Dokument prawny

Polityka prywatności Estelio

Wersja 2.1•Obowiązuje od 10 maja 2026

W skrócie

Estelio chroni Pani/Pana dane na trzech poziomach — danych konta, danych pracowników wprowadzanych przez salon i danych klientek salonu. Stosujemy szyfrowanie, izolację danych między salonami, kopie zapasowe oraz pełną zgodność z RODO. Nie sprzedajemy danych nikomu.

1. O tej Polityce

Ta Polityka opisuje, jak Estelio przetwarza dane osobowe — Pani/Pana dane jako Klienta, dane osób korzystających ze strony oraz dane wprowadzane przez salony do systemu.

Polityka obejmuje:

osoby odwiedzające stronę www.estelio.com.pl,
właścicieli salonów i firm korzystających z Estelio,
osoby, które kontaktują się z nami w jakiejkolwiek sprawie,
informacje o danych wprowadzanych do systemu przez salony.

System Estelio dostępny jest pod adresem www.estelio.com.pl.

2. Kto jest administratorem danych

Administratorem Pani/Pana danych jest:

Fotolinea Mariusz Wacławiak

ul. Zefira 27/3, 80-180 Kowale

NIP: 4660275573

e-mail: kontakt@estelio.com.pl

W tym dokumencie nazywamy się również Estelio, Usługodawcą lub Administratorem.

Nie wyznaczyliśmy Inspektora Ochrony Danych. We wszystkich sprawach dotyczących ochrony danych proszę kierować pytania na adres e-mail powyżej.

3. Trzy poziomy danych w Estelio

To jeden z najważniejszych punktów tej Polityki. W Estelio występują trzy różne kategorie danych, a od tego, której dotyczy sprawa, zależy kto jest administratorem.

3.1. Dane konta Estelio

To dane właściciela salonu lub firmy, która korzysta z systemu — imię, nazwisko, nazwa firmy, NIP, e-mail, telefon, dane do faktury, dane logowania.

Tutaj administratorem jest Estelio.

3.2. Dane pracowników salonu

To dane osób, które salon dodaje do systemu jako swoich Użytkowników — recepcji, kosmetologów, managerów. Mogą obejmować imię, rolę, login, PIN, uprawnienia, zadania, wyniki sprzedażowe, premie i rejestr zdarzeń.

Administratorem tych danych jest salon. Estelio działa wyłącznie jako podmiot przetwarzający.

3.3. Dane klientek i klientów salonu

To dane osób, które korzystają z usług salonu — imię, nazwisko, telefon, data urodzenia, historia zabiegów, zgody, dokumentacja, konsultacje, przeciwwskazania.

Administratorem tych danych jest salon. Estelio działa jako podmiot przetwarzający w rozumieniu art. 28 RODO.

Co to oznacza:

Salon odpowiada za legalność pozyskania danych klientek, za spełnienie obowiązku informacyjnego oraz za obsługę żądań RODO od swoich klientek. Estelio jest narzędziem, które te dane przechowuje i obsługuje na polecenie salonu.

Zasady tego współpracowania reguluje Umowa powierzenia przetwarzania danych (DPA), zawierana automatycznie z każdym salonem przy akceptacji Regulaminu.

4. Jakie dane przetwarzamy jako administrator

Jako Administrator (czyli w obszarze danych konta Klienta i osób kontaktujących się z nami) przetwarzamy następujące dane:

imię i nazwisko,
nazwa firmy,
NIP,
adres firmy lub adres do faktury,
e-mail i telefon,
miasto,
dane logowania (login, hasło — przechowywane w postaci zaszyfrowanej),
informacje o wybranym planie subskrypcji,
status płatności i identyfikatory płatności,
historia kontaktu i treść wiadomości,
dane techniczne: adres IP, data i godzina logowania, rodzaj urządzenia, przeglądarka, logi techniczne,
informacje o działaniach w systemie (gdy są niezbędne dla bezpieczeństwa).

Ważne:

Estelio nie przechowuje pełnych numerów kart płatniczych. Dane kart obsługuje wyłącznie operator płatności Stripe.

