POLITYKA PRYWATNOŚCI
Aplikacji e-dietetyk.com
Wersja 2.0 · Data wejścia w życie: 25 kwietnia 2026 r.
Spis treści
- Informacje ogólne
- Administrator danych osobowych
- Kontakt w sprawach ochrony danych
- Jakie dane zbieramy
- Cele i podstawy prawne przetwarzania
- Automatyczne generowanie planów (AI)
- Okres przechowywania danych
- Odbiorcy danych (sub-processorzy)
- Transfery poza Europejski Obszar Gospodarczy
- Twoje prawa
- Bezpieczeństwo danych
- Cookies i technologie podobne
- Zmiany polityki prywatności
1. Informacje ogólne
Szanujemy Twoją prywatność. Niniejsza Polityka Prywatności opisuje, w jaki sposób e-dietetyk.com (dalej: "Aplikacja") przetwarza Twoje dane osobowe, gdy korzystasz z naszej strony internetowej i aplikacji webowej.
Polityka jest zgodna z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (dalej: "RODO") oraz ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. 2019 poz. 1781).
Kto korzysta z aplikacji:
- Dietetycy — profesjonaliści prowadzący opiekę dietetyczną nad swoimi pacjentami
- Pacjenci — osoby korzystające z aplikacji za pośrednictwem swojego Dietetyka
- Odwiedzający stronę — osoby korzystające ze strony marketingowej bez rejestracji
Zakres przetwarzanych danych i obowiązujące zasady różnią się w zależności od kategorii użytkownika — szczegóły poniżej.
2. Administrator danych osobowych
Administratorem danych osobowych zbieranych w związku z korzystaniem z Aplikacji jest:
Firma: e-dietetyk Wirgiliusz Ładziński Adres siedziby: os. Pod Brzozami 16/8a, 03-995 Warszawa E-mail: kontakt@e-dietetyk.com
Zakres administrowania:
- Dla odwiedzających stronę — jesteśmy administratorem wszystkich zebranych danych (cookies, analityka, formularze kontaktowe)
- Dla Dietetyków — jesteśmy administratorem danych konta i danych technicznych; w zakresie danych klinicznych Pacjentów pełnimy rolę podmiotu przetwarzającego na podstawie umowy powierzenia (UPDO)
- Dla Pacjentów — jesteśmy administratorem danych konta, danych technicznych i danych subskrypcyjnych; w zakresie danych klinicznych — przetwarzamy je w imieniu Dietetyka (administratora)
3. Kontakt w sprawach ochrony danych
W sprawach dotyczących ochrony danych osobowych możesz się z nami skontaktować:
E-mail: rodo@e-dietetyk.com Pocztą: os. Pod Brzozami 16/8a, 03-995 Warszawa
Odpowiemy w terminie nieprzekraczającym 30 dni od otrzymania wniosku (art. 12 ust. 3 RODO). W szczególnie skomplikowanych sprawach termin może zostać wydłużony o kolejne 60 dni, o czym Cię poinformujemy.
Masz również prawo wniesienia skargi do organu nadzorczego:
Prezes Urzędu Ochrony Danych Osobowych ul. Stawki 2, 00-193 Warszawa E-mail: kancelaria@uodo.gov.pl Telefon: +48 22 531 03 00 Strona: https://uodo.gov.pl
4. Jakie dane zbieramy
4.1. Dane zbierane od wszystkich odwiedzających (również bez rejestracji)
- Adres IP (zanonimizowany w narzędziach analitycznych)
- Informacje o przeglądarce i urządzeniu (User-Agent)
- Data i godzina wizyty
- Strony, które przeglądasz (pageviews)
- Źródło ruchu (z jakiej strony przyszedłeś)
- Preferencje cookies
Podstawa prawna: art. 6 ust. 1 lit. f RODO (uzasadniony interes — bezpieczeństwo, analityka ruchu) oraz art. 6 ust. 1 lit. a RODO (zgoda — cookies analityczne).
4.2. Dane Dietetyka (po rejestracji konta)
- Imię i nazwisko, nazwa firmy, NIP, REGON
- Adres e-mail, telefon
- Dane profilu zawodowego: specjalizacje, wykształcenie, bio, logo gabinetu
- Kod partnerski (identyfikator gabinetu)
- Szablony planów, ustawienia preferencji, wagi scoringu
- Dane logowania: hasło (zahashowane bcrypt), fingerprint urządzenia
- Logi aktywności (AuditLog)
Podstawa prawna: art. 6 ust. 1 lit. b RODO (wykonanie umowy — świadczenie usługi Aplikacji).
