Informacje prawne
Polityka prywatności
§ 01 — Zakres
Polityka prywatności
Niniejszy dokument określa zasady przetwarzania danych osobowych przekazywanych za pośrednictwem strony drgladysz.com. Został sporządzony tak, aby zachować zgodność jednocześnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 — Rozporządzeniem Ogólnym o Ochronie Danych Osobowych (RODO), w tym z przepisami art. 9 RODO o szczególnych kategoriach danych — oraz z nowozelandzką ustawą Privacy Act 2020 i wydanym na jej podstawie Health Information Privacy Code 2020 (HIPC 2020 — kodeks prywatności informacji zdrowotnej).
§ 02 — Administrator
Kto jest administratorem danych
Administratorem danych jest lek. Mateusz Gładysz, FEBOPRAS, FEBHS, kontakt: mateusz@drgladysz.com. Korespondencję pocztową można kierować na adres: ul. Puławska 18, 02-512 Warszawa (do wiadomości adresata, za pośrednictwem Okręgowej Izby Lekarskiej w Warszawie).
Inspektor Ochrony Danych (IOD) nie został wyznaczony. Art. 37 ust. 1 lit. c) RODO wymaga wyznaczenia IOD wyłącznie wówczas, gdy główna działalność administratora polega na przetwarzaniu szczególnych kategorii danych na dużą skalę. Działalność prowadzona za pośrednictwem niniejszej strony ogranicza się do nielicznych, okazjonalnych zapytań kierowanych przez zindywidualizowane osoby fizyczne — nie spełnia ona kryterium „dużej skali” w rozumieniu Wytycznych Grupy Roboczej Art. 29 dotyczących inspektorów ochrony danych (WP243 rev.01), przyjętych następnie przez Europejską Radę Ochrony Danych (EROD). Stanowisko to zostanie ponownie ocenione z chwilą uruchomienia praktyki w Polsce.
§ 03 — Przedstawiciel w Unii Europejskiej
Analiza obowiązku z art. 27 RODO
Art. 27 RODO nakłada na administratorów spoza Unii obowiązek wyznaczenia przedstawiciela w Unii, jeżeli oferują towary lub usługi osobom przebywającym w Unii albo monitorują ich zachowanie. Obowiązek nie ma zastosowania, gdy przetwarzanie jest okazjonalne, nie obejmuje przetwarzania na dużą skalę szczególnych kategorii danych i jest mało prawdopodobne, by powodowało ryzyko dla praw i wolności osób fizycznych.
Administrator ma obecnie miejsce wykonywania zawodu w Nowej Zelandii. Przetwarzanie prowadzone za pośrednictwem strony obejmuje wyłącznie (i) bezplikowy (cookie-free) zbiorczy pomiar ruchu oraz (ii) okazjonalne wiadomości z formularza kontaktowego, które incydentalnie mogą zawierać informacje o stanie zdrowia. Wolumen jest niski, populacja odbiorców niewielka, przetwarzanie nie ma charakteru systematycznego monitoringu, a szczególne kategorie danych nie są przetwarzane na dużą skalę. Na podstawie wytycznych EROD oraz przesłanek z art. 27 ust. 2 lit. a) RODO administrator ocenił, że zastosowanie znajduje wyłączenie dotyczące przetwarzania okazjonalnego — i z tego powodu nie wyznaczył przedstawiciela. Stanowisko jest udokumentowane i zostanie zweryfikowane wraz ze zmianą skali lub charakteru przetwarzania, w szczególności przed rozpoczęciem działalności leczniczej w Polsce; w razie potrzeby przedstawiciel zostanie wyznaczony.
