Prywatność, RODO i prawa pacjenta

Praca specjalisty zdrowia psychicznego oznacza przetwarzanie danych szczególnej kategorii w rozumieniu RODO (art. 9 ust. 1 — dane dotyczące zdrowia). MIND został zaprojektowany tak, by wspierać Cię w pełnej zgodności z prawem, ale część obowiązków pozostaje po Twojej stronie — jako administratora danych Twoich pacjentów.

Ten dokument jest przewodnikiem operacyjnym. Pełne i wiążące prawnie informacje znajdziesz w Polityce prywatności i Regulaminie.

Kto jest administratorem czego — najważniejsza zasada

Współpraca między Tobą a Aetion Labs (operatorem MIND) opiera się na podziale ról:

Kategoria danych	Administrator (decyduje)	Procesor (przetwarza)
Dane Twojego konta (rejestracja, billing, ustawienia)	Aetion Labs Sp. z o.o.	—
Dane Twoich pacjentów (transkrypcje, notatki, dokumenty)	TY — Specjalista	Aetion Labs (na Twoje zlecenie)

Co to oznacza w praktyce:

• Aetion Labs nie ma prawa wykorzystywać danych Twoich pacjentów do żadnych celów innych niż świadczenie usługi
• Ty decydujesz o podstawie prawnej przetwarzania (art. 9 ust. 2 lit. h — opieka zdrowotna lub lit. a — wyraźna zgoda pacjenta)
• Ty odpowiadasz za uzyskanie zgody pacjenta na nagrywanie sesji
• Ty obsługujesz żądania pacjenta dotyczące jego danych (dostęp, sprostowanie, usunięcie itd.)

DPA — umowa powierzenia przetwarzania

Z chwilą akceptacji Regulaminu między Tobą a Aetion Labs zawarta zostaje umowa powierzenia przetwarzania danych osobowych (DPA) w trybie art. 28 RODO. Jej treść jest integralną częścią Regulaminu.

Najważniejsze zobowiązania Aetion Labs jako Procesora:

• Przetwarzanie danych wyłącznie na Twoje udokumentowane polecenie
• Wszystkie osoby z dostępem są zobowiązane do zachowania poufności
• Wdrożone środki techniczne i organizacyjne (TLS 1.2+, AES-256, izolacja per konto, regularne audyty)
• Korzystanie z subprocesorów wyłącznie po zawarciu z nimi umów na poziomie ochrony równoważnym
• Powiadomienie Cię o naruszeniu w ciągu 72 godzin od jego stwierdzenia
• Po zakończeniu współpracy — usunięcie lub zwrot Twoich danych pacjentów

Pełna lista subprocesorów (silniki AI, transkrypcji, hosting, płatności, e-mail) znajduje się w Polityce prywatności.

Twoje obowiązki jako Administratora

Przed pierwszą sesją z pacjentem

1. Klauzula informacyjna RODO

Pacjent musi otrzymać informację o:

• kim jesteś jako administrator (Twoje dane: imię i nazwisko, adres gabinetu, email kontaktowy)
• celu przetwarzania (świadczenie usługi terapeutycznej, prowadzenie dokumentacji)
• podstawie prawnej (art. 9 ust. 2 lit. h lub a RODO)
• czasie przechowywania (zwykle: 20 lat od ostatniej wizyty — wymóg ustawowy dla psychologów/lekarzy)
• prawach pacjenta (art. 15-22 RODO)
• fakcie, że MIND (Aetion Labs) jest podmiotem przetwarzającym

Wbudowany kreator zgód RODO

Od maja 2026 MIND ma wbudowany kreator zgód RODO — automatycznie generuje szablon 8 standardowych klauzul, wysyła pacjentowi e-mail z linkiem, pacjent online wypełnia formularz i podpisuje elektronicznie (myszą lub palcem na telefonie przez QR). System tworzy PDF z metadanymi dowodowymi.

Pełna instrukcja: Zgody RODO pacjenta. Szablon edytujesz w Konfiguracja → Praktyka → Zgody RODO.

2. Zgoda na nagrywanie

MIND nie nagrywa sesji bez Twojego ręcznego rozpoczęcia (przycisk Start). Jednak każde nagrywanie wymaga wyraźnej, świadomej i dobrowolnej zgody pacjenta. Zgoda powinna obejmować:

• Sam fakt nagrywania (audio)
• Cel nagrywania (transkrypcja → notatki kliniczne wspomagane AI)
• Informację, że plik audio jest trwale usuwany po wygenerowaniu transkrypcji
• Informację, że transkrypcja pozostaje w Twojej dokumentacji
• Możliwość wycofania zgody w dowolnym momencie

3. Wybór trybu pracy

MIND zapisuje tylko identyfikator pacjenta nadawany przez Ciebie (np. inicjały, pseudonim). Pełne dane osobowe pacjenta (imię, nazwisko, PESEL, telefon) — w polach dedykowanych w profilu pacjenta. Nie wpisuj danych osobowych w polach takich jak tytuły sesji, notatki ogólne, opisy gabinetu — te pola są przeznaczone do informacji opisowych, a nie identyfikacyjnych.

