Polityka Prywatności eMedics

Wersja: 2026-05-04. Niniejszy dokument realizuje obowiązek informacyjny Administratora wynikający z art. 13 RODO w odniesieniu do Użytkowników Usługi eMedics oraz osób kontaktujących się z Usługodawcą. W zakresie danych Pacjentów wprowadzanych do systemu przez Placówki — Usługodawca działa jako Procesor (art. 28 RODO), a Administratorem pozostaje Placówka.

1. Administrator danych
2. Inspektor Ochrony Danych
3. Cele i podstawy prawne przetwarzania
4. Zakres przetwarzanych danych
5. Odbiorcy danych
6. Okres przechowywania
7. Prawa osób, których dane dotyczą
8. Profilowanie i decyzje automatyczne
9. Transfer poza EOG
10. Pliki cookie i podobne technologie
11. Zmiana Polityki

1. Administrator danych

Administratorem danych osobowych Użytkowników Usługi (osób reprezentujących Usługobiorcę, administratorów Placówek, lekarzy, pielęgniarek, recepcji i konsultantów) oraz osób kontaktujących się z Usługodawcą jest:

Maciej Paczesny-Sobierski, prowadzący jednoosobową działalność gospodarczą pod firmą HouseElectronics.eu Maciej Paczesny-Sobierski z siedzibą przy ul. Azalii 18a, 05-092 Łomianki Dolne, wpisany do Centralnej Ewidencji i Informacji o Działalności Gospodarczej (CEIDG), NIP 5290005579, REGON 010278207, dalej zwany „Administratorem".

Kontakt z Administratorem: kontakt@emedics.pl.

W odniesieniu do danych Pacjentów wprowadzanych do Usługi przez Placówki — Administratorem jest Placówka (Usługobiorca), a Usługodawca przetwarza dane wyłącznie jako Procesor na podstawie Umowy o powierzeniu przetwarzania danych osobowych (UDPB, art. 28 RODO). Realizacja praw z art. 15–22 RODO w odniesieniu do danych Pacjenta odbywa się za pośrednictwem właściwej Placówki.

2. Punkt kontaktowy ds. ochrony danych

Administrator jest osobą fizyczną prowadzącą jednoosobową działalność gospodarczą i pełni rolę administratora danych osobowo. W sprawach dotyczących przetwarzania danych osobowych oraz korzystania z praw związanych z ich przetwarzaniem prosimy o kontakt:

E-mail: biuro@houseelectronics.eu
Adres pocztowy: Maciej Paczesny-Sobierski, ul. Azalii 18a, 05-092 Łomianki Dolne.

Uwaga: ze względu na skalę i charakter działalności (art. 37 ust. 1 RODO) Administrator nie ma ustawowego obowiązku wyznaczenia formalnego Inspektora Ochrony Danych — jako jednoosobowy przedsiębiorca pełni funkcję IOD osobiście, w pełni i bezpośrednio.

3. Cele i podstawy prawne przetwarzania

Cel przetwarzania	Podstawa prawna
Zawarcie i wykonanie umowy o świadczenie Usługi (rejestracja, obsługa konta, rozliczenia)	Art. 6 ust. 1 lit. b RODO — wykonanie umowy
Wystawianie i przechowywanie faktur, ewidencja księgowa	Art. 6 ust. 1 lit. c RODO — obowiązek prawny (ustawa o rachunkowości, ustawa o VAT)
Przetwarzanie danych Pacjentów — w imieniu Placówki, jako Procesor	Art. 28 RODO (UDPB) oraz art. 9 ust. 2 lit. h RODO (medycyna pracy, opieka zdrowotna)
Zapewnienie bezpieczeństwa Usługi, zapobieganie nadużyciom, dziennik audytu (rejestr czynności, art. 30 RODO)	Art. 6 ust. 1 lit. f RODO — uzasadniony interes Administratora i Placówki w zakresie ciągłości i bezpieczeństwa Usługi
Obsługa reklamacji i zapytań kontaktowych	Art. 6 ust. 1 lit. b oraz lit. f RODO
Marketing własny Usługi wobec Usługobiorcy (np. komunikacja o nowych funkcjach)	Art. 6 ust. 1 lit. f RODO — uzasadniony interes; możliwy sprzeciw
Dochodzenie i obrona roszczeń	Art. 6 ust. 1 lit. f RODO

4. Zakres przetwarzanych danych

4.1. Dane Usługobiorcy i Użytkowników

dane firmowe Placówki: nazwa, NIP, REGON, adres, dane kontaktowe;
dane administracyjne Użytkowników: imię, nazwisko, adres e-mail, rola w Placówce;
dane techniczne: zaszyfrowane hasło, znaczniki czasu logowania, adres IP, identyfikator sesji, identyfikator żądania (do celów dziennika audytu);
dane rozliczeniowe: historia faktur, kwoty, terminy płatności.

