Polityka Prywatności Diagwise
Wersja: 1.0 · Ostatnia aktualizacja: 20 marca 2026
Niniejsza Polityka Prywatności opisuje zasady przetwarzania danych osobowych przez Diagwise zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (dalej: RODO).
1. Administrator danych osobowych
Administratorem danych osobowych Użytkowników jest:
Anomaly Development sp. z o.o.
ul. Żwirki i Wigury 3, 46-100 Namysłów
NIP: 7521461977
KRS: 0000879054
REGON: 387965944
E-mail: info@diagwise.pl
(dalej: Administrator lub Diagwise)
2. Inspektor Ochrony Danych
Administrator nie wyznaczył Inspektora Ochrony Danych. Diagwise jest małym podmiotem, który nie przetwarza danych szczególnej kategorii (art. 9 RODO) na dużą skalę ani nie prowadzi systematycznego monitorowania osób na dużą skalę — obowiązek wyznaczenia IOD zgodnie z art. 37 RODO nie zachodzi.
W sprawach dotyczących ochrony danych osobowych należy kontaktować się bezpośrednio z Administratorem pod adresem e-mail: info@diagwise.pl.
3. Jakie dane zbieramy
Administrator zbiera następujące kategorie danych osobowych:
3A — Dane konta
| Dane | Cel zbierania | Źródło |
|---|---|---|
| Adres e-mail | Rejestracja konta, logowanie, komunikacja transakcyjna | Użytkownik przy rejestracji |
| Hasło | Uwierzytelnienie (przechowywane wyłącznie w postaci zaszyfrowanej przez Firebase Authentication) | Użytkownik przy rejestracji |
| Imię i nazwisko | Identyfikacja użytkownika; komunikacja | Użytkownik przy rejestracji |
| Data i godzina rejestracji | Cele bezpieczeństwa i administracyjne | Automatycznie |
| Preferowany język interfejsu | Dostosowanie interfejsu | Użytkownik przy rejestracji/aktualizacji |
| Skan dyplomu / dokumentu zawodowego | Weryfikacja kwalifikacji zawodowych | Użytkownik przy rejestracji |
3B — Dane użytkowania
| Dane | Cel zbierania | Gdzie przechowywane |
|---|---|---|
| Treść zapytań do piśmiennictwa | Realizacja usługi (wyszukiwanie i synteza literaturowa) | Opcjonalnie w bazie danych jako część notatnika |
| Wyniki syntezy i cytowania | Przechowywanie wyników w notatnikach | Baza danych Serwisu |
| Notatki własne Użytkownika | Organizacja pracy Użytkownika | Baza danych Serwisu |
| Struktura notatników | Organizacja pracy Użytkownika | Baza danych Serwisu |
| Liczba przeprowadzonych zapytań | Egzekwowanie limitów planu | Baza danych Serwisu |
| Raporty o brakujących tematach (opcjonalne) | Poprawa jakości indeksu piśmiennictwa | Baza danych Serwisu |
3C — Dane techniczne
| Dane | Cel zbierania | Gdzie przechowywane |
|---|---|---|
| Adres IP | Bezpieczeństwo, wykrywanie nadużyć, logi systemowe | Logi serwera (Google Cloud Platform) |
| Typ przeglądarki / urządzenia | Logi dostępu serwera | Logi serwera |
| Logi błędów | Diagnostyka techniczna | Logi serwera |
| Identyfikator sesji webowej | Zarządzanie sesją | Baza danych Serwisu |
3D — Dane płatności
| Dane | Cel zbierania | Gdzie przechowywane |
|---|---|---|
| Status subskrypcji (darmowy / Pro / zawieszony) | Kontrola dostępu do funkcji | Baza danych Serwisu |
| Identyfikator klienta Stripe | Powiązanie płatności z kontem | Baza danych Serwisu |
| Identyfikator subskrypcji | Zarządzanie subskrypcją | Baza danych Serwisu |
| Daty okresu rozliczeniowego | Kontrola ważności subskrypcji | Baza danych Serwisu |
| Pełne dane karty płatniczej | NIE SĄ przechowywane przez Administratora — obsługiwane wyłącznie przez Stripe | — |
3E — Dane jawnie NIE zbierane
Administrator nie zbiera i nie przetwarza:
- danych osobowych pacjentów (Regulamin bezwzględnie zakazuje ich wprowadzania do Serwisu);
- dokumentacji medycznej ani klinicznej pacjentów;
- danych szczególnej kategorii w rozumieniu art. 9 RODO (zob. pkt. 11);
- nagrań audio ani wideo;
- danych biometrycznych.