Realizacja praw pacjenta

Pacjent ma prawo zwrócić się do Ciebie z każdym z poniższych żądań (RODO art. 15–22):

Prawo	Co znaczy	Jak zrealizować w MIND
Dostęp (art. 15)	Pacjent prosi o kopię swoich danych	Eksport historii sesji + notatek z profilu pacjenta (w przyszłości — jeden klik; aktualnie kontakt z kontakt@synapsa.app)
Sprostowanie (art. 16)	Korekta nieprawidłowych danych	Edytuj profil pacjenta i odpowiednie notatki
Usunięcie (art. 17)	„Prawo do bycia zapomnianym”	Patrz: ograniczenia poniżej
Ograniczenie (art. 18)	Wstrzymanie przetwarzania	Oznacz pacjenta jako archiwalnego (status „archive”)
Przenoszenie (art. 20)	Przekazanie danych w formacie maszynowym	Eksport CSV / PDF z profilu pacjenta
Sprzeciw (art. 21)	Pacjent nie zgadza się dalej	Zaprzestań przetwarzania w celach, na które wyraził sprzeciw

Ograniczenie prawa do usunięcia danych medycznych

Prawo do bycia zapomnianym nie jest absolutne w przypadku dokumentacji medycznej. Polskie prawo (ustawa o prawach pacjenta i Rzeczniku Praw Pacjenta) wymaga przechowywania dokumentacji medycznej przez 20 lat od daty ostatniego wpisu. RODO art. 17 ust. 3 lit. b wyłącza prawo do usunięcia, gdy przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego.

W praktyce: pacjent może zażądać usunięcia, ale jesteś zobowiązany odmówić w odniesieniu do danych objętych obowiązkiem prawnym. Możesz natomiast usunąć dane wykraczające poza ten obowiązek (np. nagrania audio — które MIND i tak usuwa po transkrypcji).

Każde takie żądanie warto skonsultować z prawnikiem lub własną izbą zawodową.

Naruszenie ochrony danych (data breach)

Jeśli dowiesz się o incydencie zagrażającym danym pacjentów (np. zgubiony laptop z zalogowanym MIND, podejrzane logowanie, atak phishingowy):

1. Natychmiast zgłoś sprawę na security@synapsa.app — Aetion Labs pomoże Ci ocenić skalę
2. Zmień hasło i wymuś wylogowanie wszystkich sesji w Ustawienia → Profil → Bezpieczeństwo
3. W ciągu 72 godzin od stwierdzenia incydentu — zgłoś naruszenie do Prezesa UODO (art. 33 RODO), jeżeli zachodzi prawdopodobieństwo naruszenia praw lub wolności osób
4. Jeżeli ryzyko jest wysokie — poinformuj pacjentów, których dane mogły zostać naruszone (art. 34 RODO)

Bezpieczeństwo techniczne — co robi MIND

Bez wchodzenia w szczegóły implementacji:

• Szyfrowanie w tranzycie: TLS 1.2+ dla wszystkich połączeń klient ↔ serwer
• Szyfrowanie w spoczynku: AES-256 dla wszystkich plików i danych w bazie
• Region przetwarzania: wyłącznie UE (Warszawa) dla danych pacjentów; niektóre opcjonalne usługi pomocnicze (m.in. niektóre silniki transkrypcji i analiz AI) wymagają transferu poza EOG — zawsze z zastosowaniem Standardowych Klauzul Umownych zatwierdzonych przez Komisję Europejską (pełna lista subprocesorów w Polityce prywatności)
• Brak treningu publicznych modeli AI: dane Twoich pacjentów nie są wykorzystywane do trenowania modeli językowych — to gwarancja umowna zawarta z każdym z naszych dostawców silników AI i transkrypcji (pełna lista subprocesorów w Polityce prywatności)
• Zasada najmniejszych uprawnień: każdy specjalista widzi tylko swoje dane; nawet pracownicy Aetion Labs nie mają standardowego dostępu do treści Twoich notatek
• Plik audio sesji: trwale usuwany po wygenerowaniu transkrypcji (w ciągu 24h); pozostaje wyłącznie zaszyfrowany zapis tekstowy

Zarządzanie zgodami cookies

Strona logowania i landing MIND wykorzystują Google Analytics 4 (anonimowa analityka) i Meta Pixel (pomiar skuteczności kampanii). Oba są domyślnie wyłączone — nie zbieramy danych przed wyrażeniem przez Ciebie zgody w bannerze cookies.

Jak zarządzać zgodami:

• Banner cookies pojawia się przy pierwszej wizycie na stronie publicznej
• Możesz wyrazić zgodę („Akceptuj”) lub odrzucić („Tylko niezbędne”)
• W każdej chwili możesz zmienić decyzję — link „Zarządzaj zgodami (cookies)” w stopce strony otwiera banner ponownie
• Zgody są zapisywane lokalnie w Twojej przeglądarce — nie synchronizują się między urządzeniami

Wewnątrz aplikacji (po zalogowaniu) nie używamy Meta Pixel ani innych narzędzi marketingowych — pacjent nie jest śledzony reklamowo.

Pytania, wnioski, kontakt

Sprawa	Adres
Pytania ogólne, support	kontakt@synapsa.app
Wnioski RODO (Twoje konto)	rodo@synapsa.app
Zgłoszenia naruszeń bezpieczeństwa	security@synapsa.app
Reklamacje	reklamacje@synapsa.app

Niezależnie od kontaktu z Aetion Labs masz prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych — ul. Stawki 2, 00-193 Warszawa.

Powiązane dokumenty

• 📄 Polityka prywatności — pełny dokument prawny
• 📄 Regulamin — pełny regulamin świadczenia usług
• Plany subskrypcji — model komercyjny i statusy konta
• Konfiguracja profilu — uzupełnij dane do klauzuli informacyjnej