4.3. Dane Pacjenta
Dane identyfikacyjne:
- Imię, nazwisko, adres e-mail
- Rok urodzenia, płeć
- Numer telefonu (opcjonalnie — tylko przy płatnej konsultacji)
Dane dotyczące zdrowia (szczególna kategoria — art. 9 RODO):
- Masa ciała, wzrost, obwody
- Odpowiedzi w wywiadzie żywieniowym: choroby przewlekłe, alergie, nietolerancje, leki, historia medyczna, styl życia, aktywność fizyczna, sen, stres, problemy trawienne
- Flagi ostrzeżeń medycznych
- Wyniki badań laboratoryjnych (jeśli dostarczone)
- Plan żywieniowy z dopasowanymi posiłkami
- Check-iny cotygodniowe (waga, samopoczucie, przestrzeganie planu, pomiary ciała)
- Przepisana suplementacja
- Treść wiadomości z Dietetykiem
- Notatki medyczne Dietetyka
Dane techniczne i behawioralne:
- Adres IP, identyfikator urządzenia
- Logi logowań i aktywności
- Preferencje cookies
Dane płatnicze (tylko jeśli wykupisz płatną usługę):
- Identyfikator klienta Stripe, status subskrypcji
- Numer karty, CVV, data ważności NIE są przechowywane w naszym systemie — są wprowadzane bezpośrednio w formularzu Stripe.
Podstawy prawne:
- Art. 6 ust. 1 lit. b RODO — wykonanie umowy
- Art. 9 ust. 2 lit. a RODO — wyraźna zgoda na dane zdrowotne
- Art. 6 ust. 1 lit. f RODO — uzasadniony interes (bezpieczeństwo, anti-abuse)
- Art. 6 ust. 1 lit. a RODO — zgoda (automatyczne generowanie planu, marketing)
5. Cele i podstawy prawne przetwarzania
| Cel przetwarzania | Kategorie danych | Podstawa prawna |
|---|---|---|
| Rejestracja i logowanie | E-mail, hasło, dane konta | Art. 6 ust. 1 lit. b RODO |
| Prowadzenie profilu Pacjenta | Wszystkie dane Pacjenta | Art. 6 ust. 1 lit. b + art. 9 ust. 2 lit. a RODO |
| Generowanie planu żywieniowego (AI + solver) | Zanonimizowany profil kliniczny | Art. 9 ust. 2 lit. a RODO (odrębna zgoda) |
| Komunikacja Dietetyk ↔ Pacjent | Treść wiadomości | Art. 6 ust. 1 lit. b RODO |
| Obsługa płatności i subskrypcji | Dane płatnicze Stripe | Art. 6 ust. 1 lit. b RODO |
| Wysyłka powiadomień e-mail | Adres e-mail, imię | Art. 6 ust. 1 lit. b RODO |
| Kampanie marketingowe (opcjonalnie) | E-mail, preferencje | Art. 6 ust. 1 lit. a RODO (zgoda) |
| Analityka strony (GA4) | Dane techniczne, zanonimizowany IP | Art. 6 ust. 1 lit. a RODO (zgoda — cookies) |
| Wykrywanie błędów (Sentry) | Logi, metadane (PII maskowane) | Art. 6 ust. 1 lit. f RODO |
| Bezpieczeństwo i anti-abuse | IP, fingerprint urządzenia, logi | Art. 6 ust. 1 lit. f RODO |
| Spełnianie obowiązków prawnych | Dane księgowe, logi audytowe | Art. 6 ust. 1 lit. c RODO |
6. Automatyczne generowanie planów (art. 22 RODO)
Aplikacja wykorzystuje sztuczną inteligencję (model OpenAI GPT-4.1) do przygotowania wstępnej propozycji planu żywieniowego Pacjenta.
