Polityka prywatności.

Dane administratora danych osobowych

Nazwa podmiotu

Indywidualna Praktyka Psychologiczno-Psychoterapeutyczna Urszula Czyżowicz

Adres

ul. Gdańska 89/1, 85-022 Bydgoszcz

NIP

9671447632

E-mail kontaktowy

kontakt@altheacentrum.pl

Adres serwisu

altheacentrum.pl

Data ostatniej aktualizacji

Maj 2025 r.

Preambuła i podstawy prawne

Niniejsza Polityka Prywatności („Polityka”) została opracowana w wykonaniu obowiązków informacyjnych wynikających z art. 13 i 14 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: „RODO”), a także w oparciu o przepisy ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. 2019 poz. 1781, dalej: „UODO”) oraz ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną.

Polityka dotyczy wszystkich czynności przetwarzania danych osobowych dokonywanych za pośrednictwem serwisu internetowego działającego pod adresem altheacentrum.pl („Serwis”). Administrator dokłada wszelkiej staranności, aby przetwarzanie danych osobowych odbywało się zgodnie z przepisami prawa, w szczególności z zasadami określonymi w art. 5 RODO:

• zasada zgodności z prawem, rzetelności i przejrzystości — dane są przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą;
• zasada ograniczenia celu — dane są zbierane w konkretnych, wyraźnie określonych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami;
• zasada minimalizacji danych — dane są adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane;
• zasada prawidłowości — dane są prawidłowe i w razie potrzeby uaktualniane;
• zasada ograniczenia przechowywania — dane są przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów przetwarzania;
• zasada integralności i poufności — dane są przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo.

§ 1. Cele i podstawy prawne przetwarzania danych osobowych

1.1. Obsługa zapytań i formularzy kontaktowych

Dane osobowe podane dobrowolnie w formularzach kontaktowych (imię, nazwisko, adres e-mail, numer telefonu, treść wiadomości) przetwarzane są w celu odpowiedzi na zapytanie i nawiązania kontaktu.

Podstawa prawna: art. 6 ust. 1 lit. b RODO — niezbędność do podjęcia działań na żądanie osoby, której dane dotyczą; ewentualnie art. 6 ust. 1 lit. f RODO — prawnie uzasadniony interes Administratora polegający na obsłudze korespondencji.

1.2. Rejestracja konta i świadczenie usług drogą elektroniczną

Jeżeli Serwis umożliwia rejestrację konta, dane niezbędne do jego założenia i utrzymania (imię, nazwisko, adres e-mail, hasło w formie hashowanej) przetwarzane są w celu prawidłowego wykonania umowy o świadczenie usług drogą elektroniczną.

Podstawa prawna: art. 6 ust. 1 lit. b RODO — wykonanie umowy.

1.3. Newsletter

Adres e-mail i imię Subskrybenta przetwarzane są w celu świadczenia usługi newslettera, tj. przesyłania informacji handlowych, materiałów edukacyjnych oraz aktualnych ofert Administratora drogą elektroniczną.

Podstawa prawna: art. 6 ust. 1 lit. a RODO — wyrażona zgoda. Zgoda może być w każdej chwili cofnięta, bez wpływu na zgodność z prawem przetwarzania przed jej cofnięciem. Cofnięcie następuje przez kliknięcie linku rezygnacji zawartego w każdej wiadomości lub kontakt na adres: kontakt@altheacentrum.pl.

1.4. Forum internetowe i funkcje społecznościowe

Jeżeli w Serwisie dostępne jest forum lub chat online, dane niezbędne do uczestnictwa (nick / imię, treści postów, data i IP) przetwarzane są w celu świadczenia tych usług i utrzymania porządku w Serwisie.

Podstawa prawna: art. 6 ust. 1 lit. b RODO (wykonanie umowy) oraz art. 6 ust. 1 lit. f RODO (uzasadniony interes — bezpieczeństwo i moderacja).

