1. Strony umowy

Niniejsza Umowa Powierzenia Przetwarzania Danych Osobowych („Umowa” lub „DPA”) została zawarta pomiędzy:

Administratorem Danych: Podmiotem gospodarczym, gabinetem lub osobą prowadzącą jednoosobową działalność gospodarczą w sektorze ochrony zdrowia, która subskrybuje usługi SaaS i korzysta z platformy (w dalszej części dokumentu zwanym „Administratorem” lub „Klientem”).

Podmiotem Przetwarzającym: Szwajcarską jednoosobową działalnością gospodarczą prowadzoną przez Karolina Gasecka, działającą jako operator systemu PlanFizjo, prawnie zarejestrowaną w Kantonie Zurych w Szwajcarii (w dalszej części dokumentu zwanym „Podmiotem Przetwarzającym” lub „Dostawcą”).

Administrator oraz Podmiot Przetwarzający są w dalszej części dokumentu zwani łącznie „Stronami”. Każda ze Stron oświadcza, że jej dane rejestrowe i identyfikacyjne podane podczas zakupu subskrypcji za pośrednictwem Agenta Rozliczeniowego (Creem) są dokładne, kompletne i prawnie wiążące dla celów wykonania niniejszej Umowy.

2. Przedmiot i cel przetwarzania

Przedmiotem przetwarzania danych na podstawie niniejszej Umowy są administracyjne dane dotyczące harmonogramu pracy gabinetu. Jedynym celem przetwarzania jest świadczenie, obsługa, utrzymanie oraz optymalizacja aplikacji SaaS PlanFizjo działającej w chmurze, w celu wsparcia Administratora w planowaniu wizyt pacjentów, zarządzaniu grafikami pracowników i śledzeniu kategorii zabiegów w ramach procesów operacyjnych gabinetu fizjoterapii.

Podstawą prawną przetwarzania danych osobowych przez Podmiot Przetwarzający jest niezbędność do wykonania umowy zgodnie z art. 6 ust. 1 lit. b RODO oraz odpowiednimi przepisami szwajcarskiej Federalnej Ustawy o Ochronie Danych (nFADP), realizowane na podstawie wyraźnych instrukcji Kontrolera oraz bieżącej konfiguracji subskrypcji.

3. Kategorie danych osobowych i podmiotów danych

Dane osobowe przetwarzane na podstawie niniejszej Umowy obejmują wyłącznie informacje administracyjne niezbędne do planowania wizyt. System nie gromadzi krajowych numerów identyfikacyjnych (takich jak polskie numery PESEL), numerów ubezpieczeń ani pełnych plików z historią choroby. Zakres przetwarzania obejmuje:

  • Kategorie podmiotów danych: Pracownicy administracyjni gabinetu, pracownicy recepcji, fizjoterapeuci zatrudnieni lub współpracujący z Administratorem oraz pacjenci gabinetu fizjoterapii Administratora.
  • Kategorie danych osobowych: Imiona i nazwiska personelu gabinetu, dane uwierzytelniające do konta, imiona i nazwiska pacjentów, daty i godziny wizyt oraz podstawowe kody zabiegów fizjoterapeutycznych lub oznaczenia etapów pracy.

4. Obowiązki Podmiotu przetwarzającego

Zgodnie z art. 28 RODO oraz szwajcarską ustawą nFADP, Podmiot Przetwarzający jednoznacznie zobowiązuje się do:

