Klauzula informacyjna RODO

1. Administrator danych osobowych

NextMedical Sp. z o.o., KRS 0000640164, NIP 9512420247
Adres: Aleje Racławickie 8, 20-034 Lublin
E-mail: privacy@endomed.online

2. Cel i podstawa prawna przetwarzania

• Świadczenie usług telemedycznych — art. 6 ust. 1 lit. b) RODO (wykonanie umowy) + art. 9 ust. 2 lit. h) RODO (opieka zdrowotna)
• Prowadzenie dokumentacji medycznej — art. 6 ust. 1 lit. c) RODO (obowiązek prawny wynikający z ustawy o prawach pacjenta)
• Analiza wyników badań przez AI — art. 9 ust. 2 lit. a) RODO (wyraźna zgoda)
• Komunikacja i obsługa konta — art. 6 ust. 1 lit. b) RODO (wykonanie umowy)
• Marketing własnych usług — art. 6 ust. 1 lit. a) RODO (zgoda — opcjonalna)
• Dochodzenie roszczeń i bezpieczeństwo serwisu — art. 6 ust. 1 lit. f) RODO (prawnie uzasadniony interes)

3. Kategorie przetwarzanych danych

• Dane identyfikacyjne: imię, nazwisko, data urodzenia, płeć
• Dane kontaktowe: e-mail, telefon
• Dane zdrowotne (art. 9 RODO): masa ciała, BMI, wyniki badań, schorzenia, leki, historia leczenia
• Dane finansowe: dane karty płatniczej (przetwarzane wyłącznie przez Stripe), historia płatności
• Dane techniczne: adres IP, logi aktywności, cookies

4. Odbiorcy danych

• Lekarze świadczący usługi w ramach EndoMed (dostęp do dokumentacji medycznej pacjentów)
• Supabase Inc. (baza danych) — umowa DPA, transfer do UE, dane w centrum Frankfurt
• Anthropic PBC (AI do analizy badań) — dane pseudonimizowane, umowa DPA
• Stripe Inc. (płatności) — dane niezbędne do transakcji
• Vercel Inc. (hosting) — umowa DPA
• Organy publiczne — wyłącznie na żądanie uprawnione przepisami prawa (np. NFZ, ZUS, sąd)

5. Transfery do państw trzecich

Dane mogą być przekazywane do USA (Supabase, Anthropic, Stripe, Vercel). Podstawą transferu są standardowe klauzule umowne (SCC) zatwierdzone przez Komisję Europejską (decyzja 2021/914). Każdy z podmiotów zapewnia odpowiedni poziom ochrony danych.

6. Okres przechowywania

• Dokumentacja medyczna: 20 lat od ostatniego wpisu (art. 29 ust. 1 ustawy o prawach pacjenta)
• Dane konta i historii usług: przez czas trwania umowy + 6 lat
• Dokumenty finansowe: 5 lat od końca roku podatkowego
• Zgody marketingowe: do czasu cofnięcia zgody

7. Twoje prawa

• Prawo dostępu do swoich danych (art. 15 RODO)
• Prawo do sprostowania danych (art. 16 RODO)
• Prawo do usunięcia danych — „prawo do bycia zapomnianym" (art. 17 RODO), z zastrzeżeniem obowiązku przechowywania dokumentacji medycznej
• Prawo do ograniczenia przetwarzania (art. 18 RODO)
• Prawo do przenoszenia danych (art. 20 RODO)
• Prawo do sprzeciwu (art. 21 RODO) — wobec przetwarzania na podstawie prawnie uzasadnionego interesu
• Prawo do cofnięcia zgody w dowolnym momencie (bez wpływu na legalność przetwarzania przed cofnięciem)
• Prawo do skargi do Prezesa UODO, ul. Stawki 2, 00-193 Warszawa

8. Zautomatyzowane podejmowanie decyzji

EndoMed stosuje algorytmy AI do analizy wyników badań laboratoryjnych (art. 22 RODO). Działania algorytmów mają charakter wspomagający decyzje lekarza, nie zastępują ich. Ostateczną decyzję medyczną podejmuje zawsze lekarz prowadzący. Masz prawo żądać ludzkiej weryfikacji każdej decyzji opartej na przetwarzaniu automatycznym.

9. Dobrowolność podania danych

Podanie danych identyfikacyjnych, kontaktowych i zdrowotnych jest dobrowolne, lecz niezbędne do korzystania z usług telemedycznych EndoMed. Bez tych danych świadczenie usług jest niemożliwe. Podanie danych na potrzeby marketingu jest całkowicie dobrowolne.

10. Kontakt w sprawach danych osobowych

E-mail: privacy@endomed.online
Adres korespondencyjny: NextMedical Sp. z o.o., Aleje Racławickie 8, 20-034 Lublin, z dopiskiem „Ochrona danych osobowych"

Odpowiadamy na wnioski w terminie 30 dni od ich otrzymania (termin może zostać przedłużony o 60 dni w sprawach złożonych — z poinformowaniem o przyczynach).