RODO a SaaS, czyje są dane klientów na Booking i ZnanyLekarz
Spis treści 11 sekcji
- Mechanizm prawny: kto za co odpowiada
- Gdzie są dane Twoich klientów
- Konkretne ryzyka
- Co własny system rozwiązuje
- Branże gdzie to ma największe znaczenie
- Praktyczne kroki dla małej firmy
- Często zadawane pytania
- Kto jest administratorem danych?
- Gdzie SaaS-y trzymają dane?
- Co jeśli wycieknie baza?
- Czy własny system rozwiązuje?
Wszystkie wpisy 101 wpisów
SEO 6
- RODO a SaaS, czyje są dane klientów na Booking i ZnanyLekarz
- Audyt SEO strony, co Google sprawdza w 2026
- Core Web Vitals 2026. LCP, CLS, INP w praktyce dla małej firmy
- JSON-LD dla lokalnej firmy, przykład LocalBusiness
- Schema.org dla małej firmy, co to i czemu Google to lubi
- Negatywne opinie Google: jak reagować z głową
Spacery 360° 23
- Co to jest Trusted Photographer Google: pełen przewodnik 2026
- Ile kosztuje spacer 360 w Polsce 2026: pełen cennik rynkowy
- Ile kosztuje spacer 360° w Warszawie 2026? Realne ceny i 6 czynników
- Jak Google indeksuje spacery 360° w wynikach Map i Wyszukiwarki 2026
- Kiedy spacer 360° nie ma sensu? 7 sytuacji, w których odradzamy
- Spacer 360 dla pensjonatu w Pieninach, kompletny przykład
- Spacer 360° czy film wideo restauracji? Porównanie kosztów i wyników
- Matterport czy Street View, który spacer wybrać 2026
- Spacer 360 dla biura i coworkingu, ROI 2026
- Spacer 360 dla gabinetu lekarskiego, zaufanie pacjentów
- Spacer 360 dla kancelarii prawnej, jak buduje zaufanie
- Spacer 360 dla przedszkola lub żłobka, decyzja rodzica
- Spacer 360 dla sklepu i showroomu, sprzedaż 2026
- Spacer Premium vs Express 2026, który wybrać
- Zaufany Fotograf Google: kim jest i czy warto z nim pracować
- Spacer wirtualny vs reklamy 2026, co się bardziej opłaca
- Spacer wirtualny a pozycja w Google Maps, co wpływa na widoczność
- Masala: 25 000 wyświetleń mapowych w 5 miesięcy bez reklam
- Jak wygląda sesja 360° w restauracji? Krok po kroku
- Spacer wirtualny czy zdjęcia, co lepiej dla małej firmy
- Ile kosztuje spacer wirtualny? Pełen cennik i pakiety 2026
- Czy spacer wirtualny w Google Maps się opłaca?
- 5 pytań, które musisz zadać przed zamówieniem spaceru 360°
Trendy 2026 17
- GEO i AEO: jak być cytowanym przez ChatGPT i AI w 2026
- Panoramy 360 w reklamach Meta 2026, format i ROI
- Chatbot AI dla małej firmy 2026, kiedy ma sens i ile kosztuje
- 10 dodatków AI dla strony firmy 2026, gotowe zamiast budować
- Agencja vs freelancer, przewodnik dla CEO w 2026
- Dlaczego SaaS robi z Ciebie zakładnika, i jak się od tego uwolnić
- AI a tworzenie aplikacji w 2026, co to oznacza dla małej firmy
- Software house vs freelancer z Claude Code w 2026
- E-E-A-T 2026, co Google sprawdza, żeby uznać Twoją firmę za wiarygodną
- WordPress vs strona statyczna 2026, co kosztuje mniej w 5 lat
- Opinie Google 2026: jak budować i zarządzać
- Voice search i AI search 2026, jak trafić do Asystenta Google
- Google AI Overviews a lokalna firma, jak nie zniknąć z wyników w 2026
- PageSpeed jako ranking factor 2026, co liczy Google
- Mobile-first 2026, dlaczego Google ocenia stronę z telefonu
- Google Business Profile 2026, pełna lista funkcji
- SEO lokalne 2026, jak być pierwszym w Mapach
Branże 16
- Strona dla szkoły językowej 2026, jak rekrutować
- Strona dla galerii sztuki, wirtualne zwiedzanie i bilety online
- Strona dla warsztatu samochodowego, jak zbudować zaufanie online
- Strona dla biura nieruchomości 2026, jak generuje leady
- Strona dla salonu masażu i SPA 2026, jak zapełnia grafik
- Strona dla gabinetu weterynaryjnego, zaufanie właściciela online
- Strona dla kawiarni 2026, jak buduje grupę stałych gości
- Strona dla salonu fryzjerskiego i barber shopu 2026
- Strona dla restauracji fine-dining, atmosfera i rezerwacja stolika
- Strona dla piekarni rzemieślniczej, jak sprzedać świeżość online
