Polityka prywatności
Wprowadzenie
Niniejsza Polityka prywatności wyjaśnia, jakie dane zbieramy, gdy odwiedzasz Symptomatik.com („Symptomatik”, „Serwis”), dlaczego je zbieramy, jak długo je przechowujemy oraz jakie masz w stosunku do nich prawa. Symptomatik to wielojęzyczny serwis z informacjami o zdrowiu na etapie przedpremierowym. Obecnie strona działa wyłącznie w trybie do odczytu: nie ma kont użytkowników, haseł, formularzy płatności, sekcji komentarzy ani żadnego sposobu przesyłania treści. Jedynymi danymi osobowymi, które przetwarzamy, jest niewielka ilość informacji analitycznych dotyczących Twojej wizyty.
Symptomatik jest prowadzony przez Digital Savages LLC, spółkę z ograniczoną odpowiedzialnością z siedzibą w stanie Teksas, pod adresem 701 Tillery Street, 2840, Unit 12, Austin, TX 78702, Stany Zjednoczone. W rozumieniu ogólnego rozporządzenia o ochronie danych UE i Wielkiej Brytanii (RODO / UK GDPR — Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679), Digital Savages LLC jest administratorem danych osobowych.
Jeśli masz pytania dotyczące niniejszej polityki lub chcesz skorzystać z któregokolwiek z opisanych poniżej praw, napisz do nas na adres privacy@symptomatik.com.
Ponieważ Digital Savages LLC jest podmiotem zarejestrowanym w Teksasie, stosuje się także, w zakresie, w jakim ma to zastosowanie, Texas Data Privacy and Security Act (TDPSA), obowiązująca od 1 lipca 2024 r.; mieszkańcy Teksasu mogą korzystać z praw wymienionych w sekcji dotyczącej USA poniżej.
Wersja angielska niniejszej polityki jest wersją rozstrzygającą. Tłumaczenia na język polski i hiszpański są udostępniane dla wygody użytkowników.
Zakres
Niniejsza polityka dotyczy symptomatik.com oraz jego wariantów językowych (w tym ścieżek /pl/ i /es/). Nie obejmuje witryn podmiotów trzecich, do których prowadzą nasze linki; serwisy te mają własne polityki prywatności. Nie obejmuje także naszych planowanych w przyszłości usług (na przykład kont użytkowników, subskrypcji Premium ani funkcji opartych na sztucznej inteligencji), które zostaną wprowadzone wraz z aktualizacją niniejszej polityki przed uruchomieniem.
Definicje (krótko)
- Dane osobowe / informacje osobowe: wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
- Przetwarzanie: każda operacja wykonywana na danych osobowych, w tym zbieranie, przechowywanie, wykorzystywanie i usuwanie.
- Administrator: podmiot, który decyduje o celach i sposobach przetwarzania danych osobowych (tu: my).
- Podmiot przetwarzający: podmiot trzeci, który przetwarza dane osobowe w naszym imieniu na podstawie umowy.
Jakie dane zbieramy
Ponieważ Serwis nie posiada kont, formularzy ani innych mechanizmów przesyłania treści, nie zbieramy imion i nazwisk, adresów e-mail, numerów telefonu, informacji o stanie zdrowia, danych płatniczych ani żadnych treści tworzonych przez Ciebie. Nie prowadzimy newslettera i nie prosimy Cię o „rejestrację”.
Dane, które zbieramy, mieszczą się w trzech wąskich kategoriach:
1. Cloudflare Web Analytics (bez plików cookie, dane zagregowane)
Każda wizyta w Symptomatik ładuje mały pierwszoosobowy skrypt analityczny od Cloudflare (beacon.min.js). Skrypt ten działa bez plików cookie: nie zapisuje żadnych cookies, nie korzysta z localStorage, nie stosuje fingerprintingu urządzenia i nie przypisuje Ci indywidualnego identyfikatora. Raportuje dane zagregowane i zanonimizowane, takie jak adres URL strony, źródło odwiedzin, przybliżony kraj, rodzinę przeglądarki oraz podstawowe parametry wydajnościowe. Cloudflare nie wykorzystuje tych danych do budowania Twojego profilu.