Jak to działa:
- System analizuje zanonimizowany profil kliniczny Pacjenta (wiek, płeć, waga, wzrost, choroby, alergie, leki, preferencje)
- Solver matematyczny (OR-Tools CP-SAT) dobiera posiłki spełniające zasady kliniczne (85 reguł + 16 red flags)
- Model OpenAI GPT-4.1 opisuje i dopracowuje opisy posiłków
Co wysyłane jest do OpenAI:
- Wiek, płeć, waga, wzrost
- Choroby, alergie, nietolerancje, leki
- Preferencje żywieniowe, cele dietetyczne
- NIE są wysyłane: imię, nazwisko, e-mail, numer telefonu, adres IP
Zabezpieczenia:
- Każdy plan jest weryfikowany i zatwierdzany przez Dietetyka przed udostępnieniem Pacjentowi
- System nie podejmuje decyzji wywołujących skutków prawnych wobec Pacjenta
- Pacjent ma prawo zażądać wyłącznie ręcznego tworzenia planu przez Dietetyka — w tym celu należy skontaktować się z Dietetykiem lub zgłosić wniosek na adres rodo@e-dietetyk.com
Transfer do USA: OpenAI LLC ma siedzibę w USA — transfer odbywa się na podstawie Standardowych Klauzul Umownych (SCC) zgodnie z decyzją Komisji Europejskiej 2021/914 oraz umowy Data Processing Addendum (DPA) podpisanej z OpenAI.
7. Okres przechowywania danych
| Kategoria danych | Okres przechowywania |
|---|---|
| Dane konta aktywnego Pacjenta/Dietetyka | Do momentu usunięcia konta |
| Dane po usunięciu konta (anonimizacja) | Niezwłocznie — e-mail i imię/nazwisko |
| Dane po usunięciu konta (hard delete) | 30 dni od anonimizacji |
| Kopie zapasowe z usuniętymi danymi | Maksymalnie 3 miesiące (rotacja) |
| Logi audytowe (AuditLog) | 5 lat (obowiązek rozliczalności) |
| Dane księgowe / płatności | 5 lat (wymóg podatkowy) |
| Analityka GA4 | 14 miesięcy (domyślne ustawienie GA4) |
| Zgody (UserConsent) | Tak długo jak przetwarzamy dane + dodatkowo 3 lata po cofnięciu |
| Cookies funkcjonalne | Do 1 roku |
| Cookies analityczne (GA) | Do 14 miesięcy (GA4) |
| Sesja (uwierzytelnienie) | 7 dni (z automatycznym wylogowaniem po 5 min bezczynności) |
Po upływie okresów przechowywania dane są automatycznie usuwane lub anonimizowane.
8. Odbiorcy danych (sub-processorzy)
Aby zapewnić działanie Aplikacji, korzystamy z następujących dostawców usług. Wszyscy są związani umowami powierzenia przetwarzania danych (DPA) zgodnie z art. 28 RODO.
Aktualna lista sub-processorów dostępna jest na żądanie pod adresem: rodo@e-dietetyk.com.
| # | Podmiot | Cel | Siedziba | EOG? | Podstawa transferu |
|---|---|---|---|---|---|
| 1 | Hostinger UAB | Hosting serwera, bazy danych, backupy | Wilno, Litwa | ✅ | N/D |
| 2 | OpenAI, LLC | Generowanie planów (GPT-4.1) — dane zanonimizowane | USA | ❌ | SCC + DPA |
| 3 | Stripe Payments Europe | Obsługa płatności i subskrypcji | Dublin, IE + USA | ⚠️ | SCC |
| 4 | Resend, Inc. | Wysyłka transakcyjnych wiadomości e-mail | USA | ❌ | SCC + DPA |
| 5 | Functional Software, Inc. (Sentry) | Monitoring błędów (PII maskowane) | USA | ❌ | SCC + DPA |
| 6 | Google LLC (Google Analytics 4) | Analityka ruchu — opcjonalna, za zgodą | USA | ❌ | SCC |
Podmioty, które NIE są sub-processorami:
- Let's Encrypt / ISRG — wystawca certyfikatów TLS; nie przetwarza danych osobowych
- FingerprintJS OSS — biblioteka open-source działająca lokalnie w przeglądarce użytkownika; nie wysyła danych do podmiotów trzecich
- Google Fonts — biernie pobierany CSS fontów; Google otrzymuje jedynie adres IP i User-Agent w standardowym zapytaniu HTTP
Zmiany sub-processorów: informujemy o planowanych zmianach z co najmniej 30-dniowym wyprzedzeniem — poprzez e-mail do aktywnych Dietetyków oraz aktualizację listy dostępnej na żądanie.