5. Dane wprowadzane przez salony do systemu

Salon korzystający z Estelio może wprowadzać do systemu różne dane związane z prowadzeniem działalności beauty. W szczególności:

dane klientek i klientów salonu,
dane pracowników i współpracowników,
dane sprzedażowe i historię transakcji,
informacje o zadatkach i portfelach klientów,
historię zabiegów i zakupów,
pliki zgód i dokumentacji zabiegowej,
wyniki konsultacji,
przeciwwskazania i zalecenia,
notatki o klientkach,
dane magazynowe,
zadania i komentarze,
wyniki, cele, premie pracowników i raporty.

Te dane przetwarzamy wyłącznie na polecenie salonu i w zakresie potrzebnym do działania systemu.

6. W jakim celu i na jakiej podstawie przetwarzamy dane

6.1. Aby świadczyć usługę

Przetwarzamy dane, żeby założyć Pani/Panu konto, dać dostęp do systemu, obsługiwać subskrypcję i kontakt techniczny.

Podstawa prawna: art. 6 ust. 1 lit. b RODO (wykonanie umowy).

6.2. Aby spełnić obowiązki prawne

Wystawiamy faktury, prowadzimy dokumentację księgową i podatkową — to wymóg prawa.

Podstawa prawna: art. 6 ust. 1 lit. c RODO (obowiązek prawny).

6.3. Aby zapewnić bezpieczeństwo

Przetwarzamy dane techniczne i logi, żeby wykrywać błędy, zapobiegać nadużyciom i chronić dane wszystkich naszych Klientów.

Podstawa prawna: art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes).

6.4. Aby obsługiwać zgłoszenia i reklamacje

Gdy pisze Pani/Pan do nas z pytaniem lub problemem, musimy przetworzyć Pani/Pana dane, żeby odpowiedzieć.

Podstawa prawna: art. 6 ust. 1 lit. b, c lub f RODO — w zależności od charakteru sprawy.

6.5. Aby chronić nasze prawa

W razie sporu lub roszczenia musimy mieć możliwość ustalenia faktów i obrony.

Podstawa prawna: art. 6 ust. 1 lit. f RODO.

6.6. Marketing własny Estelio

Czasami chcemy poinformować Panią/Pana o nowych funkcjach Estelio, promocjach lub zmianach w systemie.

Wysyłka informacji handlowych e-mailem oraz kontakt telefoniczny w celach marketingowych odbywa się wyłącznie po Pani/Pana wyraźnej zgodzie.
Marketing kierowany do dotychczasowych Klientów Estelio, dotyczący produktów podobnych do już świadczonych, może odbywać się na podstawie prawnie uzasadnionego interesu — z prawem do wyrażenia sprzeciwu w każdej chwili.

Podstawa prawna: art. 6 ust. 1 lit. a lub f RODO.

7. Jak długo przechowujemy dane

Każdy rodzaj danych ma własny okres przechowywania:

Rodzaj danych	Okres przechowywania
Dane konta Klienta	Czas trwania umowy + do 3 lat po jej zakończeniu (obrona przed roszczeniami)
Dane fakturowe	5 lat od końca roku podatkowego (wymóg ustawy)
Dane zgłoszeń i korespondencji	Do 3 lat po zakończeniu sprawy
Logi techniczne i bezpieczeństwa	Do 12 miesięcy
Dane wprowadzone przez salon do systemu	Czas trwania subskrypcji + 30 dni na eksport
Kopie zapasowe	Maksymalnie 90 dni od ostatniej kopii

Po upływie tych okresów dane są usuwane lub anonimizowane, chyba że przepisy prawa wymagają dłuższego przechowywania.

8. Komu przekazujemy dane

Aby świadczyć Estelio, korzystamy z usług kilku wyspecjalizowanych dostawców (tzw. podprocesorów). Każdy z nich pomaga nam w konkretnym zakresie:

Podmiot	Cel	Zakres danych	Lokalizacja
Hostinger	hosting serwera, bazy danych, kopie zapasowe	dane przechowywane w systemie	UE (Polska/Litwa)
Stripe	obsługa płatności subskrypcyjnych	dane płatnika, e-mail, identyfikatory płatności, dane karty po stronie Stripe	Irlandia / USA
Fakturownia.pl	wystawianie faktur	dane do faktury Klienta, NIP, e-mail	Polska
SMTP Hostinger	wysyłka wiadomości e-mail	adres e-mail odbiorcy, treść wiadomości	UE

Aktualna lista podprocesorów jest zawsze dostępna na żądanie pod adresem kontakt@estelio.com.pl.

