POLITYKA PRYWATNOŚCI PLATFORMY THERAPYSUPPORT

Data wejścia w życie: 2026-01-15 Data ostatniej aktualizacji: 2026-03-26 Wersja: 1.2

1. WPROWADZENIE

Niniejsza Polityka Prywatności określa zasady przetwarzania danych osobowych przez Platformę TherapySupport, zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (RODO) oraz ustawą o ochronie danych osobowych.

1.1 Dla kogo jest ta Polityka?

Niniejsza Polityka Prywatności dotyczy:

1. Terapeutów (Użytkowników Platformy) – profesjonalistów świadczących usługi w zakresie psychoterapii, psychologii lub zdrowia psychicznego
2. Pacjentów Terapeutów – osób korzystających z usług terapeutów, których dane są wprowadzane do Platformy przez Terapeutę
3. Odwiedzających stronę www – osób odwiedzających www.aitherapy.support

1.2 Ważne rozróżnienie ról w przetwarzaniu danych

UWAGA: Platforma TherapySupport pełni różne role w zależności od tego, czyje dane są przetwarzane:

Co to oznacza w praktyce:

• Dla Terapeutów: Aithentica decyduje, jak przetwarza Twoje dane osobowe (jako administrator).

• Dla Pacjentów: Twój Terapeuta decyduje, jak są przetwarzane Twoje dane (jako administrator). Aithentica przetwarza Twoje dane wyłącznie na zlecenie Terapeuty jako procesor (podmiot przetwarzający).

Jeśli jesteś pacjentem i masz pytania dotyczące swoich danych, skontaktuj się bezpośrednio ze swoim Terapeutą.

2. ADMINISTRATOR DANYCH

2.1 Dane Terapeutów (Użytkowników Platformy)

Administratorem danych osobowych Terapeutów jest:

AITHENTICA PROSTA SPÓŁKA AKCYJNA ul. Tadeusza Wyrzykowskiego 3/7 06-400 Ciechanów, Polska

KRS: 0001189930 NIP: 5662041012 REGON: 542526834

Email: biuro@aithentica.pl Strona www: www.aitherapy.support

Osoba odpowiedzialna za ochronę danych osobowych: Bohdan Głowacki, Dyrektor Email: biuro@aithentica.pl (z dopiskiem "sprawy RODO")

Uwaga: Aithentica nie wyznaczyła Inspektora Ochrony Danych (IOD/DPO) w rozumieniu art. 37 RODO, ponieważ nie spełnia kryteriów obligujących do takiego wyznaczenia. W sprawach dotyczących ochrony danych prosimy o kontakt z osobą wskazaną powyżej.

2.2 Dane Pacjentów (Klientów Terapeutów)

Administratorem danych osobowych Pacjentów jest Terapeuta, który wprowadza dane Pacjenta do Platformy.

Aithentica działa jako procesor danych (podmiot przetwarzający) na zlecenie Terapeuty, zgodnie z Umową Powierzenia Przetwarzania Danych (DPA) zawartą między Aithentica a Terapeutą.

Jeśli jesteś Pacjentem:

• Twój Terapeuta jest administratorem Twoich danych
• Aithentica przetwarza Twoje dane wyłącznie w imieniu Terapeuty
• W sprawach dotyczących Twoich danych (dostęp, usunięcie, sprostowanie) skontaktuj się bezpośrednio ze swoim Terapeutą
• Terapeuta jest odpowiedzialny za uzyskanie Twojej zgody na przetwarzanie danych i informowanie Cię o przetwarzaniu

3. JAKIE DANE ZBIERAMY I W JAKIM CELU?

3.1 Dane Terapeutów (Użytkowników Platformy)

Aithentica jako administrator przetwarza następujące dane osobowe Terapeutów:

a) Dane rejestracyjne i kontaktowe

Jakie dane:

• Imię i nazwisko
• Adres email
• Numer telefonu (opcjonalnie)
• Nazwa praktyki / firmy (opcjonalnie)
• Adres praktyki (opcjonalnie)
• REGON (opcjonalnie)
• Numer konta bankowego (do rozliczeń Stripe Connect)
• Token KSeF (opcjonalnie, do fakturowania elektronicznego)
• Slug publiczny (unikalna nazwa profilu)
• Bio i motto (opcjonalnie, do profilu publicznego)
• Zdjęcie profilu (opcjonalnie)
• Specjalizacje (opcjonalnie)
• Języki (opcjonalnie)

Cel przetwarzania:

• Świadczenie usług w ramach Platformy (Art. 6(1)(b) RODO – wykonanie umowy)
• Kontakt w sprawach technicznych i administracyjnych
• Wsparcie techniczne
• Prezentacja profilu publicznego terapeuty (strona rezerwacji)