4. Podstawy prawne przetwarzania
| Kategoria danych | Podstawa prawna RODO | Opis |
|---|---|---|
| Dane konta (e-mail, imię, nazwisko, dyplom) | Art. 6 ust. 1 lit. b) — wykonanie umowy | Dane niezbędne do świadczenia Usługi |
| Weryfikacja kwalifikacji zawodowych (dyplom) | Art. 6 ust. 1 lit. b) i lit. f) — wykonanie umowy; prawnie uzasadniony interes | Zapewnienie, że Serwis jest używany wyłącznie przez uprawnione osoby |
| Dane płatności | Art. 6 ust. 1 lit. b) i lit. c) — wykonanie umowy; obowiązek prawny | Przepisy podatkowe i rachunkowe |
| Treść notatników i wyniki zapytań | Art. 6 ust. 1 lit. b) — wykonanie umowy | Niezbędne do świadczenia funkcji Serwisu |
| Dane techniczne / logi bezpieczeństwa | Art. 6 ust. 1 lit. f) — prawnie uzasadniony interes | Bezpieczeństwo systemów informatycznych, wykrywanie nadużyć |
| E-maile transakcyjne | Art. 6 ust. 1 lit. b) — wykonanie umowy | Powiadomienia o stanie konta wynikające ze świadczonej Usługi |
5. Pliki cookies i lokalne przechowywanie danych
5.1 Czym są cookies
Pliki cookies to niewielkie pliki tekstowe zapisywane na urządzeniu Użytkownika przez przeglądarkę internetową. Serwis wykorzystuje je w ograniczonym zakresie, opisanym poniżej. Podstawą prawną stosowania niezbędnych technicznie plików cookies jest art. 6 ust. 1 lit. b) RODO oraz art. 361 ustawy z dnia 12 lipca 2024 r. — Prawo komunikacji elektronicznej (Dz.U. 2024 poz. 1221).
5.2 Stosowane pliki cookies i lokalny storage
| Nazwa / typ | Cel | Czas życia | Rodzaj | Zgoda wymagana? |
|---|---|---|---|---|
| Token sesji Firebase Authentication (localStorage / IndexedDB) | Przechowywanie sesji zalogowanego Użytkownika | Do wylogowania / wygaśnięcia tokena (odświeżany automatycznie) | Ściśle niezbędny — techniczny | Nie |
| Challenge token Cloudflare Turnstile | Weryfikacja człowieka na formularzu kontaktowym (ochrona przed botami). Turnstile nie stawia trwałych cookies śledzących — generuje jednorazowy token. Szczegóły: Turnstile Privacy Addendum | Jednorazowy (sesja) | Ściśle niezbędny — bezpieczeństwo formularza | Nie |
| Cookies Stripe | Zapobieganie oszustwom podczas sesji płatności (ustawiane przez stripe.com) | Do 1 roku | Ściśle niezbędny — realizacja płatności | Nie |
5.3 Brak cookies analitycznych
Diagwise nie używa Google Analytics, Firebase Analytics ani żadnych innych narzędzi śledzących opartych na cookies. Nie są stosowane cookies reklamowe ani profilujące.
5.4 Zarządzanie cookies
Użytkownik może zarządzać plikami cookies za pomocą ustawień przeglądarki. Wyłączenie cookies ściśle niezbędnych może uniemożliwić prawidłowe działanie Serwisu (w szczególności utrzymanie sesji logowania).
