Wróć do strony głównej Dokumenty prawne

Polityka Prywatności
i Ochrony Danych

Przejrzysty przewodnik po tym, jak chronimy Twoje dane osobowe, jakie prawa Ci przysługują oraz w jaki sposób zapewniamy bezpieczeństwo informacji w zgodności z RODO i ISO/IEC 27001.

RODO / GDPR ISO/IEC 27001:2022 Aktualizacja: 27.05.2026
Art. 13 RODO

Administrator Danych Osobowych

NazwaDiagu Sp. z o.o.
Adres siedzibyul. Dąbrowskiego 77A
60-529 Poznań, Polska
E-mail ogólnybiuro@diagu.pl
Sprawy RODOsecurity@diagu.pl
Strona wwwdiagu.pl

Niniejszy dokument określa zasady przetwarzania danych osobowych Użytkowników korzystających z platformy Diagu, serwisów prowadzonych pod domeną diagu.pl oraz diagu.com, a także powiązanych aplikacji i API.

Administrator jest odpowiedzialny za przetwarzanie danych osobowych zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO) oraz z przepisami krajowymi w zakresie ochrony danych osobowych.
Katalog danych

Zakres Przetwarzanych Danych

W zależności od sposobu korzystania z naszych usług przetwarzamy następujące kategorie danych osobowych:

Dane identyfikacyjne i kontaktowe
  • Imię, nazwisko lub inicjały (w zakresie niezbędnym)
  • Adres e-mail
  • Numer telefonu (jeżeli podany dobrowolnie)
  • Nazwa organizacji, stanowisko (dla kont klinicznych)
Dane zdrowotne i kliniczne (szczególna kategoria – art. 9 RODO)

Przetwarzane wyłącznie na podstawie wyraźnej zgody lub dla realizacji świadczeń zdrowotnych:

  • Wyniki badań laboratoryjnych przesyłane do analizy AI
  • Historia badań i interpretacji klinicznych (pamięć zdrowotna pacjenta)
  • Notatki z wizyt i transkrypcje (funkcja SOAP)
  • Dane diagnostyczne z integracji z laboratoriami partnerskimi
Dane zdrowotne są szczególną kategorią danych wg RODO. Przetwarzamy je z najwyższym poziomem ochrony: szyfrowanie end-to-end, pseudonimizacja i rygorystyczna kontrola dostępu.
Dane techniczne i behawioralne
  • Adres IP i dane urządzenia (typ, system operacyjny, przeglądarka)
  • Logi aktywności w systemie
  • Dane o sesjach i interakcjach z platformą
  • Znaczniki czasowe działań (do celów bezpieczeństwa i audytu)
Art. 6 i 9 RODO

Podstawy Prawne Przetwarzania

Podstawa prawna Przepis RODO Zastosowanie
Wykonanie umowyArt. 6 ust. 1 lit. b)Świadczenie usług platformy Diagu, obsługi konta, wystawiania faktur
ZgodaArt. 6 ust. 1 lit. a) / Art. 9 ust. 2 lit. a)Marketing, przetwarzanie danych zdrowotnych, pliki cookies analityczne
Uzasadniony interesArt. 6 ust. 1 lit. f)Bezpieczeństwo systemów, zapobieganie nadużyciom, statystyki anonimowe
Obowiązek prawnyArt. 6 ust. 1 lit. c)Archiwizacja księgowa, obowiązki podatkowe, odpowiedzi na żądania organów
Ochrona zdrowiaArt. 9 ust. 2 lit. h)Interpretacja wyników badań w ramach świadczeń diagnostycznych
Minimalizacja danych

Cele Przetwarzania i Okresy Retencji

Cel przetwarzania Kategoria danych Okres retencji
Świadczenie usług platformy i obsługi kontaIdentyfikacyjne, kontaktowePrzez okres trwania umowy + 3 lata
Analiza wyników badań (silnik DIAGU FIRE)Zdrowotne (zaszyfrowane)Przez czas trwania konta lub cofnięcia zgody
Transkrypcje wizyt i notatki SOAPZdrowotne, kliniczneZgodnie z wymaganiami dla dok. medycznej (min. 20 lat)
Rozliczenia i fakturyFinansowe, identyfikacyjne5 lat od końca roku podatkowego
Logi bezpieczeństwa i audytuTechniczne12 miesięcy
Marketing i komunikacjaKontaktoweDo czasu cofnięcia zgody lub sprzeciwu
Dochodzenie roszczeńRóżneDo 6 lat od zdarzenia (przedawnienie)
Stosujemy zasadę minimalizacji danych – przetwarzamy wyłącznie dane niezbędne do realizacji konkretnego celu. Po upływie okresu retencji dane są bezpowrotnie usuwane lub skutecznie anonimizowane.
Art. 15–22 RODO

Prawa Osoby, której Dane Dotyczą

Każdej osobie, której dane przetwarzamy, przysługują następujące prawa. Wnioski realizujemy bez zbędnej zwłoki, nie później niż w ciągu 30 dni.

