Polityka Prywatności

Witamy w VetNote. Zobowiązujemy się do ochrony Twoich danych osobowych i poszanowania Twojej prywatności. Niniejsza Polityka Prywatności wyjaśnia, w jaki sposób zbieramy, wykorzystujemy i chronimy Twoje informacje podczas korzystania z naszej usługi książeczki zdrowia zwierząt.

Administratorem danych osobowych jest: Tupek Kamil Nowak, ul. Józefa Poniatowskiego 17, 63-200 Jarocin, Polska. NIP: 6172197279, REGON: 384712929. Kontakt: [email protected].

Administrator nie wyznaczył Inspektora Ochrony Danych, ponieważ przetwarzanie nie stanowi głównej działalności obejmującej regularne i systematyczne monitorowanie osób na dużą skalę ani przetwarzanie szczególnych kategorii danych na dużą skalę (art. 37 RODO).

Przetwarzamy Twoje dane zgodnie z Ogólnym Rozporządzeniem o Ochronie Danych (RODO) oraz polskimi przepisami o ochronie danych.

Zbieramy i przetwarzamy następujące kategorie danych osobowych:

• Dane konta (wymagane): adres e-mail, imię i nazwisko, hasło (hashowane bcrypt). Podanie adresu e-mail jest niezbędne do utworzenia konta. Bez niego nie możemy świadczyć usługi.
• Dane logowania od dostawców zewnętrznych: Jeśli logujesz się przez Google lub Apple OAuth, otrzymujemy Twój adres e-mail i imię od Google LLC lub Apple Inc. za Twoją zgodą podczas logowania.
• Dane zdrowotne zwierząt (opcjonalne): imiona zwierząt, gatunki, rasy, zapisy szczepień, historia medyczna, wizyty weterynaryjne, leki. Odmowa podania tych danych uniemożliwia korzystanie z funkcji zarządzania zdrowiem zwierząt.
• Dokumenty (opcjonalne): przesłane dokumenty medyczne, zdjęcia, pliki skanów. Przesłane zdjęcia mogą zawierać metadane (dane EXIF, takie jak lokalizacja, znacznik czasu, informacje o urządzeniu). Zalecamy unikanie przesyłania zdjęć osobistych niezwiązanych ze zdrowiem zwierzęcia.
• Dane użytkowania: czasy logowania, używane funkcje, informacje o urządzeniu
• Dane komunikacyjne: prośby o wsparcie, opinie
• Dane aplikacji mobilnej: identyfikatory urządzenia, tokeny powiadomień push (FCM), wersja aplikacji
• Dane biometryczne: status aktywacji Face ID/Touch ID (rzeczywiste dane biometryczne nigdy nie opuszczają Twojego urządzenia i są przetwarzane wyłącznie przez Apple/Google w Secure Enclave/TEE)
• Dane przetwarzane przez AI (opcjonalne): gdy włączysz funkcje AI, fragmenty dokumentacji medycznej Twojego zwierzęcia, wiadomości czatu i podsumowania dokumentów są przetwarzane przez usługi AI (tylko za Twoją wyraźną zgodą). Odmowa zgody uniemożliwia korzystanie wyłącznie z funkcji opartych na AI; wszystkie pozostałe funkcje aplikacji pozostają dostępne.

Przetwarzamy Twoje dane osobowe w następujących celach, z przypisaną podstawą prawną:

• Świadczenie i utrzymanie usługi VetNote, zarządzanie kontem, przechowywanie danych zdrowotnych zwierząt i obsługa subskrypcji — Podstawa prawna: wykonanie umowy (art. 6 ust. 1 lit. b RODO)
• Wysyłanie powiadomień transakcyjnych: przypomnienia o wizytach, alerty o lekach, terminy szczepień — Podstawa prawna: wykonanie umowy (art. 6 ust. 1 lit. b RODO), bez konieczności odrębnej zgody
• Wysyłanie powiadomień marketingowych: aktualizacje produktu, porady, nowe funkcje — Podstawa prawna: zgoda (art. 6 ust. 1 lit. a RODO). Wysyłane wyłącznie za Twoją odrębną, wyraźną zgodą
• Analityka produktowa (PostHog): analiza wzorców użytkowania w celu ulepszania usługi — Podstawa prawna: zgoda (art. 6 ust. 1 lit. a RODO), wymagana również na podstawie art. 5 ust. 3 dyrektywy ePrivacy jako lex specialis w zakresie dostępu do urządzeń końcowych
• Analiza dokumentacji medycznej, wyszukiwanie dokumentów i asystent zdrowia oparte na AI — Podstawa prawna: wyraźna zgoda (art. 6 ust. 1 lit. a RODO). Aktywne dopiero po wyrażeniu zgody
• Zapewnienie bezpieczeństwa usług, ochrona przed nadużyciami i nieautoryzowanym dostępem — Podstawa prawna: prawnie uzasadniony interes (art. 6 ust. 1 lit. f RODO). Nasz konkretny interes: ochrona integralności usługi i kont użytkowników przed nieautoryzowanym dostępem i oszustwami
• Raportowanie błędów i monitorowanie awarii (Sentry) — Podstawa prawna: prawnie uzasadniony interes (art. 6 ust. 1 lit. f RODO). Nasz konkretny interes: utrzymanie stabilności usługi i szybkie rozwiązywanie problemów technicznych
• Odpowiadanie na Twoje prośby o wsparcie — Podstawa prawna: wykonanie umowy (art. 6 ust. 1 lit. b RODO)
• Przechowywanie dokumentacji rozliczeniowej i podatkowej — Podstawa prawna: obowiązek prawny (art. 6 ust. 1 lit. c RODO), w szczegolności art. 70 Ordynacji podatkowej oraz Ustawa o rachunkowości