6. Podmioty przetwarzające dane (sub-procesorzy)
Administrator korzysta z następujących podmiotów przetwarzających dane w jego imieniu (sub-procesorów w rozumieniu RODO):
| Podmiot | Kraj | Cel przetwarzania | Przetwarzane dane | Polityka prywatności |
|---|---|---|---|---|
| Google LLC / Firebase (Google Cloud Platform) | USA (dane przetwarzane w infrastrukturze EU — baza danych i funkcje w Europie Zachodniej) | Uwierzytelnienie, baza danych, hosting, przechowywanie plików, funkcje backendowe | Dane konta, notatniki, status subskrypcji, dyplom, logi | firebase.google.com/support/privacy |
| OpenAI, LLC | USA | Generowanie syntezy literaturowej i osadzeń wektorowych (API — dane nie są używane do trenowania modeli) | Treść zapytań użytkownika, fragmenty piśmiennictwa | openai.com/policies/privacy-policy |
| Qdrant Solutions GmbH | Niemcy (EU) | Wektorowa baza danych — przeszukiwanie indeksu piśmiennictwa | Osadzenia wektorowe zapytań | qdrant.tech/legal/privacy-policy |
| Stripe, Inc. / Stripe Payments Europe, Ltd. | USA / Irlandia (EOG) | Przetwarzanie płatności, zarządzanie subskrypcjami | Adres e-mail, imię i nazwisko (klient Stripe), identyfikatory subskrypcji | stripe.com/pl/privacy |
| OVH SAS (OVHcloud) | Francja (EU) | Serwer SMTP — wysyłka e-maili transakcyjnych i obsługa formularza kontaktowego | Adres e-mail Użytkownika, treść e-maila | ovhcloud.com/en/personal-data-management |
| Cloudflare, Inc. | USA (podmioty europejskie: Cloudflare Ltd. UK, Cloudflare Germany GmbH i in.) | Weryfikacja anty-botowa formularza kontaktowego (Cloudflare Turnstile) | Adres IP, sygnały przeglądarki (jednorazowy challenge token) | cloudflare.com/en-gb/privacypolicy |
Z każdym sub-procesorem Administrator zawarł lub jest zobowiązany zawrzeć umowę powierzenia przetwarzania danych osobowych zgodną z art. 28 RODO.
7. Przekazywanie danych poza Europejski Obszar Gospodarczy (EOG)
Część sub-procesorów ma siedzibę lub przetwarza dane poza EOG (w szczególności w USA). Przekazywanie danych odbywa się z zachowaniem odpowiednich zabezpieczeń:
| Podmiot | Kraj docelowy | Mechanizm zabezpieczenia |
|---|---|---|
| Google LLC (Firebase) | USA | Standardowe Klauzule Umowne (SCC); Google certyfikowany w ramach EU-U.S. Data Privacy Framework; dane bazy i funkcji przetwarzane w EU |
| OpenAI, LLC | USA | Standardowe Klauzule Umowne (SCC); OpenAI Data Processing Addendum; API nie używa danych do trenowania modeli |
| Stripe, Inc. | USA | Stripe Payments Europe, Ltd. z siedzibą w Irlandii — podmiot EOG jako strona umowy; przekazywanie do USA na podstawie SCC |
| Cloudflare, Inc. | USA | Cloudflare certyfikowany w ramach EU-U.S. Data Privacy Framework (DPF) oraz Swiss-U.S. DPF; SCC jako mechanizm rezerwowy |
| OVH SAS | Francja (EU) | Dane przetwarzane wyłącznie w obrębie EOG — brak przekazywania poza EOG |
Użytkownik ma prawo do uzyskania kopii zastosowanych zabezpieczeń — w tym celu prosimy o kontakt pod adresem wskazanym w pkt. 13.
