Adczyk RODO Umowa Powierzenia (DPA)
Prawne · art. 28 RODO

Umowa Powierzenia Przetwarzania Danych Osobowych

Cleo (marka Adczyk, Sunaura sp. z o.o.) ↔ Klient (Twój salon, gabinet lub akademia) · Aktualizacja: 23 czerwca 2026

Ten dokument staje się integralną częścią umowy o korzystanie z usługi Cleo z chwilą jej zawarcia (akceptacja regulaminu przy rejestracji). Reguluje przetwarzanie przez Sunaura sp. z o.o. (marka Adczyk) danych osobowych klientek/klientów — a w przypadku akademii także kursantek/kursantów — Twojego salonu, gabinetu lub akademii, które trafiają do Cleo w trakcie obsługi wiadomości.

§ 1. Strony i definicje

ProcesorSunaura sp. z o.o. z siedzibą w Krakowie (ul. Szlak 77/222, 31-153 Kraków), wpisana do KRS pod numerem 0001130877, NIP 6762678620, REGON 529854422, reprezentowana przez Arkadiusza Marcina Młynarczyka — Prezesa Zarządu; dostawca usługi Cleo (marka Adczyk), email: arek@adczyk.pl.

Administrator — przedsiębiorca (osoba fizyczna prowadząca działalność gospodarczą lub spółka), będący właścicielem salonu beauty, gabinetu medycyny estetycznej lub akademii beauty, korzystający z usługi Cleo na podstawie zaakceptowanego regulaminu. Dane Administratora są przechowywane w panelu Cleo (zakładka „Mój profil").

RODO — Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679.

Cleo — transparentna asystentka AI, która w imieniu Administratora (jako jego asystentka — bez podszywania się pod człowieka) odpisuje na wiadomości w kanałach (Meta Messenger, Instagram DM, WhatsApp, SMS, email; opcjonalnie Telegram) zgodnie z konfiguracją wprowadzoną przez Administratora.

Osoby, których dane dotyczą — klientki / klienci Administratora, a w przypadku akademii — kursantki / kursanci oraz osoby zainteresowane kursami, kontaktujące się przez wyżej wymienione kanały.

§ 2. Przedmiot powierzenia

Administrator powierza Procesorowi przetwarzanie danych osobowych Osób, których dane dotyczą, w zakresie i celu określonym niniejszą umową. Procesor zobowiązuje się przetwarzać te dane wyłącznie zgodnie z pisemnymi instrukcjami Administratora i przepisami RODO.

§ 3. Charakter i cel przetwarzania

Cel: świadczenie usługi Cleo — generowanie odpowiedzi na wiadomości klientek / kursantek, prowadzenie do rezerwacji wizyty (salon, gabinet) lub zapisu na kurs (akademia), prowadzenie kartoteki (CRM), wysyłka przypomnień o wizycie / terminie i kampanii „wróć do nas".

Charakter: przetwarzanie zautomatyzowane (modele AI: Anthropic Claude, OpenAI GPT — patrz lista podwykonawców), wsparte zapisami w bazie danych Procesora.

§ 4. Rodzaj danych i kategorie osób

Kategorie osób: klientki / kursantki Administratora — istniejące i potencjalne, kontaktujące się z salonem, gabinetem lub akademią.

Kategorie danych:

  • Dane identyfikacyjne: imię, nazwisko (gdy podane)
  • Dane kontaktowe: numer telefonu, email, identyfikator Instagram / Messenger / Telegram (gdy podane)
  • Treść wiadomości wymienianych między klientką a salonem
  • Dane wizyt / zapisów na kurs: data, godzina lub termin, usługa lub kurs, cena, status (zaplanowana / odbyta / anulowana; zainteresowana / zapisana / opłacona)
  • Tagi i notatki nadane przez Administratora
  • Dane techniczne: identyfikator rozmowy, znaczniki czasu wiadomości

Procesor NIE przetwarza w ramach Cleo szczególnych kategorii danych (art. 9 RODO — zdrowie, etniczność, religia itp.), chyba że klientka sama poda je w treści wiadomości — w takim przypadku Administrator zobowiązany jest oznaczyć rozmowę jako wymagającą obsługi osobistej (tryb „review", brak auto-wysyłki).

§ 5. Czas trwania

Powierzenie trwa przez okres obowiązywania umowy o korzystanie z usługi Cleo. Po jej zakończeniu — patrz § 10 (Zwrot lub usunięcie danych).

§ 6. Obowiązki Procesora

Procesor zobowiązuje się:

  1. przetwarzać dane wyłącznie na udokumentowane polecenie Administratora (w szczególności poprzez konfigurację Cleo w panelu Klienta) — z wyjątkiem przypadków obowiązków wynikających z prawa UE lub państwa członkowskiego;
  2. zapewnić, że osoby upoważnione do przetwarzania danych zobowiązały się do zachowania tajemnicy;
  3. wdrożyć i utrzymywać środki techniczne i organizacyjne odpowiednie do ryzyka (art. 32 RODO) — w szczególności: szyfrowanie danych w tranzycie (TLS); szyfrowanie wrażliwych danych dostępowych (tokeny kanałów) kluczem Fernet per-tenant z envelope encryption; izolacja danych między klientami na poziomie bazy danych (Row-Level Security per tenant); szyfrowanie nośnika danych w spoczynku po stronie hostingu; kontrola dostępu; kopie zapasowe (lokalne + offsite);
  4. pomagać Administratorowi w wypełnianiu obowiązków odpowiadania na żądania Osób, których dane dotyczą (art. 12-23 RODO);
  5. pomagać Administratorowi w realizacji obowiązków z art. 32-36 RODO (bezpieczeństwo, zgłaszanie naruszeń, ocena skutków);
  6. po zakończeniu świadczenia usługi — usunąć lub zwrócić dane zgodnie z § 10;
  7. udostępniać Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków z art. 28 RODO, w tym umożliwiać audyty.

