Polityka prywatności

Polityka prywatności evi-MED Sp. z o.o.

1. Informacje ogólne

Niniejsza Polityka prywatności określa zasady przetwarzania danych osobowych przez evi-MED Sp. z o.o. z siedzibą w Gdyni (81-323), przy ul. Morskiej 43, wpisaną do Krajowego Rejestru Sądowego pod numerem KRS 0000180602 (dalej: „Administrator” lub „evi-MED”).

Administrator zapewnia, że przetwarzanie danych osobowych odbywa się zgodnie z:

• Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO),
• ustawą o prawach pacjenta i Rzeczniku Praw Pacjenta,
• ustawą o działalności leczniczej,
• ustawą o świadczeniu usług drogą elektroniczną,
• Prawem komunikacji elektronicznej.

W trosce o Państwa prywatność i bezpieczeństwo powierzonych nam Państwa danych osobowych oraz respektując obowiązujące przepisy prawa, przekazujemy informacje na temat przetwarzania i celów przetwarzania danych, mające charakter zapewnienia o zachowaniu należytej staranności po stronie evi-MED Sp. z o.o.

Zwroty i wyrażenia użyte w niniejszej Polityce prywatności mają następujące znaczenie:

• dane osobowe – w rozumieniu art. 4 pkt 1) RODO oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”) poprzez jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość, w tym IP urządzenia, dane o lokalizacji, identyfikator internetowy oraz informacje gromadzone za pośrednictwem plików cookie oraz innej podobnej technologii;

• przetwarzanie – w rozumieniu art. 4 pkt 2) RODO oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;

• RODO – rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych);

• Administrator – w rozumieniu art. 4 pkt 7) RODO oznacza administratora danych, a więc podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Ilekroć w niniejszej Polityce prywatności mowa o Administratorze rozumie się przez to evi-MED Sp. z o.o. z siedzibą w Gdyni (81-323) przy ul. Morskiej 43, która samodzielnie decyduje o celach i sposobach przetwarzania danych osobowych;

• Serwis – serwis internetowy prowadzony przez Administratora pod adresem: https://www.evi-med.pl;

• Użytkownik – każda osoba fizyczna odwiedzająca serwis lub korzystająca z jednej albo kilku usług czy funkcjonalności serwisu.

2. Podstawa prawna przetwarzania danych osobowych

Podstawą prawną przetwarzania Państwa danych osobowych przez evi-MED Sp. z o.o. jest:

• wykonanie ciążących na nas obowiązków prawnych, związanych z ochroną życia i zdrowia pacjentów (art 6, pkt 1, lit c RODO, art. 9 ust. 2 lit. h RODO).
• ochrona żywotnych interesów pacjentów tj. ich życia i zdrowia (art 6, pkt 1, lit d RODO, art. 9 ust. 2 lit. h RODO )
• realizacja umów z instytucjami, podmiotami publicznymi i prywatnymi w zakresie ochrony zdrowia (art 6, pkt 1, lit b RODO)
• Państwa zgoda (art 6, pkt 1, lit a RODO)
• realizacja prawnie uzasadnionych interesów Administratora (art 6, pkt 1, lit f RODO)
• Administrator przetwarza dane osobowe na podstawie art. 6 ust. 1 lit. f RODO wyłącznie w ściśle określonych przypadkach, tj.:

a) Obsługa zapytań i kontaktu

Przetwarzanie danych odbywa się w celu udzielenia odpowiedzi na zapytania kierowane przez użytkowników, co stanowi nasz uzasadniony interes polegający na zapewnieniu sprawnej komunikacji i obsługi osób zainteresowanych usługami.

b) Zapewnienie bezpieczeństwa systemów IT

Przetwarzanie danych (w tym logów systemowych) służy ochronie infrastruktury IT przed nadużyciami, atakami oraz zapewnieniu integralności i dostępności usług.

c) Dochodzenie i obrona roszczeń

Dane mogą być przetwarzane w celu ustalenia, dochodzenia lub obrony przed roszczeniami, co stanowi nasz uzasadniony interes polegający na ochronie praw Administratora.

d) Analiza i optymalizacja funkcjonowania serwisu

Przetwarzanie danych w ograniczonym zakresie (zwykle zanonimizowanym lub zagregowanym) w celu poprawy jakości usług i funkcjonowania serwisu.

Administrator każdorazowo dokonuje oceny, czy jego uzasadniony interes nie narusza praw i wolności osób, których dane dotyczą.

W ramach tej oceny uwzględnia się w szczególności:

• charakter przetwarzanych danych,
• minimalizację zakresu danych,
• oczekiwania osób korzystających z usług,
• wpływ przetwarzania na prywatność,
• możliwość wniesienia sprzeciwu wobec przetwarzania.

