§ 1. Administrator danych osobowych
Administratorem Pani/Pana danych osobowych (dalej: „Administrator”) jest Centrum Psychoterapii Logros z siedzibą pod adresem ul. Powstańców Śląskich 162, 50-001 Wrocław. We wszystkich sprawach związanych z przetwarzaniem danych osobowych można skontaktować się drogą elektroniczną pod adresem kontakt@logros.pl lub telefonicznie pod numerem +48 123 456 789.
§ 2. Cel i podstawa prawna przetwarzania
Pani/Pana dane osobowe przetwarzane są zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (dalej: „RODO”), w następujących celach i na następujących podstawach prawnych:
- Art. 6 ust. 1 lit. a RODO — na podstawie wyrażonej zgody, w celu obsługi zapytań kontaktowych, rezerwacji wizyt oraz przesyłania przypomnień o umówionych sesjach.
- Art. 6 ust. 1 lit. b RODO — w celu zawarcia i wykonania umowy o świadczenie usług psychoterapeutycznych, w tym świadczenia sesji stacjonarnych i online.
- Art. 6 ust. 1 lit. c RODO — w celu wypełnienia obowiązków prawnych ciążących na Administratorze (m.in. obowiązki podatkowe i księgowe wynikające z ustawy o rachunkowości oraz ustawy o podatku od towarów i usług).
- Art. 6 ust. 1 lit. f RODO — w celu realizacji prawnie uzasadnionych interesów Administratora, takich jak zabezpieczenie roszczeń, prowadzenie audytów bezpieczeństwa, monitorowanie nadużyć oraz zapewnienie ciągłości funkcjonowania systemów informatycznych.
- Art. 9 ust. 2 lit. a RODO — na podstawie wyraźnej zgody, w przypadku ujawnienia danych dotyczących zdrowia w treści zapytania kontaktowego lub formularza konsultacji.
- Art. 9 ust. 2 lit. h RODO — w zakresie danych dotyczących zdrowia, przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej, diagnozy medycznej, zapewnienia opieki zdrowotnej oraz leczenia, w tym świadczenia usług psychoterapeutycznych przez osoby związane obowiązkiem zachowania tajemnicy zawodowej.
§ 3. Inspektor Ochrony Danych
Administrator nie wyznaczył Inspektora Ochrony Danych — nie zachodzą przesłanki obowiązkowego wyznaczenia, o których mowa w art. 37 RODO. We wszystkich sprawach dotyczących przetwarzania danych osobowych prosimy o bezpośredni kontakt z Administratorem pod adresem kontakt@logros.pl.
§ 4. Zakres przetwarzanych danych
W ramach świadczonych usług przetwarzamy następujące kategorie danych:
- dane identyfikacyjne — imię i nazwisko,
- dane kontaktowe — adres e-mail, numer telefonu,
- dane dotyczące rezerwacji — termin wizyty, forma sesji (stacjonarna lub online), historia umówionych spotkań,
- dane dotyczące zdrowia (kategorie szczególne danych w rozumieniu art. 9 ust. 1 RODO) ujawnione dobrowolnie w treści wiadomości, zapytania kontaktowego, formularza konsultacji lub w trakcie sesji terapeutycznej,
- dane techniczne — adres IP, identyfikator sesji, logi systemowe, niezbędne do zapewnienia bezpieczeństwa serwisu.
Dane wrażliwe (kategorie szczególne danych osobowych) są przechowywane w postaci zaszyfrowanej — szczegóły opisano w § 9 niniejszej polityki.
