Polityka Prywatności

Jakie dane zbieramy

Zbieramy dane konta (email, imię), dane profilu (preferencje podróży, historia szczepień), dane użytkowania (odwiedzane strony, używane funkcje) oraz dane komunikacji (wiadomości, zgłoszenia).

Dlaczego przetwarzamy dane

Aby świadczyć i ulepszać usługi, personalizować doświadczenia, zapewniać bezpieczeństwo, spełniać wymogi prawne i komunikować się z Tobą.

Twoje prawa

Możesz uzyskać dostęp, sprostować, usunąć, ograniczyć, przenosić dane, sprzeciwić się przetwarzaniu i składać skargi do organów nadzorczych.

Wyznaczyliśmy Inspektora Ochrony Danych (IOD) zgodnie z art. 37 RODO. W sprawach dotyczących przetwarzania danych osobowych oraz realizacji przysługujących Ci praw możesz kontaktować się z IOD:

Inspektor Ochrony Danych
Email: dpo@medova.health
EPKO SP. Z O.O., ul. Podleśna 2, 05-270 Marki, Polska

Administratorem danych jest EPKO SP. Z O.O., ul. Podleśna 2, 05-270 Marki, Polska. Kontakt: office@medova.health

• Wszystkie dane szyfrowane w transmisji (TLS 1.3) i w spoczynku (AES-256)
• Kontrola dostępu z uprawnieniami opartymi na rolach
• Regularne audyty bezpieczeństwa i testy penetracyjne
• Uwierzytelnianie wieloskładnikowe dostępne dla wszystkich kont
• Automatyczne wykrywanie zagrożeń i monitoring

Kontakt ds. bezpieczeństwa

Aby zgłosić luki bezpieczeństwa, skontaktuj się z nami: security@medova.health. Stosujemy praktyki odpowiedzialnego ujawniania.

Niektórzy nasi dostawcy usług znajdują się poza Europejskim Obszarem Gospodarczym (EOG). Zapewniamy odpowiednie zabezpieczenia poprzez Standardowe Klauzule Umowne (SKU) zatwierdzone przez Komisję Europejską.

Stosujemy zautomatyzowane przetwarzanie w celu generowania informacyjnych podsumowań zdrowotnych na podstawie publicznie dostępnych danych WHO oraz opcjonalnego profilu zdrowia użytkownika. Podsumowania te mają charakter wyłącznie edukacyjny i nie stanowią porady medycznej ani rekomendacji klinicznych. Możesz zażądać ręcznego przeglądu każdego automatycznego wyniku, kontaktując się z nami pod adresem dpo@medova.health. Wszelka personalizacja opiera się na Twoich wyraźnych preferencjach i może być w każdej chwili dostosowana lub usunięta.

Jeśli zdecydujesz się utworzyć profil zdrowia, przetwarzamy poniższe dane w celu generowania informacyjnych podsumowań zdrowotnych dotyczących podróży. Przetwarzanie to odbywa się na podstawie Twojej wyraźnej zgody (art. 9 ust. 2 lit. a RODO) i ma charakter wyłącznie edukacyjny:

• Przetwarzane dane: Grupa wiekowa, status ciąży, status immunosupresji, choroby przewlekłe, alergie, grupa krwi (wszystkie opcjonalne)
• Sposób działania: Dane profilu są łączone z publicznie dostępnymi wskaźnikami zdrowotnymi WHO w celu generowania informacyjnych podsumowań o powszechnie wymaganych szczepieniach dla Twojej destynacji
• Transparentność: Metodologia opiera się na rekomendacjach WHO International Travel and Health. Progi punktowe i źródła danych są udokumentowane na stronie każdego kraju
• Prawo do rezygnacji: Możesz usunąć swój profil zdrowia w dowolnym momencie w Ustawienia → Prywatność. Spowoduje to natychmiastowe usunięcie wszystkich danych zdrowotnych i wyłączenie spersonalizowanych podsumowań
• Brak decyzji klinicznych: Wyniki mają charakter wyłącznie informacyjny i nie mogą zastąpić konsultacji z wykwalifikowanym pracownikiem służby zdrowia

W przypadku naruszenia ochrony danych osobowych stosujemy procedury zgodne z art. 33 i art. 34 RODO:

• Powiadomienie organu nadzorczego: Powiadomimy PUODO (Prezesa Urzędu Ochrony Danych Osobowych) w ciągu 72 godzin od stwierdzenia naruszenia mogącego skutkować ryzykiem dla Twoich praw i wolności
• Powiadomienie użytkowników: Jeśli naruszenie może skutkować wysokim ryzykiem dla Twoich praw i wolności, powiadomimy Cię niezwłocznie drogą mailową oraz za pomocą widocznego komunikatu na stronie
• Treść powiadomienia: Opiszemy charakter naruszenia, prawdopodobne konsekwencje, podjęte lub proponowane środki zaradcze oraz dane kontaktowe naszego IOD
• Dokumentacja: Prowadzimy rejestr wszystkich naruszeń danych osobowych, w tym ich skutków i podjętych działań naprawczych, niezależnie od tego, czy podlegają zgłoszeniu