§ 7. Dalsze powierzenie (subprocesorzy)

Administrator wyraża ogólną zgodę na korzystanie przez Procesora z podwykonawców (subprocesorów) wskazanych na liście: adczyk.pl/cleo/subprocesorzy.

Procesor zobowiązuje się:

  • nakładać na subprocesorów obowiązki ochrony danych nie mniej wymagające niż te z niniejszej umowy (art. 28 ust. 4 RODO);
  • informować Administratora o planowanych zmianach na liście subprocesorów co najmniej 14 dni przed zmianą — kanałem email na adres właściciela panelu;
  • w razie sprzeciwu Administratora — umożliwić mu rozwiązanie umowy z zachowaniem 30-dniowego okresu wypowiedzenia.

§ 8. Transfery poza EOG

Część subprocesorów (Anthropic, OpenAI, Meta, Resend) ma siedzibę poza Europejskim Obszarem Gospodarczym. Transfer odbywa się na podstawie:

  • standardowych klauzul umownych (Standard Contractual Clauses, SCC) zatwierdzonych decyzją wykonawczą Komisji Europejskiej 2021/914;
  • dodatkowych środków technicznych (szyfrowanie, minimalizacja danych wysyłanych do modeli AI);
  • zgodnie z wymogami orzeczenia Schrems II (TSUE C-311/18).

Procesor potwierdza, że dane przekazywane do dostawców modeli AI (Anthropic, OpenAI) NIE są wykorzystywane przez nich do trenowania modeli — wynika to z ustawień i regulaminu używanego API.

§ 9. Naruszenia ochrony danych

W przypadku stwierdzenia naruszenia ochrony danych osobowych Procesor zgłasza Administratorowi naruszenie bez zbędnej zwłoki, nie później niż w ciągu 24 godzin od jego stwierdzenia, podając:

  • charakter naruszenia, kategorie i przybliżoną liczbę osób i rekordów;
  • możliwe konsekwencje;
  • środki podjęte lub proponowane.

Administrator jest odpowiedzialny za zgłoszenie naruszenia do organu nadzorczego (PUODO) w ciągu 72h (art. 33 RODO) — Procesor wspiera go merytorycznie i technicznie.

§ 10. Zwrot lub usunięcie danych

Po zakończeniu umowy o korzystanie z Cleo Administrator może w panelu zażądać:

  • eksportu danych — w formacie CSV / JSON (klientki, wizyty, rozmowy) — do pobrania przez 30 dni;
  • natychmiastowego usunięcia — wszystkie dane Administratora i jego klientek są usuwane z systemu Cleo w ciągu 14 dni roboczych, z kopii zapasowych — w ciągu 90 dni (po wygaśnięciu okresu retencji backupów).

Brak żądania w ciągu 90 dni od zakończenia umowy = automatyczne usunięcie wszystkich danych klientek. Dane fakturowe Administratora pozostają zgodnie z obowiązkiem ustawowym (5 lat).

§ 11. Audyt

Administrator ma prawo do audytu zgodności Procesora z niniejszą umową, nie częściej niż raz na 12 miesięcy, z wyprzedzeniem 30 dni. Audyt może być przeprowadzony zdalnie (kwestionariusz + dowody) albo, jeśli Administrator woli i na własny koszt — na miejscu. Procesor udostępnia raporty z prowadzonych testów bezpieczeństwa, jeśli są dostępne.

§ 12. Odpowiedzialność

Każda ze stron odpowiada za szkody wyrządzone naruszeniem RODO zgodnie z art. 82 RODO. Procesor odpowiada przede wszystkim, gdy nie dopełnił obowiązków nałożonych bezpośrednio na podmioty przetwarzające albo gdy działał wbrew zgodnym z prawem instrukcjom Administratora.

§ 13. Postanowienia końcowe

W sprawach nieuregulowanych — stosuje się przepisy RODO, ustawy o ochronie danych osobowych z 10 maja 2018 r. oraz Kodeksu cywilnego.

Sądem właściwym do rozstrzygania sporów jest sąd właściwy dla siedziby Procesora.

Aktualna wersja umowy znajduje się zawsze pod adresem adczyk.pl/cleo/dpa. Procesor zobowiązuje się informować Administratora o istotnych zmianach z 30-dniowym wyprzedzeniem.

Pytania, żądania, zgłoszenia: arek@adczyk.pl.
Powiązane: Informacja RODO · Lista subprocesorów · Wzór klauzuli dla klientek salonu