4.2. Dane Pacjentów (przetwarzane jako Procesor)

Dane Pacjentów są wprowadzane do Usługi przez Placówkę (Administratora) i przetwarzane przez Usługodawcę wyłącznie w zakresie i celu określonym w UDPB. Obejmują w szczególności: imię i nazwisko, PESEL lub inny numer identyfikacyjny, datę urodzenia, adres, dane zatrudnienia, oraz dane medyczne związane z badaniami z zakresu medycyny pracy (kategoria danych szczególna w rozumieniu art. 9 ust. 1 RODO).

Realizacja praw Pacjenta (art. 15–22 RODO) odbywa się za pośrednictwem Placówki, która jest Administratorem tych danych.

5. Odbiorcy danych

Dane mogą być udostępniane następującym kategoriom odbiorców:

Personel Usługodawcy — pracownicy i współpracownicy upoważnieni do obsługi Usługi, zobowiązani do zachowania poufności;
Dostawcy infrastruktury — operator serwerowni / chmury obliczeniowej zlokalizowanej w Unii Europejskiej (lista subprocesorów stanowi załącznik do UDPB);
Dostawcy płatności i fakturowania — w zakresie niezbędnym do realizacji transakcji płatniczych i wystawiania dokumentów księgowych;
Organy publiczne — wyłącznie gdy obowiązek udostępnienia wynika z przepisów prawa (np. ZUS, PIP, sądy, prokuratura, Prezes UODO);
Systemy ochrony zdrowia (P1, CSIOZ) — w zakresie obsługi e-orzeczeń medycyny pracy, jeśli Usługobiorca skorzysta z tej funkcjonalności;
Podmioty doradcze — kancelaria prawna, biuro rachunkowe, audytor — na podstawie umów powierzenia.

6. Okres przechowywania

Okresy przechowywania zależą od roli, w której Usługodawca przetwarza dane:

Administrator — w odniesieniu do danych Użytkowników Usługi (osób reprezentujących Usługobiorcę, administratorów Placówek, lekarzy, pielęgniarek, recepcji, konsultantów), danych rozliczeniowych oraz korespondencji z Usługodawcą;
Procesor — w odniesieniu do danych Pacjentów oraz dokumentacji medycznej wytworzonej przez Placówkę. Za długoterminową archiwizację tych danych (KBP, orzeczeń, akt osobowych pracownika) odpowiada Placówka jako Administrator zgodnie z przepisami prawa. Usługodawca przechowuje je wyłącznie przez czas trwania umowy SaaS oraz krótki okres karencji po jej zakończeniu, umożliwiający Placówce eksport i migrację do innego systemu.

6.1. Dane przetwarzane przez Usługodawcę jako Administrator

Kategoria danych	Okres przechowywania
Dane konta Usługobiorcy i Użytkowników (aktywne)	Czas trwania umowy o świadczenie Usługi
Dane konta po rozwiązaniu umowy	90 dni (tryb tylko-do-odczytu, eksport), następnie trwałe usunięcie (do 30 dni rotacja backupów)
Faktury i dokumenty księgowe	5 lat licząc od końca roku, w którym upłynął termin płatności podatku (art. 86 § 1 Ordynacji podatkowej)
Dziennik audytu (rejestr czynności art. 30 RODO)	Czas trwania umowy + 6 lat (przedawnienie roszczeń)
Korespondencja reklamacyjna	3 lata od zakończenia sprawy

6.2. Dane przetwarzane przez Usługodawcę jako Procesor (w imieniu Placówki)

W odniesieniu do danych Pacjentów i dokumentacji medycznej Usługodawca przechowuje dane wyłącznie przez czas trwania umowy SaaS oraz 30 dni karencji po jej zakończeniu — okres karencji służy Placówce do wykonania eksportu danych (PDF/A + CSV + manifest SHA-256, dostępny w /ustawienia/archiwizacja/) oraz migracji do innego systemu. Po upływie karencji dane są bezpiecznie usuwane (zerowanie pól szyfrowanych pgcrypto oraz S3 lifecycle delete dla załączników).

Długoterminowa archiwizacja dokumentacji medycznej należy do Placówki (Administratora), która odpowiada za jej realizację zgodnie z przepisami prawa:

Kategoria danych	Okres archiwizacji (po stronie Placówki)
Karta Badania Profilaktycznego (KBP)	20 lat — § 5 ust. 1 rozporządzenia Ministra Zdrowia z 19 lipca 2024 r. w sprawie dokumentacji medycznej dotyczącej badań profilaktycznych (Dz.U. 2024 poz. 1311)
Orzeczenia lekarskie medycyny pracy (zdolność do pracy)	20 lat — § 5 ust. 1 rozp. MZ z 19 lipca 2024 r. (Dz.U. 2024 poz. 1311) — okres archiwizacji po stronie placówki. Niezależnie od tego pracodawca otrzymuje oryginał orzeczenia i przechowuje go w aktach osobowych pracownika 10 lub 50 lat (KP art. 94 pkt 9b) — to inny reżim prawny.
Dokumentacja pracowników eksponowanych na czynniki rakotwórcze, mutagenne lub reprotoksyczne (substancje chemiczne, promieniowanie jonizujące, biologiczne grupy 3/4)	40 lat po ustaniu narażenia — § 5 ust. 3 rozp. MZ z 19 lipca 2024 r. (Dz.U. 2024 poz. 1311). Termin dłuższy niż standardowe 20 lat ze względu na długi okres latencji chorób wynikających z ekspozycji zawodowej.
Dane osobowe pracownika w aktach osobowych (po stronie pracodawcy, nie placówki MP)	10 lat (zatrudnieni od 1.01.2019) lub 50 lat (zatrudnieni przed 2019 bez RIA) — KP art. 94 pkt 9b, art. 125a ZUS. Reżim niezależny od archiwizacji medycznej w placówce.

Aby wspierać Placówkę w realizacji obowiązku archiwizacji, Usługa udostępnia kompletny eksport dokumentacji medycznej w formacie PDF/A + CSV + manifest z sumami kontrolnymi SHA-256 (zakładka Ustawienia → Archiwizacja). Eksport pozwala Placówce zarchiwizować dokumenty na własnym nośniku lub przekazać je do innego systemu medycznego z zachowaniem integralności.

7. Prawa osób, których dane dotyczą

Każdej osobie, której dane dotyczą, przysługują następujące prawa wynikające z RODO:

prawo dostępu do danych (art. 15 RODO) wraz z otrzymaniem kopii danych;
prawo sprostowania danych nieprawidłowych lub niekompletnych (art. 16 RODO);
prawo usunięcia danych (art. 17 RODO) — z zastrzeżeniem ustawowych okresów przechowywania dokumentacji medycznej i księgowej;
prawo ograniczenia przetwarzania (art. 18 RODO);
prawo sprzeciwu wobec przetwarzania opartego na uzasadnionym interesie (art. 21 RODO);
prawo do przenoszenia danych (art. 20 RODO) — w odniesieniu do danych przetwarzanych w sposób zautomatyzowany na podstawie umowy lub zgody;
prawo wniesienia skargi do organu nadzorczego: Prezes Urzędu Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl.

Realizacja praw odbywa się przez kontakt z Administratorem: biuro@houseelectronics.eu. W odniesieniu do danych Pacjenta — wniosek należy kierować bezpośrednio do Placówki, która jest Administratorem (Usługodawca przekaże wniosek właściwej Placówce).

8. Profilowanie i decyzje automatyczne

Usługodawca nie podejmuje wobec Użytkowników ani Pacjentów decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, które wywoływałyby skutki prawne lub w podobny sposób istotnie na nich wpływały (art. 22 RODO).

9. Transfer poza EOG

Dane przetwarzane są w infrastrukturze zlokalizowanej w Unii Europejskiej (preferencyjnie w Polsce). Usługodawca nie przekazuje danych poza Europejski Obszar Gospodarczy. Lista subprocesorów, wraz ze wskazaniem lokalizacji serwerów, stanowi załącznik do UDPB i jest aktualizowana przy każdej zmianie.

10. Pliki cookie i podobne technologie

Usługa wykorzystuje wyłącznie pliki cookie niezbędne do prawidłowego działania, w szczególności:
- sessionid — identyfikator sesji zalogowanego Użytkownika (cookie sesyjne, znika po zamknięciu przeglądarki lub po wylogowaniu);
- csrftoken — token zabezpieczający przed atakami CSRF (zgodnie z art. 173 ust. 1 ustawy Prawo telekomunikacyjne pliki niezbędne nie wymagają zgody Użytkownika);
- django_language — preferencja języka interfejsu.
Usługa nie wykorzystuje ciasteczek marketingowych, śledzących, profilujących ani zewnętrznych systemów analitycznych typu Google Analytics, Meta Pixel itp.
Użytkownik może zarządzać plikami cookie w ustawieniach przeglądarki; wyłączenie ciasteczek niezbędnych uniemożliwia korzystanie z Usługi.

11. Zmiana Polityki

Polityka Prywatności może zostać zmieniona w przypadku zmiany przepisów prawa, zmiany zakresu lub sposobu świadczenia Usługi, pojawienia się nowych wymogów organów nadzorczych.
O zmianie Usługobiorca zostanie powiadomiony e-mailem oraz komunikatem w Usłudze z co najmniej 14-dniowym wyprzedzeniem.
Aktualna wersja: 2026-05-04. Wcześniejsze wersje udostępniane są na żądanie pod adresem biuro@houseelectronics.eu.

W razie pytań dotyczących przetwarzania danych osobowych prosimy o kontakt z Administratorem: biuro@houseelectronics.eu.