Polityka prywatności
Ostatnia aktualizacja: 17 kwietnia 2026 - Wersja 1.0
Niniejsza Polityka prywatności opisuje zasady przetwarzania danych osobowych użytkowników platformy PharmaWork (dalej: "Platforma" lub "Serwis") dostępnej pod adresem https://pharmawork.pl. Dokument stanowi klauzulę informacyjną wymaganą przez art. 13 i art. 14 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych (RODO). Polityka prywatności stanowi uzupełnienie Regulaminu Platformy i odrębnej Polityki cookies.
1. Administrator danych osobowych
Administratorem Twoich danych osobowych jest:
- Nazwa
- KROPELKA SC AGATA CHMIELIŃSKA-JURKIEWICZ, JAKUB JURKIEWICZ
- Forma prawna
- spółka cywilna
- NIP
- 7393087489
- REGON
- 510944427
- Adres siedziby
- ul. Królewny Śnieżki 30, 10-696 Olsztyn
- E-mail kontaktowy
- kontakt@pharmawork.pl
- Osoba reprezentująca
- Jakub Jurkiewicz (wspólnik spółki cywilnej)
2. Inspektor Ochrony Danych
Administrator wyznaczył Inspektora Ochrony Danych (IOD), z którym możesz skontaktować się we wszystkich sprawach dotyczących przetwarzania Twoich danych osobowych oraz wykonywania praw przysługujących Ci na mocy RODO (zgodnie z art. 38 ust. 4 RODO).
- Inspektor Ochrony Danych
- Jakub Jurkiewicz
- E-mail do kontaktu z IOD
- kontakt@pharmawork.pl
W tytule wiadomości prosimy wpisać "RODO" lub "Ochrona danych", co pozwoli sprawniej zidentyfikować i obsłużyć Twoje zgłoszenie.
3. Cele i podstawy prawne przetwarzania
Twoje dane osobowe przetwarzane są w jasno określonych celach, z których każdy ma odrębną podstawę prawną przewidzianą w art. 6 RODO. Poniższa tabela szczegółowo opisuje wszystkie cele przetwarzania stosowane w PharmaWork:
| Cel przetwarzania | Podstawa prawna | Przykład danych / kontekst |
|---|---|---|
| Świadczenie usług Platformy - założenie i prowadzenie Konta, publikowanie ogłoszeń, składanie aplikacji, prowadzenie komunikacji pomiędzy kandydatami a pracodawcami | art. 6 ust. 1 lit. b RODO (wykonanie umowy o świadczenie usług drogą elektroniczną) | e-mail, hasło, profil kandydata lub pracodawcy, treść ogłoszeń, treść aplikacji, wiadomości w konwersacjach |
| Weryfikacja uprawnień zawodowych kandydatów (numer PWZ, typ farmaceuty, wykształcenie) | art. 6 ust. 1 lit. b RODO (wykonanie umowy) w związku z art. 9 ust. 2 lit. b/h RODO (wyłącznie w zakresie, w jakim dane te należą do szczególnych kategorii) | numer PWZ, typ farmaceuty, uczelnia, specjalizacje, uprawnienia do szczepień i zarządzania apteką |
| Rozliczenia i wystawianie dokumentów księgowych (zakup tokenów przez pracodawców, faktury, korekty) | art. 6 ust. 1 lit. c RODO (obowiązek prawny wynikający z ustawy z 29 września 1994 r. o rachunkowości oraz ustawy z 11 marca 2004 r. o VAT) | nazwa firmy, NIP, adres, dane do faktury, saldo i historia tokenów (employer_tokens) |
| Automatyczne alerty o nowych ofertach pracy dopasowanych do zapisanych kryteriów wyszukiwania (saved_searches) | art. 6 ust. 1 lit. a RODO (Twoja dobrowolna zgoda, wyrażona przez włączenie powiadomień e-mail lub push) | filtry wyszukiwania (lokalizacja, specjalizacja, wynagrodzenie), preferencje kanału powiadomień |
| Wysyłka powiadomień push do przeglądarki | art. 6 ust. 1 lit. a RODO (zgoda wyrażona w przeglądarce) | endpoint push, klucze kryptograficzne p256dh i auth (push_subscriptions) |
| Marketing bezpośredni własnych usług Administratora (informacje o nowych funkcjach Platformy, zmianach cen, promocjach) | art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes Administratora polegający na informowaniu użytkowników o rozwoju Serwisu); w przypadku wymagania odrębnej zgody - art. 6 ust. 1 lit. a RODO oraz art. 10 ustawy o świadczeniu usług drogą elektroniczną | adres e-mail konta użytkownika, kategoria użytkownika (kandydat/pracodawca) |
