Polityka prywatności serwisu e-dietetyk.com
Ostatnia aktualizacja: 23 marca 2026 r.
1. Administrator danych osobowych
Administratorem Twoich danych osobowych jest:
Wirgiliusz Ładziński ul. Pod Brzozami 16/8a, 03-995 Warszawa
- E-mail: kontakt@e-dietetyk.com
- E-mail dodatkowy: wirigiliusz@gmail.com
- Telefon: +48 515-530-088
W dalszej części niniejszego dokumentu Administrator danych osobowych nazywany jest również „Administratorem" lub „my".
2. Inspektor Ochrony Danych
Administrator nie wyznaczył Inspektora Ochrony Danych (IOD). Zgodnie z art. 37 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (dalej: „RODO"), wyznaczenie IOD nie jest wymagane, ponieważ Administrator nie prowadzi przetwarzania danych na dużą skalę w rozumieniu art. 37 ust. 1 lit. b) i c) RODO.
We wszelkich sprawach dotyczących ochrony danych osobowych możesz kontaktować się bezpośrednio z Administratorem, korzystając z danych podanych w pkt 1 powyżej.
3. Zakres zbieranych danych osobowych
Administrator zbiera i przetwarza następujące kategorie danych osobowych:
| Kategoria danych | Przykłady danych | Źródło pozyskania |
|---|---|---|
| Dane identyfikacyjne | Adres e-mail, hasło (przechowywane w postaci skrótu kryptograficznego — hash) | Podane przez użytkownika przy rejestracji |
| Dane zdrowotne (szczególna kategoria danych — art. 9 RODO) | Waga, wzrost, alergie pokarmowe, choroby i schorzenia, cele dietetyczne, odpowiedzi udzielone w formularzu wywiadu żywieniowego, flagi medyczne | Podane przez użytkownika w formularzu wywiadu |
| Dane transakcyjne | Identyfikator zamówienia, rodzaj produktu/planu, kwota, status płatności, identyfikator subskrypcji, historia faktur | Generowane w wyniku realizacji zamówienia; dane karty płatniczej przetwarzane wyłącznie przez Stripe |
| Dane techniczne | Adres IP, typ i wersja przeglądarki (user agent), daty i godziny logowania, logi dostępu i zdarzeń (audit log) | Zbierane automatycznie podczas korzystania z serwisu |
| Dane z plików cookie | Identyfikator sesji, preferencja językowa (PL/EN), token CSRF, status zgody na cookies | Zapisywane w przeglądarkach użytkownika — szczegóły w Polityce cookies |
Uwaga: Administrator nie zbiera danych osobowych osób poniżej 18. roku życia. Serwis jest przeznaczony wyłącznie dla użytkowników pełnoletnich.
4. Cele i podstawy prawne przetwarzania danych osobowych
| Cel przetwarzania | Podstawa prawna | Okres przechowywania |
|---|---|---|
| Rejestracja i prowadzenie konta użytkownika | Art. 6 ust. 1 lit. b) RODO — wykonanie umowy o świadczenie usług drogą elektroniczną | Przez czas trwania umowy (posiadania konta), a po usunięciu konta — do 30 dni (okres anonimizacji) |
| Świadczenie usług dietetycznych (zbieranie wywiadów, przygotowywanie planów żywieniowych) | Art. 6 ust. 1 lit. b) RODO — wykonanie umowy; art. 9 ust. 2 lit. a) RODO — wyraźna zgoda na przetwarzanie danych zdrowotnych | Przez czas trwania umowy; dane zdrowotne — do momentu cofnięcia zgody lub usunięcia konta |