9. Transfery poza Europejski Obszar Gospodarczy
Część naszych sub-processorów ma siedzibę w USA (OpenAI, Resend, Sentry, Google). Dla każdego takiego transferu stosujemy:
- Standardowe Klauzule Umowne (SCC) zatwierdzone przez Komisję Europejską (decyzja wykonawcza 2021/914)
- Umowy Data Processing Addendum (DPA) podpisane z każdym dostawcą
- Dodatkowe środki techniczne:
- Anonimizacja danych wysyłanych do OpenAI (bez imion, e-maili, identyfikatorów)
- Maskowanie PII w Sentry (maskAllText, blockAllMedia, maskAllInputs)
- Anonimizacja adresów IP w Google Analytics (
anonymize_ip: true)
- Ocena ryzyka transferu (Transfer Impact Assessment — TIA) — przeprowadzona dla każdego dostawcy spoza EOG
Jeśli chcesz uzyskać kopię stosowanych SCC, napisz na rodo@e-dietetyk.com.
10. Twoje prawa
Zgodnie z RODO przysługują Ci następujące prawa:
10.1. Prawo dostępu (art. 15 RODO)
Masz prawo uzyskać informację, czy przetwarzamy Twoje dane, a jeśli tak — otrzymać ich kopię. W Aplikacji możesz samodzielnie wyeksportować wszystkie swoje dane w formacie JSON:
Jak skorzystać: zaloguj się → Profil → "Eksport moich danych" → pobierz JSON.
10.2. Prawo do sprostowania (art. 16 RODO)
Możesz poprawić nieprawidłowe dane:
- Pacjent: edytuj dane z poziomu panelu
- Dietetyk: edytuj z
/dietetyk/profil
10.3. Prawo do usunięcia (prawo do bycia zapomnianym — art. 17 RODO)
Możesz usunąć konto w każdej chwili:
Jak skorzystać: zaloguj się → Profil → "Usuń konto" → potwierdź hasłem.
Co się dzieje po usunięciu:
- Twój e-mail, imię i nazwisko są natychmiast anonimizowane
- Twoje dane identyfikacyjne są trwale usuwane po 30 dniach
- Dane medyczne pozostają w bazie w formie anonimowej (bez możliwości powiązania z Twoją osobą)
- Kopie zapasowe są usuwane w ramach ich rotacji (maksymalnie 3 miesiące)
- Niektóre dane możemy zachować ze względu na obowiązki prawne (np. logi audytowe — 5 lat, dane księgowe — 5 lat)
10.4. Prawo do ograniczenia przetwarzania (art. 18 RODO)
W określonych sytuacjach możesz zażądać zawieszenia przetwarzania Twoich danych. Skontaktuj się z nami: rodo@e-dietetyk.com.
10.5. Prawo do przenoszenia danych (art. 20 RODO)
Możesz otrzymać swoje dane w formacie nadającym się do odczytu maszynowego (JSON) — patrz pkt 10.1.
10.6. Prawo sprzeciwu (art. 21 RODO)
W każdej chwili możesz sprzeciwić się przetwarzaniu Twoich danych w oparciu o uzasadniony interes (analityka, marketing). Napisz do nas na rodo@e-dietetyk.com.
10.7. Prawo do cofnięcia zgody (art. 7 ust. 3 RODO)
Zgody, których nam udzieliłeś (np. na cookies analityczne, newsletter, automatyczne generowanie planu) możesz cofnąć w każdej chwili — bez wpływu na zgodność z prawem przetwarzania dokonanego wcześniej.
Jak cofnąć zgodę:
- Cookies — panel "Ustawienia cookies" dostępny w stopce strony
- Newsletter — link "anuluj subskrypcję" w każdym mailu
- AI generowanie — zgłoszenie do Dietetyka lub na rodo@e-dietetyk.com
10.8. Prawo wniesienia skargi (art. 77 RODO)
Jeśli uważasz, że przetwarzamy Twoje dane niezgodnie z prawem, możesz złożyć skargę do Prezesa Urzędu Ochrony Danych Osobowych (dane kontaktowe w pkt 3).
