Umowa powierzenia przetwarzania danych
Niniejsza umowa powierzenia przetwarzania danych ("Umowa") zostaje zawarta na podstawie art. 28 ust. 3 rozporządzenia (UE) 2016/679 ("RODO") pomiędzy Użytkownikiem-Administratorem (uprawnionym klinicystą lub organizacją korzystającą z Usługi) a Operatorem-Podmiotem przetwarzającym (podmiotem działającym pod marką "ICD Diagnostica"). Zostaje ona włączona przez odesłanie do Regulaminu w punkcie 13.2 i ma zastosowanie zawsze, gdy Użytkownik przekazuje Dane Pacjenta za pośrednictwem Usługi.
1.Definicje i strony
Strony. "Administrator" oznacza Użytkownika (uprawnionego specjalistę zdrowia psychicznego, przychodnię, szpital, uczelnię lub inny podmiot) korzystającego z Usługi. "Podmiot przetwarzający" oznacza podmiot prowadzący Usługę pod marką "ICD Diagnostica" (pełna tożsamość prawna zostanie opublikowana pod adresem /pl/imprint po zakończeniu formalności rejestracyjnych), z danymi kontaktowymi pod adresem [email protected] oraz inspektorem ochrony danych pod adresem [email protected].
Terminy zdefiniowane. Terminy pisane wielką literą, które nie zostały tu zdefiniowane, mają znaczenie nadane im w Regulaminie. "Dane Pacjenta" mają znaczenie określone w punkcie 1 Regulaminu. Pojęcia "dane osobowe", "przetwarzanie", "administrator", "podmiot przetwarzający", "osoba, której dane dotyczą" oraz "naruszenie ochrony danych osobowych" mają znaczenie nadane im w art. 4 RODO.
Hierarchia. W przypadku sprzeczności między niniejszą Umową a Regulaminem niniejsza Umowa ma pierwszeństwo w sprawach ochrony danych dotyczących Danych Pacjenta; Regulamin ma pierwszeństwo w sprawach handlowych.
2.Przedmiot i czas trwania
Przedmiot. Podmiot przetwarzający przetwarza Dane Pacjenta w imieniu Administratora w celu świadczenia Usługi ICD Diagnostica (informacyjne wspomaganie decyzji, ranking różnicowy, weryfikacja AI-Assist, zarządzanie kartoteką pacjentów oraz powiązane narzędzia pracy).
Czas trwania. Niniejsza Umowa obowiązuje od dnia, w którym Administrator po raz pierwszy zaakceptuje Regulamin, i pozostaje w mocy tak długo, jak długo Podmiot przetwarzający przetwarza Dane Pacjenta w imieniu Administratora (tj. do czasu usunięcia konta Administratora lub rozwiązania stosunku umownego w inny sposób). Postanowienia, które ze względu na swój charakter powinny pozostać w mocy po rozwiązaniu Umowy – poufność, zwrot/usunięcie, prawa do audytu w odniesieniu do danych już przetworzonych, odpowiedzialność, prawo właściwe – pozostają w mocy.
3.Charakter i cel przetwarzania
Charakter. Operacje przetwarzania obejmują zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie, pobieranie, przeglądanie, wykorzystywanie, przesyłanie podprzetwarzającym, ograniczanie, usuwanie oraz niszczenie Danych Pacjenta – ściśle w zakresie niezbędnym do świadczenia Usługi.
Cel. Jedynym celem jest świadczenie Usługi na rzecz Administratora. Podmiot przetwarzający nie będzie przetwarzał Danych Pacjenta w żadnym innym celu, w tym (bez ograniczeń): marketingu, reklamy, profilowania behawioralnego, sprzedaży lub udostępniania osobom trzecim, trenowania uogólnionych modeli AI/ML (wewnętrznych lub zewnętrznych) ani jakichkolwiek badań wtórnych bez odrębnego upoważnienia na piśmie.