| Generowanie planów żywieniowych z wykorzystaniem sztucznej inteligencji (AI) | Art. 6 ust. 1 lit. b) RODO — wykonanie umowy; art. 9 ust. 2 lit. a) RODO — wyraźna zgoda; art. 22 ust. 2 lit. c) RODO — wyraźna zgoda na zautomatyzowane podejmowanie decyzji | Przez czas trwania umowy; plany przechowywane w zaszyfrowanej formie |
| Obsługa płatności i subskrypcji | Art. 6 ust. 1 lit. b) RODO — wykonanie umowy; art. 6 ust. 1 lit. c) RODO — obowiązek prawny (przepisy rachunkowe i podatkowe) | Dane transakcyjne: 5 lat od końca roku kalendarzowego, w którym dokonano transakcji (ustawa o rachunkowości) |
| Zapewnienie bezpieczeństwa serwisu (logi, wykrywanie nadużyć, ochrona przed atakami) | Art. 6 ust. 1 lit. f) RODO — prawnie uzasadniony interes Administratora | Logi techniczne: do 12 miesięcy; logi audytowe: do 5 lat |
| Marketing bezpośredni (newsletter — opcjonalny, aktualnie nieaktywny) | Art. 6 ust. 1 lit. a) RODO — zgoda użytkownika | Do momentu cofnięcia zgody |
| Realizacja obowiązków prawnych (rachunkowość, podatki, ewentualne roszczenia) | Art. 6 ust. 1 lit. c) RODO — obowiązek prawny | Okres wynikający z przepisów prawa — co do zasady 5 lat (rachunkowość) lub 6 lat (przedawnienie roszczeń cywilnych) |
5. Zautomatyzowane podejmowanie decyzji i profilowanie (art. 22 RODO)
5.1. Opis procesu
W ramach świadczenia usług serwis e-dietetyk.com wykorzystuje model sztucznej inteligencji (OpenAI GPT-4.1) do generowania spersonalizowanych planów żywieniowych na podstawie danych zdrowotnych podanych przez użytkownika w formularzu wywiadu. Proces ten stanowi zautomatyzowane przetwarzanie danych, w tym danych szczególnej kategorii (dane zdrowotne), w rozumieniu art. 22 RODO.
5.2. Rola człowieka w procesie
Każdy plan żywieniowy wygenerowany przez AI jest obowiązkowo weryfikowany przez wykwalifikowanego dietetyka przed udostępnieniem go użytkownikowi. Plan wygenerowany przez AI ma status „wersji roboczej" (GENERATED) i zostaje udostępniony użytkownikowi dopiero po zatwierdzeniu przez dietetyka (status REVIEWED). Dietetyk może wprowadzić zmiany, poprawki lub odrzucić plan.
5.3. Prawa użytkownika
Zgodnie z art. 22 ust. 3 RODO, w związku ze zautomatyzowanym przetwarzaniem danych, przysługują Ci następujące prawa:
- prawo do uzyskania interwencji ludzkiej ze strony Administratora (każdy plan jest weryfikowany przez dietetyka);
- prawo do wyrażenia własnego stanowiska dotyczącego wygenerowanego planu żywieniowego;
- prawo do zakwestionowania decyzji podjętej w sposób zautomatyzowany.
Aby skorzystać z powyższych praw, skontaktuj się z Administratorem za pośrednictwem danych podanych w pkt 1.
5.4. Podstawa prawna
Zautomatyzowane przetwarzanie danych zdrowotnych odbywa się na podstawie art. 22 ust. 2 lit. c) RODO — wyraźnej zgody użytkownika, wyrażonej przed rozpoczęciem wywiadu zdrowotnego i przed wygenerowaniem planu żywieniowego.
