Polityka prywatności
Ostatnia aktualizacja: 4 lipca 2026 r.
§ 1. Kim jesteśmy i czego dotyczy ta polityka
Rehab Now to platforma internetowa wspierająca współpracę gabinetów fizjoterapii z ich pacjentami: planowanie zestawów ćwiczeń, prowadzenie dzienniczka postępów i samopoczucia oraz komunikację pacjenta z fizjoterapeutą.
Operatorem platformy jest Szymon Komorowski .IT, NIP 579 219 71 55 (dalej: „Operator"). Kontakt w sprawach ochrony danych: kontakt@rehabnow.pl.
Niniejsza polityka opisuje przetwarzanie danych osobowych zgodnie z rozporządzeniem (UE) 2016/679 (RODO) w trzech obszarach:
- strony internetowej rehabnow.pl wraz z formularzem kontaktowym,
- kont personelu gabinetów korzystających z panelu Rehab Now,
- danych pacjentów przetwarzanych w aplikacji pacjenta.
§ 2. Dwie role: administrator i podmiot przetwarzający
Operator jest administratorem danych osób odwiedzających stronę, osób kontaktujących się przez formularz oraz danych kont personelu gabinetów (w zakresie niezbędnym do świadczenia usługi i rozliczeń).
Administratorem danych pacjentów jest gabinet (placówka fizjoterapeutyczna), który zaprosił pacjenta do platformy i prowadzi jego terapię. Dane pacjentów — w tym dane dotyczące zdrowia (art. 9 RODO), takie jak wpisy dzienniczka, objawy, treści wizyt i zaleceń oraz wiadomości — Operator przetwarza wyłącznie w imieniu gabinetu, jako podmiot przetwarzający w rozumieniu art. 28 RODO, na podstawie umowy powierzenia przetwarzania danych.
Jeżeli jesteś pacjentem i chcesz zrealizować swoje prawa wobec danych prowadzonych w aplikacji (np. dostęp, sprostowanie, usunięcie), skieruj żądanie do swojego gabinetu — Operator wesprze jego realizację technicznie.
§ 3. Jakie dane przetwarzamy, po co i na jakiej podstawie
| Obszar | Zakres danych | Cel | Podstawa prawna |
|---|---|---|---|
| Lista oczekujących (zapis na wczesny dostęp) | adres e-mail, opcjonalnie nazwa gabinetu | kontakt w sprawie udostępnienia wczesnego dostępu do platformy | art. 6 ust. 1 lit. a RODO (zgoda — można ją wycofać w każdej chwili, pisząc na adres kontaktowy lub klikając link rezygnacji w wiadomości) |
| Formularz kontaktowy / prośba o prezentację | imię i nazwisko, e-mail, treść wiadomości | odpowiedź na zapytanie, umówienie i przeprowadzenie prezentacji | art. 6 ust. 1 lit. b RODO (działania przed zawarciem umowy) oraz lit. f (prawnie uzasadniony interes — obsługa korespondencji) |
| Konta personelu gabinetu | imię i nazwisko, służbowy e-mail, dane logowania (hasło w postaci skrótu, drugi składnik 2FA), przypisanie do organizacji i uprawnienia | świadczenie usługi, bezpieczeństwo kont, rozliczenia | art. 6 ust. 1 lit. b RODO (umowa o świadczenie usługi) |
| Dane pacjentów w aplikacji | e-mail, kod aktywacyjny, numer/etykieta pacjenta, zestaw ćwiczeń, wpisy dzienniczka (wykonanie ćwiczeń, samopoczucie, objawy, notatki), treści wizyt i zaleceń, wiadomości z fizjoterapeutą — w tym dane o zdrowiu | prowadzenie terapii i dokumentowanie jej przebiegu przez gabinet | przetwarzanie powierzone przez gabinet (art. 28 RODO); podstawę wobec pacjenta zapewnia gabinet — co do zasady art. 9 ust. 2 lit. h RODO (opieka zdrowotna) |
| Powiadomienia e-mail i push | adres e-mail, subskrypcja powiadomień push przypisana do przeglądarki (adres punktu końcowego i klucze szyfrujące) | przypomnienia o ćwiczeniach, informacja o odpowiedzi fizjoterapeuty, wiadomości systemowe (aktywacja, logowanie) | w ramach usługi (art. 6 ust. 1 lit. b RODO); powiadomienia push — za zgodą wyrażoną w przeglądarce, którą można cofnąć w każdej chwili |
| Dane techniczne | adres IP, identyfikatory żądań, zdarzenia bezpieczeństwa w logach systemowych (bez treści medycznych) | utrzymanie, diagnostyka i bezpieczeństwo platformy | art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes) |
Podanie danych jest dobrowolne, ale niezbędne do korzystania z platformy lub otrzymania odpowiedzi na zapytanie.
