Własne systemy

RODO a SaaS, czyje są dane klientów na Booking i ZnanyLekarz

· aktualizacja: ·7 min czytania
Spis treści 11 sekcji
  1. Mechanizm prawny: kto za co odpowiada
  2. Gdzie są dane Twoich klientów
  3. Konkretne ryzyka
  4. Co własny system rozwiązuje
  5. Branże gdzie to ma największe znaczenie
  6. Praktyczne kroki dla małej firmy
  7. Często zadawane pytania
  8. Kto jest administratorem danych?
  9. Gdzie SaaS-y trzymają dane?
  10. Co jeśli wycieknie baza?
  11. Czy własny system rozwiązuje?
Wszystkie wpisy 132 wpisów
Własne systemy zamiast SaaS 24
Spacery 360° 25
Strony www, technicznie 21
Strony dla branż 20
AI i trendy 2026 17
Widoczność lokalna (SEO + GBP) 14
Marketing i sprzedaż 11

Część przewodnika: Własne systemy zamiast SaaS, kompletny przewodnik 2026 →
Ten artykuł rozwija jeden z wątków pełnego przewodnika.

W skrócie: Twoja firma jest administratorem danych klientów (RODO), SaaS jest tylko procesującym. Ale dane fizycznie u SaaS-a (często USA). Wyciek = Twoja odpowiedzialność przed UODO (górny pułap kar: do 20 mln € lub 4 % obrotu, art. 83 ust. 5 RODO).

  • Booking: Niemcy + USA. Booksy: USA (AWS)
  • Restaumatic: Polska. ZnanyLekarz: Hiszpania + USA
  • Wyjście: własny system na serwerze w Polsce/EU = pełna kontrola, audit log, RODO-compliant
72h na zgłoszenie wycieku do UODO
do 4% / 20 mln € górny pułap kary (art. 83 ust. 5 RODO)
administrator to Ty odpowiadasz przed UODO, nie SaaS

Każda mała firma która używa Booking, Booksy, Restaumatic czy ZnanyLekarz, jest administratorem danych swoich klientów (RODO art. 4). To oznacza: za zgodność z RODO odpowiada Twoja firma, nawet jeśli dane wyciekną z serwerów SaaS-a.

Ten wpis tłumaczy mechanizm prawny, gdzie SaaS-y trzymają Twoje dane, jakie ryzyko podejmujesz i jak własny system to upraszcza.

Mechanizm prawny: kto za co odpowiada

Administrator danych (data controller). Twoja firma:

  • Decyduje po co zbiera dane (rezerwacje, kontakt, marketing)
  • Decyduje jakie dane (imię, telefon, e-mail, ewentualnie historia zdrowia)
  • Odpowiada za zgodność z RODO w pełni
  • Odpowiada za poinformowanie klientów (klauzule informacyjne)
  • W razie wycieku: zgłasza do UODO w 72h
  • W razie kary UODO: płaci Twoja firma (nie SaaS)

Procesor danych (data processor). SaaS:

  • Przetwarza dane w imieniu administratora
  • Odpowiada za bezpieczeństwo techniczne (szyfrowanie, backup, dostęp)
  • W razie naruszenia: powiadamia administratora bez zwłoki
  • Może być pociągnięty cywilnie przez administratora, ale UODO karze administratora

Praktycznie: Booksy ma wyciek bazy → Ty (administrator) odpowiadasz przed UODO. Możesz potem pozwać Booksy o odszkodowanie, ale kara UODO już zapłacona przez Ciebie.

Gdzie są dane Twoich klientów

SaaSLokalizacja serwerówTransfer poza EOG
Booking.comNiemcy + USATak (USA)
BooksyUSA (AWS Ohio)Tak
RestaumaticPolskaNie
ZnanyLekarz / DocplannerHiszpania + USATak (USA)
CalendlyUSATak
eRejestracjaPolskaNie
OpenTableUSATak

Transfer poza EOG (USA, Indie, etc.) wymaga dodatkowych zgód klientów + Standard Contractual Clauses + zwykle Data Processing Agreement. Większość małych firm tego nie wdraża formalnie, co jest naruszeniem RODO.

Konkretne ryzyka

1. Kara UODO

  • Nie ma czegoś takiego jak „standardowa kara”, UODO wymierza ją indywidualnie: bierze pod uwagę wagę naruszenia, kategorię danych, skalę, czy było umyślne i co zrobiłeś, by je ograniczyć
  • Górny pułap dla naruszeń dotyczących danych osobowych: do 20 mln € lub 4% rocznego światowego obrotu (art. 83 ust. 5 RODO), przy danych szczególnych (np. medycznych) obowiązuje właśnie ten wyższy próg
  • Dla małej firmy realna kara jest zwykle znacznie niższa, ale to organ decyduje o jej wysokości w konkretnej sprawie

2. Wykazanie zgodności przed UODO

  • W razie kontroli musisz umieć wykazać (zasada rozliczalności, art. 5 ust. 2 RODO):
    • Gdzie fizycznie są dane
    • Kto ma dostęp
    • Jakie są zabezpieczenia
    • Polityka prywatności + klauzule informacyjne
    • Audit trail (kto kiedy widział dane)

Większość małych firm na SaaS nie potrafi odpowiedzieć na pytanie 1 dokładnie. „Booksy” to nie odpowiedź. UODO chce konkretnego adresu serwera + jurysdykcji.