Wszystkie Twoje dane są przechowywane i przetwarzane na terenie Europejskiego Obszaru Gospodarczego (EOG). Nasi dostawcy infrastruktury (Vercel, Supabase, Sentry, PostHog, Google Cloud, Qdrant) działają w centrach danych w UE (regiony Frankfurt i europe-west1).

Niektórzy z naszych dostawców usług mają siedzibę w Stanach Zjednoczonych (Vercel Inc., Supabase Inc., Sentry Inc., Qdrant). Chociaż dane fizycznie pozostają na terenie UE, dostawcy ci mogą mieć ograniczony dostęp do danych w celach wsparcia technicznego i utrzymania. Taki dostęp jest regulowany Standardowymi Klauzulami Umownymi (SCC) zgodnie z decyzją wykonawczą Komisji (UE) 2021/914 oraz Umowami Powierzenia Przetwarzania Danych (DPA).

Nie sprzedajemy Twoich danych osobowych. Możemy udostępniać Twoje dane następującym odbiorcom:

• Weterynarzom: Tylko gdy wyraźnie udostępnisz dostęp poprzez bezpieczny link
• Hosting: Vercel — Frankfurt, Niemcy (eu-central-1). Obsługuje aplikację webową i funkcje serverless.
• Baza danych i uwierzytelnianie: Supabase (na AWS) — Frankfurt, Niemcy (eu-central-1). Przechowuje wszystkie dane użytkowników, dokumentację zwierząt i uwierzytelnianie.
• Śledzenie błędów: Sentry — Frankfurt, Niemcy (ingest.de). Raportowanie awarii i monitorowanie błędów.
• Analityka: PostHog — Frankfurt, Niemcy (eu-central-1). Analityka produktowa, tylko za Twoją zgodą.
• Model językowy AI: Google Vertex AI (Anthropic Claude) — region UE (europe-west1). Przetwarza wiadomości czatu i teksty dokumentacji medycznej do analizy opartej na AI. Dane przetwarzane na podstawie umowy o przetwarzanie danych Google Cloud, w UE, nie są używane do trenowania modeli. Aktywne tylko za Twoją wyraźną zgodą.
• Embeddingi AI: Google Vertex AI — region UE (europe-west1). Przekształca teksty dokumentacji medycznej w przeszukiwalną formę numeryczną do wyszukiwania dokumentów. Dane przetwarzane w UE, nie są używane do trenowania.
• Wyszukiwanie wektorowe: Qdrant (na AWS) — Frankfurt, Niemcy (eu-central-1). Przechowuje przeszukiwalne reprezentacje numeryczne dokumentacji medycznej Twojego zwierzęcia. Dane szyfrowane w spoczynku.
• Dostawcy uwierzytelniania: Google LLC i Apple Inc. — gdy korzystasz z logowania przez Google lub Apple. Wymieniane są wyłącznie dane uwierzytelniające (e-mail, imię).
• Organom prawnym: Gdy wymaga tego prawo

Zgodnie z art. 50 Rozporządzenia AI (Regulation 2024/1689) informujemy, że VetNote oferuje opcjonalne funkcje oparte na sztucznej inteligencji, w tym asystenta zdrowia i inteligentne wyszukiwanie dokumentów. Korzystając z tych funkcji, wchodzisz w interakcję z systemem AI, a odpowiedzi są generowane przez AI.

Funkcje AI są całkowicie opcjonalne — musisz wyrazić wyraźną zgodę, zanim jakiekolwiek dane zostaną wysłane do usług AI. Gdy funkcje AI są włączone, następujące dane mogą być wysyłane do usług AI: wiadomości czatu wysyłane do asystenta zdrowia, fragmenty dokumentacji medycznej Twojego zwierzęcia (podsumowania wizyt, leki, wyniki badań) oraz imię i gatunek zwierzęcia. Dane te są wykorzystywane wyłącznie do generowania odpowiedzi i wyników wyszukiwania w VetNote.