W przypadkach, w których interes osoby przeważa nad interesem Administratora, przetwarzanie danych nie jest realizowane na podstawie art. 6 ust. 1 lit. f RODO.

Osobie, której dane dotyczą, przysługuje prawo wniesienia sprzeciwu wobec przetwarzania danych osobowych realizowanego na podstawie art. 6 ust. 1 lit. f RODO.

W przypadku wniesienia sprzeciwu Administrator zaprzestaje przetwarzania danych, chyba że wykaże istnienie nadrzędnych, prawnie uzasadnionych podstaw do dalszego przetwarzania.

Przetwarzane dane medyczne należą do kategorii danych wrażliwych, przetwarzamy je w oparciu o art. 9 ust. 2 lit. h RODO.

Możemy również przetwarzać dane osobowe na podstawie innych przepisów szczegółowych.

W celu ułatwienia Państwu możliwości zapoznania się i zrozumienia procesu przetwarzania danych osobowych, przygotowaliśmy odrębny dokument: Klauzula informacyjna. W każdym czasie możecie Państwo zapoznać się z jego treścią. Dokument ten dostępny jest również w placówkach evi-MED oraz w Biurze Zarządu evi-MED.

3. Ogólne zasady korzystania z serwisu

W związku z korzystaniem przez użytkownika z serwisu, Administrator zbiera dane w zakresie niezbędnym do świadczenia oferowanych usług, zbiera także informacje o aktywności użytkownika w serwisie.

W celu korzystania z serwisu, użytkownik powinien posiadać urządzenie z zainstalowanym oprogramowaniem pozwalającym na przeglądanie stron internetowych oraz dostęp do sieci Internet. Dostęp do serwisu może odbywać się przy wykorzystaniu najpopularniejszych przeglądarek internetowych.

Serwis może zawierać linki do stron osób trzecich. Strony internetowe osób trzecich mają swoją własną politykę prywatności. Odwiedzając te strony, użytkownik podlega tym politykom.

Administrator danych zastrzega sobie możliwość gromadzenia adresu IP użytkownika, który może okazać się pomocny przy diagnozowaniu problemów technicznych z serwerem, tworzeniu analiz statystycznych (np. określeniu z jakich regionów notujemy najwięcej odwiedzin). Ponadto, mogą być przydatne przy administrowaniu i udoskonalaniu samego serwisu.

4. Administrator Danych Osobowych

Administratorem Danych Osobowych jest evi-MED Sp. z o. o z siedzibą w Gdyni (81-323), przy ul. Morskiej 43.

Możecie się Państwo z nami skontaktować w następujący sposób:

• drogą tradycyjną na adres: evi-MED Sp. z o.o., ul. Morska 43, 81-323 Gdynia
• drogą elektroniczną na adres mailowy: evimed@evi-med.pl
• drogą telefoniczną: 58 688-81-11

Wyznaczyliśmy Inspektora Ochrony Danych Osobowych. Jest to osoba, z którą Państwo możecie się skontaktować we wszystkich sprawach dotyczących przetwarzania danych osobowych oraz korzystania z praw związanych z przetwarzaniem danych.

Z Inspektorem Ochrony Danych Osobowych można się skontaktować w następujący sposób:

• drogą tradycyjną: evi-MED Sp. z o.o., ul. Morska 43, 81-323 Gdynia, z dopiskiem: IODO
• drogą elektroniczną na adres mailowy: iodo@evi-med.pl
• drogą telefoniczną: 58/688-81-11

5. Zakres przetwarzanych danych osobowych

W zależności od relacji z Administratorem możemy przetwarzać:

3.1. Dane pacjentów (w tym dane szczególnej kategorii)

• dane identyfikacyjne (imię, nazwisko, PESEL, data urodzenia),
• dane kontaktowe,
• dane dotyczące zdrowia (dane medyczne, wyniki badań, wywiady lekarskie, rozpoznania, historie choroby),
• dane dotyczące wizyt i świadczeń zdrowotnych.

3.2. Dane użytkowników serwisu

• adres IP,
• dane o urządzeniu i przeglądarce,
• dane o aktywności w serwisie,
• dane z plików cookies.

3.3. Dane marketingowe i kontaktowe

• adres e-mail,
• numer telefonu (SMS przypomnienia wizyt),
• zgody marketingowe.

Zakres danych osobowych, jakie możemy przetwarzać, może być różny, w zależności od usługi z jakiej Państwo korzystacie.