10.9. Prawa związane z automatycznym podejmowaniem decyzji (art. 22 RODO)
W Aplikacji stosujemy automatyczne generowanie wstępnej wersji planu żywieniowego — ale nie podejmujemy zautomatyzowanych decyzji wywołujących skutki prawne. Każdy plan jest weryfikowany przez Dietetyka. Masz prawo zażądać, aby plan był tworzony ręcznie przez Dietetyka — patrz pkt 6.
11. Bezpieczeństwo danych
Stosujemy środki techniczne i organizacyjne adekwatne do ryzyka (art. 32 RODO):
Szyfrowanie
- W tranzycie: HTTPS z TLS 1.2 i 1.3, HSTS
max-age=31536000 - W spoczynku: najważniejsze dane medyczne (wywiady, plany, wyniki badań, wiadomości, notatki Dietetyka) szyfrowane algorytmem AES-256-GCM
- Hasła: hashowane bcrypt (12 rund) — nie mamy dostępu do Twoich haseł w postaci jawnej
Kontrola dostępu
- Role użytkowników: ADMIN / DIETITIAN / PATIENT — z ścisłą izolacją danych
- Uwierzytelnianie dwuskładnikowe (2FA) — dostępne dla Dietetyków (obowiązkowe od wersji komercyjnej)
- Pojedyncza aktywna sesja (nowy login wyrzuca poprzednie)
- Automatyczne wylogowanie po 5 minutach bezczynności
- Progresywna blokada przy próbach brute force (5 → 15 min, 10 → 1 h, 20 → permanent)
Monitoring i audyt
- Pełny audit log wszystkich istotnych akcji
- Monitoring błędów (Sentry z maskowaniem PII)
- Wykrywanie nietypowych zachowań (podejrzane urządzenia, nieoczekiwane lokalizacje)
Kopie zapasowe
- Codzienne szyfrowane backupy bazy danych
- Retencja: 30 dni dzienne + 12 miesięcy miesięczne
- Testy odtworzeniowe co najmniej raz na 6 miesięcy
Środki organizacyjne
- Dostęp do danych produkcyjnych tylko dla upoważnionych osób z pisemnym zobowiązaniem do poufności
- Szkolenia z ochrony danych dla personelu
- Udokumentowana procedura reagowania na naruszenia
- Regularne przeglądy bezpieczeństwa
W razie wykrycia naruszenia ochrony danych zgłosimy to organowi nadzorczemu w ciągu 72 godzin (art. 33 RODO) oraz — jeśli naruszenie może powodować wysokie ryzyko — poinformujemy osoby, których dane dotyczą (art. 34 RODO).
12. Cookies i technologie podobne
Szczegółowe informacje o cookies znajdziesz w naszej Polityce Cookies.
W skrócie:
- Cookies niezbędne — zawsze aktywne, potrzebne do działania Aplikacji (sesja, CSRF, preferencja języka)
- Cookies funkcjonalne — pamiętają Twoje preferencje (język)
- Cookies analityczne — Google Analytics 4 (tylko za Twoją zgodą, IP zanonimizowane)
- Cookies marketingowe — aktualnie nie używamy
Swoje preferencje cookies możesz zmienić w każdej chwili — kliknij "Ustawienia cookies" w stopce strony.
13. Zmiany Polityki Prywatności
Możemy aktualizować niniejszą Politykę Prywatności — w szczególności gdy:
- Zmienią się przepisy prawa
- Dodamy nowe funkcjonalności w Aplikacji
- Zmienią się nasi sub-processorzy
Historia zmian dostępna jest na żądanie pod adresem: rodo@e-dietetyk.com.
O istotnych zmianach poinformujemy z minimum 14-dniowym wyprzedzeniem:
- Aktywnych użytkowników — e-mailem
- Wszystkich odwiedzających — komunikatem na stronie
Dalsze korzystanie z Aplikacji po wejściu zmian w życie oznacza akceptację nowej wersji.
Poprzednie wersje:
- Wersja 1.0 — 23 marca 2026 r. — pierwsza wersja
- Wersja 2.0 — 25 kwietnia 2026 r. — aktualizacja zgodna ze stanem technicznym aplikacji (realny SMTP provider, Google Analytics, cookie banner, 2FA)
Masz pytania? Napisz do nas: rodo@e-dietetyk.com