TELOS — Polityka prywatności

Status dokumentu. Niniejsza Polityka prywatności obowiązuje na etapie przed-otwarciowym TELOS Clinic i dotyczy przetwarzania danych osobowych w związku z prowadzeniem strony internetowej telos.clinic (formularz kontaktowy, lista zainteresowanych otwarciem, komunikacja mailowa). Przed rozpoczęciem świadczenia usług medycznych dokument zostanie rozszerzony o szczegółowe zasady przetwarzania danych zdrowotnych, genetycznych i biometrycznych w ramach opieki medycznej.

Spis treści

Administrator danych
Inspektor Ochrony Danych
Cele i podstawy prawne przetwarzania
Kategorie przetwarzanych danych
Odbiorcy danych
Transfer danych poza Europejski Obszar Gospodarczy
Okres przechowywania danych
Prawa osób, których dane dotyczą
Profilowanie i decyzje zautomatyzowane
Dobrowolność podania danych
Bezpieczeństwo danych
Pliki cookies
Zmiany Polityki prywatności

§ 1

Administrator danych

Administratorem danych osobowych przetwarzanych w związku z prowadzeniem niniejszego serwisu jest TELOS Clinic — podmiot działający pod oznaczeniem handlowym „TELOS".

Pełne dane administratora:

Nazwa: TELOS CLINIC sp. z o.o.
Adres siedziby: ul. Mogilska 134, 31-445 Kraków
NIP: 9462736852
REGON: 52765716600000
KRS: 0001086309
Nr wpisu do Rejestru Podmiotów Wykonujących Działalność Leczniczą (RPWDL): [w trakcie uzyskiwania]
E-mail kontaktowy: contact@telos.clinic

Z administratorem można skontaktować się drogą elektroniczną pod adresem contact@telos.clinic lub pisemnie na adres siedziby.

§ 2

Inspektor Ochrony Danych

Z uwagi na planowany profil działalności — świadczenie usług medycznych z przetwarzaniem danych szczególnej kategorii (zdrowotnych, genetycznych, biometrycznych) — Administrator wyznaczy Inspektora Ochrony Danych zgodnie z art. 37 ust. 1 lit. c) Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (dalej: „RODO").

Dane kontaktowe Inspektora Ochrony Danych: [zostaną opublikowane przed rozpoczęciem świadczenia usług medycznych; planowany adres: iod@telos.clinic]

Do Inspektora Ochrony Danych można kierować wszelkie pytania dotyczące przetwarzania danych osobowych oraz korzystania z praw związanych z przetwarzaniem.

§ 3

Cele i podstawy prawne przetwarzania

Na obecnym etapie — prowadzenia serwisu przed otwarciem kliniki — Administrator przetwarza dane osobowe w następujących celach:

3.1. Obsługa zapytań przesłanych przez formularz kontaktowy lub pocztą elektroniczną

Podstawa prawna: art. 6 ust. 1 lit. b) RODO — podjęcie działań na żądanie osoby przed zawarciem umowy; art. 6 ust. 1 lit. f) RODO — prawnie uzasadniony interes administratora polegający na prowadzeniu komunikacji i budowaniu relacji z potencjalnymi pacjentami i partnerami.
Zakres danych: imię i nazwisko, adres e-mail, treść wiadomości, opcjonalnie numer telefonu.

3.2. Prowadzenie listy osób zainteresowanych otwarciem kliniki (pre-launch)

Podstawa prawna: art. 6 ust. 1 lit. a) RODO — zgoda osoby, której dane dotyczą.
Zakres danych: adres e-mail oraz opcjonalnie imię.
Konsekwencje wyrażenia zgody: otrzymanie powiadomienia o otwarciu kliniki oraz materiałów informacyjnych z zakresu medycyny longevity; zgoda może być w każdej chwili wycofana bez podania przyczyny.

3.3. Komunikacja z partnerami (laboratoria, lekarze, media)

Podstawa prawna: art. 6 ust. 1 lit. b) RODO (działania zmierzające do zawarcia umowy) oraz art. 6 ust. 1 lit. f) RODO (prawnie uzasadniony interes polegający na budowaniu sieci partnerskich).

3.4. Analityka serwisu

Podstawa prawna: art. 6 ust. 1 lit. a) RODO — zgoda wyrażona poprzez wybór dokonany w banerze cookies.
Zakres: dane statystyczne dotyczące ruchu na stronie, typu urządzenia, lokalizacji ogólnej (na poziomie kraju), źródła odwiedzin.