  • Przetwarzania danych osobowych wyłącznie na udokumentowane i zweryfikowane polecenie Administratora, w tym w odniesieniu do przekazywania danych osobowych do państwa trzeciego, chyba że obowiązek taki nakłada na Podmiot Przetwarzający prawo Unii Europejskiej, prawo polskie lub prawo szwajcarskie, któremu Podmiot Przetwarzający podlega.
  • Zapewnienia, aby wszystkie osoby upoważnione do przetwarzania danych osobowych (w tym programiści, architekci systemowi oraz personel wsparcia technicznego) zobowiązały się do zachowania tajemnicy na podstawie rygorystycznych, prawnie wiążących umów lub podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy.
  • Wdrożenia wszelkich niezbędnych środków technicznych i organizacyjnych wymaganych na podstawie art. 32 RODO, aby zapewnić poziom bezpieczeństwa odpowiadający ryzyku operacyjnemu.
  • Przestrzegania rygorystycznych warunków określonych w niniejszej Umowie dotyczących angażowania innych podmiotów przetwarzających (podpowierzających).
  • Pomagania Administratorowi poprzez odpowiednie środki techniczne i organizacyjne, w stopniu, w jakim jest to technicznie wykonalne, w wywiązywaniu się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO.
  • Udostępniania Administratorowi wszelkich informacji niezbędnych do wykazania spełnienia obowiązków określonych w art. 28 RODO oraz umożliwienia Administratorowi lub upoważnionemu przez niego audytorowi przeprowadzania audytów, w tym inspekcji, i przyczyniania się do nich.

5. Podpowierzenie przetwarzania

Administrator niniejszym udziela ogólnego pisemnego upoważnienia Podmiotowi Przetwarzającemu na angażowanie zewnętrznych podwykonawców (dalszych podmiotów przetwarzających) w celu realizacji jego technicznych obowiązków operacyjnych. Aktualnie autoryzowanymi podmiotami zintegrowanymi z architekturą systemu są:

  • Google Cloud EMEA Limited (Irlandia): Infrastruktura hostingu chmurowego, bezpieczne relacyjne bazy danych, przechowywanie obiektowe i zautomatyzowane logowanie systemowe. Wszystkie instancje operacyjne są ściśle ograniczone do centrów danych zlokalizowanych geograficznie na obszarze Europejskiego Obszaru Gospodarczego (EOG).
  • Creem (Armitage Labs OÜ, Estonia): Zewnętrzny Agent Rozliczeniowy (Merchant of Record) odpowiedzialny za przetwarzanie transakcji subskrypcyjnych, cykliczne fakturowanie oraz weryfikację zgodności podatkowej VAT w europejskim sektorze B2B.

Podmiot Przetwarzający poinformuje Administratora drogą elektroniczną z co najmniej czternastodniowym (14) wyprzedzeniem o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających. Administratorowi przysługuje bezwzględne prawo do wniesienia sprzeciwu wobec takich modyfikacji infrastruktury z uzasadnionych i udokumentowanych przyczyn związanych z ochroną danych w terminie określonym w zawiadomieniu. Jeżeli sprzeciw zostanie zgłoszony i nie uda się go rozwiązać, każda ze Stron może rozwiązać subskrypcję SaaS bez ponoszenia kar.

6. Bezpieczeństwo danych

Podmiot Przetwarzający wdrożył zaawansowane, nowoczesne środki techniczne i organizacyjne (TOMs) mające na celu zapobieganie nieuprawnionej modyfikacji, przypadkowemu zniszczeniu, złośliwemu wyciekowi lub niezgodnemu z prawem dostępowi do baz danych harmonogramów gabinetu, w tym:

  • Szyfrowanie danych: Pełne kryptograficzne szyfrowanie wszystkich danych osobowych w trans transmisji przy użyciu standardowych protokołów Transport Layer Security (TLS 1.3) oraz w spoczynku w strukturach chmurowych przy użyciu standardu Advanced Encryption Standard (AES-256).
  • Logiczna izolacja infrastruktury: Środki kontroli dostępu ograniczające możliwość wykonywania zapytań do baz danych wyłącznie do zweryfikowanych administratorów infrastruktury, połączone z obowiązkowym uwierzytelnianiem wieloskładnikowym (MFA) we wszystkich wewnętrznych środowiskach serwisowych.
  • Kopie zapasowe i odporność: Codzienne, automatyczne i przyrostowe kopie zapasowe baz danych, przechowywane na redundantnych blokach pamięci w bezpiecznej strukturze Google Cloud zlokalizowanej w EOG, zapewniające możliwość szybkiego przywrócenia danych w przypadku awarii sprzętu.
  • Szkolenia administracyjne: Regularne audyty operacyjne ścieżek dostępu do infrastruktury oraz technicznych procesów pracy w celu zapewnienia ich zgodności z aktualnymi praktykami bezpieczeństwa.

