Polityka prywatności

1. Administrator danych osobowych

Administratorem Twoich danych osobowych jest MNCO GROUP Sp. z o.o. z siedzibą przy ul. Twardowskiego 42, I piętro, 30-312 Kraków, NIP: 6762621005, prowadząca Centrum Terapeutyczne MindWell (dalej: "Administrator").

Kontakt z Administratorem: tel. +48 519 349 133 lub poprzez formularz kontaktowy na stronie www.terapiamindwell.pl.

2. Czym jest Sesyo i kogo dotyczy ta polityka

Sesyo(slogan: "terapia, której efekty widać") to aplikacja kliniczna do trackingu samopoczucia i snu pomiędzy sesjami terapeutycznymi. Aplikacja występuje w trzech wariantach (tier'ach):

• Sesyo (klient) - dla osób w terapii zapisujących samopoczucie, sen i tematy na sesję
• sesyo pro (terapeuta) - panel terapeuty do wglądu w aktywność klientów (read-only, bez treści notatek)
• sesyo CLINIC (centrum) - panel zarządczy dla administratora ośrodka, agregaty statystyczne bez wglądu w dane indywidualne pacjentów

Polityka dotyczy każdego z tier'ów. Twój zakres przetwarzanych danych zależy od roli, w jakiej korzystasz z aplikacji.

3. Jakie dane zbieramy

W ramach aplikacji Sesyo przetwarzamy następujące dane:

• Dane identyfikacyjne (klient): adres e-mail, imię i pierwsza litera nazwiska
• Dane identyfikacyjne (terapeuta / centrum): adres e-mail, imię i nazwisko, opcjonalnie zdjęcie profilowe
• Dane dotyczące zdrowia (art. 9 RODO) - klient: oceny samopoczucia (skala 1-10), oceny jakości snu, długość snu, tagi emocjonalne, prywatne notatki po sesjach terapeutycznych, tematy do omówienia na sesjach, odpowiedzi na pytania dnia
• Dane techniczne: identyfikator sesji (cookies/IndexedDB), dane subskrypcji push notifications, log wpisów (timestamps), dane urządzenia dla PWA

4. Cel i podstawa prawna przetwarzania

Twoje dane przetwarzamy w celu:

• Umożliwienia korzystania z aplikacji Sesyo i monitorowania samopoczucia - na podstawie Twojej zgody (art. 6 ust. 1 lit. a RODO) oraz wyraźnej zgody na przetwarzanie danych dotyczących zdrowia (art. 9 ust. 2 lit. a RODO)
• Udostępnienia ograniczonego zakresu danych przypisanemu terapeucie w celu wspierania procesu terapeutycznego - na podstawie Twojej zgody (zakres opisany w sekcji 5)
• Generowania zbiorczych statystyk dla centrum terapeutycznego (bez ujawniania danych indywidualnych) - na podstawie prawnie uzasadnionego interesu Administratora (art. 6 ust. 1 lit. f RODO)
• Zapewnienia bezpieczeństwa i wykrywania nadużyć - na podstawie prawnie uzasadnionego interesu (art. 6 ust. 1 lit. f RODO)

5. Co widzi terapeuta i centrum (zakres udostępniania)

Sesyo opiera się na zasadzie minimalizacji ujawnień (decyzja brand'owa "prywatność od dnia 0"). Zakres jest jawny:

Twój terapeuta widzi:

• Twoje oceny samopoczucia i snu (wykresy, trendy, tagi)
• Tagi emocjonalne które wybrałeś/aś (np. "stres", "wdzięczność")
• Tematy które sam/a oznaczyłeś/aś jako "do omówienia na sesji"
• Daty sesji (metadane - kiedy była sesja, bez treści notatki)
• Odpowiedzi na pytania dnia jeśli sam/a je udostępnisz

Twój terapeuta NIE widzi:

• Twoich prywatnych notatek po sesjach (treść jest zaszyfrowana kluczem do którego terapeuta nie ma dostępu)
• Twoich myśli i refleksji zapisanych prywatnie
• Twoich odpowiedzi na pytania dnia, jeśli ich nie udostępnisz

Centrum (administrator ośrodka, sesyo CLINIC) widzi:

• Wyłącznie statystyki zbiorcze: liczba aktywnych pacjentów, średni nastrój centrum, rozkład samopoczucia, aktywność terapeutów
• Listę pacjentów (imię + pierwsza litera nazwiska) wraz z zagregowanymi metrykami: liczba wpisów, średni nastrój, ostatnia aktywność
• Przypisania pacjent → terapeuta (kto z kim pracuje)