Okres przechowywania:

• Do czasu rozwiązania umowy + 30 dni (możliwość wznowienia Subskrypcji)
• Dane niezbędne do celów księgowych: 5 lat (obowiązek prawny)

b) Dane rozliczeniowe i płatności

Jakie dane:

• Nazwa firmy / dane do faktury (NIP, adres)
• Historia płatności (Subskrypcje)
• Dane karty płatniczej (przechowywane przez Stripe, NIE przez Aithentica)

Cel przetwarzania:

• Realizacja płatności za Subskrypcję (Art. 6(1)(b) RODO – wykonanie umowy)
• Wystawianie faktur VAT (Art. 6(1)(c) RODO – obowiązek prawny)
• Księgowość

Okres przechowywania:

• Faktury i dokumenty księgowe: 5 lat (obowiązek prawny wynikający z ustawy o rachunkowości)

c) Dane dotyczące korzystania z Platformy

Jakie dane:

• Logi aktywności (ścieżki URL, czas spędzony na stronach)
• Historia logowań (data, godzina, adres IP)
• Dane techniczne (typ przeglądarki, system operacyjny, rozdzielczość ekranu)
• Statystyki wykorzystania funkcji Platformy
• Microsoft Clarity (nagrania sesji, mapy cieplne — heatmaps) — dostawca: Microsoft Corporation; dane zbierane wyłącznie po wyrażeniu zgody na cookies analityczne
• Application Insights (telemetria wydajności, śledzenie błędów) — dostawca: Microsoft Corporation; dane zbierane wyłącznie po wyrażeniu zgody na cookies analityczne

Uwaga: Wszystkie narzędzia analityczne (Google Analytics, Microsoft Clarity, Application Insights) są ładowane WYŁĄCZNIE po wyrażeniu zgody przez użytkownika w bannerze cookies.

Cel przetwarzania:

• Zapewnienie bezpieczeństwa Platformy (Art. 6(1)(f) RODO – prawnie uzasadniony interes administratora)
• Analiza i ulepszanie funkcjonalności Platformy (Art. 6(1)(a) RODO – zgoda na cookies analityczne)
• Wykrywanie i zapobieganie nadużyciom

Okres przechowywania:

• Logi bezpieczeństwa: 90 dni
• Statystyki zanonimizowane: bezterminowo

d) Dane dotyczące integracji z usługami zewnętrznymi (Google Calendar)

Jakie dane są pobierane z Google:

Jeśli Terapeuta aktywuje integrację z Google Calendar, aplikacja uzyskuje dostęp do następujących danych z konta Google Terapeuty:

Czego aplikacja NIE robi z danymi Google:

• Nie odczytuje wydarzeń z kalendarzy innych niż wybrany przez Terapeutę
• Nie odczytuje treści prywatnych notatek w wydarzeniach
• Nie udostępnia danych Google innym użytkownikom platformy
• Nie używa danych Google do celów reklamowych ani profilowania

Cel przetwarzania:

• Umożliwienie integracji z kalendarzem Google i synchronizacji sesji terapeutycznych (Art. 6(1)(b) RODO – wykonanie umowy)

Okres przechowywania:

• Tokeny OAuth i uprawnienia: do momentu odłączenia integracji przez Terapeutę lub zakończenia Subskrypcji
• Po odłączeniu: tokeny są natychmiast usuwane z bazy danych

Podstawa prawna dostępu do Google:

• Terapeuta wyraźnie autoryzuje dostęp poprzez Google OAuth 2.0 (zgoda użytkownika)
• Integracja jest opcjonalna i może być w każdej chwili odwołana przez Terapeutę

3.2 Dane Pacjentów (przetwarzane jako procesor)

WAŻNE: Aithentica przetwarza poniższe dane wyłącznie na zlecenie Terapeuty jako procesor. Terapeuta jest administratorem tych danych.

a) Dane podstawowe i kontaktowe

Jakie dane:

• Imię i nazwisko Pacjenta
• Adres email
• Numer telefonu
• Data urodzenia (opcjonalnie, na potrzeby dokumentacji terapeutycznej)
• Płeć (opcjonalnie)
• PESEL (opcjonalnie, na potrzeby dokumentacji terapeutycznej)
• Pełny adres (ulica, numer, miasto, kod pocztowy, kraj) (opcjonalnie)
• Data i godzina sesji
• Rodzaj sesji (opcjonalnie)

Dane opiekuna prawnego (dla pacjentów małoletnich):

• Imię opiekuna
• Telefon opiekuna
• Relacja z pacjentem (np. rodzic, opiekun prawny)

Wprowadzane przez: Pacjenta (formularz bookingu) lub Terapeutę (panel administracyjny)

