Data wejścia w życie: 15.09.2025 1. Administrator i kontakt Administratorem danych osobowych Użytkowników (lekarzy/farmaceutów) jest: CodeWave Sp. z o.o., z siedzibą we Wrocławiu, KRS 0000519796, NIP 8992756419, REGON 022473916, e-mail do spraw prywatności: privacy@wystawi.ai („Spółka”, „Administrator”). 2. Zakres stosowania i role stron Niniejsza Polityka wyjaśnia, jak przetwarzamy dane w związku z aplikacją „wystawi.ai” („Aplikacja”). Rola Spółki: • w odniesieniu do danych Użytkownika – Administrator. • w odniesieniu do danych pacjentów (członków najbliższej rodziny Użytkownika) wprowadzanych do Aplikacji – Spółka działa wyłącznie jako Podmiot przetwarzający (procesor) na rzecz Użytkownika, który jest Administratorem tych danych. Zasady powierzenia określa Załącznik 1 do Regulaminu (DPA). 3. Definicje skrócone „Użytkownik” – osoba uprawniona do wystawiania recept pro auctore/pro familiae, która korzysta z Aplikacji. „Pacjent” – członek najbliższej rodziny Użytkownika, którego dane są wprowadzane do Aplikacji w celu wystawienia recepty pro familiae. „P1/IKP” – publiczny system e‑zdrowie i Internetowe Konto Pacjenta. 4. Kategorie danych 4.1. Dane Użytkownika: imię, nazwisko, PWZ/nr farmaceuty, dane kontaktowe, ID konta, logi aktywności, ustawienia, informacje o certyfikacie/podpisie, dane rozliczeniowe (jeśli wprowadzimy płatności). 4.2. Dane techniczne: identyfikatory urządzeń, adres IP, dane o zdarzeniach (logi), pliki cookies/pamięć lokalna – wyłącznie w zakresie niezbędnym do działania Aplikacji i bezpieczeństwa. 4.3. Dane pacjentów (jako procesor): dane identyfikacyjne, dane kontaktowe, dane o zdrowiu niezbędne do wystawienia recepty (nazwy leków, dawkowanie, uprawnienia). 5. Źródła danych Dane Użytkownika pozyskujemy bezpośrednio od Użytkownika. Dane pacjentów pozyskujemy pośrednio od Użytkownika (administrator danych pacjentów). 6. Cele i podstawy prawne (Użytkownik) • Założenie i prowadzenie konta, świadczenie usługi cyfrowej – art. 6 ust. 1 lit. b RODO. • Bezpieczeństwo, zapobieganie nadużyciom, logi, dochodzenie roszczeń – art. 6 ust. 1 lit. f RODO (uzasadniony interes Administratora). • Obowiązki księgowe/podatkowe (jeżeli odpłatnie) – art. 6 ust. 1 lit. c RODO. • Marketing bezpośredni (e‑mail, SMS, push, automatyczne systemy wywołujące) – wyłącznie na podstawie zgody – art. 6 ust. 1 lit. a RODO, w zw. z przepisami Prawa komunikacji elektronicznej. Nie prowadzimy zautomatyzowanego podejmowania decyzji wywołującego skutki prawne wobec Użytkownika (art. 22 RODO). 7. Dane pacjentów (role, cele, podstawy) Użytkownik jest Administratorem danych pacjentów i decyduje o celach oraz podstawach prawnych (co do zasady art. 6 ust. 1 lit. c i art. 9 ust. 2 lit. h RODO – udzielanie świadczeń zdrowotnych/wystawianie recept pro auctore/pro familiae). Spółka przetwarza dane pacjentów wyłącznie na udokumentowane polecenie Użytkownika (art. 28 RODO) – w zakresie niezbędnym do świadczenia usługi Aplikacji (w tym przekazania e‑recept do systemu P1/IKP). 8. Obowiązek informacyjny wobec pacjentów Użytkownik (jako Administrator danych pacjentów) jest odpowiedzialny za spełnienie obowiązków informacyjnych z art. 13/14 RODO wobec pacjentów. Użytkownik oświadcza, że przekazał wymagane informacje (w tym wskazanie Spółki jako procesora i główne elementy niniejszej Polityki). Spółka nie kontaktuje się z pacjentami we własnym imieniu w celach informacyjnych, chyba że wynika to z bezwzględnie obowiązujących przepisów lub z udokumentowanego polecenia Użytkownika. 