Rezerva
Zaloguj Wypróbuj 14 dni

Jak Rezerva przetwarza dane osobowe

Ten dokument wyjaśnia, jakie dane zbieramy w serwisie rezerva.com.pl, w jakim celu i na jakiej podstawie prawnej, komu je powierzamy oraz jakie prawa Ci przysługują. Tam, gdzie Rezerva działa w imieniu klienta-placówki (dane pacjentów i osób dzwoniących), opisujemy to osobno – bo wtedy administratorem danych jest placówka, a my jesteśmy podmiotem przetwarzającym.

Data wejścia w życie i ostatniej aktualizacji: 15 czerwca 2026.

1. Administrator danych i dane kontaktowe

Administratorem danych osobowych zbieranych za pośrednictwem serwisu rezerva.com.pl jest Kontaktio Bartosz Fiks (jednoosobowa działalność gospodarcza), ul. Brzezińska 84, 95-020 Bedoń-Wieś, NIP: 7282909882, REGON: 544475638 (dalej „Kontaktio”, „my” lub „operator”).

We wszystkich sprawach dotyczących danych osobowych i niniejszej polityki możesz napisać na adres biuro@rezerva.com.pl lub listownie na adres podany powyżej. Nie powołaliśmy inspektora ochrony danych; korespondencję w sprawach RODO obsługujemy bezpośrednio pod tym adresem.

2. Dwie role: administrator i podmiot przetwarzający

Rezerva to telefoniczna recepcja oparta na asystencie głosowym dla firm usługowych. W zależności od tego, czyje dane są przetwarzane, Kontaktio występuje w jednej z dwóch ról. To rozróżnienie jest kluczowe dla zrozumienia, kto za co odpowiada.

Jesteśmy administratorem

Dla danych osób odwiedzających rezerva.com.pl oraz danych klientów (firm i placówek zakładających konto i korzystających z usługi). W tym zakresie sami decydujemy o celach i sposobach przetwarzania i to nas dotyczą obowiązki administratora opisane w tej polityce.

Jesteśmy podmiotem przetwarzającym

Dla danych pacjentów i osób dzwoniących, które asystent przetwarza w trakcie rozmów prowadzonych w imieniu klienta-placówki. Wtedy administratorem jest klient, a my działamy na jego polecenie na podstawie umowy powierzenia przetwarzania danych (DPA). Zasady przetwarzania tych danych określa ta umowa oraz polityka bezpieczeństwa RODO.

Niniejsza polityka dotyczy przede wszystkim roli administratora (odwiedzający i klienci). Przetwarzanie danych pacjentów regulujemy w umowie powierzenia, którą zawieramy z placówką – w planie z gabinetem lub placówką medyczną DPA jest standardem i jest wymagana przed aktywacją usługi.

3. Jakie dane, w jakim celu i na jakiej podstawie prawnej

Przetwarzamy tylko dane niezbędne do realizacji konkretnego celu. Poniżej zestawienie dla roli administratora.

Osoby odwiedzające serwis

  • Dane techniczne i logi serwera (adres IP, typ przeglądarki, czas wizyty) – w celu zapewnienia bezpieczeństwa i poprawnego działania strony oraz tworzenia statystyk technicznych. Podstawa: prawnie uzasadniony interes administratora (art. 6 ust. 1 lit. f RODO), polegający na utrzymaniu i ochronie serwisu.
  • Treść zapytania e-mail wysłanego na nasz adres kontaktowy oraz dane podane w korespondencji – w celu udzielenia odpowiedzi i obsługi sprawy. Podstawa: prawnie uzasadniony interes administratora (art. 6 ust. 1 lit. f RODO), a w razie zmierzania do zawarcia umowy – podjęcie działań przed jej zawarciem (art. 6 ust. 1 lit. b RODO).

Klienci (firmy i placówki)

  • Dane konta i osoby kontaktowej (imię i nazwisko, służbowy e-mail, telefon, nazwa firmy, NIP, dane do logowania) – w celu założenia i prowadzenia konta, świadczenia usługi oraz kontaktu w sprawach obsługi. Podstawa: wykonanie umowy (art. 6 ust. 1 lit. b RODO).
  • Dane rozliczeniowe i płatnicze (dane do faktury, historia płatności abonamentu i wykorzystania minut) – w celu rozliczeń i wystawienia dokumentów księgowych. Podstawa: wykonanie umowy (art. 6 ust. 1 lit. b RODO) oraz obowiązki prawne, w tym podatkowe i rachunkowe (art. 6 ust. 1 lit. c RODO).
  • Dane o korzystaniu z usługi (konfiguracja asystenta, statystyki rozmów na poziomie konta) – w celu świadczenia, utrzymania i rozwoju usługi oraz zapewnienia jej bezpieczeństwa. Podstawa: wykonanie umowy (art. 6 ust. 1 lit. b RODO) i prawnie uzasadniony interes administratora (art. 6 ust. 1 lit. f RODO).
  • Komunikacja marketingowa (np. informacje o usłudze wysyłane na podany adres) – wyłącznie wtedy, gdy wyrazisz na to zgodę. Podstawa: zgoda (art. 6 ust. 1 lit. a RODO), którą możesz wycofać w każdej chwili.

