejszej Umowy albo jest udostępniana Administratorowi w Serwisie, panelu konta lub w inny sposób wskazany przez Przetwarzającego.

Przetwarzający zapewnia, aby Podprocesorzy byli zobowiązani do ochrony Danych osobowych w zakresie wymaganym przez art. 28 RODO.

Przetwarzający informuje Administratora o planowanej zmianie Podprocesora w sposób przyjęty dla komunikacji z Przewodnikami. Administrator może zgłosić uzasadniony sprzeciw wobec zmiany w terminie 14 dni od otrzymania informacji, wyłącznie z przyczyn związanych z ochroną danych osobowych.

Brak sprzeciwu w terminie, o którym mowa w ust. 4, oznacza akceptację zmiany Podprocesora.

Zgłoszenie sprzeciwu nie ogranicza prawa Przetwarzającego do wprowadzenia zmiany Podprocesora, jeżeli jest ona niezbędna dla zapewnienia ciągłości, bezpieczeństwa lub zgodności działania Serwisu. W takim przypadku Administrator może zakończyć korzystanie z Usług Serwisowych, których dotyczy zmiana, albo rozwiązać umowę o korzystanie z Serwisu.

§6 Powiadomienie o naruszeniach

Przetwarzający powiadamia Administratora o stwierdzonym naruszeniu ochrony Danych osobowych objętych niniejszą Umową bez zbędnej zwłoki, nie później niż w terminie 48 godzin od jego stwierdzenia.

Powiadomienie obejmuje informacje dostępne Przetwarzającemu i niezbędne Administratorowi do oceny naruszenia oraz wykonania obowiązków wynikających z RODO, w szczególności w miarę możliwości: opis charakteru naruszenia; kategorie i przybliżoną liczbę osób, których dane dotyczą; kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie; możliwe konsekwencje naruszenia; środki zastosowane lub proponowane w celu zaradzenia naruszeniu lub ograniczenia jego skutków; dane punktu kontaktowego, od którego można uzyskać więcej informacji.

Przetwarzający może przekazywać informacje o naruszeniu stopniowo, jeżeli pełne informacje nie są dostępne w chwili pierwszego zgłoszenia.

§7 Prawo kontroli

Przetwarzający udostępnia Administratorowi informacje niezbędne do wykazania spełnienia obowiązków wynikających z art. 28 RODO, w zakresie dotyczącym Danych osobowych przetwarzanych w imieniu Administratora.

Standardowy audyt dokumentowy, realizowany nie częściej niż raz w roku kalendarzowym i niewymagający niestandardowego zaangażowania Przetwarzającego, jest przeprowadzany bez dodatkowych opłat.

Jeżeli audyt wymaga niestandardowego zaangażowania Przetwarzającego, przygotowania dodatkowych materiałów, udziału pracowników lub współpracowników Przetwarzającego, udziału zewnętrznych doradców, tłumaczeń, spotkań, dodatkowych analiz technicznych, eksportów danych lub innych czynności wykraczających poza standardowy audyt dokumentowy, Przetwarzający może uzależnić podjęcie takich czynności od pokrycia przez Administratora uzasadnionych kosztów ich wykonania.

Audyt w siedzibie Przetwarzającego lub w innej lokalizacji wykorzystywanej przez Przetwarzającego może odbyć się wyłącznie w wyjątkowych i uzasadnionych przypadkach, po uprzednim uzgodnieniu terminu, zakresu, zasad audytu oraz kosztów jego przeprowadzenia, z zachowaniem poufności oraz bez dostępu do danych innych klientów, Użytkowników, Przewodników lub tajemnic przedsiębiorstwa Przetwarzającego.

Administrator ponosi własne koszty audytu oraz uzasadnione koszty Przetwarzającego związane z audytem, w zakresie, w jakim audyt wykracza poza standardowy audyt dokumentowy, o którym mowa w ust. 2.

Przetwarzający może odmówić lub ograniczyć audyt, jeżeli żądanie jest nadmierne, nieproporcjonalne, zagraża bezpieczeństwu Serwisu, narusza prawa osób trzecich lub może prowadzić do ujawnienia tajemnicy przedsiębiorstwa Przetwarzającego.

§8 Przekazywanie danych osobowych poza Europejski Obszar Gospodarczy

Przetwarzający ma swoją siedzibę w Szwajcarii. Komisja Europejska wydała decyzję stwierdzającą odpowiedni poziom ochrony danych osobowych w Szwajcarii, co umożliwia przekazywanie danych osobowych bez konieczności stosowania dodatkowych mechanizmów transferowych.