1.5. Marketing bezpośredni i profilowanie

Dane osobowe mogą być przetwarzane w celu przekazywania informacji marketingowych o produktach i usługach Administratora, w tym poprzez profilowanie na potrzeby wyświetlania treści dopasowanych do zainteresowań Użytkownika. Profilowanie nie powoduje podejmowania w pełni zautomatyzowanych decyzji wywołujących skutki prawne lub podobnie istotne — ostateczna decyzja pozostaje po stronie człowieka.

Podstawa prawna: art. 6 ust. 1 lit. f RODO — prawnie uzasadniony interes Administratora (marketing własnych usług). Przysługuje prawo sprzeciwu wobec takiego przetwarzania — zob. § 5 niniejszej Polityki.

1.6. Obowiązki rachunkowe i podatkowe

Dane niezbędne do wystawienia faktur i prowadzenia ksiąg rachunkowych przetwarzane są przez Administratora w celu wypełnienia obowiązków prawnych.

Podstawa prawna: art. 6 ust. 1 lit. c RODO w zw. z ustawą z dnia 29 września 1994 r. o rachunkowości.

1.7. Analityka i statystyka

Dane dotyczące korzystania z Serwisu (w tym dane z plików cookies i adresy IP) przetwarzane są w celu analizy statystycznej ruchu, ulepszania Serwisu i dostosowywania jego zawartości do potrzeb Użytkowników.

Podstawa prawna: art. 6 ust. 1 lit. f RODO — prawnie uzasadniony interes Administratora (rozwój i optymalizacja Serwisu). W zakresie korzystania z plików cookies niefunkcjonalnych wymagana jest również zgoda na podstawie art. 173 i 174 ustawy Prawo telekomunikacyjne.

§ 2. Odbiorcy danych osobowych

Administrator może przekazywać dane osobowe następującym kategoriom odbiorców, w zakresie niezbędnym do osiągnięcia celów określonych w § 1:

• podmiot zapewniający hosting Serwisu — OVH Sp. z o.o. (lub spółka powiązana z grupą OVH), z którym Administrator zawarł umowę o powierzenie przetwarzania danych, o której mowa w art. 28 RODO;
• dostawcy usług IT, systemy CRM i narzędzia mailingowe (np. obsługa newslettera) — na podstawie umów powierzenia;
• dostawcy usług analitycznych: Google Ireland Limited (Google Analytics) z siedzibą w Irlandii — podmiot certyfikowany w ramach Data Privacy Framework UE–USA, działający jako odrębny administrator danych anonimizowanych; Administrator przekazuje Google jedynie dane zanonimizowane;
• Meta Platforms Ireland Limited (piksel Facebooka) — przekazywane są wyłącznie dane techniczne z urządzenia końcowego (cookies), bez bezpośrednich danych identyfikacyjnych po stronie Administratora; Meta działa jako administrator we własnym zakresie;
• biuro rachunkowe lub księgowy — na podstawie umowy powierzenia, wyłącznie w zakresie danych niezbędnych do obsługi księgowo-podatkowej;
• upoważnieni pracownicy i współpracownicy Administratora, działający na podstawie stosownych pełnomocnictw i poleceń;
• organy państwowe lub inne podmioty uprawnione z mocy przepisów prawa — wyłącznie na wyraźne żądanie tych organów i w zakresie przewidzianym prawem.

Przekazanie danych odbywa się wyłącznie na podstawie umowy powierzenia przetwarzania danych spełniającej wymogi art. 28 RODO lub innej prawnie przewidzianej podstawy. Administrator nie sprzedaje danych osobowych osobom trzecim.

§ 3. Przekazywanie danych do państw trzecich i organizacji międzynarodowych

Dane osobowe mogą być przekazywane poza Europejski Obszar Gospodarczy („EOG”) wyłącznie w następujących przypadkach:

• Google Analytics — Google Ireland Limited działa jako podmiot przetwarzający i zapewnia ochronę danych na podstawie decyzji Komisji Europejskiej dotyczącej Data Privacy Framework UE–USA (2023 r.); przekazywanie może obejmować USA;
• Meta (Facebook Pixel) — Meta Platforms Ireland Limited jest odpowiedzialna za transfer danych do USA, działając jako administrator; Meta Platforms, Inc. uczestniczy w ramach Data Privacy Framework UE–USA;
• inne narzędzia i usługi, o których poinformujemy osobno w przypadku ich wdrożenia.