3. Wyciek bazy klientów

  • Kontakt do byłych klientek = wartość rynkowa
  • Konkurencyjny salon dostaje listę = zaczyna ich dzwonić
  • Klientki obwinią Cię (administrator) nie SaaS-a
  • Klienci mogą dochodzić odszkodowania na drodze cywilnej (art. 82 RODO)

4. Odejście SaaS-a

  • Booksy przestaje działać → Twoja baza zamrożona
  • Eksport CSV, czasem niemożliwy lub niepełny
  • Klienci których nie odzyskasz = stracony LTV

Co własny system rozwiązuje

1. Dane fizycznie u Ciebie

  • Hostowane w Polsce (OVH, dhosting) lub EU (Cloudflare, Vercel EU)
  • Brak transferu poza EOG = brak SCC
  • Audit RODO = trywialny: „dane są tutaj, dostęp ma Igor + ja”

2. Pełna kontrola w razie kontroli

  • Pokażesz UODO konkretną maszynę / region
  • Logi dostępu, w pełni Twoje
  • Zabezpieczenia, konfigurowane pod Twoje wymagania

3. Eksport zawsze możliwy

  • Twoje dane = Twoja baza danych
  • Możesz ją pobrać o każdej chwili
  • Brak vendor lock-in

4. Zgodność RODO bez kompromisów

  • Lokal360 wdraża standardowo:
    • Klauzule informacyjne w formularzach
    • Polityka prywatności
    • Procedura zgody / wycofania zgody
    • Procedura usuwania danych (right to be forgotten)
    • Logi dostępu (audit trail)
    • Szyfrowanie at-rest i in-transit
  • Plus dokumentację dla audit UODO

Branże gdzie to ma największe znaczenie

Gabinety medyczne (kategoria szczególnie chronionych danych, RODO art. 9):

  • Dane zdrowotne klientów
  • Notatki specjalisty
  • Diagnozy, zabiegi
  • ZnanyLekarz hostuje te dane częściowo w USA, formalnie wymaga SCC
  • Własny system: dane na polskim serwerze, prosta zgodność

Salony beauty / kosmetyczne:

  • Notatki o alergiach, preferencjach
  • Booksy hostuje w USA
  • W razie wycieku. Twoja odpowiedzialność

Pensjonaty / hotele:

  • Dane gości, daty pobytów, preferencje
  • Booking ma duże, znormalizowane bazy
  • Vendor lock-in, odejście trudne

Doradcy podatkowi / prawnicy:

  • Dane finansowe / prawne klientów
  • Calendly / Acuity hostują w USA
  • Tajemnica zawodowa + RODO = wymagana ostrożność

Praktyczne kroki dla małej firmy

Jeśli używasz SaaS dziś:

  1. Sprawdź gdzie są Twoje dane

    • Email do supportu SaaS: „W jakich krajach hostowane są moje dane?”
    • Zapisz odpowiedź, dowód na audit UODO
  2. Sprawdź umowę DPA (Data Processing Agreement)

    • Każdy SaaS musi Ci dać DPA
    • Jeśli nie ma, naruszenie RODO
  3. Sprawdź klauzule SCC (jeśli transfer poza EOG)

    • Standardowe klauzule UE Komisji Europejskiej
    • Większość SaaS-ów daje, ale trzeba ją zaakceptować formalnie
  4. Aktualizuj politykę prywatności

    • Wymień wszystkie SaaS-y używane do przetwarzania danych klientów
    • Wskaż transfer poza EOG (jeśli jest)
  5. Rozważ migrację na własny system

    • Pakiety Lokal360 z zgodnością RODO out-of-the-box
    • Eliminuje większość obowiązków formalnych

Często zadawane pytania

Kto jest administratorem danych?

Twoja firma. SaaS jest procesorem. Za RODO odpowiadasz Ty.

Gdzie SaaS-y trzymają dane?

Booking. Niemcy + USA. Booksy. USA. ZnanyLekarz. Hiszpania + USA. Restaumatic. Polska.

Co jeśli wycieknie baza?

Ty (administrator) zgłaszasz do UODO w 72h. Możesz potem pozwać SaaS, ale kara UODO już Twoja.

Czy własny system rozwiązuje?

Większość problemów. Hosting w Polsce/EU, pełna kontrola, prostsze audity, klauzule out-of-the-box.

Chcesz audyt RODO Twojego SaaS? Zostaw numer, sprawdzę gdzie są Twoje dane i jakie ryzyka. Bez zobowiązań.


To nie jest porada prawna. Nie jestem radcą prawnym. Skonsultuj swój przypadek z radcą prawnym lub specjalistą RODO.


IB

Igor Biały

Twórca Lokal360 · spacery 360°, strony, systemy

Nowszy wpis: Dlaczego SaaS robi z Ciebie zakładnika, i jak się od tego uwolnić Blog Starszy wpis: Co to jest wizytówka Google i jak ją zoptymalizować 2026

O autorze

Igor Biały · twórca Lokal360

Twórca Lokal360

Koduję od 16. roku życia (z czasem doszła fotografia, a potem spacery 360°), od 2025 z nowoczesnym, zautomatyzowanym warsztatem. 150+ wykonanych spacerów 360° na Google Maps. Prowadzę Lokal360 (uruchomione wiosną 2026): strony internetowe, własne systemy rezerwacji, spacery 360°, opieka. Solo, bez agencji, z nowoczesnym warsztatem.

IB

Masz pytanie po przeczytaniu?

Zostaw numer, oddzwonię w ciągu 24 h. Powiem wprost, co ma sens w Twoim przypadku. Bez zobowiązań.

Zostaw numer, oddzwonię zwykle w kilka godzin:

Dodaj firmę, miasto, email (opcjonalnie)

Twoje dane idą wyłącznie do mnie. Polityka prywatności