Masz prawo złożyć skargę do organu nadzorczego właściwego ds. ochrony danych osobowych. Organem właściwym dla Medova jest:

Prezes Urzędu Ochrony Danych Osobowych (PUODO)
ul. Stawki 2, 00-193 Warszawa
Tel.: +48 22 531 03 00
Strona: www.uodo.gov.pl
Email: kancelaria@uodo.gov.pl

1. Zaloguj się na swoje konto i przejdź do Ustawienia → Prywatność
2. Wybierz działanie, które chcesz wykonać (dostęp, pobranie, usunięcie, itp.)
3. W przypadku złożonych wniosków skontaktuj się z IOD: dpo@medova.health
4. Odpowiemy w ciągu 30 dni (możliwe przedłużenie o 60 dni dla złożonych wniosków)
5. W każdej chwili możesz złożyć skargę do PUODO (patrz sekcja Organ nadzorczy powyżej)

Nasze usługi nie są przeznaczone dla osób poniżej 16 roku życia. Nie zbieramy świadomie danych osobowych od dzieci. Jeśli uważasz, że zebraliśmy dane od dziecka, skontaktuj się z nami natychmiast, a usuniemy je.

• Niniejsza Polityka Prywatności opisuje, jak EPKO SP. Z O.O. ("my", "nas", "Medova") przetwarza Twoje dane osobowe.
• Zobowiązujemy się do ochrony Twojej prywatności i przetwarzania danych zgodnie z Ogólnym Rozporządzeniem o Ochronie Danych (RODO) i obowiązującym prawem polskim.
• Korzystając z naszych usług, potwierdzasz, że zapoznałeś się z niniejszą Polityką Prywatności i ją rozumiesz.

• Przetwarzamy dane osobowe, które podajesz bezpośrednio (rejestracja, formularze, komunikacja).
• Zbieramy dane techniczne automatycznie (adres IP, typ przeglądarki, informacje o urządzeniu).
• Możemy otrzymywać dane od osób trzecich (dostawcy logowania społecznościowego, procesory płatności).
• Dane związane ze zdrowiem (historia szczepień) są przetwarzane tylko za Twoją wyraźną zgodą.

• Dane konta: adres email, imię, hasło (zahaszowane), zdjęcie profilowe
• Dane profilu: preferencje podróży, historia szczepień, stany zdrowia (opcjonalnie)
• Dane użytkowania: odwiedzane strony, używane funkcje, czas spędzony, informacje o urządzeniu
• Dane komunikacji: wiadomości, zgłoszenia wsparcia, opinie
• Dane transakcji: historia płatności, status subskrypcji

• Dostawcy hostingu i infrastruktury (Supabase, Vercel)
• Procesory płatności (Stripe) - dla usług premium
• Usługi analityczne (Google Analytics) - tylko zanonimizowane dane
• Kliniki - tylko gdy wyraźnie zdecydujesz się udostępnić dane do rezerwacji wizyty
• Organy prawne - gdy wymagane przez prawo lub nakaz sądowy

• Niektórzy dostawcy usług znajdują się poza EOG (głównie USA).
• Zapewniamy odpowiednią ochronę poprzez Standardowe Klauzule Umowne zatwierdzone przez UE.
• Korzystamy tylko z dostawców spełniających wymagania RODO lub równoważne standardy.

1. Prawo dostępu - uzyskanie kopii Twoich danych osobowych
2. Prawo do sprostowania - poprawienie nieprawidłowych danych
3. Prawo do usunięcia - usunięcie danych ("prawo do bycia zapomnianym")
4. Prawo do ograniczenia - ograniczenie sposobu przetwarzania danych
5. Prawo do przenoszenia danych - otrzymanie danych w formacie nadającym się do odczytu maszynowego
6. Prawo do sprzeciwu - sprzeciw wobec przetwarzania opartego na uzasadnionym interesie
7. Prawo do wycofania zgody - wycofanie zgody w dowolnym momencie
8. Prawo do skargi - złożenie skargi do organu nadzorczego (PUODO w Polsce)

• Dane konta: przechowywane przez okres aktywności konta plus 5 lat po usunięciu dla zgodności prawnej
• Dane transakcji: 7 lat (wymóg polskiego prawa podatkowego)
• Dane analityczne: anonimizowane po 26 miesiącach
• Dane komunikacji: 3 lata od ostatniego kontaktu
• Możesz zażądać usunięcia w dowolnym momencie, z zastrzeżeniem wymogów prawnych dotyczących przechowywania

• Wdrażamy środki techniczne i organizacyjne w celu ochrony Twoich danych.
• Wszystkie dane są szyfrowane w transmisji (TLS 1.3) i w spoczynku (AES-256).
• Przeprowadzamy regularne audyty bezpieczeństwa i testy penetracyjne.
• Dostęp do danych osobowych jest ograniczony tylko do upoważnionego personelu.
• Utrzymujemy procedury reagowania na incydenty naruszenia danych.

• Możemy okresowo aktualizować niniejszą Politykę Prywatności.
• O istotnych zmianach poinformujemy przez email lub widoczne powiadomienie na stronie.
• Dalsze korzystanie z naszych usług po zmianach oznacza akceptację.
• Poprzednie wersje są archiwizowane i dostępne na żądanie.