Administrator	Klient/Gabinet/Klinika zakładająca konto w Platformie Celloklab
Podmiot przetwarzający	Trycholog Kliniczny Marcel Kollek (w dokumencie określony jako Celloklab Technology), NIP: 5892095514, REGON: 529885285
Sposób zawarcia	akceptacja elektroniczna podczas rejestracji lub aktywacji Platformy
Data wejścia w życie	23/05/2026

§1. Strony i charakter umowy

1. Niniejsza umowa powierzenia przetwarzania danych osobowych zostaje zawarta pomiędzy Klientem korzystającym z Platformy Celloklab jako administratorem danych osobowych a Celloklab Technology jako podmiotem przetwarzającym.
2. Umowa stanowi załącznik do Regulaminu Świadczenia Usług Drogą Elektroniczną SaaS „Celloklab” i obowiązuje przez okres świadczenia Usług, a po ich zakończeniu w zakresie niezbędnym do zwrotu, eksportu, usunięcia, zabezpieczenia lub rozliczenia danych.
3. W przypadku sprzeczności pomiędzy DPA a Regulaminem w zakresie przetwarzania danych osobowych Pacjentów pierwszeństwo ma DPA.

§2. Przedmiot, czas trwania, charakter i cel przetwarzania

1. Administrator powierza Podmiotowi przetwarzającemu przetwarzanie danych osobowych w celu świadczenia Usług za pośrednictwem Platformy Celloklab.
2. Przetwarzanie trwa przez czas obowiązywania umowy głównej oraz przez okres technicznie i prawnie niezbędny do wykonania czynności po zakończeniu współpracy.
3. Charakter przetwarzania obejmuje czynności zautomatyzowane i częściowo zautomatyzowane wykonywane w systemie informatycznym.
4. Celem przetwarzania jest w szczególności: prowadzenie kartoteki Pacjentów, dokumentowanie wizyt, przechowywanie dokumentacji zdjęciowej, tworzenie i udostępnianie planów, zaleceń i notatek, obsługa Portalu Pacjenta, planowanie wizyt, komunikacja techniczna, bezpieczeństwo Platformy, backup, wsparcie techniczne oraz obsługa funkcji AI.
5. Dodatkowym celem, zaakceptowanym przez Administratora, jest rozwój, testowanie, walidacja, trenowanie i ulepszanie modeli AI oraz funkcji analitycznych Platformy z wykorzystaniem danych powierzonych, na zasadach określonych w niniejszej umowie i dokumentacji Platformy.

§3. Udokumentowane polecenie Administratora

1. Podmiot przetwarzający przetwarza dane osobowe wyłącznie na udokumentowane polecenie Administratora, chyba że obowiązek przetwarzania wynika z prawa.
2. Udokumentowanym poleceniem jest w szczególności: akceptacja Regulaminu i DPA, konfiguracja Konta, dodanie Pacjenta, dodanie zdjęć lub dokumentów, aktywacja Portalu Pacjenta, nadanie dostępu Użytkownikowi, użycie funkcji AI, wysłanie zaproszenia do Pacjenta, eksport danych, usunięcie danych lub inne działanie wykonane przez Administratora albo Użytkownika w Platformie.
3. Polecenia mają co do zasady charakter zautomatyzowany i nie wymagają każdorazowej indywidualnej akceptacji Podmiotu przetwarzającego.
4. Podmiot przetwarzający może odmówić wykonania polecenia, jeżeli jest ono oczywiście sprzeczne z prawem, Regulaminem, DPA, zasadami bezpieczeństwa lub zakresem Usługi.

§4. Rodzaje operacji przetwarzania

Powierzenie obejmuje w szczególności następujące operacje: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie przez przesłanie w ramach Platformy, dopasowywanie lub łączenie, ograniczanie, usuwanie, niszczenie, pseudonimizacja, anonimizacja, analiza automatyczna, walidacja, testowanie, trenowanie i ulepszanie modeli AI.