Cel przetwarzania (określony przez Terapeutę):

• Umówienie wizyty
• Kontakt w sprawie sesji (w tym powiadomienia SMS i email)
• Prowadzenie dokumentacji terapeutycznej
• Wystawienie rachunku / faktury (jeśli Terapeuta korzysta z płatności przez Stripe Connect)

Podstawa prawna (określona przez Terapeutę):

• Art. 6(1)(b) RODO – wykonanie umowy między Terapeutą a Pacjentem

b) Dane z sesji terapeutycznych i procesu terapeutycznego

Jakie dane:

• Transkrypcje sesji (tekst)
• Notatki Terapeuty (wprowadzone ręcznie lub wygenerowane przez AI i zatwierdzone)
• Wyekstrahowane informacje (cytaty, ustalenia, prace domowe, informacje demograficzne)
• Historia sesji
• Analizy AI (30+ typów, w tym: konceptualizacja CBT, dystorsje poznawcze, trajektoria postępów terapii, plan zapobiegania nawrotom, ocena sesji SJS-CBT, automatyczna klasyfikacja typu sesji)

Dane z portalu pacjenta:

• Dziennik nastroju — treść wpisów, ocena nastroju (skala 1-10), oceny problemów terapeutycznych (skala 0-100)
• Zadania domowe — tytuł, opis, termin wykonania, status realizacji
• Lista problemów terapeutycznych — opis problemu, sytuacja, cel terapeutyczny, poziom nasilenia
• Odpowiedzi na formularze i kwestionariusze kliniczne — dane JSON z odpowiedziami, wyniki, poziom nasilenia
• Historia chatu AI — wiadomości pacjenta do AI, kontekst rozmowy, odpowiedzi AI

Wprowadzane przez: Terapeutę (nagranie → transkrypcja → ekstrakcja → notatka) lub Pacjenta (portal pacjenta: dziennik nastroju, zadania, formularze, chat AI)

Cel przetwarzania (określony przez Terapeutę):

• Prowadzenie dokumentacji terapeutycznej
• Monitorowanie postępów w terapii
• Wspieranie procesu terapeutycznego
• Analiza AI wspomagająca dokumentację i konceptualizację

Podstawa prawna (określona przez Terapeutę):

• Art. 9(2)(a) RODO – wyraźna zgoda Pacjenta na przetwarzanie danych szczególnych kategorii (dane dotyczące zdrowia)
• Art. 9(2)(h) RODO – cele profilaktyki zdrowotnej, opieki zdrowotnej (jeśli Terapeuta jest świadczeniodawcą medycznym objętym tajemnicą zawodową)

Uwaga: Uzyskanie zgody Pacjenta jest obowiązkiem Terapeuty jako administratora danych.

c) Dane płatności (jeśli Terapeuta korzysta ze Stripe Connect)

Jakie dane:

• StripeCustomerId (identyfikator klienta w systemie Stripe)
• Kwota płatności
• Status płatności (opłacona / nieopłacona)
• Historia płatności
• Dane karty płatniczej Pacjenta (przechowywane przez Stripe, NIE przez Aithentica)

Wprowadzane przez: Pacjenta (formularz płatności Stripe)

Cel przetwarzania (określony przez Terapeutę):

• Realizacja płatności za sesję terapeutyczną

Podstawa prawna (określona przez Terapeutę):

• Art. 6(1)(b) RODO – wykonanie umowy między Terapeutą a Pacjentem

d) Dane techniczne (audit trail)

Jakie dane:

• Adres IP i UserAgent (rejestrowane przy udzielaniu zgód RODO przez pacjenta)

Cel przetwarzania:

• Zapewnienie rozliczalności i możliwości udowodnienia udzielenia zgody (audit trail)

Okres przechowywania:

• Zgodnie z decyzją Terapeuty (zazwyczaj: czas trwania terapii + okres wymagany przepisami prawa dla dokumentacji medycznej)
• Po zakończeniu Subskrypcji przez Terapeutę: 30 dni, a następnie usunięcie (chyba że Terapeuta wyeksportuje dane przed tym terminem)

3.3 Dane zbierane automatycznie (cookies i technologie śledzące)

Platforma wykorzystuje pliki cookies i podobne technologie. Szczegóły w Polityce Cookies dostępnej pod adresem app.aitherapy.support/legal/cookies.