6. Odbiorcy danych i podprocesorzy
Administrator może przekazywać Twoje dane osobowe następującym kategoriom odbiorców:
| Odbiorca | Siedziba | Cel przekazania danych | Zabezpieczenia |
|---|---|---|---|
| OpenAI, LLC | San Francisco, USA | Generowanie planów żywieniowych przez model AI (GPT-4.1) na podstawie zanonimizowanych/zaszyfrowanych danych z wywiadu | Standardowe klauzule umowne (SCC) zgodnie z art. 46 ust. 2 lit. c) RODO; Data Processing Addendum (DPA) OpenAI |
| Stripe, Inc. | San Francisco, USA / Dublin, Irlandia (EU) | Przetwarzanie płatności kartą, obsługa subskrypcji | Certyfikat PCI DSS Level 1; SCC; Stripe przetwarza dane karty — Administrator nie ma dostępu do pełnych numerów kart |
| UAB Hostinger | Wilno, Litwa (EU) | Hosting serwisu (serwer VPS) i bazy danych | Przetwarzanie w Europejskim Obszarze Gospodarczym (EOG); umowa powierzenia przetwarzania danych |
| Resend, Inc. | USA | Wysyłka wiadomości e-mail transakcyjnych (reset hasła, potwierdzenia, powiadomienia o planach) | SCC; DPA |
Administrator nie sprzedaje danych osobowych użytkowników podmiotom trzecim.
Administrator nie udostępnia danych osobowych w celach marketingowych podmiotom trzecim.
7. Transfer danych do państw trzecich
W związku z korzystaniem z usług podprocesorów wymienionych w pkt 6, Twoje dane osobowe mogą być przekazywane do Stanów Zjednoczonych Ameryki (USA), które nie zapewniają odpowiedniego poziomu ochrony danych osobowych w rozumieniu decyzji Komisji Europejskiej.
7.1. Zabezpieczenia transferu
Transfer danych osobowych do USA odbywa się na podstawie:
- Standardowych klauzul umownych (SCC) zatwierdzonych decyzją wykonawczą Komisji Europejskiej 2021/914 z dnia 4 czerwca 2021 r. — zgodnie z art. 46 ust. 2 lit. c) RODO;
- Dodatkowych zabezpieczeń technicznych i organizacyjnych, w tym:
- szyfrowania danych zdrowotnych algorytmem AES-256-GCM przed przekazaniem do podprocesora (OpenAI);
- transmisji danych wyłącznie za pośrednictwem połączeń szyfrowanych (HTTPS/TLS);
- minimalizacji zakresu danych przekazywanych podprocesorom.
7.2. Dostawcy z siedzibą w USA
- OpenAI, LLC — przetwarzanie danych w celu generowania planów żywieniowych;
- Stripe, Inc. — przetwarzanie płatności (dane transakcyjne; Stripe posiada również infrastrukturę w UE);
- Resend, Inc. — wysyłka e-maili transakcyjnych.
Kopię stosowanych standardowych klauzul umownych można uzyskać, kontaktując się z Administratorem.
8. Okres przechowywania danych
| Kategoria danych | Okres przechowywania | Uwagi |
|---|---|---|
| Dane konta użytkownika (e-mail, hash hasła) | Przez czas trwania umowy (posiadania konta); po usunięciu — anonimizacja w ciągu 30 dni | Soft delete + anonimizacja PII |
| Dane zdrowotne (wywiady, plany żywieniowe) | Przez czas trwania umowy lub do cofnięcia zgody; po usunięciu konta — usuwane/anonimizowane | Przechowywane w formie zaszyfrowanej (AES-256-GCM) |
| Dane transakcyjne (zamówienia, faktury) | 5 lat od końca roku kalendarzowego, w którym dokonano transakcji | Obowiązek wynikający z ustawy o rachunkowości |
| Dane techniczne (logi serwera, logi dostępu) | Do 12 miesięcy | Cel: bezpieczeństwo i diagnostyka |
| Logi audytowe (logowanie, przeglądanie danych, generowanie planów) | Do 5 lat | Cel: rozliczalność, bezpieczeństwo, ewentualne roszczenia |
| Dane z plików cookie | Zgodnie z czasem ważności danego pliku cookie (patrz: Polityka cookies) | Sesyjne lub do 1 roku |
| Zgody marketingowe | Do momentu cofnięcia zgody | — |
Po upływie okresu przechowywania dane są trwale usuwane lub anonimizowane w sposób uniemożliwiający identyfikację osoby.