Dane pacjentów i osób dzwoniących (rola podmiotu przetwarzającego)

Dane przekazywane podczas rozmów z asystentem (np. dane kontaktowe, informacje o wizycie, a w przypadku placówek medycznych także dane dotyczące zdrowia – dane szczególnej kategorii w rozumieniu art. 9 RODO) przetwarzamy wyłącznie jako podmiot przetwarzający, na polecenie i w imieniu klienta-administratora, w zakresie i celu określonym w umowie powierzenia. Podstawę prawną przetwarzania tych danych oraz obowiązek informacyjny wobec pacjentów realizuje administrator, czyli placówka. My zapewniamy odpowiednie zabezpieczenia techniczne i organizacyjne (rozdział 11), a dane szczególnej kategorii traktujemy z podwyższoną ostrożnością.

4. Odbiorcy danych i podprzetwarzający

Korzystamy z zaufanych dostawców, którzy przetwarzają dane w naszym imieniu wyłącznie na podstawie umów powierzenia i w zakresie niezbędnym do świadczenia usługi. Wszyscy działają w Unii Europejskiej. Poniżej kategorie podprzetwarzających według pełnionej roli.

  • Hosting i baza danych – przechowywanie danych usługi. Dostawca w UE.
  • Przetwarzanie mowy i AI – rozpoznawanie i synteza mowy oraz model językowy. Dostawca w UE.
  • Wiadomości e-mail / SMS – powiadomienia i przypomnienia. Dostawca w UE.
  • Płatności – obsługa abonamentu. Operatorem płatności jest Stripe; podmiotem rozliczającym w UE jest Stripe Payments Europe Ltd (Irlandia). W zakresie realizacji płatności i przeciwdziałania nadużyciom Stripe może przekazywać dane płatnicze do Stripe, Inc. w USA – szczegóły w rozdziale 5.

Aktualną listę podprzetwarzających udostępniamy też w umowie powierzenia (DPA) i komunikujemy jej zmiany z wyprzedzeniem, z możliwością wniesienia sprzeciwu. Dane możemy też udostępnić podmiotom uprawnionym na podstawie przepisów prawa (np. organom państwowym), gdy mają do tego podstawę. Nie sprzedajemy danych osobowych.

5. Przekazywanie danych poza Europejski Obszar Gospodarczy

Dane produktowe oraz dane pacjentów – baza danych, nagrania, transkrypty i przetwarzanie mowy – przetwarzamy wyłącznie na terenie Unii Europejskiej i dane te nie opuszczają UE. Publiczny serwis rezerva.com.pl korzysta wyłącznie z zasobów własnych (first-party), bez zewnętrznej analityki i narzędzi marketingowych, dlatego samo odwiedzanie strony nie wiąże się z przekazaniem danych poza EOG.

Jedyny wyjątek dotyczy obsługi płatności: w celu rozliczenia abonamentu i przeciwdziałania nadużyciom nasz dostawca płatności (Stripe) może przekazać dane płatnicze do Stripe, Inc. w Stanach Zjednoczonych. Taki transfer odbywa się na podstawie standardowych klauzul umownych (SCC) zatwierdzonych przez Komisję Europejską oraz dodatkowych zabezpieczeń stosowanych przez Stripe. Gdyby w przyszłości inny dostawca wymagał transferu poza EOG, zastosujemy odpowiednie mechanizmy wymagane przez RODO i zaktualizujemy tę politykę.

6. Okresy przechowywania danych

  • Nagrania i transkrypty rozmów – usuwane automatycznie po skonfigurowanym okresie (domyślnie 90 dni, konfigurowalnie przez klienta). Te dane przetwarzamy jako podmiot przetwarzający, a okres retencji ustala administrator-placówka.
  • Dane konta i rozliczeniowe – przez czas obowiązywania umowy, a po jej zakończeniu przez okres wymagany przepisami prawa (m.in. podatkowymi i rachunkowymi) oraz potrzebny do dochodzenia lub obrony roszczeń.
  • Korespondencja – przez okres niezbędny do obsługi sprawy oraz do ustalenia, dochodzenia lub obrony ewentualnych roszczeń.
  • Dane przetwarzane na podstawie zgody – do czasu wycofania zgody.