4.Rodzaj danych osobowych i kategorie osób, których dane dotyczą
Kategorie osób, których dane dotyczą. Pacjenci (osoby fizyczne będące osobami trzecimi), o których Administrator rejestruje informacje za pośrednictwem Usługi.
Kategorie danych osobowych.
- Dane identyfikacyjne: pseudonimowe identyfikatory wybrane przez Administratora (inicjały, wewnętrzny identyfikator pacjenta, wiek, płeć). Usługa stanowczo odradza i nie wymaga podawania bezpośrednich identyfikatorów (numeru identyfikacyjnego, pełnego imienia i nazwiska, pełnego adresu).
- Dane szczególnej kategorii (art. 9 ust. 1 RODO): dane dotyczące zdrowia – objawy, dolegliwości w zakresie zdrowia psychicznego, wcześniejsze rozpoznania, wybrane kody ICD-11, obserwacje kliniczne, notatki w formie tekstu swobodnego, osie czasu epizodów.
- Metadane sesji diagnostycznej: wybrane objawy, zablokowany kod zaburzenia, wynik AI-Assist, znaczniki czasu, czas trwania sesji.
Podstawa prawna Administratora. Administrator oświadcza, że ustalił podstawę prawną na podstawie art. 6 RODO (zazwyczaj art. 6 ust. 1 lit. b lub art. 6 ust. 1 lit. c) oraz art. 9 RODO (zazwyczaj art. 9 ust. 2 lit. h – świadczenie opieki zdrowotnej lub leczenia, w związku z art. 9 ust. 3 – tajemnica zawodowa Administratora jako uprawnionego praktyka). Podmiot przetwarzający polega na oświadczeniu Administratora i nie jest zobowiązany do samodzielnej weryfikacji podstawy prawnej.
5.Obowiązki i prawa Administratora
Administrator gwarantuje, że: (a) ustalił ważną podstawę prawną na podstawie art. 6 oraz (w stosownych przypadkach) art. 9 RODO dla każdej czynności przetwarzania; (b) przekazał osobom, których dane dotyczą, wszystkie wymagane informacje na podstawie art. 13–14 RODO; (c) przestrzega obowiązków w zakresie tajemnicy zawodowej i kodeksu postępowania obowiązujących w jego jurysdykcji (w tym, w Polsce, ustawy o zawodzie lekarza z 1996 roku oraz ustawy o prawach pacjenta z 2008 roku); (d) nie będzie przekazywał Usłudze żadnych danych osobowych jakiejkolwiek osoby, której dane dotyczą, w odniesieniu do której nie istnieje podstawa prawna.
Administrator ma prawo do: (a) wydawania udokumentowanych poleceń (punkt 6); (b) korzystania z praw do audytu i kontroli (punkt 13); (c) uzyskania współpracy w zakresie praw osób, których dane dotyczą (punkt 10); (d) uzyskania pomocy określonej w punkcie 11; (e) żądania zwrotu lub usunięcia danych po zakończeniu przetwarzania (punkt 12).
6.Udokumentowane polecenia (art. 28 ust. 3 lit. a RODO)
Podmiot przetwarzający przetwarza Dane Pacjenta wyłącznie na udokumentowane polecenie Administratora. Początkowymi udokumentowanymi poleceniami Administratora są Regulamin, niniejsza Umowa oraz wszelka konfiguracja dokonywana przez Administratora w ramach Usługi.
Dodatkowe polecenia na piśmie mogą być wydawane przez Administratora pocztą elektroniczną na adres [email protected]. Podmiot przetwarzający niezwłocznie poinformuje Administratora, jeżeli w opinii Podmiotu przetwarzającego polecenie narusza RODO lub inne przepisy o ochronie danych prawa Unii lub państwa członkowskiego (art. 28 ust. 3 akapit drugi).
Przekazanie Danych Pacjenta do państwa trzeciego jest dozwolone wyłącznie wówczas, gdy wymaga tego prawo Unii lub prawo państwa członkowskiego, któremu podlega Podmiot przetwarzający; w takim przypadku Podmiot przetwarzający informuje Administratora o tym wymogu prawnym przed rozpoczęciem przetwarzania, chyba że prawo to zakazuje udzielania takiej informacji z uwagi na ważny interes publiczny (art. 28 ust. 3 lit. a RODO).