| Zapewnienie bezpieczeństwa Serwisu, przeciwdziałanie nadużyciom, rate limiting, wykrywanie i blokowanie prób włamań | art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes Administratora polegający na ochronie Serwisu i jego użytkowników) | zahaszowany adres IP, user agent, identyfikatory sesji, logi panelu administracyjnego (admin_logs), liczniki rate limit w Upstash |
| Obsługa reklamacji, dochodzenie i obrona przed roszczeniami | art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes Administratora polegający na możliwości obrony praw) | korespondencja reklamacyjna, historia aplikacji i wiadomości związanych ze sporem, dokumenty rozliczeniowe |
| Statystyki i analityka oglądalności ogłoszeń w celu rozwoju Serwisu oraz raportowania ich autorom | art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes Administratora i pracodawcy) - dane zagregowane, bez identyfikacji osoby | tabela job_listing_views: typ urządzenia, źródło ruchu, referrer, zanonimizowany identyfikator sesji |
| Wypełnienie obowiązków prawnych Administratora, w tym udzielanie odpowiedzi uprawnionym organom państwowym | art. 6 ust. 1 lit. c RODO (obowiązek prawny) | dane przekazywane na żądanie sądu, prokuratury, Policji, UOKiK, PUODO |
4. Kategorie przetwarzanych danych
W zależności od roli użytkownika i zakresu korzystania z Platformy Administrator może przetwarzać następujące kategorie danych osobowych:
- Dane identyfikacyjne: imię, nazwisko, płeć, adres e-mail, hasło (przechowywane w formie skrótu kryptograficznego).
- Dane zawodowe kandydatów: numer Prawa Wykonywania Zawodu (PWZ), typ farmaceuty (magister farmacji lub technik farmaceutyczny), nazwa uczelni i rok ukończenia studiów, nazwa technikum i rok ukończenia, kierunek i tryb studiów, specjalizacje, posiadane uprawnienia (m.in. do zarządzania apteką ogólnodostępną, apteką szpitalną, wykonywania szczepień).
- Dane o doświadczeniu i preferencjach zawodowych: historia zatrudnienia, znajomość języków obcych, znajomość systemów aptecznych, oczekiwane wynagrodzenie, preferowana forma zatrudnienia, preferowana lokalizacja, gotowość do relokacji, dostępność (grafik).
- Dokumenty: plik CV w formacie PDF (do 7 MB), zdjęcie profilowe w formacie JPG/PNG/WebP (do 10 MB).
- Dane pracodawców: firma, typ podmiotu (sieć apteczna, apteka niezależna, szpital, hurtownia, producent), numer NIP, adres siedziby, opis firmy i kultury organizacyjnej, logo, zdjęcia firmy.
- Dane o ogłoszeniach i lokalizacji: miejscowość, województwo, adres i współrzędne geograficzne miejsca pracy (latitude, longitude), zakres wynagrodzenia, wymagania, godziny pracy.
- Dane dotyczące komunikacji: treść wiadomości w konwersacjach, treść wiadomości aplikacyjnej, notatki pracodawcy o kandydacie, historia edycji wiadomości.
- Dane dotyczące aktywności na Platformie: zapisane oferty, zapisane wyszukiwania (filtry), wyświetlenia ogłoszeń (job_listing_views) - zbierane w większości anonimowo.
- Dane techniczne i sesyjne: zahaszowany adres IP, user agent przeglądarki, identyfikatory sesji, typ urządzenia (mobile/tablet/desktop), adres strony odsyłającej (referrer), informacje o push subscription (endpoint, klucze).
- Dane o zgodach: wersja polityki, zaakceptowane kategorie cookies, źródło zgody (baner, ustawienia), znacznik czasowy, zahaszowany IP - zapisywane w tabeli user_consents.
- Dane finansowe pracodawcy: aktualne saldo tokenów, historia transakcji i operacji tokenowych.
- Dane wynikające z obowiązków księgowych: dane do faktur VAT, numery dokumentów księgowych.