Państwa dane osobowe możemy pozyskać w następujący sposób:

• podczas korzystania z usług świadczonych drogą elektroniczną, za pośrednictwem serwisu oraz podczas nawiązywania kontaktu z wykorzystaniem danych kontaktowych podanych w serwisie. Aby skorzystać z niektórych funkcjonalności (np.: rejestracja on-line) musicie się Państwo zalogować. Niektóre funkcjonalności nie wymagają logowania, niemniej jednak dostęp do nich jest możliwy po przesłaniu odpowiednich formularzy np.: skorzystanie z formularza w celu wyrażenia swojej opinii dot. jakości obsługi;

• możemy również uzyskać Państwa dane gdy będziecie się z nami kontaktować, za pomocą danych kontaktowych podanych w serwisie (korespondencja e-mail).

Podczas Państwa wizyty na naszej stronie internetowej i korzystania z naszego serwisu do rejestracji on-line automatycznie zbierane są dane dotyczące Państwa wizyty i aktywności, w szczególności: adres IP, nazwa domeny, typ przeglądarki, typ systemu operacyjnego.

Więcej informacji w części poświęconej plikom cookies: Polityka cookies.

W ramach działań podejmowanych poza serwisem, evi-MED Sp. z o.o. może również przetwarzać inne dane osobowe dotyczące Państwa. Poniżej przedstawiamy linki zawierające szczegółowe informacje dotyczące przetwarzania Państwa danych osobowych przez evi-MED Sp. z o.o.

Przetwarzanie danych osobowych przez evi-MED Sp. z o.o. na portalach społecznościowych:

• Facebook

• Instagram

• LinkedIn

Przetwarzanie danych osobowych przez evi-MED Sp. z o.o. w związku z udzielaniem świadczeń zdrowotnych i opieką medyczną.

Przetwarzanie danych osobowych przez evi-MED Sp. z o.o. w związku z działaniami rekrutacyjnymi.

Przetwarzanie danych osobowych przez evi-MED Sp. z o.o. w związku z działaniami marketingowymi i prowadzonym kontaktem.

Przetwarzanie danych osobowych przez evi-MED Sp. z o.o. w związku z prowadzoną współpracą biznesową.

Przetwarzanie danych osobowych przez evi-MED Sp. z o.o. w związku z monitoringiem wizyjnym.

6. Cele i podstawy prawne przetwarzania

Dane osobowe przetwarzane są w następujących celach:

4.1. Świadczenie usług medycznych

Podstawa prawna:

• art. 6 ust. 1 lit. b RODO (umowa),
• art. 6 ust. 1 lit. c RODO (obowiązki prawne),
• art. 9 ust. 2 lit. h RODO (opieka zdrowotna).

Cel:

• diagnostyka, leczenie, profilaktyka, prowadzenie dokumentacji medycznej.

4.2. Rejestracja i obsługa pacjenta (system rejestracji online)

Podstawa prawna:

• art. 6 ust. 1 lit. b RODO,
• art. 9 ust. 2 lit. h RODO.

4.3. Obsługa kontaktu i zapytań

Podstawa prawna:

• art. 6 ust. 1 lit. f RODO (uzasadniony interes Administratora).

4.4. Marketing usług własnych

Podstawa prawna:

• art. 6 ust. 1 lit. a RODO (zgoda),
• ustawa o świadczeniu usług drogą elektroniczną,
• Prawo komunikacji elektronicznej.

Zakres:

• e-mail marketing (jeśli dotyczy),
• SMS marketing i komunikacja informacyjna,
• remarketing.

4.5. Przypomnienia SMS o wizytach

Podstawa prawna:

• art. 6 ust. 1 lit. f RODO (organizacja świadczeń),
• zgoda na komunikację elektroniczną (jeśli wymagana).

4.6. Analiza i statystyka (GA4, Hotjar, Contentsquare)

Podstawa prawna:

• art. 6 ust. 1 lit. a RODO (zgoda na pliki cookies i podobne technologie) – w zakresie przechowywania i odczytu informacji z urządzenia końcowego,
• art. 6 ust. 1 lit. f RODO (uzasadniony interes Administratora) – w zakresie analiz statystycznych opartych o dane zagregowane i zanonimizowane, służących poprawie jakości usług i bezpieczeństwa serwisu

Wykorzystywane narzędzia:

• Google Analytics 4,
• Hotjar (heatmapy, nagrania sesji),
• Contentsquare (analiza zachowań użytkowników).

4.7. Zapewnienie bezpieczeństwa systemów IT

Podstawa prawna:

• art. 6 ust. 1 lit. f RODO.

4.8. Dochodzenie i obrona roszczeń

Podstawa prawna:

• art. 6 ust. 1 lit. f RODO.

Państwa dane osobowe możemy zbierać za pomocą formularzy czy w związku z funkcjonowaniem Państwa konta w serwisie dot. rejestracji on-line. Państwa dane osobowe możemy też uzyskać, jeśli Państwo z nami się kontaktujecie telefonicznie, listownie czy mailowo.