Sposoby a cel – brak współadministrowania. Decyzje Podmiotu przetwarzającego dotyczące technicznych i organizacyjnych aspektów świadczenia Usługi (domyślne okno usuwania logicznego oraz okno wycofywania kopii zapasowych w punkcie 12, architektura bezpieczeństwa w Załączniku B, dobór podprzetwarzających w Załączniku A, dostępność AI-Assist w planie Clinical, konfiguracja lokalizacji danych w regionie Firebase) stanowią sposoby przetwarzania wybrane przez Podmiot przetwarzający, na co wyraźnie zezwala art. 28 ust. 3 lit. c RODO – nie są równoznaczne z określaniem celu. Administrator zachowuje wyłączne uprawnienie do określania celu i może w każdej chwili wydać polecenia wcześniejszego usunięcia danych, ograniczyć przetwarzanie lub rozwiązać współpracę zgodnie z punktem 15.3. Strony odrzucają w związku z tym jakąkolwiek interpretację łączącego je stosunku jako współadministrowania w rozumieniu art. 26 RODO lub orzecznictwa Trybunału Sprawiedliwości (sprawy C-40/17 Fashion ID, C-210/16 Wirtschaftsakademie) odczytywanego w świetle Wytycznych EROD 07/2020. W przypadku gdy właściwe przepisy krajowe lub sektorowe przekwalifikują określoną operację przetwarzania na współadministrowanie, strony zawrą odrębne porozumienie na podstawie art. 26 określające podział obowiązków w odniesieniu do tej operacji.
7.Poufność (art. 28 ust. 3 lit. b RODO)
Podmiot przetwarzający zapewnia, aby osoby upoważnione do przetwarzania Danych Pacjenta zobowiązały się do zachowania poufności lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania poufności. Zobowiązanie to pozostaje w mocy po rozwiązaniu współpracy.
Podmiot przetwarzający ogranicza dostęp do Danych Pacjenta do personelu i wykonawców, którzy mają ścisłą potrzebę dostępu w związku ze świadczeniem Usługi.
8.Bezpieczeństwo przetwarzania (art. 28 ust. 3 lit. c + art. 32 RODO)
Podmiot przetwarzający wdraża odpowiednie środki techniczne i organizacyjne, aby zapewnić poziom bezpieczeństwa odpowiadający ryzyku, uwzględniając stan wiedzy technicznej, koszt wdrażania, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko o różnym prawdopodobieństwie wystąpienia i wadze dla praw i wolności osób fizycznych.
Aktualny zestaw środków określono w Załączniku B. Podmiot przetwarzający może okresowo aktualizować Załącznik B, pod warunkiem że poziom ochrony nie zostanie obniżony.
9.Podprzetwarzający (art. 28 ust. 3 lit. d + art. 28 ust. 2 i 4 RODO)
Ogólne upoważnienie. Administrator udziela Podmiotowi przetwarzającemu ogólnego upoważnienia do korzystania z podprzetwarzających na potrzeby świadczenia Usługi. Aktualny wykaz podprzetwarzających znajduje się w Załączniku A.
Powiadamianie o zmianach. Podmiot przetwarzający poinformuje Administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia podprzetwarzających co najmniej trzydzieści (30) dni z wyprzedzeniem, pocztą elektroniczną lub powiadomieniem w aplikacji, umożliwiając tym samym Administratorowi wyrażenie sprzeciwu.
Prawo do sprzeciwu. Jeżeli Administrator wniesie sprzeciw wobec nowego podprzetwarzającego z uzasadnionych powodów dotyczących ochrony danych, strony podejmą rozmowy w dobrej wierze. Jeżeli w ciągu trzydziestu (30) dni od zgłoszenia sprzeciwu nie zostanie osiągnięte rozwiązanie, Administrator może rozwiązać dotkniętą część Usługi z proporcjonalnym zwrotem niewykorzystanych przedpłaconych opłat.
