Data wejścia w życie: 15.09.2025
1. Administrator i kontakt
Administratorem danych osobowych Użytkowników (lekarzy/farmaceutów) jest: CodeWave Sp. z o.o., z siedzibą we Wrocławiu, KRS 0000519796, NIP 8992756419, REGON 022473916, e-mail do spraw prywatności: privacy@wystawi.ai („Spółka”, „Administrator”).
2. Zakres stosowania i role stron
Niniejsza Polityka wyjaśnia, jak przetwarzamy dane w związku z aplikacją „wystawi.ai” („Aplikacja”).
Rola Spółki:
• w odniesieniu do danych Użytkownika – Administrator.
• w odniesieniu do danych pacjentów (członków najbliższej rodziny Użytkownika) wprowadzanych do Aplikacji – Spółka działa wyłącznie jako Podmiot przetwarzający (procesor) na rzecz Użytkownika, który jest Administratorem tych danych. Zasady powierzenia określa Załącznik 1 do Regulaminu (DPA).
3. Definicje skrócone
„Użytkownik” – osoba uprawniona do wystawiania recept pro auctore/pro familiae, która korzysta z Aplikacji.
„Pacjent” – członek najbliższej rodziny Użytkownika, którego dane są wprowadzane do Aplikacji w celu wystawienia recepty pro familiae.
„P1/IKP” – publiczny system e‑zdrowie i Internetowe Konto Pacjenta.
4. Kategorie danych
4.1. Dane Użytkownika: imię, nazwisko, PWZ/nr farmaceuty, dane kontaktowe, ID konta, logi aktywności, ustawienia, informacje o certyfikacie/podpisie, dane rozliczeniowe (jeśli wprowadzimy płatności).
4.2. Dane techniczne: identyfikatory urządzeń, adres IP, dane o zdarzeniach (logi), pliki cookies/pamięć lokalna – wyłącznie w zakresie niezbędnym do działania Aplikacji i bezpieczeństwa.
4.3. Dane pacjentów (jako procesor): dane identyfikacyjne, dane kontaktowe, dane o zdrowiu niezbędne do wystawienia recepty (nazwy leków, dawkowanie, uprawnienia).
5. Źródła danych
Dane Użytkownika pozyskujemy bezpośrednio od Użytkownika. Dane pacjentów pozyskujemy pośrednio od Użytkownika (administrator danych pacjentów).
6. Cele i podstawy prawne (Użytkownik)
• Założenie i prowadzenie konta, świadczenie usługi cyfrowej – art. 6 ust. 1 lit. b RODO.
• Bezpieczeństwo, zapobieganie nadużyciom, logi, dochodzenie roszczeń – art. 6 ust. 1 lit. f RODO (uzasadniony interes Administratora).
• Obowiązki księgowe/podatkowe (jeżeli odpłatnie) – art. 6 ust. 1 lit. c RODO.
• Marketing bezpośredni (e‑mail, SMS, push, automatyczne systemy wywołujące) – wyłącznie na podstawie zgody – art. 6 ust. 1 lit. a RODO, w zw. z przepisami Prawa komunikacji elektronicznej.
Nie prowadzimy zautomatyzowanego podejmowania decyzji wywołującego skutki prawne wobec Użytkownika (art. 22 RODO).
7. Dane pacjentów (role, cele, podstawy)
Użytkownik jest Administratorem danych pacjentów i decyduje o celach oraz podstawach prawnych (co do zasady art. 6 ust. 1 lit. c i art. 9 ust. 2 lit. h RODO – udzielanie świadczeń zdrowotnych/wystawianie recept pro auctore/pro familiae). Spółka przetwarza dane pacjentów wyłącznie na udokumentowane polecenie Użytkownika (art. 28 RODO) – w zakresie niezbędnym do świadczenia usługi Aplikacji (w tym przekazania e‑recept do systemu P1/IKP).
8. Obowiązek informacyjny wobec pacjentów
Użytkownik (jako Administrator danych pacjentów) jest odpowiedzialny za spełnienie obowiązków informacyjnych z art. 13/14 RODO wobec pacjentów. Użytkownik oświadcza, że przekazał wymagane informacje (w tym wskazanie Spółki jako procesora i główne elementy niniejszej Polityki). Spółka nie kontaktuje się z pacjentami we własnym imieniu w celach informacyjnych, chyba że wynika to z bezwzględnie obowiązujących przepisów lub z udokumentowanego polecenia Użytkownika.
9. Odbiorcy danych
• System P1/IKP i właściwe organy – gdy wynika to z przepisów.