8. Okres przechowywania danych
| Kategoria danych | Okres przechowywania |
|---|---|
| Dane konta (profil, notatniki, wyniki zapytań) | Do usunięcia Konta przez Użytkownika; usuwane bezzwłocznie |
| Dyplom / dokument zawodowy | Do usunięcia Konta; usuwany bezzwłocznie razem z kontem |
| Dane uwierzytelniające | Usuwane bezzwłocznie przy usunięciu Konta |
| Logi serwera (Cloud Functions, Firebase Hosting) | Domyślnie 30 dni |
| Historia płatności (dane Stripe) | Przechowywane przez Stripe przez co najmniej 7 lat — wymóg prawa podatkowego; poza kontrolą Administratora |
| Zdarzenia płatności w bazie danych Serwisu | 12 miesięcy od daty zdarzenia |
| Raporty o brakujących tematach | 12 miesięcy od daty utworzenia |
| Kopia zapasowa bazy danych | Domyślnie 7 dni |
Dane, których przechowywanie jest wymagane przez przepisy prawa (np. dokumenty rachunkowe), przechowywane są przez okresy wskazane w tych przepisach, niezależnie od usunięcia Konta.
9. Prawa Użytkownika
Na podstawie RODO Użytkownikowi przysługują następujące prawa:
9.1 Prawo dostępu (art. 15 RODO)
Użytkownik ma prawo uzyskać informację, czy Administrator przetwarza jego dane osobowe, a jeśli tak — prawo do uzyskania dostępu do tych danych oraz informacji o celach, kategoriach, odbiorcach i planowanym czasie przetwarzania.
Jak skorzystać: Użytkownik może pobrać swoje dane bezpośrednio z Serwisu — funkcja „Pobierz moje dane” w ustawieniach Konta generuje plik JSON zawierający dane profilu (e-mail, imię, nazwisko, język) oraz pełną zawartość notatników. W przypadku pytań wykraczających poza eksport aplikacyjny — prosimy o kontakt pod adresem e-mail wskazanym w pkt. 13.
9.2 Prawo do sprostowania (art. 16 RODO)
Użytkownik ma prawo do niezwłocznego sprostowania nieprawidłowych danych osobowych lub uzupełnienia niekompletnych danych.
Jak skorzystać: Imię, nazwisko i preferowany język można zmienić bezpośrednio w ustawieniach Konta. W przypadku adresu e-mail — prosimy o kontakt z Administratorem.
9.3 Prawo do usunięcia danych (art. 17 RODO)
Użytkownik ma prawo do usunięcia swoich danych osobowych, o ile nie istnieje inna podstawa prawna ich przechowywania.
Jak skorzystać: Poprzez funkcję usunięcia Konta dostępną w ustawieniach Serwisu. Usunięcie jest nieodwracalne i powoduje trwałe usunięcie wszystkich danych z systemów Administratora (z wyjątkiem danych Stripe — zob. pkt. 8).
9.4 Prawo do ograniczenia przetwarzania (art. 18 RODO)
Użytkownik ma prawo zażądać ograniczenia przetwarzania jego danych w przypadkach przewidzianych przez RODO (np. gdy kwestionuje prawidłowość danych).
Jak skorzystać: Prosimy o przesłanie wniosku na adres info@diagwise.pl z opisem żądania. Administrator odpowie w terminie 30 dni.
9.5 Prawo do przenoszenia danych (art. 20 RODO)
Użytkownik ma prawo do otrzymania swoich danych osobowych w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego.
Jak skorzystać: Funkcja „Pobierz moje dane” w ustawieniach Konta generuje plik w formacie JSON. Plik zawiera dane profilu i pełną zawartość notatników. Eksport odbywa się bezpośrednio w przeglądarce i nie wymaga kontaktu z Administratorem.
9.6 Prawo do sprzeciwu (art. 21 RODO)
Użytkownik ma prawo wnieść sprzeciw wobec przetwarzania danych na podstawie prawnie uzasadnionego interesu Administratora (art. 6 ust. 1 lit. f RODO).