2. Google Analytics 4 — wyłącznie po wyrażeniu zgody na opcjonalne pliki cookie
Jeśli — i tylko wtedy — klikniesz Akceptuj na naszym banerze zgody na pliki cookie, załadujemy Google Analytics 4 (GA4). GA4 ustawia dwa pierwszoosobowe pliki cookie — _ga oraz _ga_<container-id> — które służą do rozróżniania unikalnych odwiedzających i utrzymania stanu sesji. Skonfigurowaliśmy retencję danych GA4 na 14 miesięcy, polegamy na wbudowanym zachowaniu GA4 polegającym na nielogowaniu ani nieprzechowywaniu pełnych adresów IP oraz wyłączyliśmy Google Signals i międzyurządzeniowe funkcje reklamowe. Jeśli odrzucisz baner lub go zignorujesz, pliki cookie GA4 nie są ładowane.
Zestawienie wszystkich plików cookie i podobnych technologii używanych w Symptomatik znajduje się w naszej Polityce cookies.
3. Logi serwerowe i bezpieczeństwa
Cloudflare pełni rolę naszego CDN oraz zapory aplikacji webowych (WAF). W ramach obsługi Twojego żądania Cloudflare tymczasowo przetwarza Twój adres IP, adres URL żądania, znacznik czasu, status HTTP, user agent oraz powiązane dane telemetryczne dotyczące bezpieczeństwa. Logi te służą do utrzymania dostępności strony i blokowania nadużyć (ataków typu DoS, credential stuffing, skanowania podatności). Są przechowywane przez około 30 dni i nie są wykorzystywane do profilowania Cię.
Jak te dane zbieramy
- Automatycznie, gdy Twoja przeglądarka ładuje stronę (skrypt Cloudflare Analytics oraz logi serwerowe).
- Automatycznie, dopiero po kliknięciu Akceptuj (pliki cookie GA4).
- Za pośrednictwem
localStorageprzeglądarki, w którym przechowujemy Twoją decyzję dotyczącą banera cookie jako pojedynczy klucz o nazwiesymptomatik_cookie_consentz wartościąacceptedlubrejected. Ma to zapobiec ponownemu wyświetlaniu banera na każdej podstronie.
Nie używamy pikseli sieci reklamowych, narzędzi do nagrywania sesji, map cieplnych ani bibliotek fingerprintingu.
Cele przetwarzania
Dane opisane powyżej przetwarzamy w celu:
- Prowadzenia i utrzymania strony oraz zapewnienia jej rozsądnego poziomu bezpieczeństwa.
- Zrozumienia zagregowanych wzorców ruchu (które strony są czytane, jakie języki są używane), aby móc priorytetyzować prace rozwojowe.
- Wypełnienia obowiązków prawnych, w tym obsługi żądań osób, których dane dotyczą.
Nie przetwarzamy Twoich danych w celach reklamowych, profilowania, podejmowania decyzji kredytowych ani w celu jakiegokolwiek innego zautomatyzowanego podejmowania decyzji. Zobacz „Brak zautomatyzowanego podejmowania decyzji” poniżej.
Podstawy prawne przetwarzania (RODO / UK GDPR)
| Czynność przetwarzania | Podstawa prawna (art. 6 RODO) | Dlaczego |
|---|---|---|
| Cloudflare Web Analytics (bez plików cookie, dane zagregowane) | art. 6 ust. 1 lit. f) — prawnie uzasadniony interes | Art. 5 ust. 3 dyrektywy e-Privacy nie ma zastosowania, ponieważ żadne informacje nie są zapisywane ani odczytywane z Twojego urządzenia; art. 6 ust. 1 lit. f) RODO obejmuje minimalne przetwarzanie metadanych żądań HTTP. Brak plików cookie, identyfikatorów i indywidualnego profilowania — test równowagi interesów przemawia za tym ograniczonym przetwarzaniem. |
| Logi bezpieczeństwa Cloudflare / WAF / logi serwerowe | art. 6 ust. 1 lit. f) — prawnie uzasadniony interes | Bezpieczeństwo sieci i informacji (zob. motyw 49 RODO). |
| Google Analytics 4 (po kliknięciu w banerze) | art. 6 ust. 1 lit. a) — zgoda | Nieniezbędne pliki cookie wymagają uprzedniej, świadomej zgody zgodnie z dyrektywą e-Privacy / PECR. Zgodę można wycofać w dowolnym momencie. |
| Obsługa żądań osób, których dane dotyczą | art. 6 ust. 1 lit. c) — obowiązek prawny | Wymagane przez RODO oraz stanowe przepisy o ochronie prywatności w USA. |
Nie opieramy się na „wykonaniu umowy”, „żywotnych interesach” ani „interesie publicznym” jako podstawach prawnych dla żadnego z powyższych rodzajów przetwarzania.