Rodzaje cookies:

• Niezbędne (sesja, uwierzytelnianie) – bez zgody użytkownika
• Funkcjonalne (preferencje użytkownika)
• Analityczne (statystyki odwiedzin) – wymagają zgody

4. PODSTAWA PRAWNA PRZETWARZANIA

Aithentica przetwarza dane osobowe na podstawie następujących podstaw prawnych przewidzianych w RODO:

5. ODBIORCY DANYCH (PODPROCESORY)

5.1 Podprocesory Aithentica

Aby świadczyć Usługi, Aithentica korzysta z następujących podprocesorów (podmiotów przetwarzających):

a) Microsoft Corporation

• Usługi: Azure SQL Database, Azure OpenAI Service, Azure Speech Services, Azure Cognitive Services, Azure Blob Storage, Azure Communication Services (email), Azure Document Intelligence (OCR)
• Lokalizacja: Region EU (Poland Central, Sweden Central, West Europe)
• Zakres danych: Wszystkie dane przechowywane w Platformie (baza danych, transkrypcje, notatki)
• Transfer poza EOG: Nie (dane przetwarzane wyłącznie w EU)
• Umowa: Microsoft Customer Agreement + Microsoft Data Protection Addendum (DPA) zgodny z RODO

b) Microsoft Clarity (za zgodą użytkownika)

• Usługi: Analityka UX (nagrania sesji, mapy cieplne — heatmaps)
• Lokalizacja: USA (Microsoft Corporation)
• Zakres danych: Dane o interakcji z interfejsem (kliknięcia, ruchy myszy, przewijanie), zanonimizowane
• Transfer poza EOG: TAK (USA)
• Zabezpieczenia transferu: Standardowe klauzule umowne (SCC), Microsoft DPA
• Uwaga: Ładowane wyłącznie po wyrażeniu zgody na cookies analityczne

c) Application Insights (za zgodą użytkownika)

• Usługi: Monitoring wydajności, śledzenie błędów
• Lokalizacja: Region EU (Azure)
• Zakres danych: Telemetria aplikacji, dane o błędach, dane o wydajności
• Transfer poza EOG: Nie
• Uwaga: Ładowane wyłącznie po wyrażeniu zgody na cookies analityczne

d) Stripe, Inc.

• Usługi: Płatności (subskrypcje Terapeutów, płatności Pacjentów przez Stripe Connect)
• Lokalizacja: USA (Stripe, Inc., San Francisco, CA)
• Zakres danych: Dane płatności (numer karty, historia transakcji), dane rozliczeniowe Terapeutów
• Transfer poza EOG: TAK (USA)
• Zabezpieczenia transferu: Standardowe klauzule umowne zatwierdzone przez Komisję Europejską (SCC), certyfikacja zgodności z PCI DSS Level 1
• Umowa: Stripe Services Agreement + Stripe Data Processing Agreement

e) Google LLC (opcjonalnie, jeśli Terapeuta aktywuje integrację)

• Usługi: Google Calendar API
• Lokalizacja: USA (Google LLC, Mountain View, CA)
• Zakres danych: Lista kalendarzy Terapeuty (nazwy, ID), wydarzenia kalendarzowe tworzone przez aplikację (tytuł sesji, data, godzina), informacje o wolnych/zajętych terminach; tokeny OAuth umożliwiające dostęp
• Transfer poza EOG: TAK (USA)
• Zabezpieczenia transferu: Standardowe klauzule umowne (SCC), Google Cloud Data Processing Amendment
• Umowa: Google Cloud Terms of Service + Google Cloud Data Processing Amendment
• Uprawnienia (scopes): calendar.events.owned, calendar.calendarlist.readonly, calendar.events.freebusy

f) LiveKit, Inc.

• Usługi: Wideokonferencje terapeutyczne (WebRTC)
• Lokalizacja: EU (hosting europejski)
• Zakres danych: Strumienie audio/wideo w czasie rzeczywistym (nie przechowywane po zakończeniu sesji)
• Transfer poza EOG: Nie
• Umowa: LiveKit Terms of Service + DPA

g) SMSAPI.pl (link2.pl sp. z o.o.)

• Usługi: Powiadomienia SMS
• Lokalizacja: Polska
• Zakres danych: Numer telefonu odbiorcy, treść wiadomości SMS
• Transfer poza EOG: Nie
• Umowa: Umowa z link2.pl sp. z o.o. + DPA

h) DocPlanner International (ZnanyLekarz.pl) (opcjonalnie)

• Usługi: Synchronizacja danych pacjentów
• Lokalizacja: EU
• Zakres danych: Dane kontaktowe pacjentów, terminy wizyt
• Transfer poza EOG: Nie
• Uwaga: Aktywowane wyłącznie przez Terapeutę

i) Zoom Video Communications (opcjonalnie)

• Usługi: Import nagrań sesji terapeutycznych
• Lokalizacja: USA
• Zakres danych: Nagrania audio/wideo sesji (importowane do transkrypcji)
• Transfer poza EOG: TAK (USA)
• Zabezpieczenia transferu: Standardowe klauzule umowne (SCC)
• Uwaga: Aktywowane wyłącznie przez Terapeutę

j) Apple Inc. (opcjonalnie)