W przypadku braku decyzji o stwierdzeniu odpowiedniego stopnia ochrony, przekazywanie danych następuje na podstawie standardowych klauzul umownych przyjętych przez Komisję Europejską (art. 46 ust. 2 lit. c RODO) lub na podstawie art. 49 ust. 1 RODO. Użytkownik ma prawo uzyskać kopię zastosowanych zabezpieczeń, kontaktując się z Administratorem.

§ 4. Okresy przechowywania danych osobowych

Dane osobowe są przechowywane przez Administratora przez okres niezbędny do realizacji celów, dla których zostały zebrane, a po jego upływie — przez czas wymagany obowiązującymi przepisami prawa lub do momentu skutecznego wniesienia sprzeciwu / cofnięcia zgody:

Po upływie okresów przechowywania dane są nieodwracalnie usuwane lub anonimizowane, chyba że przepisy prawa nakazują dalsze przechowywanie.

§ 5. Prawa osób, których dane dotyczą

Na podstawie RODO oraz UODO przysługują Ci następujące prawa. Realizacja każdego z nich następuje na Twój wniosek, bez zbędnej zwłoki, nie później niż w terminie miesiąca od jego otrzymania (z możliwością przedłużenia o kolejne dwa miesiące w skomplikowanych przypadkach — art. 12 ust. 3 RODO).

a) Prawo dostępu do danych (art. 15 RODO)

Masz prawo uzyskać od Administratora potwierdzenie, czy przetwarza Twoje dane osobowe, a jeżeli tak — uzyskać do nich dostęp oraz informacje określone w art. 15 ust. 1 RODO, w tym kopię przetwarzanych danych.

b) Prawo do sprostowania danych (art. 16 RODO)

Masz prawo żądać niezwłocznego sprostowania dotyczących Cię nieprawidłowych danych osobowych lub uzupełnienia danych niepełnych.

c) Prawo do usunięcia danych („prawo do bycia zapomnianym”, art. 17 RODO)

Masz prawo żądać usunięcia Twoich danych osobowych, jeżeli zachodzą przesłanki określone w art. 17 ust. 1 RODO (np. cofnięcie zgody, ustanie celu przetwarzania). Prawo to nie jest bezwzględne — nie przysługuje m.in. gdy przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego lub ustalenia, dochodzenia lub obrony roszczeń (art. 17 ust. 3 RODO).

d) Prawo do ograniczenia przetwarzania (art. 18 RODO)

Masz prawo żądać ograniczenia przetwarzania Twoich danych w przypadkach określonych w art. 18 ust. 1 RODO, w tym gdy kwestionujesz prawidłowość danych lub wniosłeś sprzeciw wobec przetwarzania.

e) Prawo do przenoszenia danych (art. 20 RODO)

W zakresie danych przetwarzanych automatycznie na podstawie zgody lub umowy masz prawo otrzymać swoje dane w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego (np. CSV, JSON) oraz przesłać je innemu administratorowi.

f) Prawo do sprzeciwu (art. 21 RODO)

W każdej chwili masz prawo wnieść sprzeciw wobec przetwarzania Twoich danych dokonywanego na podstawie prawnie uzasadnionego interesu Administratora (art. 6 ust. 1 lit. f RODO), w tym profilowania. Sprzeciw jest skuteczny, chyba że Administrator wykaże istnienie ważnych, prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec Twoich interesów, praw i wolności lub podstaw do ustalenia, dochodzenia lub obrony roszczeń (art. 21 ust. 1 RODO). Sprzeciw wobec marketingu bezpośredniego jest bezwzględnie skuteczny (art. 21 ust. 2 RODO).