• Dostawcy usług IT/hosting/bezpieczeństwo – jako podmioty przetwarzające na podstawie art. 28 RODO.
• Doradcy prawni/księgowi – gdy to konieczne do obrony/egzekwowania roszczeń.
Aktualna lista podprzetwórców publikowana jest na stronie: https://wystawi.ai/podprzetworcoy.
10. Przekazywanie danych poza EOG
Co do zasady dane przechowujemy w EOG. Jeśli dochodzi do transferu poza EOG – stosujemy mechanizmy rozdz. V RODO (np. standardowe klauzule umowne) oraz dokonujemy oceny wpływu transferu (TIA).
11. Retencja (okresy przechowywania)
• Dane konta Użytkownika – przez czas trwania umowy, a po jej zakończeniu przez okres przedawnienia roszczeń (co do zasady 6 lat, chyba że przepisy stanowią inaczej).
• Dane księgowe (jeżeli wystąpią) – przez okres wymagany przez prawo (co do zasady 5 lat).
• Logi bezpieczeństwa – do 24 miesięcy od zdarzenia lub dłużej, gdy wymagają tego cele dowodowe.
• Dane marketingowe – do czasu wycofania zgody.
• Dane pacjentów – zgodnie z instrukcjami Użytkownika (Administratora) oraz DPA; po zakończeniu świadczenia usług – usuwane lub zwracane.
12. Marketing i komunikacja elektroniczna
Przetwarzamy dane Użytkowników dla celów marketingu bezpośredniego wyłącznie na podstawie dobrowolnej zgody. Zgoda obejmuje możliwość przesyłania informacji handlowych na urządzenie końcowe Użytkownika z użyciem e‑mail, SMS, powiadomień push i automatycznych systemów wywołujących, na zasadach określonych w Prawie komunikacji elektronicznej. Zgodę można wycofać w dowolnym momencie w ustawieniach konta lub pisząc na [privacy@wystawi.ai]; wycofanie nie wpływa na zgodność wcześniejszego przetwarzania.
13. Pliki cookies, pamięć lokalna i powiadomienia push
Używamy wyłącznie niezbędnych plików cookies/pamięci lokalnej do uwierzytelniania sesji i bezpieczeństwa. Nie stosujemy cookies marketingowych bez zgody. Powiadomienia push są wysyłane tylko po udzieleniu odpowiedniej zgody systemowej/marketingowej.
14. Bezpieczeństwo
Stosujemy środki techniczne i organizacyjne adekwatne do ryzyk (art. 32 RODO), m.in.: szyfrowanie danych w tranzycie i w spoczynku, kontrolę dostępu, zasadę minimalizacji, rejestrowanie zdarzeń, testy bezpieczeństwa, procedurę reagowania na incydenty (72 h), przeglądy uprawnień, szkolenia personelu. Dane biometryczne urządzenia (Face ID/odcisk) nie są przetwarzane przez Spółkę – to funkcja systemowa urządzenia.
Wsparcie/Helpdesk: zabronione jest przesyłanie zrzutów ekranu zawierających dane pacjentów; udostępniamy narzędzia ich zaciemniania.
15. Prawa osób, których dane dotyczą (Użytkownicy)
Użytkownikowi przysługują prawa: dostępu, sprostowania, usunięcia, ograniczenia, przenoszenia, sprzeciwu (gdy podstawą jest uzasadniony interes), oraz skargi do Prezesa UODO. Wnioski realizujemy niezwłocznie, nie później niż w ciągu 1 miesiąca. Możemy zweryfikować tożsamość.
Pacjenci realizują prawa wobec Użytkownika jako Administratora; Spółka wspiera Użytkownika zgodnie z DPA.
16. Obowiązek podania danych i konsekwencje braku
Podanie danych Użytkownika jest konieczne do zawarcia i wykonania umowy o świadczenie usług elektronicznych – brak danych uniemożliwi korzystanie z Aplikacji.
17. Zmiany Polityki
Zastrzegamy prawo zmiany Polityki m.in. z powodu zmian prawa lub funkcjonalności. O istotnych zmianach poinformujemy z wyprzedzeniem poprzez Aplikację/stronę (co do zasady 14 dni).
18. Kontakt i skargi
Kontakt w sprawach prywatności: privacy@wystawi.ai.
Skarga do organu nadzorczego: Prezes Urzędu Ochrony Danych Osobowych, ul. Stawki 2, 00‑193 Warszawa, uodo.gov.pl.