Powrót do strony głównej

Umowa Powierzenia Przetwarzania Danych Osobowych

Ostatnia aktualizacja: 6 marca 2026

Umowa zawarta zgodnie z art. 28 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO)

Pomiędzy Noesis Sp. z o.o. (Procesor) a Psychologiem korzystającym z platformy (Administrator Danych).

§ 1. Definicje

  1. Administrator — Psycholog korzystający z platformy Noesis, który samodzielnie określa cele i sposoby przetwarzania danych Pacjentów.
  2. ProcesorNoesis Sp. z o.o., ul. Przykładowa 1, 00-001 Warszawa, NIP: 0000000000, który przetwarza dane osobowe w imieniu Administratora.
  3. Dane osobowe — wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (Pacjenta).
  4. Przetwarzanie — operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, analizowanie.

§ 2. Przedmiot i czas trwania przetwarzania

  1. Procesor przetwarza dane osobowe wyłącznie w celu świadczenia usług platformy Noesis na rzecz Administratora.
  2. Przetwarzanie obejmuje: przechowywanie danych, udostępnianie interfejsu do przeprowadzania testów psychologicznych, generowanie raportów, archiwizację wyników.
  3. Umowa obowiązuje przez cały okres korzystania z platformy przez Administratora. Po rozwiązaniu umowy dane są usuwane lub zwracane Administratorowi w ciągu 30 dni.

§ 3. Charakter i cel przetwarzania

Kategoria danychCel przetwarzaniaPodstawa prawna
Dane identyfikacyjne Pacjentów (imię, nazwisko, PESEL, data ur.)Identyfikacja osoby badanej w systemieArt. 6 ust. 1 lit. b RODO
Wyniki testów psychologicznychDiagnostyka i archiwizacja wynikówArt. 9 ust. 2 lit. h RODO
Notatki diagnostyczneDokumentacja klinicznaArt. 9 ust. 2 lit. h RODO
Dane kontaktowe PacjentówKomunikacja w ramach sesji diagnostycznejArt. 6 ust. 1 lit. b RODO

Wyniki testów psychologicznych stanowią dane dotyczące zdrowia w rozumieniu art. 9 RODO (kategoria szczególna) i podlegają wzmocnionej ochronie.

§ 4. Kategorie osób, których dane dotyczą

  • Pacjenci (osoby badane) — osoby fizyczne poddawane diagnostyce psychologicznej
  • Nieletni — wyłącznie za zgodą opiekunów prawnych
  • Podmioty trzecie — wymienione przez Pacjenta w trakcie badania

§ 5. Obowiązki Procesora (Noesis Sp. z o.o.)

  1. Poufność: Procesor przetwarza dane wyłącznie na udokumentowane polecenie Administratora i zapewnia, że osoby upoważnione do przetwarzania danych zobowiązały się do zachowania tajemnicy.
  2. Bezpieczeństwo: Procesor wdraża środki techniczne i organizacyjne zgodne z art. 32 RODO, w tym:
    • Szyfrowanie danych (AES-256) i transmisji (TLS 1.3)
    • Haszowanie haseł (bcrypt)
    • Polityka dostępu na zasadzie najmniejszych uprawnień (RBAC)
    • Pełny audit trail operacji na danych Pacjentów
    • Regularne kopie zapasowe
  3. Podprocesory: Procesor może korzystać z usług podprocesorów wyłącznie z zachowaniem warunków niniejszej umowy (§ 7).
  4. Wsparcie: Procesor wspiera Administratora w wywiązywaniu się z obowiązków RODO (prawa podmiotów danych, zgłaszanie naruszeń).
  5. Audyt: Procesor udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków wynikających z art. 28 RODO.
  6. Naruszenia: Procesor niezwłocznie (nie później niż 24h) powiadamia Administratora o naruszeniu ochrony danych.

§ 6. Obowiązki Administratora (Psycholog)

  1. Zapewnienie pacjentom informacji o przetwarzaniu danych (klauzula informacyjna).
  2. Uzyskanie zgody pacjenta lub innej podstawy prawnej przed badaniem.
  3. Przetwarzanie wyłącznie danych niezbędnych do celów diagnostycznych (minimalizacja danych).
  4. Niezwłoczne informowanie Procesora o żądaniach podmiotów danych.
  5. Przyjęcie odpowiedzialności za decyzje diagnostyczne — platforma jest narzędziem wspomagającym, nie zastępuje oceny klinicznej.

§ 7. Podprocesory

Procesor korzysta z następujących podprocesorów, z którymi zawarł umowy powierzenia zgodne z art. 28 RODO:

PodprocesorRolaLokalizacjaPolityka prywatności
Supabase Inc.Hosting bazy danych i uwierzytelnianieSerwery w UE (eu-central-1)Privacy Policy
Resend Inc.Wysyłka wiadomości e-mailUSA (Standard Contractual Clauses)Privacy Policy
Stripe Inc.Obsługa płatnościUSA / UE (Standard Contractual Clauses)Privacy Policy

Administrator wyraża ogólną zgodę na korzystanie z podprocesorów wymienionych powyżej. O wszelkich planowanych zmianach Procesor informuje z wyprzedzeniem 30 dni.

§ 8. Prawa podmiotów danych

Procesor niezwłocznie przekazuje Administratorowi żądania podmiotów danych dotyczące:

  • Dostępu do danych (art. 15 RODO)
  • Sprostowania danych (art. 16 RODO)
  • Usunięcia danych (art. 17 RODO) — dane usuwane w ciągu 30 dni
  • Ograniczenia przetwarzania (art. 18 RODO)
  • Przenoszenia danych (art. 20 RODO) — eksport w formacie JSON/PDF

§ 9. Przekazywanie danych do państw trzecich

Dane Pacjentów przechowywane są na serwerach w Unii Europejskiej (Supabase eu-central-1). Przekazywanie danych poza EOG (Resend, Stripe) odbywa się na podstawie Standardowych Klauzul Umownych (SCC) zatwierdzonych przez Komisję Europejską.

§ 10. Postanowienia końcowe

  1. Umowa podlega prawu polskiemu i przepisom RODO.
  2. W sprawach nieuregulowanych niniejszą umową zastosowanie mają przepisy RODO oraz Kodeksu Cywilnego.
  3. Wszelkie spory rozstrzygane są przez właściwy sąd powszechny lub Prezesa Urzędu Ochrony Danych Osobowych.
  4. Umowa wchodzi w życie z dniem akceptacji Regulaminu platformy Noesis.

Akceptacja umowy

Korzystając z platformy Noesis i akceptując Regulamin, Psycholog zawiera niniejszą Umowę Powierzenia Danych. Akceptacja jest rejestrowana z datą, godziną i adresem IP.

Pytania dotyczące umowy: iod@noesis.pl