7. Naruszenia ochrony danych

W przypadku potwierdzenia incydentu bezpieczeństwa technicznego, strukturalnego lub administracyjnego prowadzącego do przypadkowego, nieuprawnionego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji lub ujawnienia danych osobowych zarządzanych w środowisku PlanFizjo, zastosowanie ma następująca procedura operacyjna:

  • Podmiot Przetwarzający powiadomi Administratora na jego główny adres e-mail administratora w ciągu czterdziestu ośmiu (48) godzin od formalnego potwierdzenia naruszenia.
  • Treść powiadomienia będzie szczegółowo określać charakter incydentu bezpieczeństwa, szacowane kategorie i liczbę osób, których dane dotyczą, przewidywane konsekwencje systemowe oraz natychmiastowe działania naprawcze podjęte przez Podmiot Przetwarzający.
  • Podmiot Przetwarzający zapewni bieżącą pomoc i jasną dokumentację w czasie rzeczywistym, aby pomóc Administratorowi w spełnieniu wszelkich obowiązkowych zgłoszeń naruszeń europejskim organom ochrony danych (np. polskiemu UODO) lub szwajcarskiemu Federalnemu Inspektorowi Ochrony Danych i Informacji (FDPIC).

8. Prawa podmiotów danych

Administrator pozostaje jedynym punktem kontaktowym dla osób, których dane dotyczą (pacjentów i personelu gabinetu). Jeżeli pacjent lub pracownik skontaktuje się bezpośrednio z Podmiotem Przetwarzającym w celu wykonania swoich praw wynikających z RODO lub nFADP (prawo dostępu, sprostowania, ograniczenia przetwarzania, przenoszenia danych lub usunięcia), Podmiot Przetwarzający zobowiązuje się do:

  • Powstrzymania się od bezpośredniego odpowiadania osobie, której dane dotyczą, chyba że uzyska wyraźne pisemne upoważnienie od Klienta.
  • Przekazania surowego żądania osoby, której dane dotyczą, bezpośrednio na główny adres e-mail administratora w ciągu czterdziestu ośmiu (48) hours od jego otrzymania.
  • Zapewnienia niezbędnych narzędzi administracyjnych lub technicznych modyfikacji w interfejsie aplikacji PlanFizjo, aby umożliwić administratorowi gabinetu samodzielne, bezpieczne usuwanie, poprawianie lub eksportowanie odpowiednich wierszy harmonogramu.

9. Audyt i kontrola

Administrator zachowuje strukturalne prawo do weryfikacji zgodności działań Podmiotu Przetwarzającego z niniejszą Umową na następujących jasnych warunkach:

  • Administrator w pierwszej kolejności zażąda od Podmiotu Przetwarzającego dokumentacji, poświadczeń audytów zewnętrznych lub certyfikatów systemowych (takich jak oficjalne weryfikacje zgodności Google Cloud, podsumowania audytów SOC 2 lub ISO).
  • Jeżeli dostarczona dokumentacja techniczna okaże się niewystarczająca do wykazania pełnej zgodności prawnej z art. 28 RODO, Administrator może przeprowadzić formalny audyt zdalny (desktop audit) lub zlecić niezależnemu, certyfikowanemu audytorowi zewnętrznemu — który nie jest bezpośrednim konkurentem PlanFizjo — kontrolę logów operacyjnych Podmiotu Przetwarzającego.
  • Każdy taki audyt lub inspekcja musi zostać zgłoszona na piśmie z co najmniej trzydziestodniowym (30 dni roboczych) wyprzedzeniem, musi odbywać się w standardowych godzinach pracy i musi być zaplanowana w sposób zapobiegający zakłóceniom w bieżącej działalności Podmiotu Przetwarzającego. Administrator ponosi wszelkie koszty finansowe związane z przeprowadzeniem audytu.

