Wersja robocza — Niniejszy dokument jest wersją roboczą oczekującą na opinię polskiej kancelarii prawnej. Treść tej strony nie jest wiążąca do momentu publikacji wersji 1.0.

Polityka prywatności

Polityka Prywatności Heltio

Data wejścia w życie: [DD-MM-RRRR] Wersja: 1.0

1. Administrator danych osobowych

Administratorem Twoich danych osobowych w zakresie określonym w niniejszej Polityce jest:

Heltio Sp. z o.o. [adres siedziby] KRS: [numer], NIP: [numer], REGON: [numer] e-mail: kontakt@heltio.pl telefon: [numer]

Inspektor Ochrony Danych (IOD): [imię i nazwisko] e-mail: iod@heltio.pl korespondencja papierowa: na adres siedziby z dopiskiem "IOD"

W sprawach związanych z przetwarzaniem Twoich danych osobowych (np. realizacja praw, zgłoszenie incydentu, pytania o przetwarzanie) możesz kontaktować się bezpośrednio z IOD.

Ważne: Heltio Sp. z o.o. działa jako administrator wyłącznie w zakresie opisanym w niniejszej Polityce — czyli wobec odwiedzających serwis heltio.pl, użytkowników wersji demonstracyjnej, klientów B2B (gabinety, podmioty lecznicze, praktyki) oraz osób kontaktujących się z nami. W odniesieniu do danych pacjentów przetwarzanych w aplikacji Heltio na zlecenie konkretnej placówki medycznej — administratorem danych pacjentów jest placówka medyczna, która korzysta z Heltio jako podmiotu przetwarzającego (umowa powierzenia). W takim przypadku to Twoja placówka medyczna jest pierwszym punktem kontaktu w sprawie Twoich danych jako pacjenta.

2. Zakres przetwarzanych danych i cele

2.1 Odwiedzający serwis heltio.pl

Cel przetwarzania	Podstawa prawna	Zakres danych	Okres przechowywania
Zapewnienie funkcjonowania serwisu	art. 6 ust. 1 lit. f RODO (uzasadniony interes)	adres IP, identyfikator urządzenia, logi serwera	12 miesięcy
Statystyki niespersonalizowane (jeśli włączyłeś/-aś analitykę)	art. 6 ust. 1 lit. a RODO (zgoda)	zanonimizowane dane o korzystaniu	do wycofania zgody, max 13 miesięcy
Bezpieczeństwo serwisu	art. 6 ust. 1 lit. f RODO	logi bezpieczeństwa, IP	12 miesięcy

2.2 Formularz kontaktowy / formularz demo

Cel	Podstawa	Zakres	Okres
Odpowiedź na zapytanie	art. 6 ust. 1 lit. b RODO (działania przed zawarciem umowy)	imię, nazwisko, e-mail, telefon, nazwa firmy, treść	24 miesiące od ostatniego kontaktu
Newsletter (jeśli wybrałeś/-aś)	art. 6 ust. 1 lit. a RODO (zgoda) + art. 398 PKE	e-mail	do wycofania zgody
Działania marketingowe (kontakt telefoniczny / SMS — jeśli wybrałeś/-aś)	art. 6 ust. 1 lit. a RODO + art. 398 PKE (zgoda dla każdego kanału osobno)	e-mail, telefon	do wycofania zgody

2.2a Lista oczekujących (beta) — `heltio.pl/`

Sekcja dodana w fazie pre-launch (slice bl-D.1, 2026-05-05). Podlega zatwierdzeniu kancelarii RODO przed publikacją.

Cel	Podstawa	Zakres	Okres
Komunikacja marketingowa o starcie Heltio (zapis na listę oczekujących na stronie głównej)	art. 6 ust. 1 lit. a RODO (zgoda) + art. 398 PKE	adres e-mail, język interfejsu (`pl`/`en`), znacznik czasu, agent użytkownika	do wycofania zgody + 30 dni okresu archiwalnego (audyt), następnie usunięcie wpisu
Ograniczenie nadużyć (rate-limit, anti-bot)	art. 6 ust. 1 lit. f RODO (uzasadniony interes)	hash SHA-256 adresu IP (nie sam IP)	30 dni od wpisu

Zgoda jest udzielana w modelu double opt-in — po przesłaniu formularza wysyłamy e-mail z linkiem potwierdzającym (ważnym 24 godziny). Bez kliknięcia w link nie otrzymasz od nas żadnych dalszych wiadomości.