Kategorie osób	Kategorie danych
Pacjenci Klienta	imię, nazwisko, PESEL lub inny identyfikator, data urodzenia, płeć, dane kontaktowe, historia wizyt, wywiady, zalecenia, dokumentacja zdjęciowa skóry głowy/włosów/brody, dane dotyczące zdrowia, dane o zabiegach, metadane zdjęć, komunikacja z gabinetem, dane techniczne związane z kontem Pacjenta.
Użytkownicy Klienta	imię, nazwisko, adres e-mail, numer telefonu, rola, uprawnienia, logi aktywności, dane techniczne, historia logowania.
Osoby reprezentujące Klienta	dane identyfikacyjne i kontaktowe, dane firmowe, dane rozliczeniowe, dane o akceptacjach dokumentów.

Dane Pacjentów mogą obejmować szczególne kategorie danych osobowych, w szczególności dane dotyczące zdrowia. Administrator odpowiada za posiadanie właściwej podstawy prawnej przetwarzania i spełnienie obowiązków informacyjnych wobec Pacjentów.

§6. AI, dane treningowe i rozwój Platformy

1. Administrator wyraża zgodę na wykorzystywanie danych powierzonych, w tym danych Pacjentów, dokumentacji zdjęciowej, opisów, metadanych i rezultatów pracy Użytkowników, do rozwoju, testowania, walidacji, trenowania i ulepszania modeli AI oraz funkcji analitycznych Platformy.
2. Przetwarzanie w tym celu odbywa się w zakresie koniecznym do rozwoju i poprawy działania Platformy, jakości analiz, podsumowań, klasyfikacji, porównań zdjęć, automatyzacji dokumentacji oraz innych funkcji wspierających Użytkownika.
3. Podmiot przetwarzający stosuje środki ograniczające identyfikowalność osób, w tym szyfrowanie, kontrolę dostępu, separację danych Klientów, pseudonimizację, minimalizację oraz anonimizację tam, gdzie dany cel technologiczny może być osiągnięty bez danych identyfikujących.
4. Dane wykorzystywane do trenowania lub ulepszania modeli nie będą udostępniane innym Klientom w formie pozwalającej na identyfikację Pacjenta lub Klienta.
5. Administrator zobowiązuje się zapewnić wobec Pacjentów odpowiednią podstawę prawną, klauzulę informacyjną oraz, jeśli wymagana, wyraźną zgodę na wykorzystanie danych dotyczących zdrowia i dokumentacji zdjęciowej do celów rozwoju i trenowania AI.
6. Jeżeli Administrator nie posiada podstawy prawnej do danego zakresu przetwarzania, nie powinien wprowadzać danych do Platformy ani aktywować funkcji wymagających takiego przetwarzania.

§7. Obowiązki Podmiotu przetwarzającego

• przetwarzanie danych zgodnie z DPA, Regulaminem, udokumentowanymi poleceniami Administratora i obowiązującymi przepisami;
• stosowanie środków technicznych i organizacyjnych zapewniających poziom bezpieczeństwa odpowiadający ryzyku;
• zapewnienie, aby osoby upoważnione do przetwarzania danych zostały zobowiązane do zachowania poufności;
• nadawanie upoważnień osobom przetwarzającym dane po stronie Podmiotu przetwarzającego;
• pomoc Administratorowi w realizacji żądań osób, których dane dotyczą, w zakresie możliwym technicznie i organizacyjnie;
• pomoc Administratorowi w realizacji obowiązków dotyczących bezpieczeństwa, naruszeń, DPIA i konsultacji z organem nadzorczym, w zakresie wynikającym z charakteru przetwarzania;
• informowanie Administratora o naruszeniu ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 48 godzin od stwierdzenia naruszenia;
• udostępnianie informacji niezbędnych do wykazania spełnienia obowiązków wynikających z DPA;
• po zakończeniu świadczenia Usług usunięcie lub zwrot danych zgodnie z decyzją Administratora i zasadami DPA.