Całe przetwarzanie AI odbywa się na terenie Unii Europejskiej (region Google Cloud europe-west1). Dostawcy usług AI przetwarzają dane na podstawie umów o przetwarzanie danych i nie wykorzystują Twoich danych do trenowania ani ulepszania swoich modeli.

Możesz włączyć lub wyłączyć przetwarzanie danych przez AI w dowolnym momencie w Ustawienia > Prywatność. Po wyłączeniu funkcji AI żadne dalsze dane nie będą wysyłane do usług AI. Wcześniej przetworzone dane (takie jak embeddingi wyszukiwania) mogą być przechowywane do momentu zażądania ich usunięcia.

VetNote wykorzystuje AI (Google Vertex AI z Anthropic Claude) do analizy objawów zdrowotnych zwierząt, skanówania dokumentów weterynaryjnych i prowadzenia czatu doradczego.

Odpowiedzi AI mają charakter wyłącznie informacyjny i edukacyjny. AI nie podejmuje decyzji wywołujących skutki prawne ani w podobny sposób istotnie na Ciebie wpływających (art. 22 RODO). Zgodnie z Ustawą o zawodzie lekarza weterynarii, wyłącznie licencjonowany lekarz weterynarii może diagnozować i przepisywać leczenie zwierząt. AI nie zastępuje konsultacji weterynaryjnej, nie stanowi diagnozy medycznej, a użytkownik zawsze podejmuje ostateczną decyzję. Brak profilowania wywołującego skutki prawne.

Wdrażamy odpowiednie środki techniczne i organizacyjne w celu ochrony Twoich danych:

• Szyfrowanie w transmisji: HTTPS/TLS dla całej komunikacji
• Szyfrowanie w spoczynku: Wszystkie dane szyfrowane na serwerach Supabase (AWS)
• Row Level Security (RLS): Polityki bezpieczeństwa na poziomie wierszy zapewniają dostęp tylko do własnych danych
• Podpisane adresy URL: Pliki dostępne za pośrednictwem podpisanych URL z ograniczonym czasem ważności
• Bezpieczne przechowywanie tokenów: Secure Storage/Keychain dla wrażliwych tokenów
• Hashowanie haseł: Bcrypt, nigdy w postaci jawnej
• Regularne kopie zapasowe: Twoje dane są regularnie archiwizowane

Przechowujemy Twoje dane zgodnie z następującym harmonogramem:

• Dane konta: Przez okres posiadania konta + 30 dni po usunięciu
• Dane zdrowotne zwierząt (profile, wizyty, szczepienia, leki): Usuwane po usunięciu konta
• Zdjęcia i dokumenty: Usuwane po usunięciu konta
• Embeddingi wektorowe (Qdrant): Usuwane po usunięciu konta lub usunięciu pojedynczego zwierzęcia
• Logi AI/czat: Przez okres posiadania konta, maksymalnie 3 lata od ostatniej aktywności
• Subskrypcja i historia zakupów: 5 lat od końca roku podatkowego (art. 70 Ordynacji podatkowej)
• Tokeny powiadomień push (FCM): Do wylogowania lub usunięcia konta
• Dane analityczne (PostHog): Maksymalnie 26 miesięcy od zebrania

Zgodnie z RODO przysługują Ci następujące prawa:

• Prawo dostępu (art. 15): Żądanie kopii swoich danych osobowych
• Prawo do sprostowania (art. 16): Poprawianie niedokładnych danych
• Prawo do usunięcia (art. 17): Żądanie usunięcia swoich danych (prawo do bycia zapomnianym)
• Prawo do ograniczenia przetwarzania (art. 18): Ograniczenie sposobu przetwarzania danych w określonych przypadkach
• Prawo do przenoszenia danych (art. 20): Otrzymanie danych w formacie JSON lub przesłanie innemu administratorowi
• Prawo do cofnięcia zgody (art. 7 ust. 3): Wycofanie wcześniej udzielonej zgody w dowolnym momencie. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Wycofanie jest równie łatwe jak udzielenie zgody — możesz to zrobić w tych samych ustawieniach, w których zgody udzielono.
• Prawo do skargi: Przysługuje Ci prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych (UODO), ul. Stawki 2, 00-193 Warszawa

VetNote wykorzystuje pamięć lokalną przeglądarki (nie tradycyjne pliki cookies) do świadczenia i ulepszania usługi. Przy pierwszej wizycie w VetNote zostaniesz poproszony o wybór preferencji za pomocą banera zgody.