3.5. Obrona przed roszczeniami i dochodzenie roszczeń

Podstawa prawna: art. 6 ust. 1 lit. f) RODO — prawnie uzasadniony interes administratora.

3.6. Wypełnienie obowiązków prawnych

Podstawa prawna: art. 6 ust. 1 lit. c) RODO — wypełnienie obowiązków wynikających z przepisów prawa (m.in. podatkowych, rachunkowych).

Po rozpoczęciu świadczenia usług medycznych zakres celów zostanie rozszerzony m.in. o: świadczenie usług zdrowotnych (art. 9 ust. 2 lit. h RODO — profilaktyka zdrowotna), prowadzenie dokumentacji medycznej (obowiązek ustawowy), zarządzanie systemami opieki medycznej i badaniami diagnostycznymi.

§ 4

Kategorie przetwarzanych danych

Na etapie przed-otwarciowym Administrator przetwarza następujące kategorie danych osobowych:

Dane identyfikacyjne: imię, nazwisko
Dane kontaktowe: adres e-mail, numer telefonu (jeśli zostanie podany), adres korespondencyjny (jeśli dotyczy)
Dane dotyczące korespondencji: treść wiadomości, data i czas kontaktu
Dane techniczne: adres IP, identyfikator przeglądarki, system operacyjny, dane o interakcji ze stroną (za zgodą na cookies analityczne)

Administrator nie przetwarza na obecnym etapie danych zdrowotnych, genetycznych ani biometrycznych.

§ 5

Odbiorcy danych

Dane osobowe mogą zostać przekazane następującym kategoriom odbiorców:

Dostawca hostingu i infrastruktury CDN — Cloudflare, Inc. (USA) — na potrzeby udostępniania serwisu
Dostawca usług poczty elektronicznej — [do uzupełnienia po wyborze dostawcy]
Dostawca narzędzi analitycznych — Cloudflare Web Analytics (dane zagregowane, bez identyfikacji osoby)
Biuro rachunkowe i kancelaria prawna — w zakresie niezbędnym do prowadzenia dokumentacji finansowej i prawnej
Uprawnione organy państwowe — w przypadkach przewidzianych przepisami prawa

Z każdym podmiotem przetwarzającym dane w imieniu Administratora zawarta zostanie umowa powierzenia przetwarzania danych zgodnie z art. 28 RODO.

§ 6

Transfer danych poza Europejski Obszar Gospodarczy

Na obecnym etapie dane mogą być przekazywane poza Europejski Obszar Gospodarczy (EOG) w związku z korzystaniem z usług infrastrukturalnych dostawców mających siedzibę w Stanach Zjednoczonych (m.in. Cloudflare, Inc.).

Transfer odbywa się na podstawie:

Standardowych Klauzul Umownych (SCC) zatwierdzonych decyzją wykonawczą Komisji (UE) 2021/914 z dnia 4 czerwca 2021 r.
uczestnictwa odbiorcy w programie EU-US Data Privacy Framework (jeśli odbiorca jest certyfikowany)
dodatkowych środków technicznych i organizacyjnych zapewniających odpowiedni stopień ochrony

Osoba, której dane dotyczą, ma prawo otrzymać kopię zastosowanych zabezpieczeń, zwracając się do Administratora na adres contact@telos.clinic.

W fazie operacyjnej kliniki transfer danych będzie obejmował również współpracę z międzynarodowymi laboratoriami partnerskimi (m.in. Stany Zjednoczone, Wielka Brytania, Austria, Włochy, Finlandia). Każdy taki transfer będzie realizowany wyłącznie na podstawie wyraźnej zgody pacjenta oraz po wdrożeniu odpowiednich zabezpieczeń prawnych i technicznych.

§ 7

Okres przechowywania danych

Dane z formularza kontaktowego: do 24 miesięcy od ostatniego kontaktu lub do wniesienia sprzeciwu, w zależności od tego, co nastąpi wcześniej
Dane z listy pre-launch: do wycofania zgody lub do 24 miesięcy po ewentualnym zaprzestaniu kontaktu
Dane partnerskie: przez okres negocjacji oraz przez okres wymagany przepisami podatkowo-rachunkowymi
Dane analityczne: do 14 miesięcy (standard Cloudflare/Google Analytics)
Dane związane z obroną przed roszczeniami: do upływu okresu przedawnienia roszczeń

Dokumentacja medyczna (od chwili rozpoczęcia świadczenia usług medycznych) będzie przechowywana przez okres wymagany przepisami art. 29 ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta — co do zasady 20 lat od końca roku kalendarzowego, w którym dokonano ostatniego wpisu.