§ 4. Odbiorcy danych
Dane powierzamy wyłącznie podmiotom niezbędnym do działania platformy, na podstawie umów powierzenia:
- hosting i infrastruktura — Hetzner Online GmbH (serwery na terenie Unii Europejskiej),
- doręczanie wiadomości e-mail i prowadzenie listy oczekujących — dostawca usługi e-mail transakcyjnego (Resend); adresy z zapisu na wczesny dostęp przechowywane są jako lista kontaktów u tego dostawcy,
- hosting strony i ochrona formularzy przed botami — Cloudflare (usługa Turnstile analizuje sygnały techniczne przeglądarki, w tym adres IP, wyłącznie w celu odróżnienia człowieka od automatu),
- doręczanie powiadomień push — usługi push dostawcy przeglądarki/systemu (np. Apple, Google, Mozilla); treść powiadomień jest szyfrowana i nie jest dla tych dostawców czytelna,
- podmioty świadczące dla Operatora usługi księgowe lub prawne — w zakresie danych rozliczeniowych.
Nie sprzedajemy danych i nie udostępniamy ich do celów marketingowych osób trzecich. Strona nie korzysta z narzędzi śledzących ani reklamowych.
§ 5. Przekazywanie danych poza EOG
Dane medyczne i konta użytkowników przechowywane są na serwerach w Unii Europejskiej. Wybrani dostawcy usług pomocniczych (doręczanie e-maili, powiadomienia push) mogą przetwarzać ograniczone dane (np. adres e-mail, adres punktu końcowego push) poza Europejskim Obszarem Gospodarczym — w takim wypadku stosowane są mechanizmy zgodności przewidziane w RODO, w szczególności standardowe klauzule umowne (art. 46 RODO) lub decyzje o adekwatności.
§ 6. Jak długo przechowujemy dane
- lista oczekujących — do wycofania zgody albo do zakończenia zapisów na wczesny dostęp, nie dłużej niż 24 miesiące od zapisu,
- zapytania z formularza — do zakończenia korespondencji, nie dłużej niż 12 miesięcy od ostatniego kontaktu,
- konta personelu — przez czas trwania umowy z gabinetem, a po jej zakończeniu przez okres przedawnienia roszczeń,
- dane pacjentów — przez okres wskazany przez gabinet jako administratora (z uwzględnieniem przepisów o dokumentacji medycznej); po zakończeniu umowy z gabinetem dane są zwracane lub usuwane zgodnie z umową powierzenia,
- logi techniczne — do 90 dni, chyba że są niezbędne do wyjaśnienia incydentu bezpieczeństwa.
§ 7. Twoje prawa
W zakresie, w jakim Operator jest administratorem Twoich danych, masz prawo do:
- dostępu do danych i otrzymania ich kopii (art. 15 RODO),
- sprostowania danych (art. 16 RODO),
- usunięcia danych (art. 17 RODO),
- ograniczenia przetwarzania (art. 18 RODO),
- przenoszenia danych (art. 20 RODO),
- sprzeciwu wobec przetwarzania opartego na prawnie uzasadnionym interesie (art. 21 RODO).
Żądania możesz kierować na adres kontakt@rehabnow.pl. Masz również prawo wnieść skargę do Prezesa Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl).
W odniesieniu do danych przetwarzanych w aplikacji pacjenta administratorem jest Twój gabinet — żądania realizowane są za jego pośrednictwem (§ 2).
§ 8. Pliki cookies i pamięć przeglądarki
Strona rehabnow.pl nie używa plików cookies do śledzenia ani
analityki. Aplikacja pacjenta i panel gabinetu zapisują w pamięci lokalnej
przeglądarki (localStorage) wyłącznie dane niezbędne do działania
usługi: tokeny zalogowanej sesji oraz ustawienia interfejsu. Dane te pozostają
na Twoim urządzeniu i są usuwane przy wylogowaniu lub czyszczeniu danych
przeglądarki.
Do wyświetlania kroju pisma strona korzysta z Google Fonts — przeglądarka pobiera pliki fontów z serwerów Google LLC, co wiąże się z przekazaniem adresu IP. Szczegóły w polityce prywatności Google.
§ 9. Powiadomienia push
Powiadomienia push (przypomnienia o ćwiczeniach, informacja o odpowiedzi fizjoterapeuty) działają wyłącznie po wyrażeniu zgody w przeglądarce lub systemie. Zgodę można cofnąć w każdej chwili w ustawieniach aplikacji, przeglądarki lub systemu — subskrypcja jest wtedy usuwana. Treść powiadomień jest szyfrowana na urządzenie odbiorcy.
§ 10. Bezpieczeństwo
Stosujemy środki techniczne i organizacyjne adekwatne do przetwarzania danych o zdrowiu, m.in.:
- szyfrowanie transmisji (TLS) oraz szyfrowanie treści medycznych (dokumentacja wizyt, zalecenia, wiadomości, dzienniczek) w bazie danych,
- izolację danych każdej organizacji (architektura multi-tenant),
- uwierzytelnianie dwuskładnikowe (2FA) dla personelu gabinetów,
- jednorazowe kody aktywacyjne i logowanie pacjentów bez haseł,
- zasadę minimalizacji — logi systemowe nie zawierają treści medycznych,
- kontrolę dostępu opartą na rolach i regularne aktualizacje bezpieczeństwa.
§ 11. Zmiany polityki
Polityka może być aktualizowana wraz z rozwojem platformy. O istotnych zmianach poinformujemy na tej stronie, a użytkowników platformy — także w aplikacji lub e-mailem. Data ostatniej aktualizacji widnieje na górze dokumentu.