Ważne:

Pani/Pana dane nie są sprzedawane żadnym podmiotom trzecim.

9. Czy przekazujemy dane poza Unię Europejską

Staramy się, żeby wszystkie dane były przechowywane i przetwarzane na terenie Unii Europejskiej.

Niektórzy dostawcy (w szczególności Stripe) mogą przetwarzać dane także poza UE. W takiej sytuacji przekazanie odbywa się zawsze na podstawie mechanizmów przewidzianych przez RODO:

decyzji Komisji Europejskiej stwierdzającej odpowiedni stopień ochrony,
ram EU-U.S. Data Privacy Framework,
standardowych klauzul umownych (SCC),
innych odpowiednich zabezpieczeń przewidzianych przez RODO.

10. Jak chronimy Pani/Pana dane

Stosujemy zarówno środki techniczne, jak i organizacyjne. W szczególności:

HTTPS — całe połączenie z systemem jest szyfrowane,
bcrypt — hasła przechowujemy w postaci zaszyfrowanej, nie jako zwykły tekst,
izolacja danych między salonami — każdy salon ma własny tenant_id, a zapytania do bazy są filtrowane po nim,
pliki PDF poza katalogiem publicznym — dokumentacja jest dostępna wyłącznie po autoryzacji,
role i uprawnienia użytkowników — każdy widzi tylko to, na co ma pozwolenie,
rejestr zdarzeń — wybrane operacje są logowane (logowania, edycje, usunięcia),
tokeny sesji — przechowywane w bazie, unieważniane po wylogowaniu lub bezczynności,
kopie zapasowe — wykonywane regularnie, przechowywane w UE,
ograniczenie dostępu administracyjnego — tylko upoważnione osoby mają dostęp do infrastruktury.

Co to oznacza dla Pani/Pana:

Pani/Pana dane są technicznie odseparowane od danych innych salonów. Nawet w przypadku awarii lub błędu po naszej stronie, ryzyko, że ktokolwiek zobaczy nie swoje dane, jest minimalizowane na poziomie architektury systemu.

Po Pani/Pana stronie warto:

chronić hasła i PIN-y,
nie udostępniać konta innym osobom,
odbierać dostępy byłym pracownikom,
nadawać uprawnienia zgodnie z zakresem obowiązków.

11. Cookies i pamięć przeglądarki

Strona oraz aplikacja Estelio używają plików cookies oraz podobnych technologii (localStorage, sessionStorage), żeby działać prawidłowo.

Wykorzystywane są:

cookies niezbędne — konieczne do działania strony i logowania,
cookies funkcjonalne — zapamiętujące Pani/Pana preferencje,
cookies analityczne — wyłącznie po wyrażeniu zgody (aktualnie nie używamy).

Szczegóły znajdują się w Polityce cookies.

12. Pani/Pana prawa

Jako osoba, której dane przetwarzamy, ma Pani/Pan prawo do:

dostępu do danych (art. 15 RODO) — zapytać, jakie dane przetwarzamy,
sprostowania (art. 16) — poprawić nieprawidłowe dane,
usunięcia (art. 17) — w określonych przypadkach,
ograniczenia przetwarzania (art. 18),
przenoszenia danych (art. 20) — otrzymać dane w formacie umożliwiającym przeniesienie do innego podmiotu,
sprzeciwu (art. 21) — wobec przetwarzania na podstawie prawnie uzasadnionego interesu,
cofnięcia zgody w dowolnym momencie — bez wpływu na zgodność z prawem przetwarzania sprzed cofnięcia,
wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych:

Prezes Urzędu Ochrony Danych Osobowych

ul. Stawki 2, 00-193 Warszawa

www.uodo.gov.pl

Jak skorzystać z tych praw

Wystarczy napisać na adres kontakt@estelio.com.pl.

