Polityka prywatności

Serwis Nexaio360.com · Wersja 1.4 · 2 stycznia 2026 r.

Pobierz PDF

1Administrator danych osobowych

Administratorem danych osobowych przetwarzanych za pośrednictwem serwisu nexaio360.com jest:

Progressivegroup Sp. z o.o.

ul. Rynek 5/6, 59-220 Legnica, Polska

NIP: PL6912562452

E-mail: office@nexaio360.com

2Zakres przetwarzanych danych

W zależności od sposobu korzystania z serwisu przetwarzamy następujące kategorie danych:

2.1. Dane konta użytkownika

  • imię i nazwisko (opcjonalnie)
  • adres e-mail
  • hasło (przechowywane w formie zaszyfrowanej)
  • identyfikator użytkownika

2.2. Dane rozliczeniowe

  • informacje o zakupionych pakietach coinów, transakcjach i saldzie

2.3. Dane techniczne i eksploatacyjne

  • adres IP, znaczniki czasu, identyfikatory urządzeń/przeglądarki
  • logi zdarzeń systemowych

2.4. Dane związane z analizą medyczną — dane szczególnych kategorii (art. 9 RODO)

Uwaga: Poniższe dane stanowią dane o stanie zdrowia w rozumieniu art. 4 pkt 15 RODO i są przetwarzane wyłącznie na podstawie wyraźnej zgody użytkownika (art. 9 ust. 2 lit. a RODO).

  • dane z formularza analizy: przedział wiekowy, płeć, objawy kliniczne, wywiad chorobowy, uwagi dodatkowe
  • obrazy medyczne (DICOM, JPG, PNG, BMP) — w tym RTG, MRI, CT, USG, mammografia, endoskopia, zdjęcia dermatoskopowe

Ważne: Przed przesyłaniem obrazów medycznych zalecamy usunięcie danych osobowych (imienia, nazwiska, PESEL, dokładnej daty urodzenia) z metadanych. W polach tekstowych nie należy wpisywać danych identyfikujących pacjenta.

3Cele i podstawy prawne przetwarzania

art. 6 ust. 1 lit. b RODOzałożenie i obsługa konta, logowanie, realizacja usług
art. 6 ust. 1 lit. b i c RODOobsługa płatności i rozliczeń, dokumentacja księgowa
art. 6 ust. 1 lit. f RODObezpieczeństwo systemu, zapobieganie nadużyciom, statystyki
art. 6 ust. 1 lit. b i f RODOkomunikacja i wsparcie użytkowników
art. 6 ust. 1 lit. a RODO (zgoda)marketing własny (newsletter)
art. 6 ust. 1 lit. f RODOdochodzenie i obrona przed roszczeniami
art. 9 ust. 2 lit. a RODO (wyraźna zgoda)przetwarzanie danych o stanie zdrowia w celu realizacji usługi analizy medycznej

4Pseudonimizacja danych i przetwarzanie przez system AI

Przed przekazaniem danych do systemu sztucznej inteligencji serwis stosuje następujący proces pseudonimizacji:

  • ze standardów DICOM usuwane są bezpośrednio identyfikujące dane (imię, nazwisko, PESEL, dokładna data urodzenia, data badania, ID pacjenta)
  • dane te są zastępowane znacznikami [ZANONIMIZOWANE]
  • wiek pacjenta przekazywany jest wyłącznie jako przedział (np. 41–65 lat), nie jako dokładna data urodzenia
  • do systemu AI trafia wyłącznie treść diagnostyczna obrazu pozbawiona bezpośrednich identyfikatorów
Wyjaśnienie prawne: Sam obraz medyczny (RTG, MRI, CT, zdjęcie dermatoskopowe) może stanowić daną o zdrowiu w rozumieniu RODO nawet po usunięciu nagłówków DICOM. Stosowany przez serwis proces stanowi pseudonimizację w rozumieniu art. 4 pkt 5 RODO — Administrator (nexaio360) posiada klucz powiązania, natomiast zewnętrzny dostawca systemu AI nie posiada możliwości identyfikacji konkretnego pacjenta na podstawie przekazywanych danych.