§ 5. Czas przechowywania danych
Dane osobowe są przechowywane przez okres niezbędny do realizacji celów, dla których zostały zebrane:
- dane związane z umówioną wizytą — przez okres trwania współpracy oraz przez okres przedawnienia ewentualnych roszczeń (co do zasady 6 lat od zakończenia świadczenia usługi),
- dokumentacja terapeutyczna oraz notatki własne terapeuty — przez okres wymagany przepisami prawa i zasadami wykonywania zawodu psychoterapeuty,
- dane przetwarzane na podstawie zgody — do czasu jej wycofania,
- dane przetwarzane dla celów księgowych i podatkowych — przez okres wymagany przepisami prawa (co do zasady 5 lat liczonych od końca roku kalendarzowego, w którym powstał obowiązek podatkowy),
- dane techniczne i logi bezpieczeństwa — przez okres niezbędny do realizacji uzasadnionego interesu Administratora, nie dłużej niż 12 miesięcy.
§ 6. Odbiorcy danych
Pani/Pana dane osobowe mogą być przekazywane następującym kategoriom odbiorców — wyłącznie w zakresie niezbędnym do realizacji celów wskazanych w § 2. Z każdym podmiotem przetwarzającym Administrator zawarł umowę powierzenia przetwarzania danych osobowych, o której mowa w art. 28 RODO:
- Hetzner Online GmbH (Niemcy) — dostawca infrastruktury serwerowej, na której hostowana jest aplikacja oraz baza danych; przetwarzanie odbywa się na terenie Europejskiego Obszaru Gospodarczego,
- Coolify — narzędzie do orkiestracji wdrożeń, uruchamiane samodzielnie przez Administratora na serwerach Hetzner (self-hosted),
- Resend — dostawca usług transakcyjnej poczty elektronicznej (potwierdzenia rezerwacji, przypomnienia, komunikacja po wizycie), w zakresie, w jakim Administrator korzysta z tej usługi,
- ClickSend — dostawca usług wysyłki wiadomości SMS (powiadomienia o wizytach), w zakresie, w jakim Administrator korzysta z tej usługi,
- podmioty świadczące usługi prawne, księgowe i podatkowe — w zakresie niezbędnym do realizacji obowiązków prawnych Administratora,
- organy publiczne uprawnione do otrzymania danych na podstawie obowiązujących przepisów prawa (m.in. sądy, organy ścigania, organy podatkowe) — wyłącznie na ich uzasadnione żądanie.
Administrator nie przekazuje danych osobowych poza Europejski Obszar Gospodarczy. W przypadku, gdyby takie przekazanie miało się odbyć, nastąpi ono z zachowaniem wymogów rozdziału V RODO (m.in. standardowe klauzule umowne).
§ 7. Prawa osoby, której dane dotyczą
W związku z przetwarzaniem danych osobowych przysługują Pani/Panu następujące prawa:
- prawo dostępu do danych oraz uzyskania ich kopii (art. 15 RODO),
- prawo do sprostowania danych nieprawidłowych lub uzupełnienia danych niekompletnych (art. 16 RODO),
- prawo do usunięcia danych — tzw. „prawo do bycia zapomnianym” (art. 17 RODO); prawo to nie ma zastosowania w zakresie, w jakim przetwarzanie jest niezbędne do wywiązania się z obowiązków prawnych Administratora,
- prawo do ograniczenia przetwarzania (art. 18 RODO),
- prawo do przenoszenia danych (art. 20 RODO) — w zakresie, w jakim dane są przetwarzane na podstawie zgody lub umowy oraz w sposób zautomatyzowany,
- prawo do wniesienia sprzeciwu wobec przetwarzania (art. 21 RODO) — gdy podstawą przetwarzania jest prawnie uzasadniony interes Administratora,
- prawo do wycofania zgody w dowolnym momencie — gdy podstawą przetwarzania jest zgoda (art. 6 ust. 1 lit. a lub art. 9 ust. 2 lit. a RODO); wycofanie zgody nie wpływa na zgodność z prawem przetwarzania dokonanego przed jej wycofaniem.
W celu skorzystania z powyższych praw prosimy o kontakt pod adresem kontakt@logros.pl. Odpowiemy na zgłoszenie najpóźniej w terminie miesiąca od jego otrzymania; w sprawach skomplikowanych termin ten może zostać przedłużony o kolejne dwa miesiące, o czym Klient zostanie poinformowany.