Obowiązki podprzetwarzającego. Podmiot przetwarzający nakłada na każdego podprzetwarzającego obowiązki w zakresie ochrony danych nie mniej rygorystyczne niż te określone w niniejszej Umowie, w szczególności w odniesieniu do bezpieczeństwa (punkt 8) oraz zgłaszania naruszeń (punkt 11).
Odpowiedzialność. Jeżeli podprzetwarzający nie wywiąże się ze swoich obowiązków w zakresie ochrony danych, Podmiot przetwarzający ponosi wobec Administratora pełną odpowiedzialność za wypełnienie tych obowiązków.
10.Pomoc w realizacji praw osób, których dane dotyczą (art. 28 ust. 3 lit. e RODO)
Podmiot przetwarzający pomaga Administratorowi, poprzez odpowiednie środki techniczne i organizacyjne, w miarę możliwości, w wywiązaniu się z obowiązku odpowiadania na żądania osób, których dane dotyczą, w zakresie wykonywania ich praw na podstawie art. 15–22 RODO (dostęp, sprostowanie, usunięcie, ograniczenie, przenoszenie, sprzeciw, niepodleganie zautomatyzowanemu podejmowaniu decyzji).
Jeżeli Podmiot przetwarzający otrzyma żądanie osoby, której dane dotyczą, skierowane do Administratora, Podmiot przetwarzający niezwłocznie przekaże to żądanie Administratorowi i sam nie odpowie na żądanie, chyba że na polecenie Administratora.
Administratorowi udostępniane są narzędzia samoobsługowe w aplikacji (eksport, usuwanie). W przypadku gdy Administrator wymaga indywidualnej pomocy, Podmiot przetwarzający może pobierać rozsądne opłaty wyłącznie za żądania ewidentnie nieuzasadnione lub nadmierne; standardowe żądania są obsługiwane nieodpłatnie.
11.Pomoc w zakresie bezpieczeństwa, zgłaszania naruszeń i DPIA (art. 28 ust. 3 lit. f RODO)
Art. 32 – bezpieczeństwo. Podmiot przetwarzający pomaga Administratorowi w zapewnieniu zgodności z art. 32 RODO poprzez wdrażanie środków bezpieczeństwa określonych w Załączniku B oraz dostarczanie informacji, których Administrator w uzasadniony sposób potrzebuje.
Art. 33 – zgłoszenie naruszenia organowi nadzorczemu. Podmiot przetwarzający powiadomi Administratora bez zbędnej zwłoki po stwierdzeniu naruszenia ochrony danych osobowych dotyczącego Danych Pacjenta, a w każdym przypadku w ciągu siedemdziesięciu dwóch (72) godzin od stwierdzenia, o ile jest to praktycznie wykonalne. Powiadomienie zawiera informacje określone w art. 33 ust. 3 RODO w zakresie, w jakim są dostępne, oraz aktualizacje w miarę udostępniania kolejnych informacji.
Art. 34 – zawiadomienie osoby, której dane dotyczą. Podmiot przetwarzający pomaga Administratorowi w wypełnieniu obowiązku wynikającego z art. 34 w przypadku, gdy Administrator ustali, że wymagane jest bezpośrednie zawiadomienie osób, których dane dotyczą.
Art. 35–36 – DPIA i uprzednie konsultacje. Podmiot przetwarzający pomaga Administratorowi w przeprowadzaniu ocen skutków dla ochrony danych oraz, w razie potrzeby, w uprzednich konsultacjach z organem nadzorczym, dostarczając informacje o operacjach przetwarzania w ramach Usługi.