Centrum NIE widzi:

• Treści Twoich wpisów, notatek, odpowiedzi - tylko liczby/agregaty
• Konkretnych ocen nastroju/snu z konkretnego dnia (tylko średnie)
• Tagów emocjonalnych powiązanych z Tobą imiennie

6. Komu udostępniamy dane (procesory)

• Supabase Inc. (baza danych + autoryzacja) - hosting w UE, podpisana umowa DPA
• Vercel Inc. (hosting aplikacji) - serwery w UE, podpisana umowa DPA
• Apple/Google (push notifications) - tylko anonimowe tokeny urządzenia, bez treści powiadomień zawierających dane wrażliwe

Nie sprzedajemy, nie wynajmujemy ani nie udostępniamy Twoich danych podmiotom trzecim w celach marketingowych. Nie używamy reklamy targetowanej.

7. Bezpieczeństwo danych - środki techniczne

• Szyfrowanie danych wrażliwych: notatki po sesjach, tematy na sesję, odpowiedzi na pytania dnia są szyfrowane algorytmem AES-256-GCM przed zapisaniem w bazie
• Row Level Security (RLS): baza danych Supabase stosuje polityki RLS - każdy użytkownik widzi wyłącznie swoje dane (terapeuta swoich klientów, centrum swojego ośrodka)
• SECURITY DEFINER functions: dostęp terapeuty do metadanych (np. dat sesji) odbywa się przez kontrolowane funkcje sprawdzające uprawnienia w czasie rzeczywistym
• HTTPS-only: komunikacja klient-serwer wyłącznie przez szyfrowane połączenie TLS 1.2+
• Brak haseł: logowanie odbywa się przez magic link / jednorazowy kod OTP wysyłany na email - eliminuje ryzyko wycieku haseł

8. Okres przechowywania

Dane przechowujemy przez okres korzystania z aplikacji. Po zakończeniu korzystania z usług dane są usuwane na Twoje żądanie (samodzielnie przez funkcję "Usuń konto" w aplikacji lub przez kontakt z Administratorem). Zarchiwizowane konta przechowujemy maksymalnie 12 miesięcy, po czym są automatycznie usuwane.

Logi techniczne (operacje na danych, błędy systemowe) przechowywane są przez 90 dni dla celów bezpieczeństwa.

9. Twoje prawa

Masz prawo do:

• Dostępu do swoich danych
• Sprostowania danych
• Usunięcia danych ("prawo do bycia zapomnianym")
• Ograniczenia przetwarzania
• Przenoszenia danych (eksport w formacie JSON)
• Cofnięcia zgody w dowolnym momencie (bez wpływu na zgodność z prawem przetwarzania przed cofnięciem)
• Wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych

Większość praw możesz zrealizować samodzielnie w panelu "Profil" aplikacji. W razie wątpliwości skontaktuj się z Administratorem.

10. Pliki cookies i pamięć lokalna

Aplikacja Sesyo wykorzystuje:

• Cookies sesyjne - tylko niezbędne, do utrzymania zalogowania (Supabase Auth)
• IndexedDB - lokalna kopia tokenów odświeżania (PWA iOS może czyścić cookies; IndexedDB zapewnia trwałość sesji)
• localStorage - klucz zaproszenia (gdy użytkownik instaluje PWA z linku zapraszającego)

Nie stosujemy cookies analitycznych, reklamowych ani trackerów stron trzecich.

11. Tier centrum (sesyo CLINIC) - dodatkowe informacje

Jeśli korzystasz z panelu centrum (sesyo CLINIC), dodatkowo przetwarzamy:

• Nazwę centrum terapeutycznego
• Listę zaproszeń wysłanych przez Twoich terapeutów
• Status workflow recepcji (wysłano / oczekuje)

Jako administrator centrum jesteś współadministratorem danych pacjentów Twojego ośrodka i ponosisz współodpowiedzialność za zgodne z RODO ich przetwarzanie. Centrum nie ma technicznej możliwości wglądu w treść notatek pacjentów (gwarantujemy to architekturą szyfrowania).

12. Kontakt

W sprawach dotyczących ochrony danych osobowych prosimy o kontakt z Administratorem: MNCO GROUP Sp. z o.o., ul. Twardowskiego 42, I piętro, 30-312 Kraków, tel. +48 519 349 133, email: kontakt@terapiamindwell.pl.