• vetcare_cookie_consent (niezbędne): Przechowuje Twój wybór zgody (preferencja niezbędne/analityczne oraz znacznik czasu). Dostawca: VetNote. Trwałe do momentu wyczyszczenia.
• Tokeny uwierzytelniania Supabase (niezbędne): Dane sesji uwierzytelniania wymagane do bezpiecznego logowania. Dostawca: Supabase. Usuwane po wylogowaniu.
• Analityka PostHog (opcjonalne, wymaga zgody): Dane analityczne użytkowania, w tym nagrywanie sesji z pełnym maskowaniem tekstu/atrybutów dla zgodności z RODO. Dostawca: PostHog, Frankfurt (eu-central-1). Aktywne tylko za Twoją zgodą (art. 5 ust. 3 dyrektywy ePrivacy).

Gdy korzystasz z aplikacji mobilnej VetNote (iOS lub Android), zbieramy i przetwarzamy dodatkowe dane specyficzne dla urządzeń mobilnych:

• Powiadomienia transakcyjne push: Przypomnienia o szczepieniach, alerty o lekach, przypomnienia o wizytach — wysyłane na podstawie wykonania umowy (art. 6 ust. 1 lit. b RODO), bez konieczności odrębnej zgody.
• Powiadomienia marketingowe push: Aktualizacje produktu, porady, nowe funkcje — wysyłane wyłącznie za Twoją odrębną, wyraźną zgodą.
• Uwierzytelnianie biometryczne: VetNote obsługuje Face ID, Touch ID i uwierzytelnianie odciskiem palca dla bezpiecznego dostępu do aplikacji. Twoje dane biometryczne są przetwarzane wyłącznie na Twoim urządzeniu przez Apple/Google w Secure Enclave/TEE i nigdy nie są przesyłane na nasze serwery. Przechowujemy jedynie informację, czy logowanie biometryczne jest włączone.
• Aparat i biblioteka zdjęć: Używane tylko gdy inicjujesz akcję (robienie zdjęć zwierząt, skanowanie dokumentów). Zdjęcia są bezpiecznie przechowywane na Twoim koncie w Supabase Storage (UE, Frankfurt). Przesłane zdjęcia mogą zawierać metadane EXIF (lokalizacja GPS, znacznik czasu, informacje o urządzeniu). Zalecamy nieprzesyłanie zdjęć osobistych niezwiązanych ze zdrowiem zwierzęcia.
• Przejrzystość śledzenia aplikacji (iOS): Na iOS 14.5+ prosimy o pozwolenie przed zbieraniem danych analitycznych. Możesz to zmienić w Ustawienia > Prywatność > Śledzenie. Jeśli odmówisz, nie będziemy zbierać danych analitycznych do ulepszania produktu, ale śledzenie błędów dla stabilności aplikacji pozostanie aktywne.
• Identyfikatory urządzenia: Zbieramy anonimowe informacje o urządzeniu do raportowania awarii i analityki. Pomaga nam to identyfikować i naprawiać problemy.

VetNote nie jest przeznaczony dla dzieci poniżej 16 roku życia (art. 8 RODO). Nie zbieramy świadomie danych osób poniżej 16 lat bez zgody rodzica lub opiekuna prawnego. Weryfikacja wieku opiera się na oświadczeniu użytkownika. Jeśli odkryjemy takie dane, niezwłocznie je usuniemy wraz z kontem.

W przypadku naruszenia ochrony danych osobowych:

• Zgłoszenie do UODO: Bez zbędnej zwłoki, nie później niż w ciągu 72 godzin od stwierdzenia naruszenia (art. 33 RODO), chyba że jest mało prawdopodobne ryzyko naruszenia praw i wolności
• Powiadomienie użytkowników: Jeśli naruszenie powoduje wysokie ryzyko naruszenia Twoich praw i wolności, zostaniesz powiadomiony bez zbędnej zwłoki (art. 34 RODO)
• Rejestr naruszeń: Prowadzimy wewnętrzny rejestr wszystkich naruszeń obejmujący okoliczności, skutki i podjęte działania naprawcze (art. 33 ust. 5 RODO)

Możemy aktualizować niniejszą Politykę Prywatności wyłącznie z ważnych przyczyn, obejmujących: zmiany obowiązującego prawa, zmiany w działaniach przetwarzania danych, wprowadzenie nowych funkcji lub usług, zmiany niezbędne ze względów bezpieczeństwa lub zmiany dostawców usług zewnętrznych.

O wszelkich zmianach zostaniesz powiadomiony co najmniej 14 dni przed ich wejściem w życie, za pośrednictwem e-maila i powiadomienia w aplikacji. Powiadomienie będzie zawierać treść zmian oraz datę ich wejścia w życie.

Jeśli nie zgadzasz się ze zmianami, masz prawo usunąć swoje konto przed wejściem zmian w życie. Aby to zrobić, skontaktuj się pod adresem [email protected] lub usuń konto przed datą wejścia zmian w życie.

Aktualna wersja dostępna jest w aplikacji (Ustawienia > Polityka Prywatności) oraz na vetnote.pl.