§ 8

Prawa osób, których dane dotyczą

Każdej osobie, której dane osobowe są przetwarzane, przysługują następujące prawa:

Prawo dostępu do danych (art. 15 RODO) — uzyskania informacji, czy i w jakim zakresie dane są przetwarzane, oraz otrzymania ich kopii
Prawo do sprostowania danych (art. 16 RODO) — gdy dane są nieprawidłowe lub niekompletne
Prawo do usunięcia danych (art. 17 RODO) — tzw. prawo do bycia zapomnianym, z ograniczeniami wynikającymi m.in. z przepisów o dokumentacji medycznej
Prawo do ograniczenia przetwarzania (art. 18 RODO)
Prawo do przenoszenia danych (art. 20 RODO) — otrzymania danych w ustrukturyzowanym, powszechnie używanym formacie
Prawo do wniesienia sprzeciwu (art. 21 RODO) — wobec przetwarzania na podstawie prawnie uzasadnionego interesu, w tym profilowania
Prawo do wycofania zgody w dowolnym momencie, bez wpływu na zgodność z prawem przetwarzania dokonanego przed jej wycofaniem (art. 7 ust. 3 RODO)
Prawo do niepodlegania decyzjom opartym wyłącznie na zautomatyzowanym przetwarzaniu (art. 22 RODO)

W celu skorzystania z powyższych praw należy skontaktować się z Administratorem pod adresem contact@telos.clinic. Administrator udzieli odpowiedzi bez zbędnej zwłoki, najpóźniej w terminie jednego miesiąca od otrzymania żądania.

Prawo wniesienia skargi do organu nadzorczego: każda osoba ma prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych (UODO), ul. Stawki 2, 00-193 Warszawa, www.uodo.gov.pl, jeśli uzna, że przetwarzanie jej danych narusza przepisy RODO.

§ 9

Profilowanie i decyzje zautomatyzowane

Na etapie przed-otwarciowym Administrator nie stosuje wobec osób, których dane dotyczą, decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu danych, w tym profilowania, które wywoływałyby skutki prawne lub w podobny sposób istotnie wpływałyby na osobę.

W fazie operacyjnej kliniki — w zakresie analizy wyników badań genomicznych, epigenetycznych i metabolicznych — mogą być stosowane narzędzia wspomagane algorytmami i modelami uczenia maszynowego. Każda taka analiza będzie jednak każdorazowo weryfikowana i zatwierdzana przez lekarza specjalistę, a pacjent zostanie o tym wyraźnie poinformowany przed rozpoczęciem świadczenia.

§ 10

Dobrowolność podania danych

Podanie danych osobowych w serwisie jest dobrowolne, jednak niezbędne do:

otrzymania odpowiedzi na zapytanie przesłane przez formularz kontaktowy lub pocztę elektroniczną
otrzymania powiadomienia o otwarciu kliniki w ramach listy pre-launch
podjęcia współpracy w charakterze partnera (laboratorium, lekarz, media)

Niepodanie danych uniemożliwi realizację powyższych celów.

§ 11

Bezpieczeństwo danych

Administrator stosuje środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, w szczególności:

szyfrowanie transmisji danych (TLS/HTTPS)
ograniczenie dostępu do danych wyłącznie do osób upoważnionych
stosowanie silnych mechanizmów uwierzytelniania
regularne kopie zapasowe
procedury reagowania na incydenty bezpieczeństwa zgodne z RODO (zgłoszenie w ciągu 72 godzin od stwierdzenia naruszenia)

§ 12

Pliki cookies

Serwis wykorzystuje pliki cookies oraz podobne technologie. Szczegółowe informacje zawarte są w odrębnej Polityce cookies.

§ 13

Zmiany Polityki prywatności

Administrator zastrzega sobie prawo do wprowadzania zmian w niniejszej Polityce prywatności. O każdej istotnej zmianie osoby, których dane dotyczą, zostaną poinformowane za pośrednictwem serwisu lub drogą elektroniczną.

Aktualna wersja Polityki prywatności dostępna jest zawsze pod adresem telos.clinic/polityka-prywatnosci.