Uwaga dotycząca numeru PWZ: numer Prawa Wykonywania Zawodu jest publicznym identyfikatorem zawodowym farmaceuty, ujawnianym w rejestrach prowadzonych przez Naczelną Izbę Aptekarską. Sam numer PWZ nie stanowi danej szczególnej kategorii w rozumieniu art. 9 RODO. Platforma nie przetwarza danych dotyczących zdrowia, pochodzenia rasowego lub etnicznego, przekonań religijnych, poglądów politycznych, orientacji seksualnej ani danych biometrycznych.
5. Źródła pozyskania danych
Dane osobowe pozyskujemy z następujących źródeł:
- Bezpośrednio od osoby, której dane dotyczą (art. 13 RODO) - przy rejestracji konta, uzupełnianiu profilu, publikacji ogłoszeń, wysyłaniu aplikacji i wiadomości. Jest to źródło większości przetwarzanych danych.
- Z publicznie dostępnych rejestrów zawodowych (art. 14 RODO) - w zakresie weryfikacji numeru PWZ i uprawnień zawodowych, np. Centralnego Rejestru Farmaceutów prowadzonego przez Naczelną Izbę Aptekarską oraz rejestrów uprawnień techników farmaceutycznych. Dane te są przetwarzane wyłącznie dla celów weryfikacji zgodności deklaracji kandydata ze stanem faktycznym.
- Od drugiej strony procesu rekrutacyjnego - pracodawca może otrzymać dane kandydata z aplikacji wysłanej przez samego kandydata, a kandydat dane pracodawcy z publikowanego ogłoszenia. W ramach tej wymiany pracodawca i kandydat stają się odrębnymi administratorami danych dla celu przeprowadzenia procesu rekrutacji.
6. Odbiorcy danych
Administrator powierza przetwarzanie wybranych danych osobowych następującym podmiotom przetwarzającym (procesorom) na podstawie umów powierzenia przetwarzania, o których mowa w art. 28 RODO. Każdy z tych podmiotów został wybrany ze względu na zapewniane gwarancje ochrony danych osobowych:
| Odbiorca | Rola w przetwarzaniu | Kategorie powierzanych danych | Lokalizacja przetwarzania |
|---|---|---|---|
| Supabase Inc. | Hosting bazy danych, uwierzytelnianie, przechowywanie plików (CV, zdjęcia profilowe, logotypy, zdjęcia firm) | Wszystkie dane zapisywane w bazie i pliki użytkowników | USA / UE (DPA + Standardowe Klauzule Umowne) |
| Resend, Inc. | Wysyłka transakcyjnych wiadomości e-mail (potwierdzenia, powiadomienia, odzyskiwanie hasła, alerty saved_searches) | Adres e-mail odbiorcy, treść wiadomości, nazwa użytkownika | USA / UE (DPA + SCC) |
| Vercel Inc. | Hosting aplikacji Next.js, CDN, dostarczanie strony użytkownikom | Logi dostępu, adres IP, user agent, żądania HTTP | USA / UE (DPA + SCC) |
| Upstash, Inc. | Baza Redis wykorzystywana do rate limitingu i ochrony przed nadużyciami | Identyfikatory sesji, zahaszowane adresy IP, liczniki rate limit | USA / UE (DPA + SCC) |
| MapTiler AG | Usługi mapowe i geokodowanie adresów ogłoszeń | Adresy ogłoszeń o pracę, współrzędne geograficzne | Unia Europejska (Szwajcaria - decyzja Komisji 2000/518/WE o adekwatności) |
| Dostawcy usługi Web Push (Google, Apple, Mozilla i inni operatorzy przeglądarek) | Doręczanie powiadomień push do przeglądarki użytkownika | Endpoint push, klucze kryptograficzne, treść powiadomienia | Globalnie - zależnie od wybranej przez użytkownika przeglądarki |
| Pracodawcy korzystający z Platformy | Odrębni administratorzy danych osobowych kandydata od momentu otrzymania aplikacji (samodzielnie decydują o celach i sposobach przetwarzania w ramach własnego procesu rekrutacji) | Profil kandydata, CV, wiadomości, historia aplikacji | Polska / Unia Europejska |
| Podmioty świadczące usługi prawne, księgowe i doradcze | Obsługa księgowa, doradztwo prawne, obsługa reklamacji i roszczeń (tylko w razie rzeczywistej potrzeby) | Dane rozliczeniowe, dane dotyczące sporu lub reklamacji | Polska |
| Uprawnione organy publiczne | Odbiorcy danych na podstawie obowiązku prawnego (sądy, prokuratura, Policja, UOKiK, PUODO, organy podatkowe) | Dane objęte żądaniem na podstawie przepisów prawa | Polska |
Administrator nie sprzedaje, nie udostępnia ani nie przekazuje Twoich danych osobowych innym podmiotom w celach niezwiązanych z prowadzeniem Platformy.