12.Zwrot lub usunięcie po zakończeniu przetwarzania (art. 28 ust. 3 lit. g RODO)
Zależnie od decyzji Administratora, po rozwiązaniu umowy lub wcześniej na polecenie Administratora, Podmiot przetwarzający (a) zwróci wszystkie Dane Pacjenta Administratorowi w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego lub (b) usunie wszystkie Dane Pacjenta, chyba że prawo Unii lub prawo państwa członkowskiego wymaga przechowywania danych osobowych.
Domyślnie: w przypadku braku dokonania wyboru Podmiot przetwarzający usunie Dane Pacjenta. Rekordy usunięte logicznie (zarchiwizowane) są przechowywane przez ograniczone okno odzyskiwania, zanim zostaną trwale usunięte za pomocą zautomatyzowanego zadania. Dane w systemie aktywnym są usuwane w rozsądnym terminie od rozwiązania umowy, a następnie obowiązuje okres wycofywania kopii zapasowych, aby umożliwić uzasadnione żądania odzyskania danych, zgodnie z udokumentowaną polityką retencji Podmiotu przetwarzającego.
Podmiot przetwarzający przekaże Administratorowi pisemne potwierdzenie zwrotu lub usunięcia danych na żądanie.
13.Prawa do audytu i kontroli (art. 28 ust. 3 lit. h RODO)
Podmiot przetwarzający udostępnia Administratorowi wszelkie informacje niezbędne do wykazania zgodności z art. 28 RODO oraz umożliwia Administratorowi lub innemu audytorowi upoważnionemu przez Administratora przeprowadzanie audytów, w tym kontroli, i przyczynia się do nich.
Warunki audytu. Audyty będą (a) przeprowadzane z rozsądnym uprzednim powiadomieniem (co najmniej trzydzieści (30) dni w przypadku audytów rutynowych; krótsze powiadomienie w przypadku audytów wywołanych naruszeniem ochrony danych osobowych lub nakazem organu nadzorczego); (b) ograniczone do jednego audytu na rok kalendarzowy, chyba że dodatkowe audyty są wymagane przez prawo lub przez naruszenie ochrony danych osobowych; (c) objęte obowiązkami zachowania poufności przez audytora; (d) przeprowadzane na koszt Administratora (z wyjątkiem przypadku, gdy audyt wykaże istotną niezgodność, w którym to przypadku Podmiot przetwarzający ponosi rozsądne koszty audytu).
Niezależne raporty z audytu. Podmiot przetwarzający może wypełnić obowiązek audytowy poprzez dostarczenie aktualnych niezależnych raportów z audytu sporządzonych przez podmioty trzecie (np. SOC 2, ISO 27001 lub raporty podprzetwarzających) w zakresie, w jakim obejmują one odpowiednie przetwarzanie.
14.Przekazywanie danych poza UE
Dane Pacjenta są przetwarzane przede wszystkim na terytorium Unii Europejskiej. Dalsze przekazanie do państwa trzeciego następuje wyłącznie za pośrednictwem zatwierdzonych podprzetwarzających wymienionych w Załączniku A i wyłącznie na podstawie co najmniej jednego z następujących zabezpieczeń: decyzji stwierdzającej odpowiedni stopień ochrony w ramach Ram Ochrony Danych UE-USA (decyzja (UE) 2023/1795); standardowych klauzul umownych zatwierdzonych decyzją (UE) 2021/914 (Moduł 2 administrator–podmiot przetwarzający lub Moduł 3 podmiot przetwarzający–podmiot przetwarzający); dodatkowych środków zgodnie z Zaleceniami EROD 01/2020.
Kopia odpowiednich standardowych klauzul umownych jest dostępna na żądanie pod adresem [email protected].
15.Odpowiedzialność, zwolnienie z odpowiedzialności, okres obowiązywania i rozwiązanie
Odpowiedzialność. Odpowiedzialność każdej ze stron na podstawie niniejszej Umowy podlega klauzulom ograniczenia odpowiedzialności zawartym w Regulaminie (punkt 18). Odpowiedzialności za szkodę wyrządzoną umyślnie nie można wyłączyć (art. 473 § 2 Kodeksu cywilnego).