5Odbiorcy danych

Dane mogą być powierzane podmiotom świadczącym usługi na rzecz Administratora:

  • dostawcy hostingu i utrzymania infrastruktury IT
  • dostawcy systemów płatności i obsługi transakcji
  • narzędzia analityczne i statystyczne (w zakresie danych eksploatacyjnych)
  • zewnętrzny dostawca modelu AI wspierającego analizę obrazów medycznych — dane przekazywane są wyłącznie w formie pozbawionej bezpośrednich identyfikatorów pacjenta (patrz pkt 4)

Dane przekazywane są wyłącznie w niezbędnym zakresie, na podstawie umów powierzenia przetwarzania i z zastosowaniem odpowiednich środków bezpieczeństwa.

6Przekazywanie danych poza Europejski Obszar Gospodarczy

W związku z korzystaniem z zewnętrznego dostawcy systemu AI (Anthropic PBC, USA) może dochodzić do transferu danych poza EOG. Dane przekazywane temu podmiotowi stanowią pseudonimizowane dane diagnostyczne pozbawione bezpośrednich identyfikatorów pacjenta. W przypadku przetwarzania danych osobowych poza EOG stosujemy odpowiednie zabezpieczenia prawne, w tym Standardowe Klauzule Umowne przyjęte decyzją Komisji Europejskiej 2021/914/UE.

7Okresy przechowywania danych

Kategoria danychOkresPodstawa
Obrazy medyczne (pliki)Do zakończenia analizy (usuwane automatycznie)Minimalizacja danych — art. 5 ust. 1 lit. e RODO
Wyniki analiz i dane kliniczne z formularza3 lata od daty analizyUzasadniony interes — art. 6 ust. 1 lit. f RODO
Dane konta użytkownikaCzas trwania konta + 1 rok po usunięciuObowiązki rozliczeniowe
Dokumenty księgowe i faktury5 lat od końca roku podatkowegoArt. 86 Ordynacji podatkowej
Logi systemowe i bezpieczeństwa90 dniBezpieczeństwo systemu

8Prawa osób, których dane dotyczą

Przysługują Ci następujące prawa wynikające z RODO:

  • art. 15prawo dostępu do danych oraz uzyskania ich kopii
  • art. 16prawo do sprostowania nieprawidłowych lub niekompletnych danych
  • art. 17prawo do usunięcia danych („prawo do bycia zapomnianym")
  • art. 18prawo do ograniczenia przetwarzania
  • art. 20prawo do przenoszenia danych
  • art. 21prawo sprzeciwu wobec przetwarzania opartego na prawnie uzasadnionym interesie
  • art. 7 ust. 3prawo cofnięcia zgody w dowolnym momencie
Prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa, www.uodo.gov.pl).

Aby skorzystać ze swoich praw, skontaktuj się z nami: office@nexaio360.com. Odpowiemy w terminie 30 dni (art. 12 ust. 3 RODO).

9Pliki cookie i analityka

Serwis wykorzystuje pliki cookie oraz podobne technologie w celu zapewnienia prawidłowego działania, personalizacji, analityki i bezpieczeństwa. Możesz zarządzać plikami cookie w ustawieniach przeglądarki.

10Zautomatyzowane podejmowanie decyzji i profilowanie

System Nexaio360 generuje opisy i rekomendacje diagnostyczne z wykorzystaniem algorytmów sztucznej inteligencji. Wyniki te:

  • mają charakter informacyjny i wspierający — nie stanowią diagnozy medycznej
  • nie stanowią zautomatyzowanej decyzji wywołującej skutki prawne w rozumieniu art. 22 RODO
  • wymagają weryfikacji i interpretacji przez uprawnionego specjalistę medycznego

11Bezpieczeństwo danych

Administrator stosuje odpowiednie środki techniczne i organizacyjne, w tym:

  • szyfrowanie transmisji danych (protokół SSL/TLS)
  • pseudonimizację danych medycznych przed przekazaniem do zewnętrznych systemów AI
  • automatyczne usuwanie plików obrazów medycznych po zakończeniu analizy
  • ograniczenie dostępu do danych do upoważnionych pracowników i podmiotów

12Zmiany Polityki prywatności

Polityka może być okresowo aktualizowana w związku ze zmianami przepisów prawa, zmianami technologicznymi lub rozwojem serwisu. O istotnych zmianach poinformujemy poprzez serwis lub kontakt e-mail. Aktualna wersja jest zawsze dostępna na stronie nexaio360.com/privacy-policy.

13Kontakt

Progressivegroup Sp. z o.o.

ul. Rynek 5/6, 59-220 Legnica, Polska · NIP: PL6912562452

office@nexaio360.com
Wersja 1.4 · 2 stycznia 2026 r.Pobierz PDF