Nigdy nie sprzedajemy Twoich danych
Twoje informacje kliniczne są prywatne i nigdy nie są udostępniane reklamodawcom.
Brak ludzkiego odsłuchu
Przetwarzanie jest w pełni zautomatyzowane. Żaden pracownik Mind Flash nie ma dostępu do Twoich nagrań.
STRESZCZENIE
Mind Flash to aplikacja mobilna przeznaczona dla psychoterapeutów do zarządzania dokumentacją z sesji terapeutycznych. Aplikacja umożliwia tworzenie notatek tekstowych i głosowych, które są automatycznie transkrybowane. Na żądanie użytkownika system może generować podsumowania z wybranych notatek.
Dane osobowe użytkowników przetwarzane są zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO), ustawą o ochronie danych osobowych oraz innymi obowiązującymi przepisami prawa. Dane pacjentów są przetwarzane przez nas wyłącznie jako podmiot przetwarzający na zlecenie użytkownika będącego ich administratorem.
Serwery aplikacji znajdują się na terenie Unii Europejskiej (Frankfurt, Niemcy). Transfery danych do państw trzecich odbywają się wyłącznie w zakresie niezbędnym do świadczenia usług i są zabezpieczone odpowiednimi mechanizmami prawnymi.
1. ADMINISTRATOR DANYCH OSOBOWYCH
Administratorem danych osobowych użytkowników aplikacji Mind Flash jest:
Gabinet Psychologiczny i Psychoterapii Jakub Litwin
ul. Jarosława Dąbrowskiego 14
35-036 Rzeszów
NIP: 8172038116
E-mail: office@mind-flash.com
2. KATEGORIE PRZETWARZANYCH DANYCH
2.1. Dane osobowe użytkowników aplikacji
W ramach świadczenia usług przetwarzamy następujące kategorie danych użytkowników:
- Dane identyfikacyjne: imię, nazwisko, adres e-mail
- Dane rozliczeniowe: informacje o płatnościach i subskrypcjach
- Dane techniczne: logi systemowe, adres IP, identyfikatory urządzeń
- Dane analityczne: informacje o sposobie korzystania z aplikacji
2.2. Dane pacjentów powierzone przez użytkowników
Użytkownicy mogą wprowadzać do aplikacji następujące dane swoich pacjentów:
- Identyfikatory pacjentów (imiona, inicjały lub pseudonimy)
- Notatki z sesji terapeutycznych
- Nagrania głosowe i ich transkrypcje
- Daty i godziny sesji
- Informacje o stanie zdrowia zawarte w notatkach
Dane pacjentów stanowią szczególną kategorię danych osobowych w rozumieniu art. 9 RODO.
3. CELE I PODSTAWY PRAWNE PRZETWARZANIA
3.1. Przetwarzanie danych użytkowników
| Cel przetwarzania | Podstawa prawna | Okres przechowywania |
|---|---|---|
| Świadczenie usług | Art. 6 ust. 1 lit. b RODO - wykonanie umowy | Do czasu usunięcia konta |
| Obsługa płatności | Art. 6 ust. 1 lit. b RODO - wykonanie umowy | 5 lat od końca roku podatkowego |
| Komunikacja z użytkownikami | Art. 6 ust. 1 lit. f RODO - prawnie uzasadniony interes | Do czasu zgłoszenia sprzeciwu |
| Analityka i rozwój usług | Art. 6 ust. 1 lit. f RODO - prawnie uzasadniony interes | 14 miesięcy |
| Wypełnianie obowiązków prawnych | Art. 6 ust. 1 lit. c RODO - obowiązek prawny | Zgodnie z przepisami prawa |
3.2. Przetwarzanie danych pacjentów
Przetwarzanie danych pacjentów odbywa się na podstawie powierzenia przetwarzania danych przez użytkownika będącego ich administratorem. Podstawą przetwarzania jest art. 28 RODO w związku z art. 9 ust. 2 lit. h RODO (przetwarzanie niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej).