Okres obowiązywania. Niniejsza Umowa obowiązuje przez ten sam okres co Regulamin oraz korzystanie przez Administratora z Usługi.
Rozwiązanie z ważnej przyczyny. Administrator może rozwiązać niniejszą Umowę (a w konsekwencji leżącą u jej podstaw Usługę) z powodu istotnego naruszenia przez Podmiot przetwarzający, które nie zostało usunięte w ciągu trzydziestu (30) dni od pisemnego wezwania; Podmiot przetwarzający może zawiesić przetwarzanie, jeżeli wymaga tego prawo lub ochrona praw osób, których dane dotyczą.
16.Prawo właściwe i postanowienia końcowe
Prawo właściwe. Niniejsza Umowa podlega prawu polskiemu oraz RODO.
Jurysdykcja. Spory podlegają postanowieniom dotyczącym jurysdykcji zawartym w punkcie 22 Regulaminu.
Klauzula salwatoryjna. Jeżeli którekolwiek postanowienie zostanie uznane za nieważne, niezgodne z prawem lub niewykonalne, pozostała część pozostaje w pełnej mocy.
Aktualizacje. Podmiot przetwarzający może aktualizować niniejszą Umowę w celu odzwierciedlenia zmian w prawie lub wykazie podprzetwarzających. O istotnych zmianach informuje się co najmniej trzydzieści (30) dni z wyprzedzeniem; nieistotne aktualizacje wchodzą w życie z chwilą publikacji.
A.Załącznik A – Podprzetwarzający
Aktualny wykaz, obowiązujący od 6 maja 2026:
| Podprzetwarzający | Usługa | Lokalizacja | Zabezpieczenie przekazania |
|---|---|---|---|
| Google LLC / Google Ireland Ltd. | Firebase Authentication, baza danych Firestore, Cloud Functions, Cloud Storage, App Check, reCAPTCHA Enterprise, Cloud Logging | UE (eur3 multi-region) / USA (spółka macierzysta) | Ramy Ochrony Danych UE-USA (certyfikacja) + standardowe klauzule umowne Moduł 3 + dodatkowe środki (szyfrowanie, IAM) |
| Stripe Payments Europe Ltd. / Stripe, Inc. | Obsługa płatności kartą, zarządzanie subskrypcjami, wykrywanie nadużyć (Stripe Radar), przekierowania do Portalu Klienta, Stripe Tax | UE (Irlandia) / USA (siedziba korporacyjna) | Ramy Ochrony Danych UE-USA (certyfikacja) + standardowe klauzule umowne Moduł 2/3 + PCI-DSS Poziom 1 |
| Cloudflare, Inc. | CDN, ochrona przed atakami DDoS, zarządzanie botami, terminacja TLS na brzegu sieci | Globalny brzeg sieci / USA (siedziba korporacyjna) | Ramy Ochrony Danych UE-USA (certyfikacja) + standardowe klauzule umowne + terminacja TLS wyłącznie na brzegu sieci, bez inspekcji ładunku |
| Hostinger International Ltd. | Transakcyjna poczta wychodząca (weryfikacja, resetowanie hasła, 2FA, rozliczenia) przez SMTP | UE (Litwa) | W obrębie EOG – brak przekazania do państwa trzeciego |
Interfejs API WHO ICD-11 (Genewa, Szwajcaria) jest konsultowany po stronie serwera w celu wyszukiwania kanonicznych encji ICD-11 – do WHO nie są przesyłane żadne dane osobowe Użytkownika ani żadne Dane Pacjenta; w związku z tym WHO nie jest podprzetwarzającym danych osobowych w rozumieniu art. 28 RODO. Szwajcaria w każdym razie korzysta z decyzji Komisji Europejskiej stwierdzającej odpowiedni stopień ochrony (decyzja 2000/518/WE).
B.Załącznik B – Środki bezpieczeństwa (art. 32 RODO)
Szyfrowanie i transmisja
- Wyłącznie HTTPS z preładowaniem HSTS; TLS 1.3 tam, gdzie obsługuje go klient.
