Umowa o powierzeniu przetwarzania danych (DPA)

Umowa DPA reguluje obowiązki RealHealers i praktyka w zakresie przetwarzania danych osobowych klientów rezerwujących sesje przez platformę.

Umowa obowiązuje od momentu akceptacji warunków onboardingu praktyka (checkbox "Akceptuję DPA") do momentu zamknięcia konta praktyka.

RealHealers (HealersTeam Witkowski, Glatthof 6, 9245 Oberbüren, Schweiz) — operator platformy, dostawca infrastruktury technicznej (booking, Stripe Connect, kalendarz, komunikacja).

Praktyk — niezależny usługodawca świadczący sesje wellness, administrator danych swoich klientów w zakresie świadczonych usług.

Klasyfikacja: w większości scenariuszy RealHealers działa jako procesor (Art. 28 RODO) dla danych przekazywanych przez praktyka. W zakresie wspólnego decydowania o celach i środkach (np. wspólny system rezerwacji) możliwa jest kwalifikacja jako joint controllers (Art. 26 RODO). Final classification w trakcie weryfikacji prawnika.

Dane identyfikacyjne klienta: imię, email, telefon (opcjonalnie).

Dane rezerwacyjne: data, godzina, usługa, kwota, sposób spotkania (online/in-person).

Dane wrażliwe (Art. 9 RODO) — opcjonalne pole "powód wizyty" jeśli klient go wypełni: tylko za wyraźną zgodą, traktowane jako kategoria zdrowotna.

Dane komunikacyjne: wiadomości między klientem a praktykiem (jeśli wymieniane przez platformę).

Realizacja umowy o świadczenie sesji wellness (Art. 6 ust. 1 lit. b RODO).

Wystawianie rachunków i obsługa księgowa (Art. 6 ust. 1 lit. c).

Komunikacja przed-, w trakcie- i po-sesyjna (Art. 6 ust. 1 lit. b/f).

Bezpieczeństwo platformy i zapobieganie oszustwom (Art. 6 ust. 1 lit. f).

Praktyk przetwarza dane klientów wyłącznie w celu świadczenia sesji oraz wymaganej dokumentacji księgowej.

Praktyk NIE udostępnia danych klientów osobom trzecim bez zgody klienta (z wyjątkiem obowiązków prawnych).

Praktyk zabezpiecza dane klientów (silne hasła, nie wysyła PII przez nieszyfrowane kanały, ogranicza dostęp).

Praktyk niezwłocznie zgłasza RealHealers każdy incydent bezpieczeństwa (info@realhealers.com w ciągu 24h od wykrycia).

Praktyk anonimizuje/usuwa dane klienta na żądanie klienta (RODO Art. 17), z wyjątkiem zapisów wymaganych prawem podatkowym (5 lat po końcu roku).

RealHealers utrzymuje techniczne środki bezpieczeństwa: szyfrowanie at rest (Postgres TDE), TLS 1.2+ in transit, RLS w bazie, MFA dla administratorów.

RealHealers zawarło umowy DPA z subprocesorami (Supabase, Stripe, Resend, Cloudflare, Vercel, Anthropic, Mapbox, PostHog, Sentry).

RealHealers prowadzi rejestr czynności przetwarzania (Art. 30 RODO).

RealHealers wspiera praktyka w realizacji praw klientów (dostęp, sprostowanie, usunięcie, przenoszenie) — endpoint /api/data/export i /api/account/delete dostępne dla każdego użytkownika.

RealHealers zgłasza naruszenia ochrony danych do FDPIC w 72h (Art. 33 RODO + szwajcarski revFADP Art. 24).

Lista subprocesorów RealHealers jest opublikowana w Polityce Prywatności (sekcja 4) i aktualizowana przy każdej zmianie.

Praktyk akceptuje listę subprocesorów przy podpisaniu DPA. Zmiany listy są komunikowane z 30-dniowym wyprzedzeniem.

Praktyk może wnieść uzasadniony sprzeciw wobec nowego subprocesora — w takim przypadku ma prawo wypowiedzieć DPA z zachowaniem 60-dniowego okresu wypowiedzenia.

Część subprocesorów (Stripe, Resend, Anthropic, Mapbox) operuje serwerami w USA. Transfery odbywają się na podstawie Standardowych Klauzul Umownych (SCC) wg decyzji KE 2021/914.

Operator (HealersTeam Witkowski) jest podmiotem szwajcarskim — Szwajcaria nie jest w EOG, ale Komisja Europejska wydała decyzję adekwatności dla CH (wcześniej 2000, zaktualizowana w 2025).

Wewnątrz Szwajcarii zastosowanie ma revFADP — odpowiednik RODO.

Po zamknięciu konta praktyka RealHealers usuwa lub anonimizuje dane praktyka w 30 dni, z wyjątkiem zapisów wymaganych prawem (rachunki, transakcje finansowe).

Praktyk otrzymuje na żądanie eksport swoich danych w formacie JSON (Art. 20 RODO).

Klienci, którzy mieli rezerwacje u praktyka, są informowani o zamknięciu konta i otrzymują wsparcie w ewentualnym dokończeniu zaplanowanych sesji.