§8. Obowiązki Administratora

1. Administrator odpowiada za legalność, rzetelność i aktualność danych wprowadzanych do Platformy.
2. Administrator odpowiada za posiadanie podstaw prawnych przetwarzania danych Pacjentów, w tym danych dotyczących zdrowia, zdjęć, dokumentacji zabiegowej oraz danych wykorzystywanych do rozwoju i trenowania AI.
3. Administrator odpowiada za przekazanie Pacjentom informacji o przetwarzaniu danych, w tym o wykorzystaniu Platformy, Portalu Pacjenta, funkcji AI i danych treningowych.
4. Administrator odpowiada za zarządzanie dostępami Użytkowników, usuwanie kont nieaktywnych i bieżącą kontrolę zakresu danych wprowadzanych do Platformy.
5. Administrator zobowiązuje się nie wprowadzać do Platformy danych, których przetwarzanie byłoby niedopuszczalne lub wykraczałoby poza cel korzystania z Usługi.

§9. Podpowierzenie danych

1. Administrator udziela ogólnej zgody na korzystanie przez Podmiot przetwarzający z dalszych podmiotów przetwarzających w zakresie niezbędnym do świadczenia, zabezpieczenia, utrzymania, rozwoju i rozliczania Usługi.
2. Aktualna lista podprocesorów stanowi Załącznik nr 2 do DPA lub jest udostępniana w panelu Platformy albo pod adresem wskazanym przez Podmiot przetwarzający.
3. Podmiot przetwarzający informuje Administratora o planowanym dodaniu lub zastąpieniu podprocesora z co najmniej 14-dniowym wyprzedzeniem, chyba że krótszy termin jest konieczny z przyczyn bezpieczeństwa, prawnych lub ciągłości działania.
4. Administrator może zgłosić uzasadniony sprzeciw wobec zmiany podprocesora. Brak sprzeciwu w terminie wskazanym w powiadomieniu oznacza akceptację zmiany.
5. Podmiot przetwarzający zapewnia, że na podprocesora zostaną nałożone obowiązki ochrony danych nie mniej rygorystyczne niż wynikające z niniejszej DPA.

§10. Bezpieczeństwo

1. Podmiot przetwarzający stosuje środki techniczne i organizacyjne opisane w Załączniku nr 1.
2. Dane są przechowywane co do zasady na serwerach zlokalizowanych w Europejskim Obszarze Gospodarczym lub u dostawców zapewniających odpowiedni mechanizm zgodności transferu danych, jeśli taki transfer będzie wymagany.
3. Dane identyfikacyjne Pacjentów są szyfrowane po stronie serwera, a komunikacja z Platformą odbywa się z użyciem szyfrowania transmisji.
4. Dostęp do danych jest ograniczony do osób, dla których jest to niezbędne do świadczenia, utrzymania, zabezpieczenia lub rozwoju Platformy.

§11. Naruszenia ochrony danych

1. Podmiot przetwarzający informuje Administratora o stwierdzonym naruszeniu ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 48 godzin od stwierdzenia naruszenia.
2. Zgłoszenie zawiera, w miarę możliwości: charakter naruszenia, kategorie danych i osób, przewidywane konsekwencje, zastosowane lub proponowane środki zaradcze oraz dane kontaktowe osoby prowadzącej sprawę.
3. Podmiot przetwarzający współpracuje z Administratorem w zakresie niezbędnym do oceny naruszenia i realizacji obowiązków Administratora.

§12. Audyt i informacje

1. Administrator ma prawo uzyskać informacje niezbędne do wykazania spełnienia obowiązków przez Podmiot przetwarzający.
2. W pierwszej kolejności audyt odbywa się poprzez udostępnienie dokumentacji, odpowiedzi na ankietę bezpieczeństwa, spotkanie online lub przekazanie informacji dotyczących środków technicznych i organizacyjnych.
3. Inspekcja bezpośrednia może zostać przeprowadzona po uzgodnieniu terminu z co najmniej 14-dniowym wyprzedzeniem, w godzinach pracy, w sposób niezakłócający działania Platformy i z poszanowaniem tajemnicy przedsiębiorstwa oraz bezpieczeństwa danych innych klientów.
4. Administrator i osoby przeprowadzające audyt są zobowiązane do zachowania poufności informacji uzyskanych podczas audytu.
5. Jeżeli audyt wymaga niestandardowego zaangażowania technicznego, strony mogą uzgodnić zakres, harmonogram i koszty takich czynności.