g) Prawo do cofnięcia zgody (art. 7 ust. 3 RODO)

Jeżeli przetwarzanie opiera się na zgodzie, masz prawo ją wycofać w dowolnym momencie bez podania przyczyny. Cofnięcie zgody nie wpływa na zgodność z prawem przetwarzania dokonanego na jej podstawie przed cofnięciem.

h) Prawo do wniesienia skargi do organu nadzorczego (art. 77 RODO)

Jeżeli uważasz, że przetwarzanie Twoich danych osobowych narusza przepisy RODO, masz prawo wnieść skargę do Prezesa Urzędu Ochrony Danych Osobowych (PUODO), ul. Stawki 2, 00-193 Warszawa, www.uodo.gov.pl.

Realizacja praw — jak się skontaktować

Wnioski dotyczące realizacji powyższych praw składaj na adres e-mail: kontakt@altheacentrum.pl lub pisemnie na adres siedziby Administratora. W celu zapewnienia bezpieczeństwa Administrator może prosić o potwierdzenie tożsamości wnioskodawcy.

§ 6. Bezpieczeństwo danych osobowych

Administrator stosuje odpowiednie środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych przed ich przypadkowym lub niezgodnym z prawem zniszczeniem, utratą, modyfikacją, nieuprawnionym ujawnieniem lub dostępem, zgodnie z art. 32 RODO. W szczególności:

• transmisja danych odbywa się z użyciem szyfrowania SSL/TLS (protokół HTTPS);
• dane osobowe przechowywane w bazach danych są szyfrowane;
• hasła użytkowników przechowywane są wyłącznie w postaci funkcji skrótu (hashowane) za pomocą algorytmów zgodnych z aktualnym standardem (np. bcrypt / Argon2);
• dostęp do danych osobowych posiadają wyłącznie upoważnione osoby, zobowiązane do zachowania poufności;
• hasła administracyjne są regularnie zmieniane i spełniają wymogi złożoności (min. 8 znaków, wielkie i małe litery, cyfry, znaki specjalne);
• oprogramowanie jest na bieżąco aktualizowane;
• regularnie wykonywane są kopie zapasowe danych;
• Administrator stosuje politykę czystego biurka i czystego ekranu.

W przypadku wystąpienia naruszenia ochrony danych osobowych skutkującego ryzykiem naruszenia praw lub wolności osób fizycznych, Administrator bez zbędnej zwłoki, nie później niż w ciągu 72 godzin od stwierdzenia naruszenia, powiadomi o tym Prezesa UODO, a w przypadkach wysokiego ryzyka — także osoby, których dane dotyczą (art. 33–34 RODO).

§ 7. Pliki cookies i podobne technologie śledzenia

7.1. Czym są pliki cookies?

Pliki cookies (ciasteczka) to niewielkie pliki tekstowe zapisywane na urządzeniu końcowym Użytkownika (komputerze, smartfonie, tablecie) podczas korzystania z Serwisu. Zawierają nazwę witryny pochodzenia, czas przechowywania oraz unikalny identyfikator.

7.2. Rodzaje stosowanych plików cookies

Administrator stosuje następujące kategorie plików cookies:

a) Cookies niezbędne (konieczne)
Niezbędne do prawidłowego funkcjonowania Serwisu — umożliwiają obsługę sesji, uwierzytelnianie i zapewnienie bezpieczeństwa. Nie wymagają zgody Użytkownika. Przykład: PHPSESSID, XSRF-TOKEN.

b) Cookies funkcjonalne (preferencyjne)
Zapamiętują wybory Użytkownika (np. język, region, rozmiar czcionki) i umożliwiają personalizację. Wymagają zgody Użytkownika.

c) Cookies analityczne
Zbierają anonimizowane informacje o sposobie korzystania z Serwisu (odwiedzane strony, czas spędzony, błędy). Stosowane narzędzia: Google Analytics (Google Ireland Limited). Wymagają zgody Użytkownika.

d) Cookies marketingowe / reklamowe
Służą do śledzenia aktywności Użytkownika w celach reklamowych, w tym remarketing Google Ads i piksel Facebooka. Wymagają zgody Użytkownika.