• Usługi: Integracja z kalendarzem iCloud (Apple Calendar)
• Lokalizacja: USA
• Zakres danych: Wydarzenia kalendarzowe (tytuł sesji, data, godzina)
• Transfer poza EOG: TAK (USA)
• Zabezpieczenia transferu: Standardowe klauzule umowne (SCC)
• Uwaga: Aktywowane wyłącznie przez Terapeutę

5.2 Prawo do sprzeciwu wobec nowego podprocesora

Terapeuci zostaną poinformowani z 30-dniowym wyprzedzeniem o planowanej zmianie podprocesorów. Terapeuta ma prawo zgłosić uzasadniony sprzeciw w ciągu 14 dni. W przypadku utrzymania sprzeciwu, Terapeuta może rozwiązać umowę ze skutkiem natychmiastowym.

6. TRANSFER DANYCH POZA EUROPEJSKI OBSZAR GOSPODARCZY (EOG)

6.1 Które dane są przekazywane poza EOG?

1. Dane płatności → Stripe, Inc. (USA)
2. Wydarzenia kalendarzowe → Google LLC (USA) – tylko jeśli Terapeuta aktywuje integrację
3. Nagrania sesji → Zoom Video Communications (USA) – tylko jeśli Terapeuta aktywuje import z Zoom
4. Wydarzenia kalendarzowe → Apple Inc. (USA) – tylko jeśli Terapeuta aktywuje integrację Apple Calendar
5. Dane o interakcji z UI → Microsoft Clarity (USA) – tylko po wyrażeniu zgody na cookies analityczne
6. Adres IP → Google Fonts CDN (USA) – automatycznie przy ładowaniu czcionek (transmisja adresu IP)

6.2 Zabezpieczenia transferu

Aithentica zapewnia, że transfer danych poza EOG odbywa się z zastosowaniem odpowiednich zabezpieczeń przewidzianych w RODO (art. 46):

• Standardowe klauzule umowne (SCC) zatwierdzone przez Komisję Europejską (Decyzja wykonawcza (UE) 2021/914)
• Certyfikacje: Stripe jest certyfikowany zgodnie z PCI DSS Level 1
• Dodatkowe środki: szyfrowanie danych w tranzycie (TLS 1.2+), szyfrowanie danych w spoczynku

6.3 Dane NIE przekazywane poza EOG

Dane przechowywane wyłącznie w EU (region Azure EU — Poland Central, Sweden Central, West Europe):

• Transkrypcje sesji
• Notatki Terapeutów
• Dane Pacjentów (poza płatnościami przez Stripe)
• Baza danych (Azure SQL)

Azure OpenAI Service działa w trybie inference bez zapamiętywania danych i jest hostowany w regionie EU.

7. OKRES PRZECHOWYWANIA DANYCH

Uwaga: Usunięcie danych jest nieodwracalne. Po upływie 30 dni od zakończenia Subskrypcji, wszystkie dane Terapeuty i jego Pacjentów są trwale usuwane z systemów Aithentica, w tym z backupów (maksymalnie w ciągu 60 dni ze względu na cykl rotacji backupów).

8. PRAWA OSÓB, KTÓRYCH DANE DOTYCZĄ

8.1 Prawa Terapeutów (wobec Aithentica jako administratora)

Jako Terapeuta, masz następujące prawa wynikające z RODO:

1. Prawo dostępu do danych (Art. 15 RODO)

• Możesz uzyskać potwierdzenie, czy przetwarzamy Twoje dane osobowe
• Możesz otrzymać kopię swoich danych

Jak skorzystać: Wyślij email na biuro@aithentica.pl z tytułem "Żądanie dostępu do danych"

2. Prawo do sprostowania (Art. 16 RODO)

• Możesz poprosić o korektę nieprawidłowych lub niekompletnych danych

Jak skorzystać: Zaktualizuj dane w Panelu Użytkownika lub wyślij email na biuro@aithentica.pl

3. Prawo do usunięcia - "prawo do bycia zapomnianym" (Art. 17 RODO)

• Możesz zażądać usunięcia swoich danych w przypadkach przewidzianych w RODO

Ograniczenia:

• Nie możemy usunąć danych niezbędnych do wywiązania się z obowiązków prawnych (np. faktur przechowywanych 5 lat)
• Nie możemy usunąć danych niezbędnych do dochodzenia roszczeń

Jak skorzystać: Wyślij email na biuro@aithentica.pl z tytułem "Żądanie usunięcia danych"