7. Transfer danych do państw trzecich
Niektóre z wymienionych wyżej podmiotów przetwarzających (Supabase, Resend, Vercel, Upstash) mają siedzibę lub prowadzą przetwarzanie w Stanach Zjednoczonych Ameryki. W związku z tym może dochodzić do transferu danych osobowych do państwa trzeciego poza Europejski Obszar Gospodarczy. Administrator zapewnia, że transfer odbywa się z zastosowaniem odpowiednich zabezpieczeń wymaganych przez RODO:
- Standardowe Klauzule Umowne (SCC) Komisji Europejskiej przyjęte decyzją wykonawczą (UE) 2021/914 - art. 46 ust. 2 lit. c RODO.
- Umowy powierzenia przetwarzania (Data Processing Agreements) z każdym procesorem.
- Szyfrowanie danych w tranzycie (TLS 1.2+) oraz szyfrowanie danych w spoczynku (at rest).
- Pseudonimizacja i minimalizacja zakresu przekazywanych danych.
- Dla części dostawców (np. Supabase, Vercel) możliwość wyboru regionu przetwarzania w Unii Europejskiej - Administrator korzysta z tych ustawień, jeśli są dostępne dla danej usługi.
Kopię stosowanych zabezpieczeń (np. zawartych SCC) możesz uzyskać, kontaktując się z IOD pod adresem kontakt@pharmawork.pl.
8. Okres przechowywania danych
Dane osobowe przechowujemy tylko przez okres niezbędny do realizacji celów, dla których zostały zebrane, z uwzględnieniem obowiązków prawnych i okresów przedawnienia roszczeń. Konkretne okresy dla poszczególnych kategorii danych są następujące:
| Kategoria danych | Okres przechowywania | Uzasadnienie |
|---|---|---|
| Konto użytkownika (kandydat, pracodawca) | Do momentu usunięcia Konta przez użytkownika lub przez Administratora | Czas obowiązywania umowy o świadczenie usług |
| Profil kandydata wraz z CV i zdjęciem | Do usunięcia Konta, a następnie przez 30 dni w stanie soft-delete, po czym trwałe usunięcie | Okno na odzyskanie konta przez użytkownika |
| Ogłoszenia pracodawcy | Do wygaśnięcia lub zamknięcia ogłoszenia + 12 miesięcy w archiwum | Cel statystyczny i możliwość wznowienia ogłoszenia |
| Aplikacje oraz korespondencja rekruterska (wiadomości w konwersacjach) | 3 lata od ostatniej aktywności w konwersacji lub do usunięcia Konta | Ogólny 3-letni termin przedawnienia roszczeń z działalności gospodarczej (art. 118 Kodeksu cywilnego) |
| Dokumenty księgowe (faktury VAT za pakiety tokenów, korekty) | 5 lat, licząc od końca roku obrotowego, w którym dokument został wystawiony | Art. 74 ustawy o rachunkowości oraz przepisy ustawy o VAT |
| Dokumentacja zgód (user_consents) | 3 lata od wycofania lub wygaśnięcia zgody | Dowód zgodności z art. 7 ust. 1 RODO i możliwość obrony przed roszczeniami |
| Wyświetlenia ogłoszeń (job_listing_views) | 24 miesiące w formie szczegółowej; zagregowane statystyki mogą być przechowywane dłużej | Cel analityczny i rozwojowy Serwisu |
| Logi panelu administracyjnego (admin_logs) oraz logi bezpieczeństwa | 12 miesięcy | Wymogi bezpieczeństwa i audytu |
| Zahaszowany adres IP, logi rate-limitingu | 12 miesięcy | Ochrona Serwisu przed nadużyciami |
| Zapisane oferty (saved_jobs) i zapisane wyszukiwania (saved_searches) | Do usunięcia przez użytkownika lub do usunięcia Konta | Realizacja zgody i preferencji użytkownika |
| Subskrypcje powiadomień push (push_subscriptions) | Do wycofania zgody, odinstalowania przeglądarki lub wygaśnięcia endpointu | Realizacja zgody użytkownika |
| Dane przetwarzane na potrzeby sporów, reklamacji i obrony przed roszczeniami | Przez cały okres trwania sporu oraz do upływu właściwego terminu przedawnienia (zasadniczo 3 lub 6 lat - art. 118 KC) | Prawnie uzasadniony interes Administratora |
9. Prawa osoby, której dane dotyczą
W związku z przetwarzaniem Twoich danych osobowych przysługują Ci następujące prawa wynikające z RODO:
- Prawo dostępu do swoich danych osobowych oraz uzyskania ich kopii (art. 15 RODO).