W przypadku przekazywania Danych osobowych do państwa trzeciego lub organizacji międzynarodowej, wobec których Komisja Europejska nie wydała decyzji stwierdzającej odpowiedni stopień ochrony, Przetwarzający stosuje odpowiedni mechanizm transferowy przewidziany w RODO, w szczególności standardowe klauzule umowne zatwierdzone przez Komisję Europejską, wiążące reguły korporacyjne, odpowiedni mechanizm certyfikacji (jeżeli ma zastosowanie) albo inną dopuszczalną podstawę transferu przewidzianą przez RODO.

Administrator przyjmuje do wiadomości, że świadczenie Usług Serwisowych może wymagać korzystania z Podprocesorów mających siedzibę lub przetwarzających dane poza Europejskim Obszarem Gospodarczym, zgodnie z zasadami określonymi w niniejszym paragrafie oraz w Załączniku nr 1.

§9 Odpowiedzialność

Odpowiedzialność Przetwarzającego wobec Administratora z tytułu niniejszej Umowy jest ograniczona do szkody rzeczywistej poniesionej przez Administratora z wyłącznej winy Przetwarzającego, z zastrzeżeniem bezwzględnie obowiązujących przepisów prawa oraz limitów odpowiedzialności przewidzianych w Regulaminie.

Przetwarzający nie odpowiada za naruszenia wynikające z działań lub zaniechań Administratora, w szczególności z braku podstawy prawnej przetwarzania, niewykonania obowiązków informacyjnych, braku wymaganych zgód, niezgodnych z prawem poleceń, treści danych wprowadzonych przez Administratora lub korzystania z Serwisu niezgodnie z Regulaminem.

Jeżeli Przetwarzający poniesie odpowiedzialność, koszty, karę, odszkodowanie lub inne wydatki w związku z naruszeniem obowiązków Administratora, Administrator zwróci Przetwarzającemu uzasadnione koszty, odszkodowania i wydatki poniesione z tego tytułu, w zakresie dopuszczalnym przez prawo.

Żadne postanowienie niniejszej Umowy nie wyłącza ani nie ogranicza odpowiedzialności wobec osób, których dane dotyczą, w zakresie, w jakim wyłączenie lub ograniczenie byłoby niedopuszczalne na podstawie RODO.

§10 Czas obowiązywania Umowy

Umowa wchodzi w życie z dniem zaakceptowania Regulaminu przez Przewodnika i obowiązuje przez czas trwania umowy o korzystanie z Serwisu zawartej między Przewodnikiem a RealHealers.

Powierzenie przetwarzania Danych osobowych obowiązuje przez okres korzystania przez Administratora z Usług Serwisowych, a po jego zakończeniu wyłącznie przez okres niezbędny do usunięcia, zwrotu, anonimizacji lub zabezpieczenia Danych osobowych zgodnie z procedurami technicznymi Przetwarzającego, chyba że dalsze przechowywanie danych jest wymagane przez prawo, niezbędne do ustalenia, dochodzenia lub obrony roszczeń, zapewnienia bezpieczeństwa Serwisu albo wykonania obowiązków Przetwarzającego jako odrębnego administratora.

Po zakończeniu świadczenia Usług Serwisowych Przetwarzający, według wyboru Administratora, usuwa albo zwraca Dane osobowe objęte powierzeniem, chyba że dalsze przechowywanie jest dopuszczalne zgodnie z ust. 2. Jeżeli Administrator nie przekaże Przetwarzającemu odmiennych instrukcji w terminie wskazanym przez Przetwarzającego, Przetwarzający może usunąć albo zanonimizować Dane osobowe zgodnie ze swoimi procedurami technicznymi i retencyjnymi.

Usunięcie Danych osobowych z kopii zapasowych może nastąpić w późniejszym terminie wynikającym z cyklu backupów i procedur bezpieczeństwa Przetwarzającego, pod warunkiem że dane te pozostają zabezpieczone przed nieuprawnionym dostępem i nie są aktywnie wykorzystywane.

§11 Warunki rozwiązania Umowy

Niniejsza Umowa wygasa z chwilą zakończenia umowy o korzystanie z Serwisu zawartej pomiędzy Administratorem a Przetwarzającym, chyba że dalsze przetwarzanie Danych osobowych jest dopuszczalne zgodnie z §10.