4. Prawo do ograniczenia przetwarzania (Art. 18 RODO)

• Możesz zażądać ograniczenia przetwarzania Twoich danych w określonych przypadkach

Jak skorzystać: Wyślij email na biuro@aithentica.pl

5. Prawo do przenoszenia danych (Art. 20 RODO)

• Możesz otrzymać swoje dane w ustrukturyzowanym, powszechnie używanym formacie (JSON, CSV)
• Możesz przesłać dane do innego administratora

Jak skorzystać: Użyj funkcji "Eksport danych" w Panelu Użytkownika lub wyślij email na biuro@aithentica.pl

6. Prawo sprzeciwu (Art. 21 RODO)

• Możesz wnieść sprzeciw wobec przetwarzania danych na podstawie prawnie uzasadnionego interesu (np. logi bezpieczeństwa)
• Możesz wnieść sprzeciw wobec przetwarzania danych do celów marketingowych (jeśli wprowadzony newsletter)

Jak skorzystać: Wyślij email na biuro@aithentica.pl

7. Prawo do cofnięcia zgody (Art. 7(3) RODO)

• Jeśli przetwarzanie odbywa się na podstawie zgody (np. cookies analityczne), możesz ją cofnąć w dowolnym momencie

Jak skorzystać: Zmień ustawienia cookies w bannerze lub wyślij email na biuro@aithentica.pl

8. Prawo do wniesienia skargi do organu nadzorczego (Art. 77 RODO)

• Masz prawo wnieść skargę do Prezesa Urzędu Ochrony Danych Osobowych (UODO)

Kontakt do UODO: Urząd Ochrony Danych Osobowych ul. Stawki 2, 00-193 Warszawa Telefon: 22 531 03 00 Email: kancelaria@uodo.gov.pl Strona: www.uodo.gov.pl

8.2 Prawa Pacjentów (wobec Terapeuty jako administratora)

Jeśli jesteś Pacjentem:

Twój Terapeuta jest administratorem Twoich danych osobowych. Aby skorzystać z praw wynikających z RODO (dostęp, usunięcie, sprostowanie, przenoszenie, sprzeciw), skontaktuj się bezpośrednio ze swoim Terapeutą.

Aithentica jako procesor nie może bezpośrednio realizować Twoich żądań bez polecenia Terapeuty.

Co możesz zrobić:

1. Skontaktuj się ze swoim Terapeutą (email, telefon)
2. Złóż żądanie dostępu / usunięcia / sprostowania swoich danych
3. Terapeuta zrealizuje Twoje żądanie korzystając z narzędzi w Platformie

Jeśli Terapeuta nie odpowiada:

1. Wyślij email na biuro@aithentica.pl – przekażemy Twoje żądanie Terapeucie
2. Złóż skargę do UODO (kontakt powyżej)

8.3 Czas odpowiedzi

Aithentica odpowie na żądania realizacji praw RODO bez zbędnej zwłoki, maksymalnie w ciągu 30 dni od otrzymania żądania.

W szczególnie skomplikowanych przypadkach termin ten może być przedłużony o kolejne 60 dni – poinformujemy Cię o tym w ciągu pierwszych 30 dni wraz z uzasadnieniem.

9. BEZPIECZEŃSTWO DANYCH

Aithentica stosuje odpowiednie środki techniczne i organizacyjne w celu zapewnienia bezpieczeństwa danych zgodnie z art. 32 RODO.

9.1 Środki techniczne

1. Szyfrowanie:

   • Transmisja danych: TLS 1.2 lub wyższy (HTTPS)
   • Dane w spoczynku: Transparent Data Encryption (TDE) w Azure SQL Database
   • Szyfrowanie kolumnowe: Always Encrypted (AES-256) dla danych szczególnie wrażliwych (dane zdrowotne, dane identyfikacyjne)
   • Backupy: szyfrowane (Azure Backup)
   • Pseudonimizacja danych osobowych przed przekazaniem do przetwarzania przez modele AI (dane identyfikacyjne pacjentów nie są przesyłane w promptach AI)

2. Kontrola dostępu:

   • Uwierzytelnianie wieloskładnikowe (MFA) dostępne dla Terapeutów
   • Silne hasła (minimum 16 znaków, złożoność: wielkie/małe litery, cyfry, znaki specjalne)
   • Zasada najmniejszych uprawnień dla administratorów systemu Aithentica

3. Monitoring i audyt:

   • Logowanie zdarzeń bezpieczeństwa (logowanie, zmiany danych wrażliwych)
   • Monitoring wykrywania intruzów (Azure Security Center)
   • Regularne przeglądy bezpieczeństwa i audyty

4. Backupy i odzyskiwanie:

   • Automatyczne, codzienne backupy bazy danych
   • Przechowywanie backupów w redundantnym magazynie (geo-redundant)
   • Regularne testy przywracania danych

9.3 Ochrona danych pobranych z Google (Google User Data)

Dane uzyskane poprzez Google OAuth podlegają następującym mechanizmom ochrony:

1. Minimalizacja zakresu: Aplikacja żąda wyłącznie trzech ściśle określonych uprawnień (calendar.events.owned, calendar.calendarlist.readonly, calendar.events.freebusy) — żadnych innych danych z konta Google nie pobieramy.