Państwa dane osobowe mogą być wykorzystane przez evi-MED Sp. z o.o. między innymi w następujących celach:

• w związku ze świadczeniem usług na Państwa rzecz przez evi-MED Sp. z o.o., tj. w celu podjęcia działań dążących do zawarcia umowy w związku z Państwa żądaniem, w tym w celu przygotowania oferty, a w przypadku zawarcia umowy pomiędzy Państwem a evi-MED Sp. z o.o. również w celu realizacji zawartej umowy, na podstawie art. 6 ust. 1 lit. b) RODO, do czasu całkowitej realizacji przedmiotu umowy lub do czasu jej rozwiązania lub wygaśnięcia;

• w przypadku korzystania przez Państwo z usług świadczonych odpłatnie lub finansowanych ze środków publicznych w ramach refundacji, w celu wypełnienia obowiązków prawnych ciążących na evi-MED Sp. z o.o., w tym wynikających z ustaw rachunkowych i podatkowych, na podstawie art. 6 ust. 1 lit. c) RODO w związku z brzmieniem tych ustaw, przez okres wynikający z przepisów w nich zawartych;

• udzielenia odpowiedzi na zapytanie skierowane przez Państwo do evi-MED Sp. z o.o. – w oparciu o konieczność realizacji naszego prawnie uzasadnionego interesu w postaci udzielenia odpowiedzi na skierowane do nas zapytanie, a więc na podstawie art. 6 ust. 1 lit. f) RODO, do czasu udzielenia odpowiedzi na to zapytanie lub do czasu zgłoszenia skutecznego sprzeciwu wobec przetwarzania Państwa danych. Dane przetwarzane są wyłącznie w celu obsługi zapytania i nie są wykorzystywane do celów marketingowych bez odrębnej zgody osoby.

• w celu prowadzenia marketingu produktów i usług własnych – na podstawie zgody na podstawie zgody osoby, której dane dotyczą (art. 6 ust. 1 lit. a RODO). Zgoda może zostać w każdej chwili wycofana.

• w celach analitycznych i statystycznych, do tworzenia statystyk oraz zestawień, które będą służyć poprawie skuteczności prowadzonych przez nas działań marketingowych i budowie strategii biznesowej – w zdecydowanej większości takie statystyki tworzone są w oparciu o dane nieosobowe lub dane zanonimizowane. Działania analityczne prowadzone są przede wszystkim na danych zagregowanych lub zanonimizowanych. W przypadku przetwarzania danych osobowych na potrzeby analityczne stosujemy na podstawie zgody art. 6 ust. 1 lit. a RODO wyłącznie w zakresie niezbędnym do zapewnienia prawidłowego funkcjonowania serwisu oraz poprawy jakości usług.

  Dane te nie są wykorzystywane do podejmowania decyzji wywołujących skutki prawne wobec użytkownika. Przetwarzanie danych w celach analitycznych odbywa się wyłącznie na podstawie zgody użytkownika wyrażonej w systemie zarządzania plikami cookies (CMP)

W ramach narzędzi analitycznych może dochodzić do profilowania zachowań użytkowników w celach statystycznych i optymalizacji serwisu, które nie wywołuje skutków prawnych wobec użytkownika.

Technologie analityczne i marketingowe są uruchamiane wyłącznie po wyrażeniu zgody użytkownika w systemie zarządzania zgodami (CMP).

• w celu korzystania z funkcjonalności serwisu, w tym formularzy kontaktowych, rezerwacji, opinii czy reklamacji – podstawą prawną przetwarzania danych osobowych jest prawnie uzasadniony interes Administratora (art. 6 ust. 1 lit. f RODO);

Państwa dane mogą być również przetwarzane w celu ustalenia, dochodzenia lub obrony przed ewentualnymi roszczeniami mogącymi wyniknąć w związku z korzystaniem z usług świadczonych przez evi-MED Sp. z o.o. W takim przypadku Państwa dane będą wykorzystywane w oparciu o konieczność realizacji prawnie uzasadnionego interesu evi-MED Sp. z o.o. w postaci zabezpieczenia roszczeń, a więc na podstawie art. 6ust. 1 lit. f) RODO, przez czas przewidziany przepisami prawa dotyczącymi przedawnienia roszczeń. Po tym okresie Państwa dane zostaną bezpowrotnie usunięte z bazy danych evi-MED Sp. z o.o.

