Informacja o wersji językowej
Niniejsze dokumenty prawne zostały sporządzone w języku polskim. Inne wersje językowe mogą być tłumaczeniami maszynowymi i są udostępniane wyłącznie dla wygody. W przypadku rozbieżności obowiązuje wersja polska.
Zastrzeżenie medyczne
SafeTripVax dostarcza ogólne informacje o chorobach i szczepionkach. Nie stanowi to porady medycznej, diagnozy ani leczenia.
- Zawsze konsultuj się z lekarzem przed podjęciem decyzji zdrowotnych
- Informacje mogą nie być kompletne lub aktualne dla wszystkich regionów
- Wymagania szczepienne zmieniają się często - weryfikuj z oficjalnymi źródłami
Podejście RODO i DPIA
Stosujemy zasady RODO takie jak minimalizacja danych, kontrola dostępu i prywatność w fazie projektowania. Dla przetwarzania mogącego skutkować wysokim ryzykiem przeprowadzamy ocenę skutków dla ochrony danych (DPIA).
- Minimalizacja danych - zbieramy tylko to, co niezbędne
- Ograniczenie celu - dane używane tylko do określonych celów
- Ograniczenie przechowywania - dane usuwane gdy nie są już potrzebne
- Regularne przeglądy DPIA przy zmianach przetwarzania
Szybkie linki
Jakie dane zbieramy
Zbieramy dane konta (email, imię), dane profilu (preferencje podróży, historia szczepień), dane użytkowania (odwiedzane strony, używane funkcje) oraz dane komunikacji (wiadomości, zgłoszenia).
Dlaczego przetwarzamy dane
Aby świadczyć i ulepszać usługi, personalizować doświadczenia, zapewniać bezpieczeństwo, spełniać wymogi prawne i komunikować się z Tobą.
Twoje prawa
Możesz uzyskać dostęp, sprostować, usunąć, ograniczyć, przenosić dane, sprzeciwić się przetwarzaniu i składać skargi do organów nadzorczych.
Podstawa prawna przetwarzania
| Cel | Podstawa prawna | Szczegóły |
|---|---|---|
| Utworzenie konta | Wykonanie umowy | Niezbędne do świadczenia usług |
| Śledzenie szczepień | Zgoda | Wyraźnie zgadzasz się na tę funkcję |
| Analityka | Uzasadniony interes | Aby ulepszać nasze usługi |
| Emaile marketingowe | Zgoda | Tylko za Twoją wyraźną zgodą |
| Środki bezpieczeństwa | Uzasadniony interes | Ochrona platformy i użytkowników |
| Zgodność prawna | Obowiązek prawny | Wymagane przez przepisy |
Odbiorcy i okresy przechowywania
Udostępniamy dane następującym kategoriom odbiorców i przechowujemy je przez określone okresy:
| Odbiorca | Cel | Udostępniane dane | Okres |
|---|---|---|---|
| Supabase (hosting) | Infrastruktura platformy | Wszystkie dane konta | Okres konta + 5 lat |
| Stripe (płatności) | Przetwarzanie płatności | Dane płatnicze | 7 lat (wymóg prawny) |
| Google Analytics | Analityka użytkowania | Zanonimizowane dane | 26 miesięcy |
| Anthropic PBC (tłumaczenia) | Tłumaczenie treści | Treści tekstowe do tłumaczenia | Tylko czas przetwarzania |
| Vercel Inc. (hosting) | Hosting aplikacji | Metadane żądań, adres IP | Logi serwera: 30 dni |
| Kliniki (Twój wybór) | Rezerwacja wizyt | Dane kontaktowe, historia szczepień | Do odwołania |
Inspektor Ochrony Danych (IOD)
Wyznaczyliśmy Inspektora Ochrony Danych (IOD) zgodnie z art. 37 RODO. W sprawach dotyczących przetwarzania danych osobowych oraz realizacji przysługujących Ci praw możesz kontaktować się z IOD:
Inspektor Ochrony Danych
Email: dpo@safetripvax.com
EPKO SP. Z O.O., ul. Podleśna 2, 05-270 Marki, Polska
Podmioty przetwarzające dane (art. 28 RODO)
Korzystamy z następujących podmiotów przetwarzających w celu świadczenia usług. Wszystkie podmioty są związane Umowami Powierzenia Przetwarzania Danych (DPA) zgodnie z art. 28 RODO:
| Podmiot przetwarzający | Cel | Lokalizacja | Podstawa transferu |
|---|---|---|---|
| Supabase Inc. | Baza danych, uwierzytelnianie, storage | AWS EU (Frankfurt) | SKU |
| Stripe Inc. | Przetwarzanie płatności | USA | SKU + EU-US DPF |
| Google LLC | Analityka, Mapy | USA | SKU + EU-US DPF |
| Anthropic PBC | Tłumaczenie treści | USA (San Francisco) | SKU + EU-US DPF |
| Vercel Inc. | Hosting aplikacji (Next.js) | Edge (globalnie) | SKU + EU-US DPF |
Administrator danych
Administratorem danych jest EPKO SP. Z O.O., ul. Podleśna 2, 05-270 Marki, Polska. Kontakt: office@safetripvax.com
Środki bezpieczeństwa
- Wszystkie dane szyfrowane w transmisji (TLS 1.3) i w spoczynku (AES-256)
- Kontrola dostępu z uprawnieniami opartymi na rolach
- Regularne audyty bezpieczeństwa i testy penetracyjne
- Uwierzytelnianie wieloskładnikowe dostępne dla wszystkich kont
- Automatyczne wykrywanie zagrożeń i monitoring
Kontakt ds. bezpieczeństwa
Aby zgłosić luki bezpieczeństwa, skontaktuj się z nami: security@safetripvax.com. Stosujemy praktyki odpowiedzialnego ujawniania.