9. Prawa osoby, której dane dotyczą
Na podstawie RODO przysługują Ci następujące prawa:
9.1. Prawo dostępu do danych (art. 15 RODO)
Masz prawo uzyskać od Administratora potwierdzenie, czy Twoje dane osobowe są przetwarzane, a jeżeli tak — uzyskać dostęp do tych danych oraz informacje o celach przetwarzania, kategoriach danych, odbiorcach, planowanym okresie przechowywania, przysługujących prawach, źródle danych oraz o zautomatyzowanym podejmowaniu decyzji.
9.2. Prawo do sprostowania danych (art. 16 RODO)
Masz prawo żądać niezwłocznego sprostowania nieprawidłowych danych osobowych lub uzupełnienia danych niekompletnych.
9.3. Prawo do usunięcia danych — „prawo do bycia zapomnianym" (art. 17 RODO)
Masz prawo żądać usunięcia swoich danych osobowych. Administrator usunie dane bez zbędnej zwłoki, chyba że przetwarzanie jest niezbędne do:
- wywiązania się z obowiązku prawnego wymagającego przetwarzania (np. obowiązki rachunkowe — dane transakcyjne przez 5 lat);
- ustalenia, dochodzenia lub obrony roszczeń.
W serwisie e-dietetyk.com możesz samodzielnie usunąć swoje konto. Usunięcie konta powoduje:
- natychmiastowe zablokowanie dostępu;
- anulowanie aktywnych subskrypcji w Stripe;
- anonimizację danych osobowych (soft delete + usunięcie PII).
9.4. Prawo do ograniczenia przetwarzania (art. 18 RODO)
Masz prawo żądać ograniczenia przetwarzania danych w przypadkach określonych w art. 18 RODO, w szczególności gdy kwestionujesz prawidłowość danych, przetwarzanie jest niezgodne z prawem, lub wniosłeś sprzeciw wobec przetwarzania.
9.5. Prawo do przenoszenia danych (art. 20 RODO)
Masz prawo otrzymać swoje dane osobowe w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego (np. JSON) oraz przesłać te dane innemu administratorowi. Prawo to dotyczy danych przetwarzanych na podstawie zgody lub umowy, w sposób zautomatyzowany.
9.6. Prawo do sprzeciwu (art. 21 RODO)
Masz prawo w dowolnym momencie wnieść sprzeciw wobec przetwarzania danych osobowych opartego na art. 6 ust. 1 lit. f) RODO (prawnie uzasadniony interes), w tym wobec profilowania. Administrator zaprzestanie przetwarzania, chyba że wykaże istnienie ważnych prawnie uzasadnionych podstaw nadrzędnych wobec Twoich interesów, praw i wolności.
9.7. Prawo do cofnięcia zgody (art. 7 ust. 3 RODO)
W zakresie, w jakim przetwarzanie danych odbywa się na podstawie zgody (w szczególności zgoda na przetwarzanie danych zdrowotnych), masz prawo cofnąć zgodę w dowolnym momencie. Cofnięcie zgody nie wpływa na zgodność z prawem przetwarzania dokonanego przed jej cofnięciem.
Cofnięcie zgody na przetwarzanie danych zdrowotnych może skutkować brakiem możliwości dalszego świadczenia usług dietetycznych.
9.8. Prawo do wniesienia skargi do organu nadzorczego
Jeżeli uważasz, że przetwarzanie Twoich danych osobowych narusza przepisy RODO, masz prawo wniesienia skargi do organu nadzorczego:
Prezes Urzędu Ochrony Danych Osobowych (UODO) ul. Stawki 2, 00-193 Warszawa www.uodo.gov.pl
9.9. Sposób realizacji praw
Aby skorzystać z przysługujących Ci praw, skontaktuj się z Administratorem:
- E-mail: kontakt@e-dietetyk.com
- Pocztą: Wirgiliusz Ładziński, ul. Pod Brzozami 16/8a, 03-995 Warszawa
Administrator udzieli odpowiedzi na żądanie bez zbędnej zwłoki, nie później niż w terminie jednego miesiąca od otrzymania żądania. W przypadku skomplikowanych lub licznych żądań termin ten może zostać przedłużony o kolejne dwa miesiące, o czym zostaniesz poinformowany.