- Prawo do sprostowania nieprawidłowych lub uzupełnienia niekompletnych danych (art. 16 RODO).
- Prawo do usunięcia danych - tzw. "prawo do bycia zapomnianym" (art. 17 RODO) - z zastrzeżeniem przypadków, w których przepisy prawa zobowiązują Administratora do dalszego przechowywania danych (np. dokumenty księgowe).
- Prawo do ograniczenia przetwarzania (art. 18 RODO) - możesz zażądać, abyśmy czasowo wstrzymali przetwarzanie, np. do czasu wyjaśnienia ich prawidłowości.
- Prawo do przenoszenia danych (art. 20 RODO) - otrzymasz kopię danych przetwarzanych na podstawie zgody lub umowy w powszechnie używanym formacie nadającym się do odczytu maszynowego (JSON).
- Prawo do sprzeciwu wobec przetwarzania opartego na art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes), w tym profilowania - art. 21 RODO. Sprzeciw wobec marketingu bezpośredniego jest bezwarunkowy.
- Prawo do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem (art. 7 ust. 3 RODO).
- Prawo do niepodlegania decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, wywołującej wobec Ciebie skutki prawne lub w podobny sposób istotnie na Ciebie wpływającej (art. 22 RODO). Administrator nie podejmuje takich decyzji (patrz sekcja 12).
Jak skorzystać z tych praw?
Większość praw możesz zrealizować samodzielnie w panelu użytkownika:
- Dostęp i sprostowanie - w ustawieniach profilu oraz w ustawieniach konta.
- Usunięcie - w ustawieniach konta (opcja "Usuń konto").
- Wycofanie zgód na cookies - przycisk "Ustawienia cookies" w stopce Serwisu.
- Wycofanie zgód na alerty - w ustawieniach powiadomień i w szczegółach zapisanego wyszukiwania.
- Wycofanie zgody na push - w ustawieniach przeglądarki lub w ustawieniach powiadomień Platformy.
Jeśli wolisz skontaktować się z Administratorem, wyślij e-mail na adres kontakt@pharmawork.pl. Na Twoje żądanie odpowiemy bez zbędnej zwłoki, nie później niż w ciągu miesiąca od jego otrzymania (art. 12 ust. 3 RODO). W uzasadnionych przypadkach (np. skomplikowane żądanie, liczba żądań) możemy przedłużyć ten termin o dodatkowe dwa miesiące, informując Cię o tym wraz z uzasadnieniem.
10. Prawo skargi do organu nadzorczego
Jeżeli uważasz, że przetwarzanie Twoich danych osobowych narusza przepisy RODO, przysługuje Ci prawo wniesienia skargi do organu nadzorczego. W Polsce organem tym jest:
- Organ nadzorczy
- Prezes Urzędu Ochrony Danych Osobowych (PUODO)
- Adres
- ul. Stawki 2, 00-193 Warszawa
- Strona internetowa
- https://uodo.gov.pl
Przed złożeniem skargi zachęcamy do kontaktu z naszym Inspektorem Ochrony Danych - często pozwala to szybciej wyjaśnić i rozwiązać zgłaszany problem.
11. Dobrowolność lub obowiązek podania danych
Podanie niektórych danych jest dobrowolne, a niektórych - warunkiem zawarcia umowy lub wynika z przepisu prawa:
- Dane niezbędne do założenia Konta (e-mail, hasło) - podanie dobrowolne, ale konieczne do korzystania z Platformy. Bez nich świadczenie usługi nie jest możliwe (art. 6 ust. 1 lit. b RODO).
- Imię, nazwisko, numer PWZ i pozostałe dane zawodowe kandydatów - podanie dobrowolne; brak podania ogranicza funkcjonalność (niższy wskaźnik dopasowania ofert, brak możliwości weryfikacji przez pracodawcę).