9. Odbiorcy danych • System P1/IKP i właściwe organy – gdy wynika to z przepisów. • Dostawcy usług IT/hosting/bezpieczeństwo – jako podmioty przetwarzające na podstawie art. 28 RODO. • Doradcy prawni/księgowi – gdy to konieczne do obrony/egzekwowania roszczeń. Aktualna lista podprzetwórców publikowana jest na stronie: https://wystawi.ai/podprzetworcoy. 10. Przekazywanie danych poza EOG Co do zasady dane przechowujemy w EOG. Jeśli dochodzi do transferu poza EOG – stosujemy mechanizmy rozdz. V RODO (np. standardowe klauzule umowne) oraz dokonujemy oceny wpływu transferu (TIA). 11. Retencja (okresy przechowywania) • Dane konta Użytkownika – przez czas trwania umowy, a po jej zakończeniu przez okres przedawnienia roszczeń (co do zasady 6 lat, chyba że przepisy stanowią inaczej). • Dane księgowe (jeżeli wystąpią) – przez okres wymagany przez prawo (co do zasady 5 lat). • Logi bezpieczeństwa – do 24 miesięcy od zdarzenia lub dłużej, gdy wymagają tego cele dowodowe. • Dane marketingowe – do czasu wycofania zgody. • Dane pacjentów – zgodnie z instrukcjami Użytkownika (Administratora) oraz DPA; po zakończeniu świadczenia usług – usuwane lub zwracane. 12. Marketing i komunikacja elektroniczna Przetwarzamy dane Użytkowników dla celów marketingu bezpośredniego wyłącznie na podstawie dobrowolnej zgody. Zgoda obejmuje możliwość przesyłania informacji handlowych na urządzenie końcowe Użytkownika z użyciem e‑mail, SMS, powiadomień push i automatycznych systemów wywołujących, na zasadach określonych w Prawie komunikacji elektronicznej. Zgodę można wycofać w dowolnym momencie w ustawieniach konta lub pisząc na [privacy@wystawi.ai]; wycofanie nie wpływa na zgodność wcześniejszego przetwarzania. 13. Pliki cookies, pamięć lokalna i powiadomienia push Używamy wyłącznie niezbędnych plików cookies/pamięci lokalnej do uwierzytelniania sesji i bezpieczeństwa. Nie stosujemy cookies marketingowych bez zgody. Powiadomienia push są wysyłane tylko po udzieleniu odpowiedniej zgody systemowej/marketingowej. 14. Bezpieczeństwo Stosujemy środki techniczne i organizacyjne adekwatne do ryzyk (art. 32 RODO), m.in.: szyfrowanie danych w tranzycie i w spoczynku, kontrolę dostępu, zasadę minimalizacji, rejestrowanie zdarzeń, testy bezpieczeństwa, procedurę reagowania na incydenty (72 h), przeglądy uprawnień, szkolenia personelu. Dane biometryczne urządzenia (Face ID/odcisk) nie są przetwarzane przez Spółkę – to funkcja systemowa urządzenia. Wsparcie/Helpdesk: zabronione jest przesyłanie zrzutów ekranu zawierających dane pacjentów; udostępniamy narzędzia ich zaciemniania. 15. Prawa osób, których dane dotyczą (Użytkownicy) Użytkownikowi przysługują prawa: dostępu, sprostowania, usunięcia, ograniczenia, przenoszenia, sprzeciwu (gdy podstawą jest uzasadniony interes), oraz skargi do Prezesa UODO. Wnioski realizujemy niezwłocznie, nie później niż w ciągu 1 miesiąca. Możemy zweryfikować tożsamość. Pacjenci realizują prawa wobec Użytkownika jako Administratora; Spółka wspiera Użytkownika zgodnie z DPA. 16. Obowiązek podania danych i konsekwencje braku Podanie danych Użytkownika jest konieczne do zawarcia i wykonania umowy o świadczenie usług elektronicznych – brak danych uniemożliwi korzystanie z Aplikacji. 17. Zmiany Polityki Zastrzegamy prawo zmiany Polityki m.in. z powodu zmian prawa lub funkcjonalności. O istotnych zmianach poinformujemy z wyprzedzeniem poprzez Aplikację/stronę (co do zasady 14 dni). 18. Kontakt i skargi Kontakt w sprawach prywatności: privacy@wystawi.ai. Skarga do organu nadzorczego: Prezes Urzędu Ochrony Danych Osobowych, ul. Stawki 2, 00‑193 Warszawa, uodo.gov.pl.