§ 8. Skarga do Prezesa UODO
Jeżeli uważa Pani/Pan, że przetwarzanie danych osobowych narusza przepisy RODO, przysługuje Pani/Panu prawo wniesienia skargi do organu nadzorczego — Prezesa Urzędu Ochrony Danych Osobowych, z siedzibą przy ul. Stawki 2, 00-193 Warszawa (uodo.gov.pl).
§ 9. Bezpieczeństwo danych
Administrator wdrożył odpowiednie środki techniczne i organizacyjne zapewniające bezpieczeństwo przetwarzanych danych, w szczególności:
- szyfrowanie danych dotyczących zdrowia w bazie danych algorytmem AES-256-GCM (szyfrowanie w spoczynku),
- szyfrowaną transmisję danych pomiędzy przeglądarką a serwerem przy użyciu protokołu TLS 1.2/1.3 (HTTPS),
- uwierzytelnianie wieloskładnikowe i kontrolę dostępu opartą na rolach dla osób mających dostęp do panelu administracyjnego,
- rejestrowanie operacji na danych osobowych w dzienniku audytu (audit log) zgodnie z zasadą rozliczalności wynikającą z art. 5 ust. 2 RODO,
- regularne tworzenie kopii zapasowych bazy danych przechowywanych w sposób zaszyfrowany,
- minimalizację danych — gromadzenie wyłącznie informacji niezbędnych do realizacji celów określonych w § 2.
§ 10. Pliki cookies i sesja
Serwis korzysta wyłącznie z plików cookies niezbędnych do prawidłowego funkcjonowania aplikacji. Zgodnie z art. 173 ust. 3 pkt 2 ustawy z dnia 16 lipca 2004 r. — Prawo telekomunikacyjne, pliki te nie wymagają zgody użytkownika, ponieważ są bezwzględnie konieczne dla realizacji usługi żądanej przez użytkownika.
Wykorzystywane pliki cookies:
authjs.session-token — token sesji uwierzytelniania (NextAuth/Auth.js), niezbędny do utrzymania zalogowanego stanu użytkownika; czas przechowywania: czas trwania sesji (do wylogowania lub wygaśnięcia sesji),authjs.csrf-token — token zabezpieczający przed atakami CSRF; czas przechowywania: czas trwania sesji,authjs.callback-url — adres przekierowania po zalogowaniu; czas przechowywania: czas trwania sesji.
Nie używamy plików cookies analitycznych, marketingowych ani profilujących. W serwisie nie są stosowane narzędzia takie jak Google Analytics, Meta Pixel, Hotjar ani podobne rozwiązania służące śledzeniu zachowań użytkowników.
Użytkownik może w każdej chwili zmienić ustawienia plików cookies w swojej przeglądarce — w sekcji „Ustawienia” → „Prywatność i bezpieczeństwo” (lub analogicznej, w zależności od używanej przeglądarki). Wyłączenie plików cookies niezbędnych może uniemożliwić zalogowanie się do panelu lub korzystanie z funkcji rezerwacji.
§ 11. Profilowanie i decyzje zautomatyzowane
Administrator nie podejmuje wobec Klientów decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, które wywoływałyby wobec Klientów skutki prawne lub w podobny sposób istotnie na nich wpływały (art. 22 RODO).
§ 12. Dobrowolność podania danych
Podanie danych osobowych jest dobrowolne, jednak niezbędne do zawarcia i realizacji umowy o świadczenie usług psychoterapeutycznych. Niepodanie wymaganych danych uniemożliwia umówienie wizyty oraz świadczenie usługi.
§ 13. Zmiany polityki prywatności
Niniejsza Polityka prywatności może być aktualizowana w przypadku zmian prawnych, technologicznych lub organizacyjnych. Aktualna wersja Polityki jest zawsze dostępna na niniejszej stronie. Data ostatniej aktualizacji widoczna jest na początku dokumentu. O istotnych zmianach Klientów posiadających aktywne rezerwacje informujemy dodatkowo drogą elektroniczną.