10. Czas trwania i rozwiązanie umowy

Niniejsza Umowa staje się prawnie skuteczna równocześnie z aktywacją konta subskrypcyjnego Administratora i pozostaje w mocy przez cały czas trwania głównego stosunku świadczenia usług SaaS.

Po formalnym zakończeniu subskrypcji SaaS lub zamknięciu konta:

  • Administratorowi zostanie przyznane zautomatyzowane okno techniczne trwające trzydzieści (30) dni kalendarzowych na wyeksportowanie wszystkich wewnętrznych dzienników wizyt gabinetu i rekordów pacjentów bezpośrednio z interfejsu aplikacji.
  • Po upływie tego 30-dniowego okna na ekstrakcję danych, Podmiot Przetwarzający uruchomi bezpieczne skrypty bazodanowe w celu trwałego usunięcia, nadpisania i wyczyszczenia wszelkich rekordów danych osobowych powiązanych z unikalnym identyfikatorem najemcy Administratora z aktywnych instancji Google Cloud oraz macierzy kopii zapasowych, chyba że powszechnie obowiązujące przepisy prawa szwajcarskiego lub prawa Unii Europejskiej nakazują dłuższe przechowywanie określonych logów.

11. Postanowienia końcowe

Niniejsza Umowa stanowi ostateczne porozumienie między Stronami w zakresie przetwarzania danych i zastępuje wszelkie wcześniejsze komunikaty lub umowy ustne dotyczące postępowania z prywatnością danych. Zastosowanie mają następujące ogólne warunki prawne:

  • Kolejność dokumentów: W przypadku bezpośredniej, nie dającej się pogodzić sprzeczności pomiędzy postanowieniami niniejszej Umowy a ogólnym Regulaminem Świadczenia Usług (ToS), postanowienia niniejszej Umowy Powierzenia Przetwarzania Danych mają ścisłe pierwszeństwo w odniesieniu do kwestii związanych z prywatnością danych.
  • Zmiany: Niniejsza Umowa może zostać zmodyfikowana wyłącznie za pomocą formalnego dokumentu pisemnego lub zaktualizowanej umowy cyfrowej zaakceptowanej przez obie strony za pośrednictwem konsoli platformy SaaS.
  • Prawo właściwe: Niniejsza Umowa, jej wykonanie oraz wszelkie spory prawne wynikające bezpośrednio z jej tekstu podlegają wyłącznie przepisom prawa materialnego Szwajcarii, z wyłączeniem wszelkich międzynarodowych przepisów kolizyjnych.
  • Sąd właściwy: Sądy powszechne Kantonu Zurych w Szwajcarii (w szczególności Sąd Rejonowy w Zurychu - Bezirksgericht Zürich) posiadają wyłączną jurysdykcję nad wszelkimi działaniami prawnymi, roszczeniami lub sporami umownymi wynikającymi z niniejszych ram przetwarzania danych lub z nimi powiązanymi.

1. Parties

This Data Processing Addendum ("Addendum" or "DPA") is entered into by and between:

The Data Controller: The business entity, clinic, or self-employed healthcare professional subscribing to the SaaS services and utilizing the platform (hereinafter referred to as the "Controller" or "Client").

The Data Processor: The Swiss sole proprietorship operated by Karolina Gasecka, acting as the system operator of PlanFizjo, legally registered in the Canton of Zürich, Switzerland (hereinafter referred to as the "Processor" or "Provider").

The Controller and the Processor are collectively referred to as the "Parties". Each party represents that its respective corporate and registration details provided during the subscription checkout via the Merchant of Record (Creem) are accurate, complete, and legally binding for the execution of this Addendum.

2. Subject matter and purpose of processing

The subject matter of the data processing under this Addendum is the processing of administrative clinic scheduling data. The sole purpose of the processing is the provision, operation, maintenance, and optimization of the cloud-based PlanFizjo SaaS application to assist the Controller in arranging patient appointments, managing shifts, and tracking treatment categories within their physiotherapy clinic workflows.