Administrator nie może rozwiązać niniejszej Umowy odrębnie od umowy o korzystanie z Serwisu, z zastrzeżeniem uprawnień wynikających z bezwzględnie obowiązujących przepisów prawa.

W przypadku naruszenia przez Przetwarzającego obowiązków wynikających z niniejszej Umowy Administrator może skorzystać ze środków przewidzianych w Regulaminie lub bezwzględnie obowiązujących przepisach prawa.

§12 Poufność

Przetwarzający zobowiązuje się do zachowania w tajemnicy Danych Poufnych oraz do nieujawniania ich osobom trzecim, z wyjątkiem Podprocesorów lub osób upoważnionych przez Przetwarzającego do przetwarzania Danych osobowych.

Przetwarzający oświadcza, że w związku ze zobowiązaniem do zachowania w tajemnicy Danych Poufnych nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Administratora w innym celu niż wykonanie Umowy.

Obowiązek zachowania poufności nie obejmuje informacji: powszechnie znanych, o ile nie uzyskały one takiego statusu w wyniku naruszenia niniejszej klauzuli poufności; których ujawnienie jest wymagane przez przepisy prawa, wyłącznie w niezbędnym zakresie; których ujawnienia żąda uprawniony organ w przewidzianej prawem formie i treści, wyłącznie w żądanym zakresie.

Ujawnienie jakichkolwiek informacji stanowiących Dane Poufne wymaga uprzedniej pisemnej zgody Administratora, a w przypadkach, o których mowa w ust. 3, zamiast zgody Administratora wymagane jest poinformowanie Administratora na piśmie o ujawnieniu Danych Poufnych przez Przetwarzającego.

§13 Postanowienia końcowe

W zakresie nieuregulowanym w Umowie zastosowanie mają przepisy RODO oraz właściwe przepisy prawa polskiego.

Jeżeli jakiekolwiek postanowienie Umowy okaże się nieważne, bezskuteczne lub niewykonalne, nie wpływa to na ważność, skuteczność lub wykonalność pozostałych postanowień Umowy. Strony zobowiązują się zastąpić postanowienia nieważne, bezskuteczne lub niewykonalne postanowieniami najbardziej zbliżonymi do zastępowanych oraz zgodnymi z prawem.

Przetwarzający może zmienić niniejszą Umowę na zasadach przewidzianych dla zmiany Regulaminu.

W przypadku sprzeczności pomiędzy niniejszą Umową a Regulaminem pierwszeństwo ma niniejsza Umowa, wyłącznie w zakresie dotyczącym powierzenia przetwarzania danych osobowych.

Integralną część Umowy stanowi Załącznik nr 1 — Lista Podprocesorów.

Załącznik nr 1 — Lista Podprocesorów

Administrator akceptuje, że Przetwarzający korzysta z usług poniższych podmiotów w celu świadczenia Usług Serwisowych (nazwa — cel przetwarzania — lokalizacja/podstawa transferu):

Supabase Inc. — hosting baz danych, plików, logiki — Frankfurt, Niemcy (UE/EOG).

Stripe Payments Europe Limited — obsługa płatności (subskrypcje, płatności za usługi świadczone przez Przewodników na rzecz Użytkowników), obsługa rozliczeń prowizji — Dublin, Irlandia (UE/EOG). Dane mogą być transferowane do USA (Stripe, Inc.) na podstawie decyzji o adekwatności EU-U.S. Data Privacy Framework (DPF) oraz Standardowych Klauzul Umownych (SCC).

Resend, Inc. — wysyłka wiadomości e-mail transakcyjnych — USA; SCC.

Cloudflare, Inc. — bezpieczeństwo sieciowe, ochrona przed DDoS, CDN, routing ruchu — USA; SCC, DPF.

Vercel, Inc. — hosting i utrzymanie Serwisu — USA; SCC, DPF.

Anthropic, PBC — funkcjonalności oparte na AI, generowanie notatek, podsumowań z sesji Przewodników, przetwarzanie transkrypcji — USA; SCC.

Mapbox — obsługa map, lokalizacji oraz wyszukiwania miejsc — USA; SCC.

PostHog, Inc. — analityka produktu, statystyki korzystania z Serwisu, analiza zdarzeń — UE lub USA.

Sentry — monitorowanie błędów, diagnostyka działania Serwisu, bezpieczeństwo i stabilność usług — USA; SCC, DPF.

Data Processing Agreement (DPA) — RealHealers.com | RealHealers