4. POWIERZENIE PRZETWARZANIA DANYCH
Użytkownik aplikacji pozostaje administratorem danych osobowych swoich pacjentów. Mind Flash działa wyłącznie jako podmiot przetwarzający te dane na podstawie zawartej umowy powierzenia przetwarzania danych.
W ramach powierzenia zobowiązujemy się do:
- Przetwarzania danych wyłącznie na udokumentowane polecenie administratora
- Zapewnienia, że osoby upoważnione do przetwarzania danych zobowiązały się do zachowania tajemnicy
- Podejmowania wszelkich środków wymaganych na mocy art. 32 RODO
- Przestrzegania warunków korzystania z usług innego podmiotu przetwarzającego
- Pomagania administratorowi w wywiązywaniu się z obowiązków określonych w art. 32-36 RODO
- Usuwania lub zwracania danych po zakończeniu świadczenia usług
- Udostępniania wszelkich informacji niezbędnych do wykazania przestrzegania obowiązków
5. ODBIORCY DANYCH
5.1. Podmioty przetwarzające
W celu świadczenia usług korzystamy z usług następujących podmiotów przetwarzających:
| Podmiot | Zakres współpracy | Lokalizacja | Zabezpieczenia |
|---|---|---|---|
| Amazon Web Services | Hosting infrastruktury | UE (Niemcy) | ISO 27001, SOC 2 |
| Supabase Inc. | Baza danych | UE (Niemcy) | SOC 2 Type II |
| OpenAI LLC | Transkrypcja audio | USA | Wyłączone wykorzystanie danych do trenowania modeli |
| Google LLC | Generowanie podsumowan | USA | Wyłączone wykorzystanie danych do trenowania modeli |
| RevenueCat Inc. | Obsługa płatności | USA | PCI DSS Level 1 |
| Google Analytics | Analityka | USA | Anonimizacja IP |
5.2. Transfery do państw trzecich
Transfer danych osobowych do Stanów Zjednoczonych odbywa się na podstawie:
- Standardowych klauzul umownych przyjętych przez Komisję Europejską
- Dodatkowych zabezpieczeń technicznych i organizacyjnych
6. OKRES PRZECHOWYWANIA DANYCH
| Kategoria danych | Okres przechowywania |
|---|---|
| Dane konta użytkownika | Do momentu usunięcia konta przez użytkownika |
| Notatki i dane pacjentów | Do momentu usunięcia przez użytkownika |
| Nagrania głosowe | 30 dni od utworzenia transkrypcji |
| Dane transakcyjne | 5 lat od końca roku podatkowego |
| Logi systemowe | 90 dni |
| Dane analityczne | 14 miesięcy |
7. PRAWA OSÓB, KTÓRYCH DANE DOTYCZĄ
7.1. Prawa wynikające z RODO
Każdej osobie, której dane przetwarzamy, przysługuje prawo do:
- Dostępu do treści swoich danych (art. 15 RODO)
- Sprostowania danych (art. 16 RODO)
- Usunięcia danych (art. 17 RODO)
- Ograniczenia przetwarzania (art. 18 RODO)
- Przenoszenia danych (art. 20 RODO)
- Wniesienia sprzeciwu wobec przetwarzania (art. 21 RODO)
- Cofnięcia zgody w dowolnym momencie (art. 7 ust. 3 RODO)
- Wniesienia skargi do organu nadzorczego
7.2. Zgodność z przepisami międzynarodowymi
Dla użytkowników z USA: Stosujemy najlepsze praktyki zgodne z wymogami HIPAA (Health Insurance Portability and Accountability Act) w zakresie ochrony elektronicznych informacji zdrowotnych (ePHI).
Dla użytkowników z Kalifornii: Zgodnie z California Consumer Privacy Act (CCPA) zapewniamy prawo do informacji o przetwarzanych danych, prawo do usunięcia danych oraz prawo do rezygnacji ze sprzedaży danych osobowych (nie dokonujemy sprzedaży danych).