Pliki cookie i podobne technologie
Szczegółowe zestawienie — zawierające nazwy plików cookie, cele, dostawców, czas trwania i kategorie — znajduje się w naszej odrębnej Polityce cookies. W skrócie: jeden pierwszoosobowy element przechowywania jest bezwzględnie niezbędny (Twoja decyzja dotycząca zgody), skrypt analityczny Cloudflare nie ustawia żadnych plików cookie, a dwa pliki cookie GA4 ładują się wyłącznie po wyrażeniu zgody.
Odbiorcy i zewnętrzne podmioty przetwarzające
Udostępniamy dane wyłącznie dostawcom usług, których potrzebujemy do prowadzenia strony. Nie sprzedajemy danych osobowych i nie udostępniamy ich w celach reklamy behawioralnej w kontekście międzyserwisowym.
- Cloudflare, Inc. (San Francisco, CA, USA) — CDN, ochrona przed DDoS, WAF oraz Cloudflare Web Analytics. Cloudflare, Inc. samodzielnie certyfikuje się w ramach EU-US Data Privacy Framework.
- Google LLC (Mountain View, CA, USA) — Google Analytics 4, wyłącznie po wyrażeniu zgody w banerze. Google LLC samodzielnie certyfikuje się w ramach EU-US Data Privacy Framework.
Jeśli w przyszłości dodamy nowe podmioty przetwarzające (na przykład dostawców hostingu, wysyłki e-maili, uwierzytelniania, płatności lub inferencji AI), zaktualizujemy tę sekcję przed ich uruchomieniem.
Międzynarodowe transfery danych
Digital Savages LLC ma siedzibę w Stanach Zjednoczonych, a wskazane powyżej podmioty przetwarzające również mają siedziby w USA. Jeśli korzystasz z Symptomatik z obszaru UE, Wielkiej Brytanii, Szwajcarii lub innej jurysdykcji poza USA, Twoje dane będą przekazywane do Stanów Zjednoczonych i tam przetwarzane.
W odniesieniu do takich transferów opieramy się na:
- EU-US Data Privacy Framework (wraz z jego rozszerzeniami dla Wielkiej Brytanii i Szwajcarii), w zakresie, w jakim organizacja odbierająca posiada certyfikację. Cloudflare i Google są certyfikowane w ramach DPF na dzień wejścia w życie niniejszej polityki; jeśli certyfikacja wygaśnie, odpowiednio zaktualizujemy mechanizm transferu.
- Standardowych klauzulach umownych (SCC) Komisji Europejskiej jako rezerwowej ochronie kontraktowej.
Kopię obowiązujących zabezpieczeń możesz uzyskać, pisząc na adres privacy@symptomatik.com.
Okres przechowywania
Przechowujemy dane tylko tak długo, jak jest to niezbędne:
- Cloudflare Web Analytics: do 6 miesięcy, zgodnie z konfiguracją Cloudflare.
- Logi serwerowe / bezpieczeństwa Cloudflare: 30 dni.
- Google Analytics 4: 14 miesięcy (konfiguracja jawna).
- Zapis zgody na pliki cookie (
symptomatik_cookie_consentw Twojej przeglądarce): utrzymuje się do czasu wyczyszczenia danych strony; o zgodę pytamy ponownie nie częściej niż co 12 miesięcy. - Zapisy żądań osób, których dane dotyczą, oraz naszych odpowiedzi: 3 lata od zamknięcia sprawy, w celu udokumentowania zgodności.
Po upływie okresu przechowywania dane są usuwane lub anonimizowane.
Twoje prawa
Jeśli jesteś w UE, Wielkiej Brytanii, EOG lub Szwajcarii (RODO / UK GDPR)
Przysługuje Ci prawo do:
- Dostępu — zapytania, czy przetwarzamy dane na Twój temat, oraz uzyskania ich kopii (art. 15).
- Sprostowania — żądania poprawienia nieprawidłowych lub niekompletnych danych (art. 16).