Aktywność użytkowników w serwisie, w tym jego dane osobowe, są rejestrowane w logach systemowych (specjalnym programie komputerowym służącym do przechowywania chronologicznego zapisu zawierającego informację o zdarzeniach i działaniach, które dotyczą systemu informatycznego służącego do świadczenia usług przez Administratora). Zebrane w logach informacje przetwarzane są przede wszystkim w celach związanych ze świadczeniem usług. Administrator przetwarza je również w celach technicznych, administracyjnych, na potrzeby zapewnienia bezpieczeństwa systemu informatycznego oraz zarządzania tym systemem, a także w celach analitycznych i statystycznych – w tym zakresie podstawą prawną przetwarzania jest prawnie uzasadniony interes Administratora (art. 6 ust. 1 lit. f Rozporządzenia).

Pliki cookies i technologie śledzące

Serwis wykorzystuje:

• cookies niezbędne,
• cookies analityczne (GA4, Hotjar, Contentsquare),

Użytkownik może zarządzać zgodami poprzez baner cookies (CMP).

Hotjar i Contentsquare mogą obejmować:

• mapy kliknięć,
• nagrania sesji (session replay),
• analizę scrollowania i interakcji.

Cookies niezbędne są stosowane na podstawie art. 173 ust. 3 Prawa komunikacji elektronicznej i nie wymagają zgody użytkownika, ponieważ są konieczne do prawidłowego funkcjonowania serwisu.

Przetwarzanie danych w celach analitycznych i marketingowych odbywa się wyłącznie po wyrażeniu dobrowolnej zgody użytkownika za pośrednictwem systemu zarządzania zgodami (CMP). W przypadku braku zgody wykorzystywane są wyłącznie niezbędne funkcje techniczne lub rozwiązania ograniczające przetwarzanie danych (np. Google Consent Mode v2).

Google Consent Mode v2 oraz system zarządzania zgodami (CMP)

Administrator stosuje mechanizm Google Consent Mode v2, który umożliwia dostosowanie działania narzędzi analitycznych i marketingowych (w szczególności Google Analytics 4 oraz Google Ads) do wyrażonych przez użytkownika zgód na pliki cookies.

W przypadku braku zgody użytkownika:

• nie są zapisywane identyfikatory cookies w celach analitycznych i marketingowych,
• narzędzia Google działają w trybie ograniczonym (tzw. model „cookieless pings”),
• dane są przetwarzane wyłącznie w sposób zanonimizowany i zagregowany, zgodnie z konfiguracją systemu.

Zarządzanie zgodami odbywa się za pośrednictwem systemu CMP (Consent Management Platform), który umożliwia użytkownikowi:

• wyrażenie lub odmowę zgody na poszczególne kategorie plików cookies,
• zmianę ustawień w dowolnym momencie,
• cofnięcie zgody bez wpływu na zgodność wcześniejszego przetwarzania z prawem.

7. Odbiorcy danych

Dane mogą być przekazywane:

• podmiotom IT i hostingowym,
• dostawcom systemu rejestracji,
• dostawcom narzędzi analitycznych (Google, Hotjar, Contentsquare),
• podmiotom prawnym i księgowym,
• organom publicznym (np. NFZ, RPP, Policja).

Państwa dane mogą być przekazywane podmiotom zewnętrznym, w zakresie niezbędnym do realizacji powyżej wskazanych celów ich przetwarzania. Są to podmioty współpracujące z evi-MED Sp. z o.o. tj. np.: kancelaria prawna oraz podmioty świadczące usługi na rzecz evi-MED na podstawie odrębnie zawartych umów powierzenia np.: hostingodawca, podmioty zapewniające obsługę IT, obsługę księgową.

Państwa dane mogą być również przekazywane podmiotom uprawnionym do dostępu do nich zgodnie z przepisami prawa powszechnie obowiązującego np. Policja, Rzecznik Praw Pacjenta.

Dodatkowo, jeżeli wyrazicie Państwo na to zgodę lub na Państwa żądanie, możemy udostępnić Państwa dane osobowe również innym podmiotom, upoważnionym przez Państwo.

Transfer danych poza EOG

Dane mogą być przekazywane poza EOG w związku z:

• Google LLC,
• Hotjar Ltd,
• Contentsquare SAS,

Transfer odbywa się na podstawie:

• standardowych klauzul umownych (SCC),

Odbiorcy danych mogą mieć swoją siedzibę w państwie znajdującym się poza Europejskim Obszarem Gospodarczym (EOG), w tym jednak przypadku evi-MED Sp. z o.o. zadba o zapewnienie odpowiedniego poziomu zabezpieczeń tak, by zapewnić ochronę osobie, której dane dotyczą. Transfer danych do państw poza EOG może mieć związek np.:

• z działaniami podejmowanymi na serwisach społecznościowych oraz wykorzystaniem wtyczek i innych narzędzi pochodzących z tych serwisów (m.in. Facebook, Instagram),
• z wykorzystaniem narzędzi analitycznych i służących zanonimizowanemu śledzeniu zachowań użytkowników, w szczególności takich jak np.: Google Analytics.