- Szyfrowanie AES-GCM po stronie klienta (wyprowadzanie klucza PBKDF2 powiązane z UID użytkownika) dla wrażliwych pól przechowywanych w
localStorage. - Szyfrowanie w spoczynku wszystkich danych Firestore oraz obiektów Cloud Storage (zarządzane przez Google AES-256).
- Hasła przechowywane jako solone skróty przez Firebase Authentication – Podmiot przetwarzający nigdy nie widzi haseł w postaci jawnej.
- Klucze API i sekrety przechowywane w Google Secret Manager z ograniczonym zakresem dostępu IAM.
Tożsamość, uwierzytelnianie, kontrola dostępu
- Reguły bezpieczeństwa Firestore z walidatorami chroniącymi właściciela, zapobiegające eskalacji uprawnień (pola admin / plan / rozliczenia / 2FA zapisywane wyłącznie po stronie serwera).
- Identity Platform z ochroną przed enumeracją adresów e-mail oraz Account Defender.
- Opcjonalne uwierzytelnianie dwuskładnikowe (2FA) za pomocą jednorazowych kodów e-mail.
- Autoryzacja administratora oparta na niestandardowych deklaracjach (custom claim); brama MFA dla operacji administracyjnych wysokiego ryzyka z ponowną weryfikacją ograniczoną w czasie.
- Zasada ograniczonego dostępu (need-to-know) w odniesieniu do dostępu personelu do Danych Pacjenta.
Bezpieczeństwo aplikacji
- Firebase App Check + reCAPTCHA Enterprise (v3, wyłącznie ocena) przy każdym wywoływalnym Cloud Function oraz każdym kliencko-stronowym żądaniu Firestore.
- Ograniczanie liczby żądań na użytkownika (rate limiting) na punktach końcowych wrażliwych na częstotliwość (usuwanie konta, weryfikacja e-mail, resetowanie hasła, anulowanie subskrypcji).
- Ścisła polityka bezpieczeństwa treści (CSP) z raportowaniem naruszeń.
- Reguły Storage ograniczające rozmiar przesyłanych plików oraz typ MIME (wyłącznie obrazy).
- Walidacja danych wejściowych i escapowanie danych wyjściowych na granicach serwera.
Środki operacyjne i organizacyjne
- Zautomatyzowane kopie zapasowe Firestore w ramach udokumentowanej polityki rotacji; kopie zapasowe odizolowane od przetwarzania operacyjnego.
- Alerty Cloud Monitoring przy wykrywaniu anomalii (błędy funkcji, skoki liczby żądań, sygnatury scrapingu).
- Procedura reagowania na incydenty z wyraźnymi zobowiązaniami z art. 33/34 – powiadomienie w ciągu 72 godzin (punkt 11).
- Udokumentowany rejestr czynności przetwarzania zgodnie z art. 30.
- Udokumentowana ocena skutków dla ochrony danych (DPIA) zgodnie z art. 35 dla prowadzonego na dużą skalę przetwarzania danych z art. 9 w ramach Usługi.
- Powołany inspektor ochrony danych zgłoszony do UODO zgodnie z art. 37 ust. 7 RODO.
- Cloudflare WAF oraz ochrona przed atakami DDoS.
- Płatności obsługiwane przez Stripe – żadne dane kart nie są przechowywane na platformie Podmiotu przetwarzającego.
Minimalizacja Danych Pacjenta
- Usługa nie wymaga bezpośrednich identyfikatorów (numeru identyfikacyjnego, pełnego imienia i nazwiska, pełnego adresu) i odradza ich wprowadzanie.
- Notatki w formie tekstu swobodnego są przechowywane w postaci zaszyfrowanej AES-GCM po stronie klienta tam, gdzie ma to zastosowanie; szyfrowanie w spoczynku po stronie serwera obowiązuje we wszystkich przypadkach.
- Usuwanie logiczne z udokumentowanym oknem odzyskiwania przed trwałym usunięciem.