The legal basis for the processing of personal data by the Processor is the performance of a contract under Article 6(1)(b) of the GDPR and equivalent provisions of the Swiss Federal Act on Data Protection (nFADP), executed via the Controller's explicit instructions and ongoing subscription configuration.

3. Categories of personal data and data subjects

The personal data processed under this Addendum includes only administrative information necessary for scheduling and does not collect national identification numbers (e.g., Polish PESEL numbers), insurance IDs, or comprehensive medical history files. The scope of processing encompasses:

  • Categories of Data Subjects: Clinic administrative staff, receptionists, practicing physiotherapists employed or contracted by the Controller, and patients of the Controller's physiotherapy clinic.
  • Categories of Personal Data: First and last names of clinic staff, corporate or professional email addresses of clinic users, account login credentials, patient first and last names, appointment dates and times, and basic physiotherapeutic treatment or workflow codes.

4. Obligations of the Processor

Pursuant to Article 28 of the GDPR and the Swiss nFADP, the Processor explicitly covenants and undertakes to:

  • Process personal data exclusively based on the documented and verified instructions of the Controller, including with regard to transfers of personal data to a third country, unless required to do so by statutory European Union, Polish, or Swiss law to which the Processor is subject.
  • Ensure that all personnel authorized to process the personal data (including software developers, system architects, and technical support staff) have committed themselves to strict, legally binding confidentiality agreements or are under an appropriate statutory obligation of confidentiality.
  • Implement all necessary technical and organizational measures required pursuant to Article 32 GDPR to ensure a level of data security appropriate to the operational risk.
  • Respect the rigorous terms and conditions established herein for engaging any auxiliary sub-processors.
  • Assist the Controller by appropriate technical and organizational measures, insofar as this is technically viable, for the fulfillment of the Controller's obligation to respond to requests for exercising data subjects' rights laid down in Chapter III of the GDPR.
  • Make available to the Controller all information necessary to demonstrate compliance with the obligations laid down in Article 28 GDPR and allow for and contribute to audits, including inspections, conducted by the Controller or another auditor mandated by the Controller.

5. Sub-processing

The Controller hereby grants a general written authorization to the Processor to engage auxiliary infrastructure sub-processors to fulfill its technical operational obligations. The current authorized sub-processors embedded into the system architecture are:

  • Google Cloud EMEA Limited (Ireland): Cloud hosting infrastructure, secure relational databases, object storage, and automated system logging. All operational instances are strictly restricted to data centers geographically located within the European Economic Area (EEA).
  • Creem (Armitage Labs OÜ, Estonia): Third-party Merchant of Record responsible for subscription transaction processing, recurring invoicing, and European B2B VAT validation compliance.

The Processor shall inform the Controller via electronic mail notification at least fourteen (14) days in advance of any intended additions or replacements concerning sub-processors. The Controller holds the absolute right to object to such infrastructure adjustments based on reasonable, documented data protection grounds within the notice window. If an objection is raised and cannot be resolved, either party may terminate the SaaS subscription service without penalty.

6. Security of processing

The Processor has deployed robust, state-of-the-art technical and organizational measures (TOMs) designed to prevent unauthorized alteration, accidental destruction, malicious leakage, or unlawful access to clinic scheduling databases, including:

  • Data Encryption: Full end-to-end cryptographic encryption of all personal data in transit using industry-standard Transport Layer Security (TLS 1.3) protocols and at rest within cloud storage cells using Advanced Encryption Standard (AES-256).
  • Logical Infrastructure Isolation: Access control measures restricting backend database queries to validated infrastructure administrators, coupled with mandatory multi-factor authentication (MFA) across internal maintenance environments.
  • Backups and Resilience: Daily, automated incremental database backups hosted on redundant storage blocks within secure EU-based Google Cloud infrastructure to ensure rapid restoration capabilities in the event of hardware anomalies.
  • Administrative Training: Regular operational audits of infrastructure access pathways and technical workflows to ensure alignment with contemporary security practices.