7. Twoje prawa

W zakresie, w jakim jesteśmy administratorem Twoich danych, masz prawo do:

  • dostępu do danych oraz uzyskania ich kopii (art. 15 RODO);
  • sprostowania danych (art. 16 RODO);
  • usunięcia danych (art. 17 RODO);
  • ograniczenia przetwarzania (art. 18 RODO);
  • przenoszenia danych (art. 20 RODO);
  • sprzeciwu wobec przetwarzania opartego na prawnie uzasadnionym interesie, w tym wobec marketingu bezpośredniego (art. 21 RODO);
  • wycofania zgody w dowolnym momencie, bez wpływu na zgodność z prawem przetwarzania sprzed jej wycofania (art. 7 ust. 3 RODO).

Aby skorzystać z praw, napisz na biuro@rezerva.com.pl. Jeśli jesteś pacjentem lub osobą dzwoniącą, której dane przetwarza placówka, swoje prawa realizujesz wobec tej placówki jako administratora – wspieramy ją technicznie w obsłudze takich żądań.

Masz również prawo wnieść skargę do organu nadzorczego: Prezesa Urzędu Ochrony Danych Osobowych (PUODO), ul. Stawki 2, 00-193 Warszawa.

8. Pliki cookie

Publiczny serwis rezerva.com.pl korzysta wyłącznie z plików i mechanizmów technicznych niezbędnych do jego prawidłowego działania. Nie używamy cookies analitycznych, marketingowych ani śledzących i nie osadzamy narzędzi firm trzecich (np. analityki czy pikseli reklamowych). Z tego powodu strona nie wyświetla banera zgody na cookies – nie ma zgód, które trzeba by zbierać. Aplikacja dostępna po zalogowaniu (panel pod adresami logowania i rejestracji) jest odrębną częścią usługi; zasady przetwarzania danych w panelu wynikają z umowy z klientem.

9. Dobrowolność podania danych

Podanie danych jest dobrowolne, ale w niektórych sytuacjach niezbędne. Bez danych konta i danych rozliczeniowych nie możemy założyć konta ani świadczyć usługi; bez danych kontaktowych nie odpowiemy na zapytanie. Brak zgody na komunikację marketingową nie wpływa na możliwość korzystania z usługi.

10. Brak zautomatyzowanego podejmowania decyzji

Nie podejmujemy wobec Ciebie decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, które wywoływałyby skutki prawne lub w podobny sposób istotnie na Ciebie wpływały. Asystent głosowy prowadzi rozmowę i zapisuje wizytę, ale to klient-placówka decyduje o obsłudze sprawy; trudne lub nietypowe rozmowy są kierowane do człowieka.

11. Bezpieczeństwo danych

Stosujemy środki techniczne i organizacyjne dopasowane do ryzyka, zbudowane pod najostrzejszy przypadek – prywatną medycynę i dane szczególnej kategorii:

  • dane osobowe i poufne szyfrujemy w warstwie aplikacji (AES-256-GCM);
  • wyszukiwanie odbywa się po nieodwracalnych haszach (HMAC), nigdy po jawnych danych;
  • operacje wrażliwe trafiają do dziennika audytu, który można tylko dopisywać;
  • całość przetwarzania danych produktowych i danych pacjentów odbywa się w Unii Europejskiej;
  • przed podaniem jakichkolwiek danych o wizycie asystent weryfikuje tożsamość dzwoniącego, a wynik weryfikacji zapisuje przy każdej rozmowie;
  • asystent nie udziela porad medycznych, prawnych ani podatkowych, a sygnały zagrożenia życia natychmiast kieruje do numeru 112.

12. Zmiany polityki

Politykę możemy aktualizować, gdy zmienią się przepisy, zakres usługi lub sposób przetwarzania danych. Aktualna wersja jest zawsze dostępna pod tym adresem; istotne zmiany komunikujemy klientom z wyprzedzeniem. Niniejsza wersja obowiązuje od 15 czerwca 2026.

Masz pytanie o przetwarzanie danych w Rezervie? Napisz na biuro@rezerva.com.pl – odpisujemy w ciągu jednego dnia roboczego. Zasady bezpieczeństwa opisujemy szerzej na stronie RODO i bezpieczeństwo.