Odpowiadamy bez zbędnej zwłoki, najpóźniej w ciągu miesiąca od otrzymania żądania. W szczególnie złożonych przypadkach termin ten może zostać przedłużony o kolejne dwa miesiące — wtedy poinformujemy Panią/Pana o przedłużeniu w pierwszym miesiącu.

W celu weryfikacji tożsamości osoby zgłaszającej żądanie możemy poprosić o dodatkowe informacje pozwalające jednoznacznie Panią/Pana zidentyfikować.

Ważne dla klientek salonu:

Jeżeli zgłoszenie dotyczy Pani danych jako klientki konkretnego salonu, administratorem Pani danych jest salon, nie Estelio. W takim przypadku przekażemy zgłoszenie do salonu albo poinformujemy Panią, jak skontaktować się z nim bezpośrednio.

13. Dane szczególnych kategorii

Estelio nie wymaga od salonu wprowadzania danych szczególnych kategorii (zdrowie, przeciwwskazania). W praktyce salon beauty może jednak wpisać do systemu informacje dotyczące przeciwwskazań, konsultacji, zabiegów lub stanu skóry.

Za ocenę, czy takie dane mają charakter danych szczególnych kategorii w rozumieniu art. 9 RODO, oraz za posiadanie podstawy prawnej ich przetwarzania odpowiada salon jako administrator.

14. Dane dzieci

Estelio nie jest przeznaczone do samodzielnego korzystania przez dzieci. Jeżeli salon wprowadza do systemu dane osoby małoletniej, odpowiada za posiadanie odpowiedniej podstawy prawnej i spełnienie obowiązków informacyjnych wobec dziecka lub jego przedstawiciela ustawowego.

15. Zautomatyzowane decyzje i profilowanie

Estelio może prezentować raporty, rankingi i analizy — sprzedażowe, retencyjne, konsultacyjne, pracownicze, magazynowe.

Ważne:

Estelio nie podejmuje wobec Klientów decyzji wywołujących skutki prawne lub w podobny sposób istotnie na nich wpływających w sposób wyłącznie zautomatyzowany w rozumieniu art. 22 RODO.

Salon powinien jednak samodzielnie ocenić, czy sposób wykorzystywania raportów, rankingów i targetów wymaga dodatkowych obowiązków informacyjnych wobec pracowników.

16. Co robimy w razie naruszenia ochrony danych

Jeżeli stwierdzimy naruszenie ochrony danych, w którym Estelio jest administratorem, zgłaszamy je Prezesowi UODO w ciągu 72 godzin od stwierdzenia naruszenia (zgodnie z art. 33 RODO) — chyba że jest mało prawdopodobne, by skutkowało ryzykiem dla praw lub wolności osób fizycznych.

Jeżeli naruszenie może powodować wysokie ryzyko, informujemy o tym także bezpośrednio osoby, których dane dotyczą (art. 34 RODO).

W przypadku naruszenia danych powierzonych przez salon (gdzie my jesteśmy podmiotem przetwarzającym) informujemy salon bez zbędnej zwłoki, zgodnie z art. 33 ust. 2 RODO oraz Umową powierzenia (DPA).

Szczegółowy opis tego, jak reagujemy na incydenty, znajduje się w Procedurze obsługi wniosków RODO i incydentów.

17. Zmiany w Polityce prywatności

Tę Politykę możemy zmieniać w przypadku:

zmian w systemie Estelio,
zmian w przepisach prawa,
zmian dostawców usług,
zmian w sposobie przetwarzania danych.

O istotnych zmianach informujemy Państwa drogą e-mailową lub komunikatem w systemie, z odpowiednim wyprzedzeniem przed wejściem zmian w życie.

Poprzednie wersje Polityki dostępne są w archiwum na stronie Dokumentacja.

18. Kontakt

W sprawach dotyczących danych osobowych można kontaktować się pod adresem:

Fotolinea Mariusz Wacławiak

ul. Zefira 27/3, 80-180 Kowale

e-mail: kontakt@estelio.com.pl

Najszybszą formą kontaktu jest e-mail — sprawy zgłoszone tą drogą rozpatrujemy najczęściej w ciągu 3 dni roboczych.