Transfery międzynarodowe
Niektórzy nasi dostawcy usług znajdują się poza Europejskim Obszarem Gospodarczym (EOG). Zapewniamy odpowiednie zabezpieczenia poprzez Standardowe Klauzule Umowne (SKU) zatwierdzone przez Komisję Europejską.
Polityka prywatności Google: policies.google.com/privacy
Standardowe Klauzule Umowne UE: commission.europa.eu/.../scc_en
Automatyczne podejmowanie decyzji
Stosujemy zautomatyzowane przetwarzanie w celu generowania informacyjnych podsumowań zdrowotnych na podstawie publicznie dostępnych danych WHO oraz opcjonalnego profilu zdrowia użytkownika. Podsumowania te mają charakter wyłącznie edukacyjny i nie stanowią porady medycznej ani rekomendacji klinicznych. Możesz zażądać ręcznego przeglądu każdego automatycznego wyniku, kontaktując się z nami pod adresem <a href="mailto:dpo@safetripvax.com" class="underline hover:text-dark">dpo@safetripvax.com</a>. Wszelka personalizacja opiera się na Twoich wyraźnych preferencjach i może być w każdej chwili dostosowana lub usunięta.
Przetwarzanie danych profilu zdrowia
Jeśli zdecydujesz się utworzyć profil zdrowia, przetwarzamy poniższe dane w celu generowania informacyjnych podsumowań zdrowotnych dotyczących podróży. Przetwarzanie to odbywa się na podstawie Twojej wyraźnej zgody (art. 9 ust. 2 lit. a RODO) i ma charakter wyłącznie edukacyjny:
- Przetwarzane dane: Grupa wiekowa, status ciąży, status immunosupresji, choroby przewlekłe, alergie, grupa krwi (wszystkie opcjonalne)
- Sposób działania: Dane profilu są łączone z publicznie dostępnymi wskaźnikami zdrowotnymi WHO w celu generowania informacyjnych podsumowań o powszechnie wymaganych szczepieniach dla Twojej destynacji
- Transparentność: Metodologia opiera się na rekomendacjach WHO International Travel and Health. Progi punktowe i źródła danych są udokumentowane na stronie każdego kraju
- Prawo do rezygnacji: Możesz usunąć swój profil zdrowia w dowolnym momencie w Ustawienia → Prywatność. Spowoduje to natychmiastowe usunięcie wszystkich danych zdrowotnych i wyłączenie spersonalizowanych podsumowań
- Brak decyzji klinicznych: Wyniki mają charakter wyłącznie informacyjny i nie mogą zastąpić konsultacji z wykwalifikowanym pracownikiem służby zdrowia
Powiadamianie o naruszeniach danych
W przypadku naruszenia ochrony danych osobowych stosujemy procedury zgodne z art. 33 i art. 34 RODO:
- Powiadomienie organu nadzorczego: Powiadomimy PUODO (Prezesa Urzędu Ochrony Danych Osobowych) w ciągu 72 godzin od stwierdzenia naruszenia mogącego skutkować ryzykiem dla Twoich praw i wolności
- Powiadomienie użytkowników: Jeśli naruszenie może skutkować wysokim ryzykiem dla Twoich praw i wolności, powiadomimy Cię niezwłocznie drogą mailową oraz za pomocą widocznego komunikatu na stronie
- Treść powiadomienia: Opiszemy charakter naruszenia, prawdopodobne konsekwencje, podjęte lub proponowane środki zaradcze oraz dane kontaktowe naszego IOD
- Dokumentacja: Prowadzimy rejestr wszystkich naruszeń danych osobowych, w tym ich skutków i podjętych działań naprawczych, niezależnie od tego, czy podlegają zgłoszeniu
Organ nadzorczy
Masz prawo złożyć skargę do organu nadzorczego właściwego ds. ochrony danych osobowych. Organem właściwym dla SafeTripVax jest:
Prezes Urzędu Ochrony Danych Osobowych (PUODO)
ul. Stawki 2, 00-193 Warszawa
Tel.: +48 22 531 03 00
Strona: www.uodo.gov.pl
Email: kancelaria@uodo.gov.pl
Realizacja praw
- 1Zaloguj się na swoje konto i przejdź do Ustawienia → Prywatność
- 2Wybierz działanie, które chcesz wykonać (dostęp, pobranie, usunięcie, itp.)