- Strona dla studia jogi i fitnessu 2026
- Strona dla kliniki stomatologicznej, jak rozbroić strach pacjenta
- Strona dla pensjonatu i hotelu butikowego, ucieczka od Booking
- Strona dla gabinetu medycznego, podologia, estetyka i fizjoterapia
- Strona dla sali weselnej 2026, co liczy się dla par
- Jak zwiększyć rezerwacje w restauracji 2026, 8 działań
Rezerwacje 11
- Własny CRM dla małej firmy 2026, ile naprawdę kosztuje
- Jak zacząć własny system rezerwacji, przewodnik dla małej firmy 2026
- Alternatywa dla Calendly, własny system dla freelancerów
- Alternatywa dla Restaumatic, własny system rezerwacji stolika
- Ile zaoszczędzę rezygnując z SaaS, kalkulator dla małej firmy
- Alternatywa dla ZnanyLekarz, własny system rejestracji wizyt
- Migracja z SaaS na własny system, przewodnik krok po kroku
- Alternatywa dla Booksy 2026, własny system bez prowizji za 3 999 zł
- Powiadomienia rezerwacji SMS vs email w 2026
- Ile kosztuje system rezerwacji online 2026
- Jak nie płacić prowizji Booking.com, i nie stracić przy tym rezerwacji
Strony www 7
- Mam stronę a klientów nie ma, 6 powodów dlaczego
- Strona ładuje się wolno, 7 przyczyn i jak je rozpoznać
- Domena i hosting dla małej firmy 2026, ile ma kosztować
- Strona internetowa w 7 dni, jak to możliwe
- Jak wybrać firmę do strony internetowej w 2026
- Ile kosztuje strona dla małej firmy 2026, rozkład cen
- Strona dla domku letniskowego 2026, jak buduje rezerwacje
Strony internetowe 6
Pozycjonowanie 5
Własne systemy 4
AI w marketingu 3
Część przewodnika: Własne systemy zamiast SaaS, kompletny przewodnik 2026 →
Ten artykuł rozwija jeden z wątków pełnego przewodnika.
W skrócie: Twoja firma jest administratorem danych klientów (RODO), SaaS jest tylko procesującym. Ale dane fizycznie u SaaS-a (często USA). Wyciek = Twoja kara od UODO (2 % obrotu).
- Booking, Booksy: serwery EU (głównie Holandia, Niemcy, Irlandia)
- Restaumatic, ZnanyLekarz: serwery EU
- Wyjście: własny system na Supabase EU (Frankfurt/Dublin) = pełna kontrola, audit log, RODO-compliant
Każda mała firma która używa Booking, Booksy, Restaumatic czy ZnanyLekarz, jest administratorem danych swoich klientów (RODO art. 4). To oznacza: za zgodność z RODO odpowiada Twoja firma, nawet jeśli dane wyciekną z serwerów SaaS-a.
Ten wpis tłumaczy mechanizm prawny, gdzie SaaS-y trzymają Twoje dane, jakie ryzyko podejmujesz i jak własny system to upraszcza.
Mechanizm prawny: kto za co odpowiada
Administrator danych (data controller). Twoja firma:
- Decyduje po co zbiera dane (rezerwacje, kontakt, marketing)
- Decyduje jakie dane (imię, telefon, e-mail, ewentualnie historia zdrowia)
- Odpowiada za zgodność z RODO w pełni
- Odpowiada za poinformowanie klientów (klauzule informacyjne)
- W razie wycieku: zgłasza do UODO w 72h
- W razie kary UODO: płaci Twoja firma (nie SaaS)
Procesor danych (data processor). SaaS:
- Przetwarza dane w imieniu administratora
- Odpowiada za bezpieczeństwo techniczne (szyfrowanie, backup, dostęp)
- W razie naruszenia: powiadamia administratora bez zwłoki
- Może być pociągnięty cywilnie przez administratora, ale UODO karze administratora
Praktycznie: Booksy ma wyciek bazy → Ty (administrator) odpowiadasz przed UODO. Możesz potem pozwać Booksy o odszkodowanie, ale kara UODO już zapłacona przez Ciebie.
Gdzie są dane Twoich klientów
| SaaS | Lokalizacja serwerów | Transfer poza EOG |
|---|---|---|
| Booking.com | Niemcy + USA | Tak (USA) |
| Booksy | USA (AWS Ohio) | Tak |
| Restaumatic | Polska | Nie |
| ZnanyLekarz / Docplanner | Hiszpania + USA | Tak (USA) |
| Calendly | USA | Tak |
| eRejestracja | Polska | Nie |
| OpenTable | USA | Tak |
Transfer poza EOG (USA, Indie, etc.) wymaga dodatkowych zgód klientów + Standard Contractual Clauses + zwykle Data Processing Agreement. Większość małych firm tego nie wdraża formalnie, co jest naruszeniem RODO.
