Zasady przetwarzania udostępnionych danych 

  1. Definicje
    1. Wyrazy pisane wielką literą oznaczają:
      1. Administrator Danych Osobowych, ADO – Klient w rozumieniu Regulaminu,
      2. Regulamin – Regulamin korzystania z Usługi Ewalio,
      3. RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE,
      4. Zasady – niniejszy dokument.
    2. Pozostałe pojęcia używane w niniejszym dokumencie należy rozumieć zgodnie z brzmieniem nadanym im w Regulaminie oraz RODO.
  1. Zakres i ogólne zasady przetwarzania danych
    1. Niniejszy dokument określa zasady, na jakich Ewalio zabezpiecza dane przetwarzane przez ADO w ramach Usługi. O ile nie wskazano wyraźnie inaczej, lub z powszechnie obowiązującego prawa nie wynika odmiennie, Ewalio nie będzie zobowiązany do wykonywania czynności niewskazanych w Umowie, Regulaminie lub Zasadach.
    2. Ewalio nie ingeruje w treść danych ani nie zyskuje dostępu do danych przetwarzanych przez Klienta w ramach Usługi, poza uzasadnionymi i niezbędnymi przypadkami związanymi z zapewnieniem prawidłowego działania Usługi, wsparcia technicznego, zapewnienia bezpieczeństwa Usługi, oraz wykonania obowiązków prawnych nałożonych na Ewalio, przy czym dostęp taki będą miały osoby wyłącznie należycie upoważnione i zobowiązane do zachowania poufności. 
    3. Charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, określone są w Załączniku nr 1. W przypadku, gdyby informacje zamieszczone w Załączniku nr 1 nie odpowiadały stanowi faktycznemu, ADO zobowiązany jest niezwłocznie poinformować o tym fakcie Ewalio i powstrzymać się od korzystania z Usługi do czasu ustalenia przez Strony dalszego postępowania. 
    4. Dane udostępniane są na czas obowiązywania Umowy.
    5. Korzystając z Usługi, ADO udziela Ewalio zgodę ogólną w rozumieniu art. 28 ust. 2 RODO na korzystanie z dalszych podmiotów przetwarzających, w zakresie, w jakim takie korzystanie jest  uzasadnione prawidłowym świadczeniem Usługi lub uzasadnionym interesem Ewalio. 
    6. Ewalio będzie uprawniony do wykorzystywania zanonimizowanych lub zagregowanych danych na potrzeby tworzenia analiz, rozwoju i standaryzacji Usługi.
  1. Zobowiązania Ewalio
    1. Ewalio jest zobowiązany do:
      1. przetwarzania udostępnionych danych wyłącznie na udokumentowane polecenie ADO, przez które rozumie się korzystanie z Usługi,
      2. nieprzekazywania powierzonych danych do państwa trzeciego, a jeśli posiada obowiązek takiego przekazania – do poinformowania o tym fakcie ADO przed rozpoczęciem przetwarzania,
      3. zapewnienia, by wszystkie osoby przetwarzające dane osobowe w imieniu Ewalio (w tym pracownicy) były zobowiązani do zachowania tajemnicy,
      4. wdrożenia i stosowania adekwatnych środków technicznych i organizacyjnych, o których mowa w art. 32 RODO, by przetwarzanie powierzonych danych odbywało się w sposób zgodny z RODO i chroniło prawa osób, których dane dotyczą, adekwatnie do zakresu zobowiązań Ewalio wynikających z Umowy,
      5. udzielania pomocy ADO, w miarę możliwości i biorąc pod uwagę charakter przetwarzania, wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO – w szczególności poprzez odpowiednie środki techniczne i organizacyjne,
      6. udzielania pomocy ADO w wywiązywaniu się przez ADO z jego obowiązków wobec osób, których dane dotyczą,
      7. zależnie od decyzji ADO – po zakończeniu świadczenia usług związanych z przetwarzaniem usunąć lub zwrócić ADO wszelkie dane osobowe oraz usunąć wszelkie ich istniejące kopie, chyba że powszechnie obowiązujące prawo stanowi inaczej,
      8. udostępniania ADO wszelkich informacji niezbędnych do wykazania spełnienia obowiązków określonych w RODO oraz umożliwienia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji.
  1. Przy wdrażaniu organizacyjnych i technicznych środków ochrony danych, Ewalio bierze pod uwagę stan wiedzy technicznej oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych, których dane osobowe będą przetwarzane, jak również powszechnie obowiązujące prawo, wytyczne, polecenia i wskazówki organu nadzoru.
  2. O ile powszechnie obowiązujące prawo nie stanowi inaczej, Ewalio nie będzie uprawniony do odpowiadania na żądania osób, których dane dotyczą ani do zgłaszania jakichkolwiek naruszeń ochrony danych osobowych bez uprzedniego polecenia ADO. 
  3. Stosownie do postanowień art. 28 ust. 3 lit. h) RODO, Ewalio będzie wspierał ADO przy procesie audytów, w szczególności poprzez udzielanie niezbędnych informacji dotyczących Usługi i sposobu przetwarzania danych, z poszanowaniem słusznych interesów Ewalio oraz z poszanowaniem poufności osób trzecich i tajemnicy przedsiębiorstwa Ewalio.
  4. Niezależnie od innych zobowiązań określonych niniejszym paragrafem, ADO jest uprawniony do żądania udzielenia przez Ewalio informacji (pisemnie, ustnie lub w inny sposób), także przez przesłanie ich bezpośrednio do wskazanej przez siebie osoby lub osób, w zakresie wykonywania Zasad (w szczególności w zakresie stosowanych środków organizacyjnych i technicznych).
  5. W żadnym wypadku audyty czy kontrole, o których mowa w ust. 1 lit. i) oraz ust. 5 powyżej, nie mogą naruszać powszechnie obowiązującego prawa, w nieuzasadniony sposób obciążać bieżącą działalność Ewalio ani prowadzić do ujawnienia tajemnic prawnie chronionych czy tajemnic przedsiębiorstwa Ewalio. Ewalio może żądać, aby osoba dokonująca audytu (inspekcji) złożyła oświadczenie o zachowaniu poufności o określonej treści. Koszty audytu ponosi ADO. 
  1. Raportowanie incydentów
    1. Strony zobowiązują się do wzajemnego informowania o wszelkich incydentach związanych z danymi przekazanymi do przetwarzania, w szczególności o sytuacjach nieautoryzowanego dostępu czy modyfikacji takich danych, niezwłocznie, ale nie później niż w ciągu 48 h od chwili stwierdzenia naruszenia. Zgłoszenia takie powinny zawierać, odpowiednio do okoliczności, informacje o:
      1. dacie, czasie trwania oraz lokalizacji incydentu;
      2. charakterze i skali incydentu, tj. w szczególności o kategoriach i przybliżonej liczbie osób, których dane dotyczą;
      3. systemie informatycznym, w którym wystąpił incydent;
      4. przewidywanym czasie potrzebnym do naprawienia szkody spowodowanej naruszeniem;
      5. charakterze i zakresie danych osobowych objętych incydentem;
      6. kategoriach osób, których dotyczą dane osobowe objęte incydentem;
      7. możliwych konsekwencjach incydentu, z uwzględnieniem konsekwencji dla osób, których dane dotyczą;
      8. środkach podjętych w celu zminimalizowania konsekwencji incydentu oraz proponowanych działaniach zapobiegawczych i naprawczych;
    2. Ewalio nie dokonuje żadnych zgłoszeń do organu nadzorczego ani do osób, których dane dotyczą, o ile obowiązek taki nie wynika z przepisów prawa. 
  1. Odpowiedzialność
    1. Strony odpowiadają za naruszenie ochrony danych osobowych na zasadach ogólnych, w szczególności określonych art. 82 RODO i art. 471 Kodeksu cywilnego. 
    2. ADO odpowiada za całokształt ochrony danych osobowych osób, których dane przetwarza i Ewalio nie składa żadnych gwarancji ani zapewnień, że korzystanie z Usługi wyłącza odpowiedzialność ADO w tym zakresie. 
  1. Zmiany Zasad
    1. Ewalio może zmienić Zasady z następujących przyczyn:
      1. zmiana przepisów prawa,
      2. potrzeba dostosowania do orzeczeń, interpretacji i wytycznych organów administracji i sądów, w tym Sądu Najwyższego,
      3. zmiana funkcjonalności lub zakresu Usługi,
      4. zmiany techniczne i technologiczne niezależne od Ewalio lub wymagane z uwagi na 
      5. dostosowanie Usługi do obecnych zmian technologicznych, 
      6. przeciwdziałanie nadużyciom związanym z korzystaniem z Usługi,
      7. zmiany organizacyjne po stronie Ewalio.
    2. W przypadku braku akceptacji zmian Klient może wypowiedzieć Umowę do dnia wejścia zmian w życie.
    3. Zasady są dostępne na stronie www.ewalio.pl
    4. Zasady obowiązują od dnia 1 kwietnia 2026 r.