2. Szyfrowanie tokenów OAuth:

   • Tokeny dostępu (access token) i tokeny odświeżania (refresh token) są przechowywane w bazie danych SQL z szyfrowaniem TDE (Transparent Data Encryption)
   • Transmisja tokenów odbywa się wyłącznie przez szyfrowane połączenie TLS 1.2+

3. Ograniczony dostęp: Tokeny OAuth Terapeuty są dostępne wyłącznie dla tego Terapeuty — żaden inny użytkownik platformy, w tym administratorzy, nie ma dostępu do cudzych tokenów Google.

4. Usuwanie po odwołaniu: Po odłączeniu integracji Google przez Terapeutę, wszystkie tokeny OAuth są natychmiast i trwale usuwane z bazy danych.

5. Automatyczne odświeżanie: Tokeny są automatycznie odświeżane przez system bez konieczności ponownego logowania — klucz refresh token nie jest nigdy ujawniany frontendowi.

6. Zgodność z Google API Services User Data Policy: Aplikacja stosuje zasady ograniczonego użycia (Limited Use) — dane z Google są wykorzystywane wyłącznie do celu dla którego zostały pobrane (synchronizacja kalendarza), nie są udostępniane stronom trzecim ani używane do reklam.

9.2 Środki organizacyjne

1. Szkolenia: Pracownicy Aithentica przechodzą regularne szkolenia z zakresu ochrony danych osobowych i RODO

2. Umowy z podprocesorami: Wszyscy podprocesory podpisują umowy DPA zgodne z art. 28 RODO

3. Procedury: Aithentica posiada wdrożone procedury:

   • Zarządzania incydentami bezpieczeństwa
   • Zgłaszania naruszeń ochrony danych osobowych (do UODO i osób, których dane dotyczą)
   • Obsługi żądań realizacji praw RODO

4. Kontrola dostępu fizycznego: Serwery są hostowane w centrach danych Azure z kontrolą dostępu fizycznego, monitoringiem 24/7, zabezpieczeniami przeciwpożarowymi i klimatyzacją.

10. NARUSZENIA OCHRONY DANYCH OSOBOWYCH

10.1 Obowiązek zgłaszania

Zgodnie z art. 33 i 34 RODO, Aithentica:

1. Zgłosi naruszenie do UODO w ciągu 72 godzin od stwierdzenia naruszenia (jeśli naruszenie stwarza ryzyko dla praw i wolności osób)

2. Powiadomi osoby, których dane dotyczą bez zbędnej zwłoki (jeśli naruszenie stwarza wysokie ryzyko dla ich praw i wolności)

3. Powiadomi Terapeutów (jako administratorów danych Pacjentów) w ciągu 24 godzin od stwierdzenia naruszenia, aby Terapeuci mogli wywiązać się ze swoich obowiązków wynikających z RODO wobec swoich Pacjentów

10.2 Co to jest naruszenie ochrony danych?

Naruszenie to np.:

• Nieautoryzowany dostęp do danych (atak hakerski, kradzież kont)
• Utrata danych (awaria serwera, usunięcie danych)
• Przypadkowe ujawnienie danych osobom nieupoważnionym
• Wyciek danych na skutek błędu konfiguracji

10.3 Procedura zgłaszania naruszeń

Szczegółowa procedura zgłaszania naruszeń dostępna jest w dokumencie "Procedura Zgłaszania Naruszeń Ochrony Danych Osobowych" (dokument wewnętrzny Aithentica).

11. PROFILOWANIE I ZAUTOMATYZOWANE PODEJMOWANIE DECYZJI

11.1 Czy Platforma stosuje profilowanie?

NIE. Platforma TherapySupport nie stosuje profilowania ani zautomatyzowanego podejmowania decyzji wywołujących skutki prawne lub znacząco wpływających na osoby, których dane dotyczą (art. 22 RODO).