Status of this document. This Privacy Policy applies during the pre-launch stage of TELOS Clinic and covers the processing of personal data in connection with the operation of the website telos.clinic (contact form, pre-launch waiting list, e-mail communication). Before the clinic begins providing medical services, this document will be expanded with detailed rules on the processing of health, genetic and biometric data in the context of medical care.

Note on the binding version. This English translation is provided for convenience. In case of any discrepancy between the Polish and English versions, the Polish version shall prevail, in accordance with Polish law governing the relationship between TELOS Clinic and users of the website.

Table of contents

Data controller
Data Protection Officer
Purposes and legal bases for processing
Categories of data processed
Recipients of data
Transfers of data outside the European Economic Area
Retention periods
Rights of data subjects
Profiling and automated decision-making
Voluntariness of providing data
Data security
Cookies
Changes to this Privacy Policy

§ 1

Data controller

The controller of personal data processed in connection with the operation of this website is TELOS Clinic — an entity operating under the commercial designation „TELOS".

Full details of the controller:

Entity name: TELOS CLINIC sp. z o.o.
Registered address: ul. Mogilska 134, 31-445 Kraków
Tax ID (NIP): 9462736852
REGON: 52765716600000
KRS: 0001086309
Entry number in the Register of Entities Performing Medical Activity (RPWDL): [number pending]
Contact e-mail: contact@telos.clinic

You may contact the controller by e-mail at contact@telos.clinic or in writing at the registered address.

§ 2

Data Protection Officer

Given the planned profile of the activity — providing medical services involving the processing of special categories of data (health, genetic, biometric) — the Controller will appoint a Data Protection Officer in accordance with Article 37(1)(c) of Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 (the „GDPR").

Contact details of the Data Protection Officer: [to be published before medical services begin; planned address: iod@telos.clinic]

You may contact the Data Protection Officer with any questions concerning the processing of personal data and the exercise of your rights.

§ 3

Purposes and legal bases for processing

At the current pre-launch stage, the Controller processes personal data for the following purposes:

3.1. Handling enquiries sent through the contact form or by e-mail

Legal basis: Article 6(1)(b) GDPR — steps taken at the request of the data subject prior to entering into a contract; Article 6(1)(f) GDPR — legitimate interest of the controller consisting in communication and building relationships with prospective patients and partners.
Scope of data: first and last name, e-mail address, content of the message, optionally a phone number.

3.2. Maintaining the pre-launch waiting list

Legal basis: Article 6(1)(a) GDPR — consent of the data subject.
Scope of data: e-mail address and optionally first name.
Consequences of consent: receiving a notification of the clinic opening and informational materials related to longevity medicine; consent may be withdrawn at any time, without giving reasons.

3.3. Communication with partners (laboratories, physicians, media)

Legal basis: Article 6(1)(b) GDPR (steps aimed at entering into a contract) and Article 6(1)(f) GDPR (legitimate interest consisting in building partner networks).

3.4. Website analytics

Legal basis: Article 6(1)(a) GDPR — consent expressed through the choice made in the cookie banner.
Scope: statistical data on site traffic, device type, general location (country level), source of visits.

3.5. Defence against and pursuit of claims

Legal basis: Article 6(1)(f) GDPR — legitimate interest of the controller.

3.6. Compliance with legal obligations

Legal basis: Article 6(1)(c) GDPR — compliance with obligations arising from the law (including tax and accounting obligations).

Once medical services commence, the scope of processing purposes will be extended to include, in particular: the provision of healthcare services (Article 9(2)(h) GDPR — preventive healthcare), maintenance of medical records (statutory obligation), and management of healthcare systems and diagnostic testing.

§ 4

Categories of data processed

During the pre-launch stage, the Controller processes the following categories of personal data:

Identification data: first name, last name
Contact data: e-mail address, phone number (if provided), postal address (where applicable)
Correspondence data: content of messages, date and time of contact
Technical data: IP address, browser identifier, operating system, interaction data with the site (with consent for analytical cookies)

The Controller does not process health, genetic or biometric data at this stage.

§ 5

Recipients of data

Personal data may be shared with the following categories of recipients:

Hosting and CDN infrastructure provider — Cloudflare, Inc. (USA) — for the purpose of making the website available
E-mail service provider — [to be provided once selected]
Analytics provider — Cloudflare Web Analytics (aggregated data, without personal identification)
Accounting firm and law firm — to the extent necessary for financial and legal documentation
Authorised state authorities — in cases provided for by law

A data processing agreement under Article 28 GDPR will be concluded with each entity processing data on behalf of the Controller.