Jak skorzystać: Prosimy o kontakt pod adresem wskazanym w pkt. 13.
9.7 Realizacja praw
Administrator odpowiada na wnioski dotyczące praw Użytkownika w terminie 30 dni. W wyjątkowych przypadkach termin może zostać przedłużony o kolejne 60 dni, o czym Administrator informuje Użytkownika.
10. Bezpieczeństwo danych
Administrator stosuje następujące środki bezpieczeństwa:
- Szyfrowanie w spoczynku: Dane przechowywane w Google Cloud Platform są szyfrowane domyślnie (AES-256 lub równoważny) — zarządzanie kluczami po stronie Google.
- Szyfrowanie w tranzycie: Cała komunikacja między Użytkownikiem a Serwisem odbywa się przez protokół HTTPS / TLS.
- Kontrola dostępu: Reguły bezpieczeństwa bazy danych zapewniają, że każdy Użytkownik ma dostęp wyłącznie do własnych danych. Dane są niedostępne dla innych Użytkowników.
- Weryfikacja zawodowa: Dostęp do funkcji Serwisu jest uzależniony od pozytywnej weryfikacji kwalifikacji zawodowych przez Administratora.
- Brak nagrywania: Serwis nie nagrywa audio ani wideo Użytkownika.
- Zabezpieczenie formularza kontaktowego: Cloudflare Turnstile (ochrona przed botami) oraz ograniczenie liczby zgłoszeń na IP na dobę.
- Usunięcie konta: Proces usunięcia konta powoduje trwałe i nieodwracalne usunięcie danych — bez okresu karencji.
Mimo stosowanych środków bezpieczeństwa Administrator informuje, że żaden system informatyczny nie zapewnia absolutnego bezpieczeństwa.
11. Dane szczególnej kategorii (art. 9 RODO)
Diagwise nie przetwarza danych szczególnej kategorii w rozumieniu art. 9 RODO — w szczególności danych dotyczących zdrowia, danych genetycznych, danych biometrycznych, danych dotyczących pochodzenia rasowego lub etnicznego, poglądów politycznych, przekonań religijnych, przynależności związkowej zawodowej ani danych dotyczących życia seksualnego lub orientacji seksualnej.
Regulamin Serwisu bezwzględnie zakazuje Użytkownikom wprowadzania do Serwisu jakichkolwiek danych osobowych pacjentów lub innych osób trzecich, w tym danych zdrowotnych. Infrastruktura techniczna i umowy z sub-procesorami nie są zaprojektowane do przetwarzania takich danych.
12. Zmiany Polityki Prywatności
Administrator zastrzega sobie prawo do zmiany niniejszej Polityki Prywatności. O każdej istotnej zmianie Administrator powiadomi Użytkowników:
- drogą e-mailową na adres powiązany z Kontem;
- lub za pośrednictwem widocznego powiadomienia w Serwisie.
Zmiana wchodzi w życie po upływie co najmniej 14 dni od powiadomienia. Aktualna wersja Polityki Prywatności jest zawsze dostępna na Stronie marketingowej i w Serwisie.
13. Kontakt i skargi
13.1 Kontakt z Administratorem
W sprawach dotyczących ochrony danych osobowych prosimy o kontakt:
Anomaly Development sp. z o.o.
ul. Żwirki i Wigury 3, 46-100 Namysłów
E-mail: info@diagwise.pl
13.2 Prawo do złożenia skargi do organu nadzorczego
Jeżeli Użytkownik uważa, że przetwarzanie jego danych osobowych narusza przepisy RODO, przysługuje mu prawo do wniesienia skargi do organu nadzorczego właściwego dla miejsca zamieszkania lub pracy Użytkownika, a w Polsce do:
Prezes Urzędu Ochrony Danych Osobowych (UODO)
ul. Stawki 2, 00-193 Warszawa
www.uodo.gov.pl
E-mail: kancelaria@uodo.gov.pl
Infolinia: 606-950-000