← Strona główna

Dokument informacyjny · RODO

Polityka prywatności i bezpieczeństwo danych

Ostatnia aktualizacja: 19 czerwca 2026. Niniejszy dokument opisuje, w jaki sposób przetwarzamy dane osobowe pacjentów korzystających z serwisu „Protokół Po Przeszczepie" oraz z systemu przypomnień e-mail/SMS. Strona jest utrzymywana przez administratora danych i nie stanowi niezależnej certyfikacji.

1. Administrator danych

Współadministratorem danych osobowych pacjentów korzystających z serwisu jest Medical Lasers and STEM Cells Solutions Sp. z o.o. — w pełnym zakresie operacyjnym (kwalifikacja medyczna, prowadzenie protokołu pozabiegowego, kontakt z pacjentem).

  • KRS: 0000791172
  • NIP: 6423218241
  • REGON: 383695904
  • Adres: ul. Kard. Bolesława Kominka 44, 44-217 Rybnik

2. Kontakt w sprawach RODO

We wszystkich sprawach dotyczących przetwarzania danych osobowych, realizacji praw pacjenta oraz zgłoszeń incydentów bezpieczeństwa prosimy o kontakt:

E-mail: mila.skrzynska@gmail.com

Odpowiadamy bez zbędnej zwłoki, najpóźniej w terminie 30 dni od otrzymania żądania (art. 12 ust. 3 RODO).

3. Zakres przetwarzanych danych

W ramach serwisu i systemu przypomnień możemy przetwarzać:

  • adres e-mail oraz/lub numer telefonu (kanał wysyłki przypomnień),
  • datę zabiegu przeszczepu (do harmonogramu T1–T12),
  • wybrane tygodnie i kategorie materiałów,
  • token wypisania (generowany losowo, służy wyłącznie do anulowania subskrypcji),
  • postęp lektury materiałów (lokalnie w przeglądarce — localStorage),
  • logi techniczne wysyłek (status dostarczenia, znacznik czasu).

Nie zbieramy w tym serwisie danych o stanie zdrowia w rozumieniu art. 9 RODO — dokumentacja medyczna jest prowadzona odrębnie przez klinikę wykonującą zabieg.

4. Cele i podstawy prawne przetwarzania

  • Wysyłka przypomnień edukacyjnych (e-mail/SMS) — art. 6 ust. 1 lit. a RODO (zgoda pacjenta, którą można wycofać w każdej chwili).
  • Realizacja praw pacjenta i obsługa zgłoszeń — art. 6 ust. 1 lit. c RODO (obowiązek prawny).
  • Bezpieczeństwo serwisu, audyt wysyłek, zapobieganie nadużyciom — art. 6 ust. 1 lit. f RODO (uzasadniony interes administratora).

5. Okresy retencji

  • Subskrypcja przypomnień: do momentu wypisania się (jednym kliknięciem w linku) lub maksymalnie 12 tygodni po wskazanej dacie zabiegu — wówczas dane są automatycznie deaktywowane.
  • Logi wysyłek (audyt): 12 miesięcy od daty wysyłki, wyłącznie w celu wykazania należytej staranności (art. 5 ust. 2 RODO).
  • Zgłoszenia i korespondencja RODO: 3 lata od zakończenia sprawy (przedawnienie roszczeń).

6. Odbiorcy danych i podprocesory

Dane mogą być powierzane następującym kategoriom podmiotów przetwarzających:

  • dostawca infrastruktury bazodanowej i hostingu aplikacji (przetwarzanie w UE),
  • dostawca usługi wysyłki e-mail (Resend),
  • dostawca usługi wysyłki SMS (Twilio) — jeśli pacjent wybierze ten kanał.

Każdy z podprocesorów działa na podstawie umowy powierzenia (DPA) zgodnej z art. 28 RODO. Nie sprzedajemy ani nie udostępniamy danych w celach marketingowych podmiotom trzecim.

7. Prawa pacjenta

Zgodnie z RODO przysługuje Pani/Panu prawo do:

  • dostępu do danych (art. 15),
  • sprostowania (art. 16),
  • usunięcia danych — „prawo do bycia zapomnianym" (art. 17),
  • ograniczenia przetwarzania (art. 18),
  • przenoszenia danych (art. 20),
  • sprzeciwu wobec przetwarzania (art. 21),
  • wycofania zgody w dowolnym momencie (art. 7 ust. 3),
  • wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa).

Z subskrypcji przypomnień można wypisać się jednym kliknięciem na stronie /przypomnienia/wypisz (link znajduje się w stopce każdej wiadomości).

8. Bezpieczeństwo danych

Stosujemy środki techniczne i organizacyjne adekwatne do ryzyka (art. 32 RODO):

  • szyfrowanie transmisji TLS 1.3 dla całego ruchu aplikacji,
  • szyfrowanie danych „at rest" po stronie dostawcy bazy danych,
  • mechanizm Row-Level Security — dane subskrypcji są niedostępne z poziomu klienta (brak polityk SELECT/UPDATE/DELETE dla ról anon/authenticated),
  • logi wysyłek dostępne wyłącznie po stronie serwera (deny-all),
  • token wypisania generowany kryptograficznie, jednorazowy w działaniu,
  • regularne skanowanie zależności pod kątem podatności.

Incydenty bezpieczeństwa zgłaszamy organowi nadzorczemu w ciągu 72 godzin (art. 33 RODO) oraz informujemy osoby, których dane dotyczą, jeżeli incydent wiąże się z wysokim ryzykiem naruszenia ich praw (art. 34 RODO).

9. Pliki cookies i analityka

Serwis nie używa marketingowych plików cookies ani trackerów stron trzecich. Wykorzystujemy wyłącznie niezbędne pliki techniczne (utrzymanie sesji, zapamiętanie postępu lektury materiałów w localStorage przeglądarki — dane nie opuszczają urządzenia pacjenta).

10. Zmiany polityki prywatności

Polityka może być aktualizowana w związku ze zmianami technicznymi lub prawnymi. Data ostatniej aktualizacji widnieje na początku dokumentu. O istotnych zmianach informujemy aktywnych subskrybentów drogą e-mail.