- Usunięcia — żądania usunięcia przechowywanych przez nas danych o Tobie (art. 17).
- Ograniczenia — żądania ograniczenia przetwarzania w określonych okolicznościach (art. 18).
- Przenoszenia danych — otrzymania dostarczonych przez Ciebie danych w formacie nadającym się do odczytu maszynowego (art. 20).
- Sprzeciwu — sprzeciwu wobec przetwarzania opartego na prawnie uzasadnionych interesach, z przyczyn związanych z Twoją sytuacją (art. 21).
- Niepodlegania zautomatyzowanym decyzjom wywołującym skutki prawne lub w podobny sposób istotnie wpływającym na Ciebie (art. 22). Nie prowadzimy takich zautomatyzowanych decyzji — zob. poniżej.
- Wycofania zgody w dowolnym momencie, jeśli przetwarzanie odbywa się na podstawie zgody (art. 7 ust. 3).
- Wniesienia skargi do organu nadzorczego (art. 77).
Jeśli jesteś w Stanach Zjednoczonych
W zależności od stanu zamieszkania, mogą Ci przysługiwać następujące prawa na podstawie przepisów, w tym California Consumer Privacy Act / California Privacy Rights Act (CCPA/CPRA), Virginia Consumer Data Protection Act (VCDPA), Colorado Privacy Act (CPA), Connecticut Data Privacy Act (CTDPA) oraz Utah Consumer Privacy Act (UCPA):
- Prawo do informacji o tym, jakie dane osobowe zbieramy i jak je wykorzystujemy.
- Prawo do usunięcia przechowywanych przez nas danych osobowych.
- Prawo do poprawiania nieprawidłowych danych osobowych.
- Prawo do rezygnacji ze „sprzedaży” lub „udostępniania” danych osobowych — nie sprzedajemy ani nie udostępniamy, ale nadal możesz z tego prawa skorzystać.
- Prawo do rezygnacji z reklamy ukierunkowanej — nie prowadzimy takich działań, ale nadal możesz z tego prawa skorzystać.
- Prawo do ograniczenia wykorzystania wrażliwych danych osobowych (CPRA).
- Prawo do braku dyskryminacji za skorzystanie z któregokolwiek z powyższych praw.
- Prawo do odwołania się od odmowy rozpatrzenia żądania.
Jak skorzystać z praw
Napisz na adres privacy@symptomatik.com, krótko opisując swoje żądanie oraz jurysdykcję, z której piszesz. Ponieważ nie prowadzimy kont, zazwyczaj wystarczy nam adres e-mail, z którego piszesz, aby skojarzyć żądanie; jeśli potrzebujemy więcej informacji do weryfikacji tożsamości, poprosimy o minimalny niezbędny zakres.
- Potwierdzamy otrzymanie w ciągu 10 dni roboczych (zgodnie z wymogiem CCPA).
- Udzielamy merytorycznej odpowiedzi w terminach ustawowych: jednego miesiąca zgodnie z RODO (z możliwością przedłużenia o maksymalnie dwa kolejne miesiące w przypadku żądań złożonych lub licznych — poinformujemy Cię o takim przedłużeniu) oraz 45 dni zgodnie z CCPA (z możliwością jednorazowego przedłużenia o kolejne 45 dni w dozwolonych przypadkach).
- Respektujemy sygnały Global Privacy Control (GPC) jako ważny sygnał rezygnacji w odniesieniu do praw wynikających z prawa stanowego USA.
- Rozsądne żądania są rozpatrywane bezpłatnie.
Prawo do wniesienia skargi do organu nadzorczego
Jeśli uważasz, że niewłaściwie postąpiliśmy z Twoimi danymi, wolelibyśmy, abyś najpierw skontaktował się z nami — ale zawsze masz prawo wnieść skargę do swojego lokalnego organu ochrony danych, w tym:
- UODO (Prezes Urzędu Ochrony Danych Osobowych) — Polska — https://uodo.gov.pl
- CNIL — Francja — https://www.cnil.fr
- ICO (Information Commissioner’s Office) — Wielka Brytania — https://ico.org.uk
- AEPD (Agencia Española de Protección de Datos) — Hiszpania — https://www.aepd.es
- California Privacy Protection Agency (CPPA) oraz California Attorney General — Kalifornia, USA — https://cppa.ca.gov
Mieszkańcy innych państw członkowskich UE mogą złożyć skargę do swojego krajowego organu nadzorczego.