7.3. Podstawa prawna i zarządzanie zgodą

Instalowanie plików cookies innych niż niezbędne wymaga wyraźnej, dobrowolnej i świadomej zgody Użytkownika na podstawie art. 173 ustawy Prawo telekomunikacyjne w zw. z art. 6 ust. 1 lit. a RODO. Zgoda udzielana jest za pośrednictwem baneru cookies przy pierwszej wizycie w Serwisie. Użytkownik może w każdej chwili wycofać lub zmienić zgodę poprzez panel zarządzania cookies dostępny w Serwisie lub poprzez ustawienia przeglądarki internetowej (Edge, Chrome, Firefox, Safari, Opera).

7.4. Wyłączenie cookies w przeglądarce

Użytkownik może samodzielnie zarządzać plikami cookies w ustawieniach swojej przeglądarki. Należy mieć na uwadze, że wyłączenie cookies niezbędnych może uniemożliwić korzystanie z niektórych funkcji Serwisu. Instrukcje dla poszczególnych przeglądarek dostępne są na stronach ich producentów.

§ 8. Techniki marketingowe i profilowanie

8.1. Google Analytics

Serwis korzysta z Google Analytics — usługi analizy statystycznej Google Ireland Limited, Grand Canal Square, Dublin 2, Irlandia. Google Analytics stosuje pliki cookies do zbierania anonimizowanych informacji o użytkownikach. Administrator nie przekazuje Google żadnych bezpośrednich danych identyfikacyjnych. Dane przetwarzane są zgodnie z Polityką Prywatności Google (policies.google.com/privacy). Aktywację anonimizacji IP (anonymizeIp) Administrator wdraża w zakresie, w jakim wynika to z konfiguracji GA4. Użytkownik może zainstalować wtyczkę dezaktywacyjną Google Analytics: tools.google.com/dlpage/gaoptout.

8.2. Piksel Facebooka (Meta)

Serwis korzysta z Piksela Facebooka — narzędzia remarketingowego Meta Platforms Ireland Limited, 4 Grand Canal Square, Dublin 2, Irlandia. Technologia ta pozwala na łączenie przez Meta informacji o Użytkownikach zalogowanych na Facebooku z ich aktywnością w Serwisie. Administrator nie przekazuje Meta żadnych bezpośrednich danych identyfikacyjnych ze swojej bazy. Meta działa jako administrator danych we własnym zakresie. Użytkownik może zarządzać ustawieniami reklam na www.facebook.com/settings?tab=ads.

8.3. Remarketing

Administrator stosuje techniki remarketingowe umożliwiające wyświetlanie spersonalizowanych reklam Użytkownikom, którzy odwiedzili Serwis. Remarketingowi towarzyszą pliki cookies podmiotów zewnętrznych. Wymagane jest włączenie obsługi plików cookies. Nie następuje przekazanie danych identyfikacyjnych ze strony Administratora do podmiotów obsługujących reklamy.

8.4. Automatyzacja i komunikaty personalizowane

Serwis może wysyłać automatyczne wiadomości e-mail (np. po odwiedzeniu określonych podstron), wyłącznie jeżeli Użytkownik wyraził zgodę na otrzymywanie korespondencji handlowej zgodnie z ustawą o świadczeniu usług drogą elektroniczną.

§ 9. Hosting i logi serwera

Serwis jest hostowany na serwerach firmy OVH (ovh.pl). Firma hostingowa prowadzi logi na poziomie serwera w celach technicznych i bezpieczeństwa. Logowaniu mogą podlegać następujące dane:

• adres IP urządzenia klienta;
• nazwy domen i zasoby identyfikowane adresem URL;
• czas nadejścia zapytania i wysłania odpowiedzi;
• metody i kody odpowiedzi HTTP;
• informacje o przeglądarce (User-Agent);
• adres URL odsyłający (referer);
• informacje diagnostyczne dotyczące obsługi zamówień.