7. Personal data breaches

In the event of a confirmed technical, structural, or administrative security incident leading to the accidental, unauthorized, or unlawful destruction, loss, alteration, or exposure of personal data managed inside the PlanFizjo environment, the following operational procedure applies:

  • The Processor shall notify the Controller via the primary administrator email address within forty-eight (48) hours of formally confirming the breach.
  • The notification text shall explicitly detail the nature of the security incident, the estimated categories and volume of data subjects affected, the anticipated systemic consequences, and the immediate corrective mitigations deployed by the Processor.
  • The Processor shall provide ongoing assistance and clear, real-time documentation to help the Controller fulfill any mandatory breach notification obligations to European data protection authorities (e.g., the Polish UODO) or the Swiss Federal Data Protection and Information Commissioner (FDPIC).

8. Data subject rights

The Controller remains the sole point of contact for individual data subjects (patients and clinic staff). If a patient or employee interfaces directly with the Processor to exercise their statutory rights of data access, rectification, restricted processing, data portability, or erasure under the GDPR or nFADP, the Processor shall:

  • Refrain from responding directly to the data subject, unless explicitly authorized in writing by the Client.
  • Forward the raw data subject request directly to the Controller's primary administrator email address within forty-eight (48) hours of receipt.
  • Provide necessary backend administrative tools or technical modifications within the PlanFizjo application interface to allow the clinic's administrator to autonomously purge, rectify, or export the relevant scheduling rows safely.

9. Audit and inspection

The Controller maintains the structural right to verify the Processor’s compliance with this Addendum under the following clear conditions:

  • The Controller shall first request documentation, third-party audit credentials, or system certificates (such as official Google Cloud compliance verifications, SOC 2, or ISO summaries) directly from the Processor.
  • If the provided technical documentation proves insufficient to demonstrate complete legal compliance under Article 28 GDPR, the Controller may conduct a formal desktop audit or mandate an independent, certified external auditor—who is not a direct competitor of PlanFizjo—to inspect the Processor's operational logs.
  • Any such audit or inspection must be requested in writing at least thirty (30) business days in advance, must occur during standard business hours, and must be designed to avoid disruption to the Processor's ongoing operations. The Controller shall bear all financial costs associated with executing the audit.

10. Term and termination

This Addendum shall become legally effective concurrently with the activation of the Controller's subscription account and shall remain in full force and effect for the entire duration of the primary SaaS service relationship.

Upon formal termination of the SaaS subscription or account closure:

  • The Controller shall be granted an automated technical window of thirty (30) calendar days to export all internal clinic appointment logs and patient records directly from the application interface.
  • Following the expiration of this 30-day data extraction window, the Processor shall execute secure database scripts to permanently delete, overwrite, and purge all personal data records associated with the Controller's unique tenant ID from the active Google Cloud instances and backup arrays, unless applicable statutory Swiss or European Union laws mandate the prolonged retention of specific logs.

11. General provisions

This Addendum represents the definitive data processing consensus between the Parties and supersedes all prior communications or oral agreements regarding data privacy handling. The following general legal conditions apply:

  • Order of Precedence: In the event of a direct, irreconcilable conflict between the provisions of this Addendum and the general Terms of Service (ToS), the provisions of this Data Processing Addendum shall take strict precedence with respect to data privacy issues.
  • Amendments: This Addendum may only be modified by a formal written document or an updated digital agreement accepted by both parties via the SaaS platform console.
  • Governing Law: This Addendum, its execution, and any legal conflicts arising directly from its text shall be governed exclusively by the substantive laws of Switzerland, explicitly excluding any conflict of law frameworks.
  • Jurisdiction: The ordinary courts of the Canton of Zürich, Switzerland (specifically the District Court of Zürich) shall have exclusive jurisdiction over any legal actions, claims, or contractual disputes resulting from or linked to this processing framework.