11.2 Sztuczna inteligencja w Platformie

Platforma wykorzystuje sztuczną inteligencję (AI) do:

• Transkrypcji nagrań (Azure Speech Services)
• Ekstrakcji informacji z transkrypcji (Azure OpenAI Service)
• Generowania propozycji notatek klinicznych (Azure OpenAI Service)
• Automatycznej klasyfikacji typu sesji (np. sesja wstępna, sesja CBT, sesja wspierająca) — klasyfikacja ma charakter wyłącznie doradczy (advisory) i może być w każdym momencie zmodyfikowana lub odrzucona przez Terapeutę
• 30+ typów analiz (w tym analiza CBT, konceptualizacja poznawcza, śledzenie postępów, ocena sesji SJS-CBT)

WAŻNE:

• AI nie podejmuje decyzji automatycznych – wszystkie treści generowane przez AI, w tym klasyfikacja sesji, wymagają weryfikacji i zatwierdzenia przez Terapeutę
• AI nie dokonuje oceny Pacjentów, diagnoz, ani rekomendacji leczenia
• AI działa jako narzędzie wspomagające dokumentację, nie jako system decyzyjny

12. PRYWATNOŚĆ DZIECI

Platforma TherapySupport jest przeznaczona dla dorosłych profesjonalistów (Terapeutów).

Dane dzieci (Pacjenci poniżej 16 roku życia):

• Jeśli Terapeuta wprowadza do Platformy dane dzieci, Terapeuta (jako administrator) jest odpowiedzialny za uzyskanie zgody rodzica lub opiekuna prawnego na przetwarzanie danych dziecka (art. 8 RODO).
• Aithentica jako procesor nie weryfikuje wieku Pacjentów – jest to obowiązkiem Terapeuty.
• Platforma udostępnia dedykowane pola do rejestrowania danych opiekuna prawnego pacjenta małoletniego (imię opiekuna, telefon, relacja), co wspiera Terapeutę w realizacji obowiązków wynikających z RODO wobec dzieci.

13. ZMIANY POLITYKI PRYWATNOŚCI

1. Aithentica zastrzega sobie prawo do zmiany niniejszej Polityki Prywatności w dowolnym czasie.

2. O istotnych zmianach Terapeuci zostaną powiadomieni z 14-dniowym wyprzedzeniem poprzez email lub powiadomienie w Platformie.

3. Zmieniona Polityka Prywatności wchodzi w życie w dniu wskazanym w powiadomieniu.

4. Kontynuowanie korzystania z Platformy po wejściu w życie zmian jest równoznaczne z akceptacją nowej Polityki Prywatności.

5. Aktualna wersja Polityki Prywatności jest zawsze dostępna pod adresem app.aitherapy.support/legal/polityka-prywatnosci.

14. DANE KONTAKTOWE W SPRAWACH PRYWATNOŚCI

W sprawach dotyczących ochrony danych osobowych, realizacji praw RODO lub pytań dotyczących niniejszej Polityki Prywatności, prosimy o kontakt:

AITHENTICA PROSTA SPÓŁKA AKCYJNA ul. Tadeusza Wyrzykowskiego 3/7 06-400 Ciechanów, Polska

Email: biuro@aithentica.pl (z dopiskiem "RODO" w temacie)

Osoba odpowiedzialna za ochronę danych: Bohdan Głowacki, Dyrektor

Czas odpowiedzi: Do 30 dni (maksymalnie 90 dni w skomplikowanych przypadkach)

15. ORGAN NADZORCZY

Organem nadzorczym właściwym w sprawach ochrony danych osobowych w Polsce jest:

Prezes Urzędu Ochrony Danych Osobowych (UODO)

Adres: ul. Stawki 2, 00-193 Warszawa, Polska Telefon: 22 531 03 00 Email: kancelaria@uodo.gov.pl Strona www: www.uodo.gov.pl

Masz prawo wnieść skargę do UODO, jeśli uważasz, że przetwarzanie Twoich danych osobowych narusza RODO.

16. COOKIES I TECHNOLOGIE ŚLEDZĄCE

Szczegółowe informacje na temat wykorzystywania plików cookies i podobnych technologii dostępne są w Polityce Cookies pod adresem:

app.aitherapy.support/legal/cookies

17. POWIĄZANE DOKUMENTY

• Regulamin Świadczenia Usług: app.aitherapy.support/legal/regulamin
• Umowa Powierzenia Przetwarzania Danych (DPA): app.aitherapy.support/legal/dpa
• Polityka Cookies: app.aitherapy.support/legal/cookies
• Zastrzeżenie Profesjonalne (Disclaimer): app.aitherapy.support/legal/disclaimer

Data ostatniej aktualizacji: 2026-03-26 Wersja: 1.2

PYTANIA?

Jeśli masz pytania dotyczące niniejszej Polityki Prywatności lub sposobu przetwarzania Twoich danych, skontaktuj się z nami:

📧 biuro@aithentica.pl

© 2026 Aithentica Prosta Spółka Akcyjna. Wszelkie prawa zastrzeżone.