Konkretne ryzyka
1. Kara UODO
- Standardowe kary: 20 000 - 100 000 zł
- W skrajnych przypadkach: do 4% rocznego obrotu firmy
- W 2024 UODO nałożył ~150 kar na małe firmy w Polsce, średnio 30 000 zł
2. Zwrot danych do UODO
- W razie kontroli, masz 14 dni na pokazanie:
- Gdzie fizycznie są dane
- Kto ma dostęp
- Jakie są zabezpieczenia
- Polityka prywatności + klauzule informacyjne
- Audit trail (kto kiedy widział dane)
Większość małych firm na SaaS nie potrafi odpowiedzieć na pytanie 1 dokładnie. „Booksy” to nie odpowiedź. UODO chce konkretnego adresu serwera + jurysdykcji.
3. Wyciek bazy klientów
- Kontakt do byłych klientek = wartość rynkowa
- Konkurencyjny salon dostaje listę = zaczyna ich dzwonić
- Klientki obwinią Cię (administrator) nie SaaS-a
- Pozew cywilny: 500-5 000 zł / klient
4. Odejście SaaS-a
- Booksy przestaje działać → Twoja baza zamrożona
- Eksport CSV, czasem niemożliwy lub niepełny
- Klienci których nie odzyskasz = stracony LTV
Co własny system rozwiązuje
1. Dane fizycznie u Ciebie
- Hostowane w Polsce (OVH, dhosting) lub EU (Cloudflare, Vercel EU)
- Brak transferu poza EOG = brak SCC
- Audit RODO = trywialny: „dane są tutaj, dostęp ma Igor + ja”
2. Pełna kontrola w razie kontroli
- Pokażesz UODO konkretną maszynę / region
- Logi dostępu, w pełni Twoje
- Zabezpieczenia, konfigurowane pod Twoje wymagania
3. Eksport zawsze możliwy
- Twoje dane = Twoja baza danych
- Możesz ją pobrać o każdej chwili
- Brak vendor lock-in
4. Zgodność RODO bez kompromisów
- Lokal360 wdraża standardowo:
- Klauzule informacyjne w formularzach
- Polityka prywatności
- Procedura zgody / wycofania zgody
- Procedura usuwania danych (right to be forgotten)
- Logi dostępu (audit trail)
- Szyfrowanie at-rest i in-transit
- Plus dokumentację dla audit UODO
Branże gdzie to ma największe znaczenie
Gabinety medyczne (kategoria szczególnie chronionych danych, RODO art. 9):
- Dane zdrowotne klientów
- Notatki specjalisty
- Diagnozy, zabiegi
- ZnanyLekarz hostuje te dane częściowo w USA, formalnie wymaga SCC
- Własny system: dane na polskim serwerze, prosta zgodność
Salony beauty / kosmetyczne:
- Notatki o alergiach, preferencjach
- Booksy hostuje w USA
- W razie wycieku. Twoja odpowiedzialność
Pensjonaty / hotele:
- Dane gości, daty pobytów, preferencje
- Booking ma duże, znormalizowane bazy
- Vendor lock-in, odejście trudne
Doradcy podatkowi / prawnicy:
- Dane finansowe / prawne klientów
- Calendly / Acuity hostują w USA
- Tajemnica zawodowa + RODO = wymagana ostrożność
Praktyczne kroki dla małej firmy
Jeśli używasz SaaS dziś:
-
Sprawdź gdzie są Twoje dane
- Email do supportu SaaS: „W jakich krajach hostowane są moje dane?”
- Zapisz odpowiedź, dowód na audit UODO
-
Sprawdź umowę DPA (Data Processing Agreement)
- Każdy SaaS musi Ci dać DPA
- Jeśli nie ma, naruszenie RODO
-
Sprawdź klauzule SCC (jeśli transfer poza EOG)
- Standardowe klauzule UE Komisji Europejskiej
- Większość SaaS-ów daje, ale trzeba ją zaakceptować formalnie
-
Aktualizuj politykę prywatności
- Wymień wszystkie SaaS-y używane do przetwarzania danych klientów
- Wskaż transfer poza EOG (jeśli jest)
-
Rozważ migrację na własny system
- Pakiety Lokal360 z zgodnością RODO out-of-the-box
- Eliminuje większość obowiązków formalnych
Często zadawane pytania
Kto jest administratorem danych?
Twoja firma. SaaS jest procesorem. Za RODO odpowiadasz Ty.
Gdzie SaaS-y trzymają dane?
Booking. Niemcy + USA. Booksy. USA. ZnanyLekarz. Hiszpania + USA. Restaumatic. Polska.
Co jeśli wycieknie baza?
Ty (administrator) zgłaszasz do UODO w 72h. Możesz potem pozwać SaaS, ale kara UODO już Twoja.
Czy własny system rozwiązuje?
Większość problemów. Hosting w Polsce/EU, pełna kontrola, prostsze audity, klauzule out-of-the-box.
Chcesz audyt RODO Twojego SaaS? Zostaw numer, sprawdzę gdzie są Twoje dane i jakie ryzyka. Bez zobowiązań.
Igor Biały
Twórca Lokal360 · spacery 360°, strony, systemy