W związku z korzystaniem przez Administratora z narzędzi analitycznych i marketingowych dostarczanych przez podmioty trzecie, dane osobowe mogą być przekazywane do państw trzecich poza Europejskim Obszarem Gospodarczym (EOG), w szczególności do Stanów Zjednoczonych Ameryki.

Przekazanie danych odbywa się na podstawie odpowiednich mechanizmów prawnych zgodnych z RODO, w szczególności:

• standardowych klauzul umownych zatwierdzonych przez Komisję Europejską (Standard Contractual Clauses – SCC),
• w przypadku niektórych odbiorców – decyzji Komisji Europejskiej stwierdzających odpowiedni stopień ochrony (adequacy decision), jeśli mają zastosowanie.

Informujemy, że w związku z przekazywaniem danych do podmiotów mających siedzibę w Stanach Zjednoczonych Ameryki, istnieje potencjalne ryzyko związane z dostępem do danych przez amerykańskie organy publiczne na podstawie przepisów prawa amerykańskiego.

Pomimo stosowania przez dostawców usług odpowiednich zabezpieczeń, takich jak standardowe klauzule umowne (SCC) oraz dodatkowe środki ochrony danych, poziom ochrony danych w USA może różnić się od poziomu ochrony obowiązującego w Unii Europejskiej.

Osoba, której dane dotyczą, może wyrazić zgodę na wykorzystywanie plików cookies w celach analitycznych i marketingowych za pośrednictwem systemu CMP.

Przekazywanie danych do państw trzecich (poza EOG) odbywa się niezależnie od zgody na cookies i opiera się na odpowiednich podstawach prawnych przewidzianych w RODO, w szczególności:

• standardowych klauzulach umownych (SCC) zatwierdzonych przez Komisję Europejską,
• oraz – w przypadku niektórych podmiotów – decyzji Komisji Europejskiej stwierdzających odpowiedni stopień ochrony.

Zgoda na cookies nie stanowi samodzielnej podstawy prawnej przekazywania danych poza Europejski Obszar Gospodarczy.

W ramach korzystania z narzędzi analitycznych i marketingowych dane mogą być przekazywane w szczególności do:

• Google LLC (Google Analytics 4),
• Meta Platforms Inc. (Facebook, Instagram),
• Hotjar Ltd,
• Contentsquare SAS.

Podmioty te mogą przetwarzać dane poza EOG, w szczególności w Stanach Zjednoczonych Ameryki lub innych krajach trzecich, przy zastosowaniu mechanizmów zgodnych z RODO, takich jak standardowe klauzule umowne (SCC).

Administrator, dokonując transferu danych poza EOG, stosuje dodatkowe środki ochrony, w szczególności:

• szyfrowanie transmisji danych,
• pseudonimizację danych tam, gdzie jest to możliwe,
• ograniczenie zakresu danych przekazywanych do niezbędnego minimum,
• konfigurację narzędzi analitycznych w sposób ograniczający identyfikację użytkownika.

Wtyczki mediów społecznościowych

Na stronie serwisu wykorzystywane są wtyczki mediów społecznościowych z sieci Facebook, Instagram, Linkedin w ramach art. 6 ust. 1 lit. f RODO (jako podstawowym celu reklamowo-promocyjnym Administratora), aby umożliwić użytkownikowi udostępnianie treści oraz dostęp do kanałów prowadzonych przez Administratora.

Wtyczki oznaczone są logiem każdego z wymienionych powyżej kont portali społecznościowych. Znajdują się tam również dodatki w zakresie możliwości pozostawienia przycisku ,,Lubię to’’ czy ,,Udostępnij’’. Każdy z serwisów posiada odrębną politykę prywatności, z której treścią zapoznać można się wchodząc na poszczególną stronę za pomocą wtyczki. Zawartość wtyczki jest przesyłana bezpośrednio do portalu społecznościowego z przeglądarki i integrowana ze stroną. Te informacje (w tym adres IP) są przesyłane bezpośrednio z przeglądarki użytkownika na serwer danego serwisu społecznościowego, gdzie kolejno są one przechowywane.

Cel i zakres gromadzenia danych oraz informacje o dalszym ich przetwarzaniu i wykorzystywaniu przez portale społecznościowe, a także związane z tym prawa oraz opcje ustawień w celu ochrony prywatności można znaleźć na każdym z wymienionych portali. Jeśli nie chcecie Państwo, aby portal społecznościowy przypisywał zebrane informacje o wizycie w naszym serwisie bezpośrednio do Państwa profilu, należy uprzednio wylogować się z konta na danym portalu społecznościowym przed odwiedzeniem witryny.