W każdej chwili możesz wycofać zgodę:

klikając link „Wypisz się” w stopce każdej wiadomości (jednoklikowy);
pisząc na iod@heltio.pl.

Procesor wiadomości: Resend Inc. (zob. lista podprocesorów). Treść wiadomości i logi dostarczenia przechowywane przez Resend zgodnie z ich umową powierzenia.

2.3 Klienci B2B (placówki, gabinety) — relacja umowna

Cel	Podstawa	Zakres	Okres
Zawarcie i wykonanie umowy SaaS	art. 6 ust. 1 lit. b RODO	dane firmowe, dane reprezentanta, e-mail, telefon, NIP, adres	przez okres umowy + 7 lat (przedawnienie roszczeń)
Rozliczenia finansowe	art. 6 ust. 1 lit. c RODO (ustawa o rachunkowości — 5 lat)	dane do faktur, historia płatności	5 lat od końca roku, w którym powstał obowiązek podatkowy
Wsparcie klienta	art. 6 ust. 1 lit. b RODO	dane kontaktowe, treść zgłoszeń	24 miesiące po zakończeniu obsługi
Marketing własnych usług do dotychczasowych klientów	art. 6 ust. 1 lit. f RODO (uzasadniony interes) z prawem sprzeciwu	e-mail służbowy, dane kontaktowe firmowe	do zgłoszenia sprzeciwu

2.4 Kandydaci do pracy

Cel	Podstawa	Okres
Bieżąca rekrutacja	art. 6 ust. 1 lit. b RODO + Kodeks pracy	do zakończenia procesu rekrutacyjnego, max 6 miesięcy
Przyszłe rekrutacje (jeśli wyraziłeś/-aś zgodę)	art. 6 ust. 1 lit. a RODO	12 miesięcy lub do wycofania zgody

3. Twoje prawa

W każdej chwili masz prawo:

Dostępu do swoich danych (art. 15 RODO) — możesz dowiedzieć się, jakie Twoje dane przetwarzamy, w jakim celu i komu je udostępniamy
Sprostowania — żądać poprawienia nieprawidłowych danych (art. 16 RODO)
Usunięcia ("prawo do bycia zapomnianym") — w przypadkach określonych w art. 17 RODO
Ograniczenia przetwarzania (art. 18 RODO)
Przenoszenia danych — otrzymania danych w ustrukturyzowanym, powszechnie używanym formacie (art. 20 RODO)
Sprzeciwu wobec przetwarzania, w tym na potrzeby marketingu (art. 21 RODO)
Wycofania zgody w dowolnym momencie, bez wpływu na zgodność z prawem przetwarzania dokonanego przed jej wycofaniem
Skargi do Prezesa Urzędu Ochrony Danych Osobowych — ul. Stawki 2, 00-193 Warszawa, www.uodo.gov.pl

Realizujemy żądania bez zbędnej zwłoki, najpóźniej w ciągu 30 dni od ich otrzymania (z możliwością przedłużenia o kolejne 60 dni w skomplikowanych przypadkach — art. 12 ust. 3 RODO).

Aby zrealizować swoje prawa, napisz na: iod@heltio.pl.

4. Odbiorcy danych

Twoje dane mogą być powierzone wyłącznie podmiotom, z którymi zawarliśmy umowy powierzenia lub które są uprawnione na podstawie przepisów prawa. Aktualna lista podprocesorów dostępna jest publicznie pod adresem https://heltio.pl/podprocesorzy.

Najważniejsi odbiorcy:

Supabase (hosting bazy danych w Frankfurcie, Niemcy) — eu-central-1
Clerk (uwierzytelnianie użytkowników) — region UE
AWS (zarządzanie kluczami szyfrującymi) — eu-central-1
MailerSend (dostarczanie e-maili) — UE
SMSAPI (dostarczanie SMS) — Polska
Stripe (płatności abonamentowe B2B) — Irlandia
PayU (płatności pacjent → gabinet) — Polska
biuro księgowe — wyłącznie dane fakturowe
kancelaria prawna — w razie sporu

5. Przekazywanie danych poza EOG

Co do zasady nie przekazujemy danych osobowych poza Europejski Obszar Gospodarczy. Wszystkie podstawowe usługi infrastrukturalne mają potwierdzoną lokalizację w UE.