Dane te są przetwarzane wyłącznie w celach technicznych i przez ograniczony czas (standardowo do 12 miesięcy). Firma hostingowa działa na podstawie umowy powierzenia przetwarzania danych zawartej z Administratorem.

§ 10. Szczególne kategorie danych osobowych

Z uwagi na profil działalności Administratora (praktyka psychologiczno-psychoterapeutyczna), w ramach świadczenia usług i kontaktów z klientami mogą być przetwarzane dane dotyczące zdrowia w rozumieniu art. 9 RODO. Przetwarzanie takich danych odbywa się wyłącznie:

• na podstawie wyraźnej zgody osoby, której dane dotyczą (art. 9 ust. 2 lit. a RODO), lub
• gdy przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej, diagnozy medycznej, zapewnienia opieki lub leczenia, na podstawie art. 9 ust. 2 lit. h RODO, lub
• gdy przetwarzanie następuje w innych przypadkach prawem przewidzianych.

Dane dotyczące zdrowia objęte są szczególnymi środkami ochrony i nie są udostępniane osobom nieupoważnionym. Administrator zapewnia zachowanie tajemnicy zawodowej przez wszystkie osoby mające dostęp do tych danych.

§ 11. Informacje zbierane w formularzach

Serwis gromadzi informacje podane dobrowolnie przez Użytkownika za pośrednictwem formularzy. Każdy formularz posiada wyraźną klauzulę informacyjną określającą cel przetwarzania danych. Dane podane w formularzu są przetwarzane wyłącznie w celu wynikającym z funkcji danego formularza.

Serwis może zapisywać parametry połączenia (czas, adres IP) w związku z wysłaniem formularza. W wybranych przypadkach może być wewnętrznie powiązany adres e-mail Użytkownika z danymi formularza — wyłącznie w celu identyfikacji wnioskodawcy, nie jest to dostępne publicznie.

§ 12. Ochrona danych dzieci

Serwis nie jest skierowany do dzieci poniżej 16 roku życia i Administrator świadomie nie przetwarza danych osobowych osób poniżej tego wieku bez zgody ich rodziców lub opiekunów prawnych. Jeżeli Administrator stwierdzi, że zbierał dane dziecka bez należnej zgody, niezwłocznie je usunie. Jeżeli wiesz, że Twoje dziecko przekazało nam dane bez Twojej zgody, skontaktuj się z nami na adres: kontakt@altheacentrum.pl.

§ 13. Zmiany Polityki Prywatności

Administrator zastrzega prawo do wprowadzania zmian w niniejszej Polityce Prywatności w każdym czasie, w szczególności w przypadku zmian przepisów prawa, zmian w technologii lub organizacji przetwarzania danych. Zmiany wchodzą w życie z dniem opublikowania zaktualizowanej wersji Polityki w Serwisie.

O istotnych zmianach Użytkownicy, którzy podali adres e-mail, mogą zostać poinformowani drogą elektroniczną. Zalecamy regularne zapoznawanie się z Polityką. Data ostatniej aktualizacji widnieje w nagłówku dokumentu.

§ 14. Postanowienia końcowe

W sprawach nieuregulowanych niniejszą Polityką zastosowanie mają przepisy RODO, ustawy o ochronie danych osobowych z dnia 10 maja 2018 r., ustawy o świadczeniu usług drogą elektroniczną, ustawy Prawo telekomunikacyjne oraz inne właściwe przepisy prawa polskiego i unijnego.

Niniejsza Polityka Prywatności ma charakter informacyjny i stanowi realizację obowiązku określonego w art. 13 RODO. Nie stanowi ona umowy ani oferty w rozumieniu przepisów Kodeksu cywilnego.

Wszelkie pytania, wnioski i zgłoszenia dotyczące przetwarzania danych osobowych należy kierować na adres e-mail: kontakt@altheacentrum.pl lub pisemnie na adres: ul. Gdańska 89/1, 85-022 Bydgoszcz.