Dokumenty prawne

Polityka prywatności

Ostatnia aktualizacja: 2026-04-29 · EndoMed.online
Niniejsza polityka prywatności opisuje zasady przetwarzania danych osobowych pacjentów i użytkowników platformy EndoMed.online przez NextMedical Sp. z o.o. z siedzibą w Aleje Racławickie 8, 20-034 Lublin.

§1. Administrator Danych Osobowych

Administratorem Twoich danych osobowych jest NextMedical Sp. z o.o., wpisana do rejestru przedsiębiorców Krajowego Rejestru Sądowego pod numerem KRS 0000640164, NIP 9512420247, z siedzibą pod adresem Aleje Racławickie 8, 20-034 Lublin, zwana dalej „Administratorem" lub „EndoMed".

Kontakt z Administratorem w sprawach dotyczących danych osobowych: privacy@endomed.online

§2. Jakie dane przetwarzamy

2.1. Dane identyfikacyjne i kontaktowe

  • Imię i nazwisko
  • Adres e-mail
  • Numer telefonu
  • Data urodzenia
  • Płeć

2.2. Dane zdrowotne (dane wrażliwe — art. 9 RODO)

EndoMed przetwarza dane dotyczące zdrowia w rozumieniu art. 4 pkt 15 RODO, w tym:

  • Masa ciała, wzrost, BMI
  • Wyniki badań laboratoryjnych (glukoza, insulina, TSH, morfologia, lipidogram i inne)
  • Informacje o schorzeniach i diagnozach (insulinooporność, PCOS, cukrzyca, choroba Hashimoto i inne)
  • Stosowane leki i suplementy
  • Historia leczenia i konsultacji lekarskich
  • Dokumenty medyczne wgrane przez pacjenta (PDF, zdjęcia wyników badań)
  • Plany żywieniowe i dzienniki żywieniowe
  • Inne informacje przekazane lekarzowi podczas konsultacji

2.3. Dane techniczne

  • Adres IP
  • Identyfikatory urządzenia i przeglądarki
  • Logi aktywności w serwisie
  • Dane cookies (szczegóły: Polityka cookies)

§3. Podstawy prawne przetwarzania

  • Art. 6 ust. 1 lit. a) RODO — zgoda osoby, której dane dotyczą (marketing, cookies analityczne)
  • Art. 6 ust. 1 lit. b) RODO — wykonanie umowy o świadczenie usług telemedycznych
  • Art. 6 ust. 1 lit. c) RODO — wypełnienie obowiązku prawnego (dokumentacja medyczna — ustawa z dnia 6 listopada 2008 r. o prawach pacjenta)
  • Art. 6 ust. 1 lit. f) RODO — prawnie uzasadniony interes Administratora (bezpieczeństwo serwisu, dochodzenie roszczeń)
  • Art. 9 ust. 2 lit. a) RODO — wyraźna zgoda na przetwarzanie danych dotyczących zdrowia
  • Art. 9 ust. 2 lit. h) RODO — profilaktyka zdrowotna, medycyna pracy, diagnoza medyczna, zapewnienie opieki zdrowotnej

§4. Cele przetwarzania danych

  • Świadczenie usług telemedycznych — konsultacje lekarskie online, wystawianie e-recept i skierowań
  • Prowadzenie dokumentacji medycznej zgodnie z przepisami prawa (ustawa o prawach pacjenta)
  • Analiza wyników badań z wykorzystaniem sztucznej inteligencji (wspomaganie decyzji klinicznych)
  • Komunikacja między pacjentem a lekarzem przez czat i powiadomienia
  • Personalizacja planów żywieniowych i terapeutycznych
  • Obsługa płatności za usługi medyczne
  • Realizacja obowiązków podatkowych i rachunkowych
  • Zapewnienie bezpieczeństwa serwisu i zapobieganie nadużyciom
  • Marketing własnych usług — wyłącznie za zgodą użytkownika

§5. Odbiorcy danych (podmioty przetwarzające)

Twoje dane mogą być przekazywane następującym kategoriom odbiorców, z którymi Administrator zawarł umowy powierzenia przetwarzania danych (DPA):