§ 6

Transfers of data outside the European Economic Area

At this stage, data may be transferred outside the European Economic Area (EEA) in connection with the use of infrastructure services from providers headquartered in the United States (including Cloudflare, Inc.).

Such transfers are carried out on the basis of:

Standard Contractual Clauses (SCCs) approved by Commission Implementing Decision (EU) 2021/914 of 4 June 2021
the recipient's participation in the EU-US Data Privacy Framework (where the recipient is certified)
additional technical and organisational safeguards ensuring an adequate level of protection

The data subject has the right to obtain a copy of the safeguards applied by contacting the Controller at contact@telos.clinic.

Once the clinic is operational, data transfers will also include cooperation with international partner laboratories (including in the United States, United Kingdom, Austria, Italy, Finland). Every such transfer will be carried out solely on the basis of the patient's explicit consent and after appropriate legal and technical safeguards have been implemented.

§ 7

Retention periods

Contact form data: up to 24 months from the last contact or until an objection is raised, whichever occurs first
Pre-launch waiting list data: until consent is withdrawn, or up to 24 months after contact is discontinued
Partner data: for the duration of negotiations and for the period required by tax and accounting regulations
Analytics data: up to 14 months (Cloudflare/Google Analytics standard)
Data related to the defence against claims: until the expiry of applicable limitation periods

Medical records (from the moment medical services begin) will be retained for the period required by Article 29 of the Act of 6 November 2008 on Patients' Rights and the Patient Ombudsman — as a rule, for 20 years from the end of the calendar year in which the last entry was made.

§ 8

Rights of data subjects

Every individual whose personal data is processed has the following rights:

Right of access (Article 15 GDPR) — to obtain information on whether and to what extent data is processed, and to receive a copy
Right to rectification (Article 16 GDPR) — where the data is incorrect or incomplete
Right to erasure (Article 17 GDPR) — the „right to be forgotten", subject to limitations arising inter alia from rules on medical documentation
Right to restriction of processing (Article 18 GDPR)
Right to data portability (Article 20 GDPR) — to receive data in a structured, commonly used format
Right to object (Article 21 GDPR) — to processing based on legitimate interest, including profiling
Right to withdraw consent at any time, without affecting the lawfulness of processing carried out before withdrawal (Article 7(3) GDPR)
Right not to be subject to decisions based solely on automated processing (Article 22 GDPR)

To exercise these rights, please contact the Controller at contact@telos.clinic. The Controller will respond without undue delay, and at the latest within one month of receiving the request.

Right to lodge a complaint with a supervisory authority: every individual has the right to lodge a complaint with the President of the Personal Data Protection Office (UODO), ul. Stawki 2, 00-193 Warsaw, www.uodo.gov.pl, if they believe that the processing of their data infringes the GDPR.

§ 9

Profiling and automated decision-making

At the pre-launch stage, the Controller does not apply decisions based solely on automated processing, including profiling, that would produce legal effects concerning the data subject or similarly significantly affect them.

Once the clinic is operational — in the analysis of genomic, epigenetic and metabolic test results — tools supported by algorithms and machine learning models may be used. Each such analysis will, however, be verified and approved by a medical specialist in every case, and the patient will be explicitly informed of this before services commence.

§ 10

Voluntariness of providing data

Providing personal data on the website is voluntary but necessary in order to:

receive a response to an enquiry submitted via the contact form or by e-mail
receive a notification of the clinic opening as part of the pre-launch waiting list
establish cooperation as a partner (laboratory, physician, media)

Failure to provide data will make the above purposes impossible to fulfil.

§ 11

Data security

The Controller applies technical and organisational measures to protect processed personal data appropriate to the risk and categories of data concerned, in particular:

encryption of data in transit (TLS/HTTPS)
access restriction to authorised persons only
strong authentication mechanisms
regular backups
incident response procedures compliant with the GDPR (notification within 72 hours of becoming aware of a breach)

§ 12

Cookies

The website uses cookies and similar technologies. Detailed information is provided in a separate Cookie Policy.

§ 13

Changes to this Privacy Policy

The Controller reserves the right to make changes to this Privacy Policy. Data subjects will be informed of any material change through the website or by e-mail.

The current version of the Privacy Policy is always available at telos.clinic/polityka-prywatnosci.