§13. Zakończenie współpracy, eksport i usuwanie danych

1. Po zakończeniu świadczenia Usług Administrator może zlecić eksport, zwrot, usunięcie lub anonimizację danych w zakresie technicznie dostępnym w Platformie.
2. Administrator powinien pobrać lub zlecić eksport danych w terminie 30 dni od zakończenia umowy, chyba że strony ustalą inny termin.
3. Po upływie terminu eksportu Podmiot przetwarzający może usunąć lub zanonimizować dane produkcyjne, chyba że dalsze przechowywanie wynika z prawa, obrony roszczeń, bezpieczeństwa lub technicznego cyklu kopii zapasowych.
4. Dane znajdujące się w kopiach zapasowych są usuwane zgodnie z cyklem retencji backupów i do czasu usunięcia są zabezpieczone przed standardowym dostępem produkcyjnym.

§14. Rozwiązanie DPA

1. DPA wygasa wraz z zakończeniem umowy głównej, z zastrzeżeniem postanowień dotyczących zwrotu, eksportu, usunięcia danych, poufności, audytu oraz rozliczenia naruszeń.
2. Administrator może rozwiązać DPA ze skutkiem natychmiastowym, jeżeli Podmiot przetwarzający istotnie narusza DPA i nie usunie naruszenia w rozsądnym terminie wyznaczonym przez Administratora.
3. Rozwiązanie DPA oznacza jednocześnie brak możliwości dalszego korzystania z Platformy w zakresie wymagającym przetwarzania danych Pacjentów.

Załącznik nr 1 — Środki techniczne i organizacyjne

Obszar	Środki
Kontrola dostępu	indywidualne konta Użytkowników, role i uprawnienia, reset hasła, ograniczenie dostępu administracyjnego.
Szyfrowanie	szyfrowanie transmisji SSL/TLS, szyfrowanie danych identyfikacyjnych po stronie serwera, ochrona kluczy dostępu.
Separacja danych	logiczna separacja danych Klientów, kontrola uprawnień do zasobów, ograniczenie widoczności danych do uprawnionego Klienta.
Logowanie zdarzeń	logi aktywności systemowej, logi bezpieczeństwa, historia wybranych operacji użytkowników.
Kopie zapasowe	regularne backupy, retencja backupów, procedury odtwarzania danych w zakresie technicznie uzasadnionym.
Organizacja	upoważnienia, poufność osób mających dostęp do danych, ograniczenie dostępu według potrzeby biznesowej.
AI i dane treningowe	pseudonimizacja, minimalizacja, anonimizacja tam, gdzie możliwe, ograniczony dostęp do zbiorów treningowych, brak udostępniania danych innym klientom w formie identyfikowalnej.
Incydenty	procedura obsługi naruszeń, kanał zgłoszeń, analiza i działania naprawcze.

Załącznik nr 2 — Kategorie podprocesorów

Kategoria	Przykładowy dostawca	Cel	Lokalizacja / uwagi
Hosting / infrastruktura	CyberFolks S.A.	Hosting	Polska
Przechowywanie plików	Supabase, Inc. / region EU	przechowywanie zdjęć i plików	region UE, zgodnie z konfiguracją
Płatności	Stripe, LLC	obsługa subskrypcji i płatności	zgodnie z regulaminem operatora
AI / przetwarzanie analityczne	Google LLC, OpenAI OpCo LLC, UAB Hostinger (Hostinger International Ltd.)	analiza, trenowanie, walidacja i ulepszanie modeli	USA / UE (Infrastruktura zlokalizowana w UE, transfer do USA w oparciu o EU-US Data Privacy Framework oraz Standardowe Klauzule Umowne – SCC)
Monitoring i diagnostyka	Google LLC, UAB Hostinger (Hostinger International Ltd.)	analiza błędów, stabilność i bezpieczeństwo systemu	UE / USA (Google: USA/UE; Hostinger: Litwa/UE, przetwarzanie i przechowywanie logów wyłącznie na terenie Europejskiego Obszarze Gospodarczego)
E-mail transakcyjny	Izery Solutions sp. z o.o.	zaproszenia do konta, reset hasła, komunikaty techniczne	Polska / UE / UK
Obsługa techniczna	Izery Solutions sp. z o.o.	utrzymanie infrastruktury, bazy danych, serwerów	Polska / UE / UK