Prywatność dzieci
Symptomatik nie jest skierowany do dzieci. Aby korzystać ze strony, musisz mieć ukończone co najmniej 13 lat (USA) lub 16 lat (UE / Wielka Brytania / EOG). Nie zbieramy świadomie danych osobowych dzieci poniżej tego wieku. Jeśli uważasz, że dziecko przekazało nam dane osobowe, skontaktuj się z nami pod adresem privacy@symptomatik.com, a my je usuniemy.
Brak „sprzedaży” lub „udostępniania” danych osobowych
Nie sprzedajemy danych osobowych za pieniądze ani inne wartościowe świadczenie i nie udostępniamy danych osobowych na potrzeby reklamy behawioralnej w kontekście międzyserwisowym, w rozumieniu tych pojęć zgodnie z CCPA/CPRA i analogicznymi przepisami stanowymi. Z tego powodu nie wyświetlamy linku „Do Not Sell or Share My Personal Information” — ale w każdej chwili możesz skorzystać ze swoich ustawowych praw, pisząc na privacy@symptomatik.com.
Brak zautomatyzowanego podejmowania decyzji
Nie prowadzimy zautomatyzowanego podejmowania decyzji, w tym profilowania, wywołującego skutki prawne lub w podobny sposób istotnie wpływającego na Ciebie. Nie oceniamy, nie rankingujemy ani nie kategoryzujemy osób.
Planujemy funkcje oparte na sztucznej inteligencji (na przykład interpretacje wyników badań laboratoryjnych oraz checker objawów) w kolejnych wersjach Symptomatik. Wraz z ich uruchomieniem zaktualizujemy niniejszą politykę, jasno opiszemy, co robi AI, i udostępnimy informacje wymagane przez art. 22 RODO oraz analogiczne przepisy amerykańskie. Funkcje te będą miały wyłącznie charakter informacyjny i nie zastąpią wykwalifikowanego pracownika służby zdrowia — zob. nasze Zastrzeżenie medyczne.
Bezpieczeństwo
Opieramy się na standardowych w branży zabezpieczeniach technicznych i organizacyjnych, w tym na szyfrowaniu TLS w tranzycie (HTTPS), zabezpieczeniach sieciowych i WAF Cloudflare, ograniczonym dostępie administracyjnym oraz zasadzie minimalnych uprawnień. Żadna usługa online nie może zagwarantować absolutnego bezpieczeństwa i my tego nie obiecujemy — utrzymujemy rozsądny, proporcjonalny poziom ochrony adekwatny do skali serwisu.
Serwis jest zaprojektowany z myślą o zgodności z obowiązującymi przepisami o ochronie danych. Nie deklarujemy zgodności z HIPAA: Symptomatik udostępnia ogólne informacje zdrowotne, nie jesteśmy „covered entity” ani „business associate” w rozumieniu HIPAA, a żadna treść w Serwisie nie powinna być traktowana jako chroniona dokumentacja medyczna. Przed poleganiem na jakichkolwiek informacjach w Serwisie zapoznaj się także z naszym Zastrzeżeniem medycznym.
Zmiany w niniejszej polityce
Możemy okresowo aktualizować niniejszą politykę. Pola Effective date oraz Last updated u góry strony odzwierciedlają aktualną wersję. W przypadku istotnych zmian będziemy wyświetlać baner informacyjny na stronie przez co najmniej 30 dni z wyprzedzeniem. Ponieważ nie przechowujemy adresów e-mail, nie możemy indywidualnie powiadamiać użytkowników.
Kontakt
- Sprawy związane z prywatnością: privacy@symptomatik.com
- Zawiadomienia prawne: legal@symptomatik.com
- Kontakt ogólny: hello@symptomatik.com
- Adres pocztowy: Digital Savages LLC, 701 Tillery Street, 2840, Unit 12, Austin, TX 78702, Stany Zjednoczone
Wersja angielska niniejszego dokumentu ma charakter rozstrzygający w przypadku rozbieżności w tłumaczeniu, z zastrzeżeniem bezwzględnie obowiązujących przepisów prawa polskiego o ochronie konsumentów.