§ 04 — Dane gromadzone
Jakie dane są gromadzone
Strona nie wymaga zakładania konta użytkownika. Dane osobowe mogą trafiać do administratora wyłącznie następującymi kanałami:
Formularz kontaktowy i bezpośrednia korespondencja elektroniczna. Przesłanie wiadomości za pośrednictwem formularza lub bezpośrednio na adres mateusz@drgladysz.com powoduje przekazanie administratorowi tych informacji, które nadawca samodzielnie zdecyduje się ujawnić — zwykle imienia i nazwiska, adresu poczty elektronicznej oraz treści wiadomości. Jeżeli nadawca opisuje problem zdrowotny, treść taka może obejmować dane szczególnej kategorii w rozumieniu art. 9 RODO oraz HIPC 2020. Nadawca nie jest do tego zobowiązany; w samym interfejsie formularza zalecane jest przekazywanie wyłącznie minimum niezbędnego do wstępnej oceny zapytania.
Zbiorczy pomiar ruchu. Strona korzysta z usługi Plausible Analytics z hostingiem w Niemczech, świadczonej przez Plausible Insights OÜ. Plausible działa bez plików cookies, nie używa trwałego identyfikatora, nie wytwarza ani nie przechowuje danych umożliwiających identyfikację pojedynczego użytkownika w rozumieniu art. 4 pkt 1 RODO i generuje wyłącznie zagregowane wskaźniki (odsłony, źródła odwiedzin, kraj na poziomie kraju, przeglądarka, rozdzielczość ekranu). Z uwagi na bezplikową naturę usługi nie jest wymagana zgoda przewidziana w art. 5 ust. 3 dyrektywy 2002/58/WE, wdrożonej do prawa polskiego ustawą — Prawo telekomunikacyjne i — z chwilą jej wejścia w życie — Prawo komunikacji elektronicznej.
Logi serwera. Dostawca infrastruktury rejestruje standardowe dzienniki dostępu (adres IP, ścieżka żądania, znacznik czasu, kod odpowiedzi) na czas niezbędny do prawidłowego działania i bezpieczeństwa usługi.
Czcionki i zasoby. Czcionki rodziny Plex serwowane są jako pliki woff2 z katalogu /public/fonts/ tej samej domeny, co strona. Nie używa się zewnętrznej sieci dystrybucji czcionek (font CDN); żądanie czcionki nie opuszcza infrastruktury strony.
§ 05 — Cele i podstawy prawne
Cele i podstawy prawne przetwarzania
| Cel | Podstawa prawna (RODO) | Odpowiednik w prawie nowozelandzkim |
|---|---|---|
| Odpowiedź na zapytania z formularza lub poczty elektronicznej | art. 6 ust. 1 lit. b) — czynności przed zawarciem umowy na żądanie osoby; art. 6 ust. 1 lit. f) — uzasadniony interes administratora w prowadzeniu korespondencji zawodowej | IPP 1, IPP 3, IPP 10; HIPC Rule 1 i Rule 10 |
| Przetwarzanie informacji o stanie zdrowia dobrowolnie ujawnionych w takiej korespondencji | art. 9 ust. 2 lit. a) — wyraźna zgoda wyrażona przez sam fakt dobrowolnego ujawnienia danych w celu uzyskania opinii lub umówienia konsultacji; w stosownym zakresie art. 9 ust. 2 lit. h) — udzielanie świadczeń zdrowotnych | HIPC Rules 1, 10 i 11 |
| Działanie, integralność i bezpieczeństwo strony | art. 6 ust. 1 lit. f) — uzasadniony interes | IPP 5 |
| Zbiorczy pomiar ruchu (bez plików cookies) | art. 6 ust. 1 lit. f) — uzasadniony interes w zrozumieniu zagregowanego wykorzystania strony | IPP 1 |
| Wykonanie obowiązków zawodowych, podatkowych i regulacyjnych | art. 6 ust. 1 lit. c) — obowiązek prawny | IPP 11 |
Zgoda z art. 9 ust. 2 lit. a) RODO może być wycofana w dowolnym czasie; wycofanie nie wpływa na zgodność z prawem przetwarzania dokonanego przed jego cofnięciem.