Prawo dostępu
Prawo do uzyskania informacji o zakresie, celach i podstawach przetwarzania Twoich danych.
Prawo do sprostowania
Prawo do poprawy nieprawidłowych lub uzupełnienia niekompletnych danych osobowych.
Prawo do usunięcia
Prawo do żądania usunięcia danych („prawo do bycia zapomnianym") w przypadkach z art. 17 RODO.
Prawo do ograniczenia
Prawo do czasowego wstrzymania przetwarzania danych w sytuacjach wskazanych w art. 18 RODO.
Prawo do przenośności
Prawo do otrzymania danych w ustrukturyzowanym formacie i przesłania ich innemu administratorowi.
Prawo do sprzeciwu
Prawo do wniesienia sprzeciwu wobec przetwarzania na podstawie uzasadnionego interesu lub marketingu.
Cofnięcie zgody
W dowolnym momencie, bez wpływu na legalność przetwarzania dokonanego przed cofnięciem.
Skarga do UODO
Prawo do wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych, ul. Stawki 2, Warszawa.
Wnioski w zakresie praw prosimy kierować na: security@diagu.pl. Będziemy potrzebować weryfikacji tożsamości w celu bezpiecznej realizacji żądania.
System ISMS

Bezpieczeństwo Informacji (ISO/IEC 27001)

ISO/IEC
27001
2022

System Zarządzania Bezpieczeństwem Informacji

Diagu Sp. z o.o. wdraża i utrzymuje System Zarządzania Bezpieczeństwem Informacji (ISMS) zgodny z wymaganiami normy ISO/IEC 27001:2022. System obejmuje kompletny cykl PDCA: planowanie, wdrożenie, monitoring i ciągłe doskonalenie zabezpieczeń informacji przetwarzanych w ramach platformy Diagu.

Zabezpieczenia organizacyjne

  • Polityka bezpieczeństwa informacji zatwierdzona przez Zarząd i komunikowana całemu personelowi
  • Sformalizowane role i odpowiedzialność za bezpieczeństwo informacji
  • Regularne szkolenia pracowników z zakresu bezpieczeństwa i ochrony danych
  • Weryfikacja pracowników i podmiotów współpracujących przed dostępem do danych
  • Umowy powierzenia przetwarzania danych ze wszystkimi podmiotami przetwarzającymi
  • Sformalizowany proces zarządzania incydentami bezpieczeństwa
  • Regularne audyty wewnętrzne i przeglądy zarządcze ISMS

Zabezpieczenia techniczne

  • Szyfrowanie danych w spoczynku (AES-256) i w trakcie transmisji (TLS 1.3+)
  • Pseudonimizacja danych zdrowotnych – dane kliniczne przechowywane oddzielnie od identyfikacyjnych
  • Kontrola dostępu oparta na rolach (RBAC) i zasadzie najmniejszych uprawnień
  • Wieloskładnikowe uwierzytelnianie (MFA) dla kont klinicznych i administracyjnych
  • Automatyczne kopie zapasowe z regularnym testowaniem odtwarzania
  • Rejestrowanie i monitorowanie zdarzeń bezpieczeństwa
  • Zarządzanie podatnościami technicznymi i regularne testy penetracyjne
  • Oddzielne środowiska produkcyjne, testowe i deweloperskie
W przypadku naruszenia ochrony danych osobowych, które może powodować wysokie ryzyko, będziemy niezwłocznie informować osoby, których ono dotyczy (art. 34 RODO). Naruszenia zgłaszamy do UODO w ciągu 72 godzin (art. 33 RODO).
Udostępnianie danych

Odbiorcy i Podmioty Przetwarzające

Dane osobowe nie są sprzedawane ani udostępniane podmiotom trzecim w celach komercyjnych. Mogą być przekazywane następującym kategoriom podmiotów:

Podmioty przetwarzające – na podstawie umów powierzenia
  • Dostawcy infrastruktury chmurowej – dane przetwarzane wyłącznie w celu świadczenia usług technicznych
  • Partnerzy laboratoryjni integrujący wyniki badań – zakres niezbędny do realizacji interpretacji
  • Dostawcy usług płatności – wyłącznie dane rozliczeniowe
  • Dostawcy narzędzi komunikacji – adres e-mail i treść wiadomości transakcyjnych
Organy publiczne – na podstawie przepisów prawa
  • Organy podatkowe i skarbowe – w zakresie wymaganym przez prawo podatkowe
  • Organy ścigania i sądy – wyłącznie na podstawie prawomocnych nakazów
  • Organy nadzorcze (np. UODO) – w zakresie wymaganym przez RODO

Każdy podmiot przetwarzający dane podpisał umowę powierzenia przetwarzania danych, zapewniającą zgodność z RODO i równoważne wymagania bezpieczeństwa.