W wyjątkowych przypadkach, gdyby przekazanie poza EOG stało się konieczne (np. po włączeniu funkcji opartej na zewnętrznym dostawcy spoza UE — obecnie wszystkie takie funkcje są wyłączone), zapewnimy mechanizmy określone w art. 46 RODO (Standardowe Klauzule Umowne 2021) lub uzyskamy Twoją wyraźną zgodę zgodnie z art. 49 ust. 1 lit. a RODO.

6. Zautomatyzowane podejmowanie decyzji

W obecnej wersji serwisu i aplikacji nie podejmujemy decyzji w sposób zautomatyzowany w rozumieniu art. 22 RODO. Funkcje AI w aplikacji Heltio są wyłączone w wersji startowej i zostaną włączone wyłącznie pod warunkiem uzyskania świadomej zgody i z infrastrukturą w UE.

7. Pliki cookies i technologie podobne

Szczegóły opisaliśmy w odrębnym dokumencie: Polityka Cookies dostępnym pod adresem https://heltio.pl/polityka-cookies.

Korzystanie z plików cookies analitycznych i marketingowych odbywa się wyłącznie po wyrażeniu przez Ciebie zgody poprzez aktywne kliknięcie w banerze cookies (zgodnie z art. 399 Prawa komunikacji elektronicznej).

8. Dane małoletnich

Nasz serwis i nasze usługi B2B nie są kierowane do osób poniżej 16. roku życia. Jeśli jesteś rodzicem/opiekunem i podejrzewasz, że Twoje dziecko przekazało nam swoje dane bez Twojej zgody, prosimy o kontakt — niezwłocznie usuniemy te dane.

W aplikacji Heltio przetwarzanie danych pacjentów małoletnich opiera się na zgodzie opiekuna ustawowego — szczegóły reguluje placówka medyczna jako administrator (zob. klauzula informacyjna pacjenta).

9. Bezpieczeństwo

Stosujemy środki techniczne i organizacyjne wymagane przez art. 32 RODO, w tym m.in.:

szyfrowanie połączeń (TLS 1.3) i danych w spoczynku
szyfrowanie kluczowych danych na poziomie pól (PESEL, dokumentacja medyczna)
uwierzytelnianie wieloskładnikowe dla kont z dostępem do danych pacjentów
pełny dziennik dostępu (audit log)
zasady minimalnych uprawnień (RBAC)
regularne testy bezpieczeństwa, w tym test penetracyjny przed uruchomieniem produkcyjnym
szkolenia personelu z zakresu RODO

10. Zmiany Polityki

Polityka może być aktualizowana. O istotnych zmianach poinformujemy z co najmniej 30-dniowym wyprzedzeniem. Wersje archiwalne są dostępne na żądanie.

Wersja	Data	Zmiany
1.0	[data publikacji]	Pierwsza publikacja

Niniejsza Polityka jest udostępniana w językach polskim i angielskim. W razie rozbieżności decydująca jest wersja polska.

Aneks · w fazie pre-launch (bl-D.1, 2026-05-05)

Lista oczekujących Heltio (beta) — heltio.pl/

Sekcja stosowana wyłącznie do zapisu na listę oczekujących na stronie głównej heltio.pl. Podlega zatwierdzeniu kancelarii RODO przed publicznym uruchomieniem usługi.

Cel i podstawa prawna

Cel: komunikacja marketingowa o starcie produktu Heltio (np. zaproszenia do zamkniętej bety, ogłoszenie publicznego startu).
Podstawa: zgoda na komunikację handlową — art. 6 ust. 1 lit. a RODO oraz art. 398 PKE. Zgoda jest udzielana w modelu double opt-in: po wpisaniu adresu wysyłamy e-mail z linkiem potwierdzającym (24 godziny ważności). Bez kliknięcia nie wysyłamy żadnych dalszych wiadomości.

Zakres danych i okres przechowywania

Adres e-mail, język interfejsu (pl/en), znacznik czasu zapisu, agent użytkownika.
Skrót SHA-256 adresu IP (nie adres IP w postaci jawnej) — wyłącznie do ograniczania nadużyć (rate-limiting), art. 6 ust. 1 lit. f RODO.
Okres: do wycofania zgody + 30 dni okresu archiwalnego, po czym wpis jest usuwany.

Procesor wiadomości

MailerSend (Stagetimer s.r.o.), region UE. Pełna lista podprocesorów na /podprocesorzy. Treść wiadomości i logi dostarczenia przechowywane przez MailerSend zgodnie z ich umową powierzenia.

Wycofanie zgody