§ 06 — Odbiorcy i podmioty przetwarzające
Odbiorcy danych
Dane przekazane za pośrednictwem strony nie są sprzedawane ani wykorzystywane do działań reklamowych. Administrator korzysta z następujących podmiotów przetwarzających, z każdym z których zawarto pisemną umowę odpowiadającą wymogom art. 28 RODO oraz — w razie potrzeby — Standardowych Klauzul Umownych dla przekazywania danych do państw trzecich:
- Vercel Inc. — hosting i dystrybucja brzegowa (edge); dostarczanie z regionów Unii Europejskiej.
- Sanity.io (Sanity AS, Oslo, Norwegia) — system zarządzania treścią. CMS aktualnie nie przechowuje danych osobowych przekazywanych przez użytkowników; konstrukcja systemu na to pozwala — niniejsza polityka zostanie zaktualizowana, gdy stan ten ulegnie zmianie.
- Resend, Inc. — usługa wysyłki wiadomości transakcyjnych (trasa API w Astro). Treść wiadomości z formularza przepływa przez tę usługę w drodze do skrzynki administratora.
- Plausible Insights OÜ — bezplikowy pomiar ruchu, hosting w Niemczech.
- Dostawca skrzynki pocztowej — profesjonalna poczta administratora utrzymywana jest u operatora poczty; korespondencja tam przechowywana podlega zabezpieczeniom i polityce retencji tego dostawcy.
Ujawnienie danych organom publicznym (regulacyjnym, podatkowym, sądowym) następuje wyłącznie w zakresie wymaganym przez prawo polskie lub nowozelandzkie.
§ 07 — Przekazywanie danych
Przekazywanie danych poza Europejski Obszar Gospodarczy
Administrator wykonuje obecnie zawód w Nowej Zelandii. Nowa Zelandia jest objęta decyzją Komisji Europejskiej w sprawie odpowiedniego stopnia ochrony z dnia 19 grudnia 2012 r. (decyzja 2013/65/UE), potwierdzoną w pierwszym przeglądzie decyzji o adekwatności i nieuchyloną. Przekazywanie danych z Europejskiego Obszaru Gospodarczego do administratora w Nowej Zelandii odbywa się zatem na podstawie tej decyzji. Przekazywanie z Nowej Zelandii do osób w Polsce mieści się w IPP 12 ustawy Privacy Act 2020, której wymóg jest spełniony przez fakt, iż państwem docelowym jest państwo członkowskie Unii Europejskiej objęte RODO.
W zakresie, w jakim podmioty przetwarzające mają siedzibę w państwach trzecich nieobjętych adekwatnością (w szczególności Vercel i Resend w Stanach Zjednoczonych), administrator opiera przekazywanie na Module 2 lub 3 Standardowych Klauzul Umownych z 2021 r., uzupełnionych dodatkowymi środkami zgodnie z Rekomendacjami EROD 01/2020 wydanymi w następstwie wyroku Schrems II. W zakresie, w jakim podmiot przetwarzający uczestniczy w EU–US Data Privacy Framework, administrator korzysta także z tej podstawy.
§ 08 — Okresy przechowywania
Jak długo dane są przechowywane
| Kategoria | Okres |
|---|---|
| Wiadomości z formularza i korespondencja niewiążąca się z dalszym kontaktem klinicznym | Do 24 miesięcy od ostatniego kontaktu, następnie usuwane |
| Korespondencja stanowiąca element dokumentacji medycznej lub przedumownej | Okres wymagany przepisami — w Polsce 20 lat od ostatniego wpisu zgodnie z art. 29 ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta; w Nowej Zelandii 10 lat zgodnie z Health (Retention of Health Information) Regulations 1996 |
| Pomiar ruchu (Plausible) | Zgodnie z polityką dostawcy; dane zagregowane i nieidentyfikujące |
| Logi serwera | Do 30 dni, następnie rotacja i usunięcie |
§ 09 — Prawa osób, których dane dotyczą
Prawa osoby, której dane dotyczą
Na gruncie art. 15–22 RODO osobie, której dane dotyczą, przysługują: prawo dostępu do danych, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia danych oraz wniesienia sprzeciwu wobec przetwarzania opartego na uzasadnionym interesie. Jeżeli przetwarzanie opiera się na zgodzie (w tym zgodzie z art. 9 ust. 2 lit. a) na przetwarzanie danych o zdrowiu), zgodę można w każdej chwili wycofać.