Szczegółowe informacje na ten temat można znaleźć pod poniższymi linkami:

• Facebook: https://www.facebook.com/policy.php
• Instagram: https://pl-pl.facebook.com/help/instagram/155833707900388 
• LinkedIn: https://pl.linkedin.com/legal/privacy-policy
• Google: https://privacy.google.com/take-control.html?categories_activeEl=sign-in

8. Monitoring zachowań użytkownika

W ramach serwisu stosowane są narzędzia analityczne umożliwiające analizę sposobu korzystania ze strony internetowej, w tym w szczególności Hotjar oraz Contentsquare.

Narzędzia te mogą obejmować:

• nagrywanie anonimowych sesji użytkownika (session replay),
• mapy kliknięć (heatmaps),
• analizę przewijania strony oraz interakcji z elementami serwisu.

Dane te są wykorzystywane wyłącznie w celu analizy i optymalizacji funkcjonowania serwisu oraz poprawy jakości usług.”

Dane przetwarzane w ramach narzędzi analitycznych mają charakter behawioralny i mogą obejmować sposób poruszania się po stronie, kliknięcia oraz interakcje z formularzami.

Administrator podejmuje działania mające na celu ograniczenie identyfikacji osób, w tym maskowanie danych wrażliwych w formularzach.

Administrator wdrożył mechanizmy ograniczające możliwość utrwalenia danych wpisywanych do formularzy, w szczególności maskowanie pól formularzy, wyłączenie nagrywania wybranych elementów strony oraz ograniczenie zakresu danych analizowanych przez narzędzia Hotjar i Contentsquare. Nagrania sesji nie są wykorzystywane do identyfikacji użytkowników ani podejmowania wobec nich decyzji wywołujących skutki prawne.

9. Okres przetwarzania danych osobowych

Okres przetwarzania danych przez Administratora zależy od rodzaju świadczonej usługi i celu przetwarzania. Co do zasady dane przetwarzane są przez czas świadczenia usługi lub realizowania zamówienia, do czasu wycofania wyrażonej zgody lub zgłoszenia skutecznego sprzeciwu względem przetwarzania danych w przypadkach, gdy podstawą prawną przetwarzania danych jest prawnie uzasadniony interes Administratora.

Okres przetwarzania danych może być przedłużony w przypadku, gdy przetwarzanie jest niezbędne do ustalenia i dochodzenia ewentualnych roszczeń lub obrony przed roszczeniami, a po tym czasie jedynie w przypadku i w zakresie, w jakim będą wymagać tego przepisy prawa. Po upływie okresu przetwarzania dane są nieodwracalnie usuwane lub anonimizowane.

Dane osobowe są przechowywane przez Administratora przez następujące okresy:

• dokumentacja medyczna – przez okres 20 lat od końca roku kalendarzowego, w którym dokonano ostatniego wpisu w dokumentacji, z zastrzeżeniem wyjątków przewidzianych w przepisach prawa,
• dokumentacja medyczna dotycząca dzieci do ukończenia 2. roku życia – przez okres 22 lat,
• dokumentacja związana z leczeniem wypadków przy pracy – przez okres 10 lat,
• dane rozliczeniowe i księgowe – przez okres 5 lat od końca roku podatkowego,
• dane związane z obsługą zapytań i kontaktów – przez okres niezbędny do udzielenia odpowiedzi, nie dłużej niż 12 miesięcy,
• dane systemowe (logi) – przez okres do 12 miesięcy,
• dane przetwarzane w celach marketingowych – do czasu wycofania zgody,
• dane analityczne przechowywane są zgodnie z konfiguracją poszczególnych narzędzi:
  • Google Analytics 4 – maksymalnie 26 miesięcy,
  • Hotjar – zgodnie z okresem retencji skonfigurowanym przez Administratora, nie dłużej niż 12 miesięcy,
  • Contentsquare – zgodnie z okresem retencji skonfigurowanym przez Administratora, nie dłużej niż 12 miesięcy.