- 3W przypadku złożonych wniosków skontaktuj się z IOD: dpo@safetripvax.com
- 4Odpowiemy w ciągu 30 dni (możliwe przedłużenie o 60 dni dla złożonych wniosków)
- 5W każdej chwili możesz złożyć skargę do PUODO (patrz sekcja Organ nadzorczy powyżej)
Prywatność dzieci
Nasze usługi nie są przeznaczone dla osób poniżej 16 roku życia. Nie zbieramy świadomie danych osobowych od dzieci. Jeśli uważasz, że zebraliśmy dane od dziecka, skontaktuj się z nami natychmiast, a usuniemy je.
§1. Postanowienia ogólne
Niniejsza Polityka Prywatności opisuje, jak EPKO SP. Z O.O. ("my", "nas", "SafeTripVax") przetwarza Twoje dane osobowe.
Zobowiązujemy się do ochrony Twojej prywatności i przetwarzania danych zgodnie z Ogólnym Rozporządzeniem o Ochronie Danych (RODO) i obowiązującym prawem polskim.
Korzystając z naszych usług, potwierdzasz, że zapoznałeś się z niniejszą Polityką Prywatności i ją rozumiesz.
§2. Zakres przetwarzania danych
Przetwarzamy dane osobowe, które podajesz bezpośrednio (rejestracja, formularze, komunikacja).
Zbieramy dane techniczne automatycznie (adres IP, typ przeglądarki, informacje o urządzeniu).
Możemy otrzymywać dane od osób trzecich (dostawcy logowania społecznościowego, procesory płatności).
Dane związane ze zdrowiem (historia szczepień) są przetwarzane tylko za Twoją wyraźną zgodą.
§3. Rodzaje zbieranych danych
Dane konta: adres email, imię, hasło (zahaszowane), zdjęcie profilowe
Dane profilu: preferencje podróży, historia szczepień, stany zdrowia (opcjonalnie)
Dane użytkowania: odwiedzane strony, używane funkcje, czas spędzony, informacje o urządzeniu
Dane komunikacji: wiadomości, zgłoszenia wsparcia, opinie
Dane transakcji: historia płatności, status subskrypcji
§4. Odbiorcy danych
Dostawcy hostingu i infrastruktury (Supabase, Vercel)
Procesory płatności (Stripe) - dla usług premium
Usługi analityczne (Google Analytics) - tylko zanonimizowane dane
Kliniki - tylko gdy wyraźnie zdecydujesz się udostępnić dane do rezerwacji wizyty
Organy prawne - gdy wymagane przez prawo lub nakaz sądowy
§5. Transfery międzynarodowe
Niektórzy dostawcy usług znajdują się poza EOG (głównie USA).
Zapewniamy odpowiednią ochronę poprzez Standardowe Klauzule Umowne zatwierdzone przez UE.
Korzystamy tylko z dostawców spełniających wymagania RODO lub równoważne standardy.
§6. Twoje prawa
- Prawo dostępu - uzyskanie kopii Twoich danych osobowych
- Prawo do sprostowania - poprawienie nieprawidłowych danych
- Prawo do usunięcia - usunięcie danych ("prawo do bycia zapomnianym")
- Prawo do ograniczenia - ograniczenie sposobu przetwarzania danych
- Prawo do przenoszenia danych - otrzymanie danych w formacie nadającym się do odczytu maszynowego
- Prawo do sprzeciwu - sprzeciw wobec przetwarzania opartego na uzasadnionym interesie
- Prawo do wycofania zgody - wycofanie zgody w dowolnym momencie
- Prawo do skargi - złożenie skargi do organu nadzorczego (PUODO w Polsce)
§7. Okresy przechowywania
Dane konta: przechowywane przez okres aktywności konta plus 5 lat po usunięciu dla zgodności prawnej
Dane transakcji: 7 lat (wymóg polskiego prawa podatkowego)
Dane analityczne: anonimizowane po 26 miesiącach
Dane komunikacji: 3 lata od ostatniego kontaktu
Możesz zażądać usunięcia w dowolnym momencie, z zastrzeżeniem wymogów prawnych dotyczących przechowywania
§8. Środki bezpieczeństwa
Wdrażamy środki techniczne i organizacyjne w celu ochrony Twoich danych.
Wszystkie dane są szyfrowane w transmisji (TLS 1.3) i w spoczynku (AES-256).
Przeprowadzamy regularne audyty bezpieczeństwa i testy penetracyjne.
Dostęp do danych osobowych jest ograniczony tylko do upoważnionego personelu.
Utrzymujemy procedury reagowania na incydenty naruszenia danych.
§9. Zmiany niniejszej polityki
Możemy okresowo aktualizować niniejszą Politykę Prywatności.
O istotnych zmianach poinformujemy przez email lub widoczne powiadomienie na stronie.
Dalsze korzystanie z naszych usług po zmianach oznacza akceptację.
Poprzednie wersje są archiwizowane i dostępne na żądanie.