Na gruncie Privacy Act 2020: IPP 6 daje prawo do potwierdzenia, czy administrator przetwarza dane danej osoby, oraz do dostępu do nich; IPP 7 — prawo żądania sprostowania. Odpowiedniki dla informacji o zdrowiu znajdują się w HIPC Rules 6 i 7.
Wnioski należy kierować na adres mateusz@drgladysz.com. Odpowiedź udzielana jest bez zbędnej zwłoki, najpóźniej w terminie miesiąca (art. 12 ust. 3 RODO) lub dwudziestu dni roboczych (sec. 40 Privacy Act 2020) — zależnie od tego, który z tych terminów jest krótszy w danej sprawie.
§ 10 — Pliki cookies
Pliki cookies i śledzenie
Strona nie używa plików cookies. Plausible Analytics jest skonfigurowany w trybie bezplikowym. Nie są ładowane żadne narzędzia reklamowe, retargetingowe ani trackery serwisów społecznościowych. Czcionki są serwowane z własnej infrastruktury — żadne żądanie czcionki nie kierowane jest do zewnętrznej sieci CDN.
§ 11 — Bezpieczeństwo
Bezpieczeństwo
Strona udostępniana jest wyłącznie po protokole TLS. Korespondencja elektroniczna przesyłana jest u dostawców stosujących TLS w transporcie. Dostęp do skrzynki pocztowej administratora zabezpieczono uwierzytelnianiem wieloskładnikowym. Stosowana jest zasada minimalizacji danych — w interfejsie formularza zachęca się do udostępniania wyłącznie informacji niezbędnych dla danego zapytania.
§ 12 — Dane dzieci
Dane dzieci
Strona nie jest skierowana do dzieci. Granica wieku zgody na przetwarzanie danych w ramach usług społeczeństwa informacyjnego, ustalona w art. 8 ust. 1 RODO i potwierdzona w art. 4 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, wynosi w Polsce 16 lat. Dane osobowe dziecka poniżej tej granicy nie powinny być przekazywane za pośrednictwem strony bez zgody osoby sprawującej władzę rodzicielską lub opiekę. Zapytania dotyczące leczenia osoby małoletniej powinny być kierowane przez rodzica lub opiekuna.
§ 13 — Skargi
Skargi
Skargę dotyczącą przetwarzania danych osobowych można wnieść do:
Prezesa Urzędu Ochrony Danych Osobowych (UODO) ul. Stawki 2, 00-193 Warszawa https://uodo.gov.pl
Office of the Privacy Commissioner | Te Mana Mātāpono Matatapu (Nowa Zelandia) PO Box 10 094, Wellington 6143 https://www.privacy.org.nz
Skargi dotyczące informacji o stanie zdrowia mogą być nadto kierowane do Health and Disability Commissioner (https://www.hdc.org.nz) lub — w Polsce — do Rzecznika Praw Pacjenta (https://www.gov.pl/web/rpp).
§ 14 — Zmiany
Zmiany niniejszej polityki
Niniejsza polityka może być aktualizowana — typowo z chwilą rozpoczęcia korzystania z nowego podmiotu przetwarzającego lub zmiany zakresu przetwarzania. Zmiany merytoryczne znajdą odzwierciedlenie w numerze wersji oraz dacie aktualizacji poniżej; zmiany redakcyjne — nie.
Metryka dokumentu
Wersja dokumentu: v1.0 — kwiecień 2026 Data ostatniej aktualizacji: kwiecień 2026 Zob. także: Nota prawna · English version