8. ŚRODKI BEZPIECZEŃSTWA
8.1. Zabezpieczenia techniczne
- Szyfrowanie danych w spoczynku: AES-256-GCM
- Szyfrowanie transmisji: TLS 1.3
- Kontrola dostępu: Row Level Security (RLS)
- Hashowanie haseł: bcrypt (współczynnik kosztu 12)
- Regularne kopie zapasowe z szyfrowaniem
- Monitoring bezpieczeństwa 24/7
8.2. Zabezpieczenia organizacyjne
- Ograniczony dostęp do danych osobowych
- Umowy poufności z personelem
- Regularne szkolenia z zakresu ochrony danych
- Procedury zarządzania incydentami
- Okresowe audyty bezpieczeństwa
- Polityka czystego biurka i ekranu
9. WYKORZYSTANIE SZTUCZNEJ INTELIGENCJI
9.1. Automatyczne przetwarzanie
Aplikacja wykorzystuje model Whisper (OpenAI) do automatycznej transkrypcji nagrań głosowych. Proces ten odbywa się automatycznie po przesłaniu nagrania.
9.2. Przetwarzanie na żądanie
Model Gemini (Google) jest wykorzystywany wyłącznie na wyraźne żądanie użytkownika do generowania podsumowan z wybranych notatek.
9.3. Ograniczenia w wykorzystaniu AI
- Dane nie są wykorzystywane do trenowania modeli AI
- Brak automatycznej analizy treści notatek
- Brak profilowania pacjentów
- Brak automatycznego wyciągania wniosków diagnostycznych
11. PROCEDURA OBSŁUGI NARUSZEŃ
W przypadku naruszenia ochrony danych osobowych stosujemy następującą procedurę:
- 1Identyfikacja i zatrzymanie naruszenia - maksymalnie 4 godziny
- 2Ocena ryzyka i dokumentacja - maksymalnie 12 godzin
- 3Powiadomienie użytkowników - maksymalnie 24 godziny
- 4Zgłoszenie do PUODO - maksymalnie 72 godziny
12. OBOWIĄZKI UŻYTKOWNIKÓW
Użytkownicy aplikacji jako administratorzy danych swoich pacjentów są zobowiązani do:
- Poinformowania pacjentów o przetwarzaniu ich danych
- Uzyskania odpowiednich zgód lub zapewnienia innej podstawy prawnej
- Stosowania zasady minimalizacji danych
- Zapewnienia bezpieczeństwa dostępu do aplikacji
- Przestrzegania lokalnych przepisów o ochronie danych medycznych
13. DANE KONTAKTOWE
W sprawach związanych z ochroną danych osobowych prosimy o kontakt:
- E-mail: office@mind-flash.com
- Adres: ul. Jarosława Dąbrowskiego 14, 35-036 Rzeszów
Organ nadzorczy:
Prezes Urzędu Ochrony Danych Osobowych
ul. Stawki 2, 00-193 Warszawa
tel. 22 531 03 00
e-mail: kancelaria@uodo.gov.pl
14. ZMIANY POLITYKI PRYWATNOŚCI
O wszelkich zmianach polityki prywatności użytkownicy zostaną poinformowani:
- Drogą elektroniczną z 30-dniowym wyprzedzeniem
- Poprzez komunikat w aplikacji
- Z możliwością pobrania danych przed wprowadzeniem zmian
15. POSTANOWIENIA KOŃCOWE
- 1Niniejsza polityka prywatności podlega prawu polskiemu.
- 2W sprawach nieuregulowanych stosuje się przepisy RODO, ustawy o ochronie danych osobowych oraz kodeksu cywilnego.
- 3Dla użytkowników z innych jurysdykcji stosujemy dodatkowo lokalne przepisy o ochronie danych, w szczególności HIPAA dla USA oraz CCPA dla Kalifornii.
- 4W przypadku rozbieżności między wersjami językowymi, wersja polska jest wiążąca.
Wersja dokumentu: 2.0
Data ostatniej aktualizacji: 1 sierpnia 2025