  • Supabase Inc. (USA) — dostawca bazy danych i uwierzytelniania. Dane przechowywane w centrum danych UE (Frankfurt). Transfer na podstawie standardowych klauzul umownych (SCC).
  • Vercel Inc. (USA) — hosting aplikacji webowej. Transfer na podstawie SCC.
  • Anthropic PBC (USA) — dostawca AI do analizy wyników badań. Przekazywane są wyłącznie treści wyników (bez danych identyfikacyjnych pacjenta). Transfer na podstawie SCC.
  • Stripe Inc. (USA) — obsługa płatności. Dane finansowe i identyfikacyjne niezbędne do realizacji transakcji. Transfer na podstawie SCC i Privacy Shield.
  • Lekarze świadczący usługi w ramach EndoMed — mają dostęp do dokumentacji medycznej pacjentów objętych ich opieką.
  • Resend / SendGrid — dostawcy emaili transakcyjnych. Przekazywany jest wyłącznie adres e-mail i treść wiadomości.

Administrator nie sprzedaje danych osobowych użytkowników żadnym podmiotom trzecim.

§6. Okres przechowywania danych

  • Dokumentacja medyczna: 20 lat od ostatniego wpisu (art. 29 ust. 1 ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta)
  • Dane konta i historii usług: przez czas obowiązywania umowy + 6 lat od jej rozwiązania (okres przedawnienia roszczeń)
  • Dane finansowe i faktury: 5 lat od końca roku podatkowego, w którym wystąpiło zdarzenie gospodarcze (ustawa o rachunkowości)
  • Zgody marketingowe: do czasu cofnięcia zgody
  • Logi techniczne: 12 miesięcy

§7. Twoje prawa

Na podstawie przepisów RODO przysługują Ci następujące prawa:

  • Prawo dostępu (art. 15 RODO) — możesz zażądać informacji o przetwarzanych danych i kopii swoich danych.
  • Prawo do sprostowania (art. 16 RODO) — możesz żądać korekty nieprawidłowych lub uzupełnienia niekompletnych danych.
  • Prawo do usunięcia (art. 17 RODO) — możesz żądać usunięcia danych, z zastrzeżeniem że dokumentacja medyczna musi być przechowywana przez 20 lat.
  • Prawo do ograniczenia przetwarzania (art. 18 RODO) — możesz żądać ograniczenia przetwarzania w określonych przypadkach.
  • Prawo do przenoszenia danych (art. 20 RODO) — możesz otrzymać swoje dane w ustrukturyzowanym, powszechnie używanym formacie (np. JSON, PDF).
  • Prawo do sprzeciwu (art. 21 RODO) — możesz sprzeciwić się przetwarzaniu opartemu na prawnie uzasadnionym interesie.
  • Prawo do cofnięcia zgody — możesz cofnąć zgodę na przetwarzanie w dowolnym momencie, bez wpływu na zgodność z prawem przetwarzania przed cofnięciem.
  • Prawo do skargi do UODO — jeżeli uważasz, że przetwarzanie narusza przepisy RODO, możesz złożyć skargę do Prezesa Urzędu Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl.

§8. Bezpieczeństwo danych

  • Szyfrowanie transmisji danych protokołem TLS 1.3
  • Szyfrowanie danych w spoczynku (baza danych)
  • Uwierzytelnianie dwuskładnikowe dla kont lekarzy
  • Kontrola dostępu oparta na rolach (Row Level Security)
  • Regularne audyty bezpieczeństwa
  • Procedury reagowania na incydenty bezpieczeństwa (naruszenie danych → powiadomienie UODO w ciągu 72h, a użytkowników — niezwłocznie)

§9. Zautomatyzowane podejmowanie decyzji i profilowanie

EndoMed wykorzystuje algorytmy AI do analizy wyników badań laboratoryjnych i sugestii planów dietetycznych. Algorytmy te wspierają, a nie zastępują decyzje lekarza. Żadna decyzja medyczna nie jest podejmowana wyłącznie automatycznie — zawsze wymaga weryfikacji i zatwierdzenia przez lekarza prowadzącego.

§10. Kontakt i wnioski

Wnioski dotyczące realizacji Twoich praw prosimy kierować na adres: privacy@endomed.online lub pisemnie na adres siedziby Administratora. Odpowiadamy na wnioski w ciągu 30 dni (termin może być przedłużony o kolejne 60 dni w sprawach złożonych).

§11. Zmiany polityki prywatności

Administrator zastrzega sobie prawo do zmiany niniejszej polityki prywatności. O istotnych zmianach użytkownicy będą informowani poprzez e-mail na adres podany przy rejestracji oraz przez komunikat na platformie. Data ostatniej zmiany jest widoczna w nagłówku dokumentu.