Realizacja praw jest bezpłatna. W przypadku żądań ewidentnie nieuzasadnionych lub nadmiernych Administrator może pobrać rozsądną opłatę lub odmówić podjęcia działań zgodnie z art. 12 ust. 5 RODO.
10. Bezpieczeństwo danych
Administrator wdraża odpowiednie środki techniczne i organizacyjne w celu ochrony danych osobowych przed nieuprawnionym dostępem, utratą, zniszczeniem lub ujawnieniem, w szczególności:
10.1. Środki techniczne
- Szyfrowanie danych zdrowotnych algorytmem AES-256-GCM (Advanced Encryption Standard, 256-bitowy klucz, tryb Galois/Counter Mode) — dane wywiadu zdrowotnego, flagi medyczne oraz treść planów żywieniowych są przechowywane w bazie danych wyłącznie w postaci zaszyfrowanej;
- Szyfrowanie transmisji — cała komunikacja między użytkownikiem a serwisem odbywa się za pośrednictwem protokołu HTTPS z certyfikatem TLS;
- Haszowanie haseł — hasła użytkowników nie są przechowywane w postaci jawnej, lecz w formie kryptograficznego skrótu (bcrypt);
- Ochrona przed atakami CSRF — tokeny CSRF w każdej sesji;
- Rate limiting — ograniczenie liczby żądań do API w celu ochrony przed atakami brute force i DDoS.
10.2. Środki organizacyjne
- Kontrola dostępu — dostęp do danych osobowych mają wyłącznie upoważnione osoby, w zakresie niezbędnym do realizacji ich obowiązków;
- Logi audytowe — rejestrowanie zdarzeń takich jak logowanie, przeglądanie wywiadów, generowanie planów, przeglądanie planów, usuwanie kont;
- Minimalizacja danych — zbieranie wyłącznie danych niezbędnych do realizacji konkretnego celu;
- Regularne przeglądy bezpieczeństwa — okresowa weryfikacja zastosowanych zabezpieczeń.
11. Zmiany polityki prywatności
Administrator zastrzega sobie prawo do wprowadzania zmian w niniejszej Polityce prywatności. Zmiany mogą wynikać w szczególności ze zmian w przepisach prawa, zmian w zakresie świadczonych usług, zmian podprocesorów lub zmian w stosowanych technologiach.
O istotnych zmianach w Polityce prywatności użytkownicy zostaną poinformowani poprzez:
- wyświetlenie stosownego komunikatu w serwisie;
- wysłanie wiadomości e-mail na adres powiązany z kontem użytkownika (w przypadku zmian dotyczących podstaw prawnych przetwarzania lub zakresu przetwarzanych danych).
Data ostatniej aktualizacji jest wskazana na początku niniejszego dokumentu.
Dalsze korzystanie z serwisu po wprowadzeniu zmian oznacza akceptację zaktualizowanej Polityki prywatności. W przypadku braku akceptacji zmian użytkownik ma prawo usunąć swoje konto.
12. Kontakt
W sprawach związanych z ochroną danych osobowych oraz realizacją przysługujących Ci praw, skontaktuj się z Administratorem:
- E-mail: kontakt@e-dietetyk.com
- E-mail dodatkowy: wirigiliusz@gmail.com
- Telefon: +48 515-530-088
- Adres korespondencyjny: Wirgiliusz Ładziński, ul. Pod Brzozami 16/8a, 03-995 Warszawa
Niniejsza Polityka prywatności obowiązuje od dnia 23 marca 2026 r.