Art. 44–49 RODO

Transfer Danych Poza Europejski Obszar Gospodarczy

Dane osobowe są przetwarzane przede wszystkim w ramach EOG. W przypadkach transferu do państw trzecich stosujemy:

  • Transfer wyłącznie do krajów objętych decyzją adekwatności Komisji Europejskiej
  • Standardowe Klauzule Umowne (SCC) w wersji zatwierdzonej przez KE w 2021 r.
  • Dodatkowe zabezpieczenia techniczne i organizacyjne w przypadku transferów do USA
Informacje o zastosowanych zabezpieczeniach dotyczących transferu danych udzielamy na żądanie pod adresem security@diagu.pl.
Pliki cookies

Polityka Plików Cookies

Serwis diagu.pl i diagu.com korzysta z plików cookies. Stosujemy następujące kategorie:

Niezbędne
Konieczne do prawidłowego działania serwisu (logowanie, sesja, CSRF). Nie wymagają zgody i nie można ich wyłączyć.
Funkcjonalne
Zapamiętują preferencje użytkownika (język, motyw, ustawienia interfejsu). Wymagają zgody użytkownika.
Analityczne
Zanonimizowane statystyki korzystania z serwisu (Google Analytics 4 z anonimizacją IP). Wymagają zgody.
Marketingowe
Personalizacja treści na stronie marketingowej (nie w aplikacji klinicznej). Wymagają wyraźnej zgody.

Wersja statyczna – włącz JavaScript, aby zobaczyć aktualną listę cookies generowaną przez Cookiebot.

Nazwa cookie Typ Czas życia Cel
diagu_sessionNiezbędneSesjaSesja użytkownika i autoryzacja
csrf_tokenNiezbędneSesjaOchrona przed atakami CSRF
diagu_prefsFunkcjonalne12 miesięcyPreferencje języka i interfejsu
_gaAnalityczne24 miesiąceGoogle Analytics – rozróżnianie użytkowników
cookie_consentNiezbędne12 miesięcyZapis wyboru preferencji cookies

Możesz zarządzać ustawieniami cookies poprzez panel preferencji w stopce serwisu lub przez ustawienia przeglądarki.

Ochrona nieletnich

Dane Osób Małoletnich

Usługa Diagu jest skierowana do podmiotów profesjonalnych (klinik, placówek medycznych i weterynaryjnych) oraz dorosłych pacjentów. Nie gromadzimy świadomie danych bezpośrednio od osób poniżej 16 roku życia bez zgody rodzica lub opiekuna prawnego.

Dane zdrowotne pacjentów małoletnich mogą być przetwarzane wyłącznie przez uprawniony personel medyczny w ramach świadczeń zdrowotnych, na podstawie art. 9 ust. 2 lit. h) RODO.

Jeżeli uzyskasz informacje, że małoletnie dziecko podało nam swoje dane bez zgody rodzica, prosimy o kontakt: security@diagu.pl.

Aktualizacje dokumentu

Zmiany Polityki Prywatności

Niniejsza Polityka może być aktualizowana w związku ze zmianami przepisów prawa, wdrożeniem nowych usług lub rewizją praktyk bezpieczeństwa ISMS. O istotnych zmianach będziemy informować:

  • Poprzez komunikat w aplikacji i na stronie internetowej
  • Drogą e-mailową – użytkowników zarejestrowanych kont
  • Co najmniej 14 dni przed wejściem zmian w życie
Data ostatniej aktualizacji widnieje w nagłówku strony. Zachęcamy do okresowego przeglądu dokumentu, szczególnie przed podjęciem ważnych decyzji dotyczących korzystania z usług.
Kontakt z administratorem

Jak Się z Nami Skontaktować

We wszelkich sprawach dotyczących ochrony danych, realizacji praw lub pytań dotyczących Polityki Prywatności prosimy o kontakt:

AdministratorDiagu Sp. z o.o.
Adresul. Dąbrowskiego 77A
60-529 Poznań, Polska
E-mail RODOsecurity@diagu.pl
Zalecany kanał do spraw ochrony danych. Odpowiedź w ciągu 72 godz.
E-mail ogólnybiuro@diagu.pl
Organ nadzorczyPrezes Urzędu Ochrony Danych Osobowych
ul. Stawki 2, 00-193 Warszawa
uodo.gov.pl