ADO Ewalio

Załącznik nr 1

Charakter oraz cele przetwarzania:

przetwarzanie w systemach informatycznych w związku ze świadczeniem na rzecz ADO usługi obejmującej przechowywanie danych wprowadzanych przez ADO. 

Dane wprowadzane są i modyfikowane wyłącznie przez ADO i upoważnione przez niego podmioty, Ewalio nie ma ze swojego poziomu dostępu do treści danych. Ewalio odpowiada za dostępność usługi i zapewnienie bezpieczeństwa fizycznego oraz logicznego miejsca przechowywania danych (z wyłączeniem transmisji danych do tej lokalizacji), jeśli jest inne niż urządzenie końcowe Klienta.  

Obszar, na którym będą przetwarzane dane osobowe: terytorium Unii Europejskiej

ADO może przekazać dane osobowe następujących kategorii osób:

  1. Pacjentów ADO,
  2. Użytkowników ADO

Zakres przetwarzania obejmuje następujące kategorie danych osobowych:

  1. Dla pacjentów:
    1. imiona i nazwiska, , nr PESEL; 
    2. Data i miejsce urodzenia;
    3. dane o członkach rodziny (imiona i nazwiska rodziców lub opiekunów prawnych, dane kontaktowe rodziców lub opiekunów prawnych, PESEL lub NIP rodziców lub opiekunów prawnych)
    4. Dane o stanie zdrowia, związane z wykonanymi badaniami przez ADO;
    5. stan rodzinny, w tym informacje o stanie zdrowia członków rodziny pobrane przez ADO,;
  1. Dla Użytkowników ADO:
    1. imiona i nazwiska, adres korespondencyjny  NIP; 
    2. numery telefonów, adresy e-mail, numery innych komunikatorów;
    3. Dane dotyczące kwalifikacji ( w tym stanowisko służbowe);