← Wróć do dokumentacji
Dokument transparentności

Procedura obsługi wniosków RODO i incydentów

Wersja 1.0Obowiązuje od 10 maja 2026
W skrócie

Tu opisujemy, jak Estelio reaguje na zgłoszenia od klientów, klientek salonów, na incydenty bezpieczeństwa oraz na żądania organów publicznych. Publikujemy tę procedurę otwarcie — zależy nam na pełnej transparentności wobec naszych Klientów.

1. Po co ta procedura

Ta procedura określa, co robimy w czterech sytuacjach:

Stosujemy ją konsekwentnie wobec wszystkich Klientów, niezależnie od wielkości salonu czy planu subskrypcyjnego.

2. Gdy pisze właściciel salonu (Klient Estelio)

Jeżeli zgłoszenie pochodzi od Klienta Estelio (właściciela salonu), postępujemy w czterech krokach:

  1. Weryfikujemy tożsamość osoby zgłaszającej — żeby mieć pewność, że pisze faktyczny Klient, a nie ktoś, kto przejął adres e-mail.
  2. Ustalamy zakres sprawy — czy zgłoszenie dotyczy danych konta Estelio (gdzie my jesteśmy administratorem), czy danych wprowadzonych przez salon do systemu (gdzie administratorem jest salon).
  3. Odpowiadamy w terminie wynikającym z RODO — bez zbędnej zwłoki, najpóźniej w ciągu miesiąca od otrzymania kompletnego zgłoszenia.
  4. Zapisujemy zgłoszenie w wewnętrznym rejestrze (zob. punkt 9).

3. Gdy pisze klientka salonu

Jeżeli kontaktuje się z nami klientka salonu — na przykład z prośbą „proszę o usunięcie moich danych z systemu Estelio" — sytuacja wygląda inaczej. My nie jesteśmy administratorem jej danych, jest nim salon.

W takim przypadku:

  1. Ustalamy, którego salonu dotyczy zgłoszenie.
  2. Nie podejmujemy samodzielnie decyzji o usunięciu, sprostowaniu ani wydaniu danych.
  3. Informujemy osobę zgłaszającą, że administratorem danych jest konkretny salon, i wskazujemy jego dane kontaktowe.
  4. Przekazujemy zgłoszenie do salonu, jeżeli da się go ustalić.
  5. Wspieramy salon technicznie, jeżeli salon poprosi nas o pomoc w eksporcie, korekcie, anonimizacji lub usunięciu danych.
Ważne:

Klientka salonu może i powinna pisać bezpośrednio do salonu, w którym była obsługiwana. Salon ma narzędzia w panelu Estelio, żeby samodzielnie obsłużyć takie żądanie.

4. Eksport danych klientki salonu

Gdy salon poprosi o eksport danych konkretnej klientki, udostępniamy je w formacie technicznie dostępnym w systemie albo pomagamy salonowi pobrać je z panelu.

Zakres eksportu może obejmować:

Standardowy format eksportu: CSV, XLSX, JSON lub PDF, w zależności od typu danych.

5. Usunięcie lub anonimizacja danych

Gdy salon poleca usunięcie danych klientki, wykonujemy operację zgodnie z funkcjami systemu.

W praktyce nie zawsze możemy fizycznie usunąć wszystkie dane natychmiast — niektóre informacje muszą pozostać przez określony czas z powodu:

W takich sytuacjach stosujemy anonimizację lub ograniczenie przetwarzania zamiast natychmiastowego usunięcia fizycznego. Salon otrzymuje informację, że dane zostały zanonimizowane oraz w jakim zakresie.

6. Incydent bezpieczeństwa

Jeżeli mamy podejrzenie, że doszło do naruszenia ochrony danych (na przykład nieuprawniony dostęp do systemu, wyciek danych, atak), działamy według poniższej kolejności:

  1. Zabezpieczamy system — pierwszy priorytet, żeby zatrzymać ewentualne dalsze szkody.
  2. Ustalamy, co się stało — zakres, przyczyna, czas trwania.
  3. Określamy zakres danych i salonów objętych incydentem.
  4. Zapisujemy datę i godzinę wykrycia incydentu.
  5. Oceniamy ryzyko dla praw i wolności osób, których dane dotyczą.
  6. Powiadamiamy salony, których dane mogły zostać naruszone — bez zbędnej zwłoki.
  7. Przekazujemy salonom informacje potrzebne do wykonania ich obowiązków jako administratorów (zgłoszenie do PUODO, ewentualne zawiadomienie klientek).
  8. Współpracujemy z salonami przy ocenie konieczności zgłoszenia do PUODO oraz przy ewentualnym zawiadomieniu osób, których dane dotyczą.

7. Termin 72 godzin

W przypadku naruszenia ochrony danych, w którym Estelio jest administratorem (np. dane konta Klienta), zgłaszamy naruszenie do Prezesa Urzędu Ochrony Danych Osobowych w ciągu 72 godzin od jego stwierdzenia, zgodnie z art. 33 RODO.

Wyjątek: zgłoszenia nie dokonujemy, jeżeli jest mało prawdopodobne, by naruszenie skutkowało ryzykiem dla praw lub wolności osób fizycznych.

W przypadku naruszenia danych powierzonych przez salon, to salon jako administrator ocenia, czy zgłoszenie do PUODO jest wymagane — my dostarczamy mu wszystkie informacje techniczne, którymi dysponujemy.

8. Żądanie organu publicznego

Jeżeli otrzymamy żądanie od policji, prokuratury, sądu, urzędu skarbowego lub innego organu:

  1. Weryfikujemy formalną podstawę żądania — czy zostało wystawione zgodnie z prawem, czy wskazuje konkretną podstawę prawną.
  2. Ustalamy zakres — czy żądanie dotyczy danych, w których Estelio jest administratorem, czy danych powierzonych przez salon.
  3. Informujemy salon, jeżeli przepisy prawa nam to umożliwiają (niektóre żądania mogą zawierać klauzulę poufności).
  4. Udostępniamy dane wyłącznie w zakresie wymaganym przez prawo — nie więcej, nie szerzej.
  5. Zachowujemy kopię żądania i naszej odpowiedzi w wewnętrznym rejestrze.
Ważne:

Żaden organ publiczny nie ma dostępu do danych „na zapas". Każde udostępnienie jest oparte na konkretnej, sprawdzonej podstawie prawnej.

9. Wewnętrzny rejestr zgłoszeń

Prowadzimy wewnętrzny rejestr wszystkich zgłoszeń RODO i incydentów. Każdy wpis zawiera:

Rejestr służy zarówno celom rozliczalności (RODO art. 5 ust. 2), jak i wewnętrznej kontroli jakości obsługi.

10. Kontakt w sprawach RODO

Wszystkie sprawy związane z ochroną danych można kierować na adres:

kontakt@estelio.com.pl

Standardowy czas odpowiedzi to 3 dni robocze, choć w wielu przypadkach odpowiadamy szybciej. Termin formalny wynikający z RODO to miesiąc — z możliwością przedłużenia o dwa kolejne miesiące w sprawach szczególnie złożonych.