10. Prawa osób, których dane dotyczą

Przysługują Państwu następujące prawa związane z przetwarzaniem danych osobowych:

• prawo do wniesienia sprzeciwu wobec przetwarzania danych w celach marketingowych
• prawo do wniesienia sprzeciwu wobec przetwarzania danych realizowanego na podstawie prawnie uzasadnionego interesu Administratora, w tym wobec komunikacji organizacyjnej dotyczącej świadczonych usług medycznych
• prawo do wniesienia sprzeciwu wobec przetwarzania danych ze względu na szczególną sytuację – w przypadkach, kiedy przetwarzamy Państwa dane na podstawie naszego prawnie uzasadnionego interesu,
• prawo wycofania zgody,
• prawo dostępu do Państwa danych osobowych,
• prawo żądania sprostowania Państwa danych osobowych,
• prawo żądania usunięcia Państwa danych osobowych, tylko w sytuacji jeśli nie będziemy zobligowani przepisami prawa do ich przetwarzania,
• prawo żądania ograniczenia przetwarzania Państwa danych osobowych,
• prawo do przenoszenia Państwa danych osobowych, tj. prawo otrzymania od nas Państwa danych osobowych, w ustrukturyzowanym, powszechnie używanym formacie informatycznym nadającym się do odczytu maszynowego. Możecie Państwo przesłać te dane innemu administratorowi danych lub zażądać, abyśmy przesłali Państwa dane do innego administratora. Jednakże zrobimy to tylko jeśli takie przesłanie jest technicznie możliwe.

Przysługuje Państwu także prawo wniesienia skargi do organu nadzorczego zajmującego się ochroną danych osobowych, tj. Prezesa Urzędu Ochrony Danych Osobowych.

Szczegółowe informacje dotyczące realizacji praw znajdziecie Państwo tu: Procedura Realizacji Praw dot. przetwarzanych danych osobowych.

11. Bezpieczeństwo danych

Administrator stosuje:

• szyfrowanie SSL,
• kontrolę dostępu,
• monitoring systemów,
• minimalizację danych,
• regularne testy bezpieczeństwa.

Zobowiązujemy się do ochrony Państwa danych osobowych zgodnie z obowiązującymi przepisami, w szczególności do ich nieujawniania osobom nieuprawnionym, przed ich utratą lub zniszczeniem oraz do ich przetwarzania wyłącznie w celach określonych w niniejszej Polityce prywatności.

Na bieżąco prowadzimy analizę ryzyka w celu zapewnienia, że przetwarzane przez nas dane osobowe są przetwarzane w sposób bezpieczny, zapewniający że dostęp do danych osobowych mają tylko osoby upoważnione i jedynie w zakresie niezbędnym ze względu na wykonywane zadania.

Podejmujemy również wszelkie niezbędne działania, aby nasi podwykonawcy i inne podmioty z nami współpracujące, dawały gwarancję stosowania odpowiednich środków bezpieczeństwa w każdym przypadku, gdy przetwarzają dane osobowe na nasze zlecenie.

Stosujemy odpowiednie środki techniczne i organizacyjne w celu ochrony Państwa danych osobowych. Zaliczają się do nich procedury przechowywania i przetwarzania oraz fizyczne i informatyczne środki bezpieczeństwa mające na celu ochronę przed nieupoważnionym dostępem do systemów, w których przechowujemy dane osobowe.

Przesyłanie danych osobowych i komunikacja z naszymi serwerami jest zaszyfrowana i odbywa się z użyciem protokołu SSL (Secure Socket Layer).

Dostęp do danych osobowych przetwarzanych przez evi-MED Sp. z o.o. zabezpieczony jest przed dostępem osób nieuprawnionych.

12. Zautomatyzowane podejmowanie decyzji i profilowanie

Administrator nie podejmuje wobec użytkowników decyzji w sposób wyłącznie zautomatyzowany, które wywoływałyby wobec nich skutki prawne lub w podobny sposób istotnie wpływały na użytkowników.

W ramach narzędzi analitycznych (Google Analytics 4, Hotjar, Contentsquare) może dochodzić do profilowania zachowań użytkowników w celach statystycznych, analitycznych oraz optymalizacji funkcjonowania serwisu.

Profilowanie to nie wywołuje skutków prawnych wobec użytkownika i nie wpływa istotnie na jego sytuację.

13. Zgody i dobrowolność

Podanie danych jest:

• dobrowolne, ale niezbędne do świadczenia usług medycznych,
• wymagane przepisami prawa w zakresie dokumentacji medycznej,
• dobrowolne w zakresie marketingu i cookies.

Podanie danych osobowych jest dobrowolne, jest warunkiem zawarcia umowy z evi-MED Sp. z o.o. lub może być wymagane przepisami prawa – w zależności od usługi oraz zakresu świadczenia, jakie udziela Państwo evi-MED Sp. z o.o. Każdorazowo poinformujemy Państwo w odpowiedniej klauzuli informacyjnej o dobrowolności lub konieczności ujawnienia evi-MED Sp. z o.o. danych osobowych.

14. Zmiany polityki prywatności

Administrator zastrzega sobie prawo do zmian niniejszej polityki. Aktualna wersja jest zawsze dostępna w serwisie internetowym.

Aktualna wersja Polityki prywatności: 14 maja 2026r.