- NIP i dane firmowe pracodawcy - wymagane na potrzeby wystawienia faktury VAT (art. 106e ustawy z 11 marca 2004 r. o podatku od towarów i usług).
- Zgody na marketing, alerty e-mail i powiadomienia push - w pełni dobrowolne; w każdej chwili możesz je wycofać bez negatywnych konsekwencji dla korzystania z Serwisu.
12. Profilowanie i decyzje zautomatyzowane
Platforma PharmaWork w ograniczonym zakresie stosuje profilowanie polegające na dopasowywaniu ofert pracy do preferencji użytkownika. Konkretnie:
- Dopasowywanie ogłoszeń do zapisanych przez kandydata kryteriów wyszukiwania (lokalizacja, specjalizacja, typ zatrudnienia, zakres wynagrodzenia).
- Wysyłka alertów e-mail lub push o nowych ogłoszeniach zgodnych z Twoimi zapisanymi wyszukiwaniami (saved_searches) - wyłącznie po wyrażeniu zgody.
- Rekomendacje ogłoszeń widoczne w Twoim panelu, uwzględniające Twój profil zawodowy i lokalizację.
Administrator NIE podejmuje wobec Ciebie decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu (w tym profilowaniu), które wywoływałyby wobec Ciebie skutki prawne lub w podobny sposób istotnie na Ciebie wpływały w rozumieniu art. 22 ust. 1 RODO. W szczególności decyzję o zaproszeniu kandydata na rozmowę, zatrudnieniu lub odrzuceniu aplikacji podejmuje zawsze człowiek po stronie pracodawcy.
Zgodnie z art. 21 RODO w każdej chwili możesz wnieść sprzeciw wobec profilowania prowadzonego przez Administratora. Po otrzymaniu sprzeciwu zaprzestaniemy profilowania, chyba że wykażemy istnienie ważnych, prawnie uzasadnionych podstaw do dalszego przetwarzania, nadrzędnych wobec Twoich interesów, praw i wolności.
13. Pliki cookies i podobne technologie
Platforma wykorzystuje pliki cookies oraz podobne technologie (localStorage, sessionStorage) do podstawowego działania Serwisu i zapamiętywania Twoich zgód. Obecnie używamy czterech plików cookies pierwszej strony: sb-[projekt]-auth-token (sesja Supabase), pw_sid (anonimowy licznik wyświetleń), pw_consent (zapis zgód na cookies) oraz push-prompt-dismissed (stan monitu push).
Szczegółowe informacje o wszystkich stosowanych plikach cookies, podstawach prawnych, czasie życia i sposobach zarządzania zgodą znajdziesz w dedykowanej Polityce cookies:
14. Bezpieczeństwo danych
Administrator stosuje odpowiednie środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych, odpowiednie do zagrożeń oraz kategorii danych objętych ochroną (art. 32 RODO):
- Szyfrowanie komunikacji w warstwie transportu (TLS 1.2+) dla wszystkich połączeń z Serwisem.
- Szyfrowanie danych w spoczynku w bazie danych Supabase i w magazynie plików.
- Zasady kontroli dostępu oparte na Row Level Security (RLS) w bazie PostgreSQL - każdy użytkownik widzi wyłącznie dane, do których jest uprawniony.
- Hashowanie haseł z użyciem silnej funkcji skrótu (bcrypt/argon2) przez Supabase Auth - hasła nigdy nie są przechowywane w postaci jawnej.
- Hashowanie adresów IP w logach zgód (user_consents.ip_hash) - nie przechowujemy surowych adresów IP.
- Rate limiting i ochrona przed atakami typu brute-force (Upstash Redis).
- Logowanie krytycznych operacji w panelu administracyjnym (admin_logs).
- Zasada minimalizacji danych - zbieramy tylko dane niezbędne dla określonego celu.
- Zasady privacy by design i privacy by default - uwzględniane na etapie projektowania funkcjonalności.
- Regularne aktualizacje zależności i monitorowanie podatności w stosie technologicznym.
15. Zmiany Polityki prywatności
Niniejsza Polityka prywatności może ulec zmianie w przypadku zmiany przepisów prawa, sposobu działania Platformy lub wprowadzenia nowych funkcjonalności. O istotnych zmianach poinformujemy Cię z wyprzedzeniem - za pośrednictwem wiadomości e-mail na adres przypisany do Twojego Konta lub poprzez wyraźny komunikat w Serwisie. Aktualna wersja Polityki zawsze dostępna jest pod adresem https://pharmawork.pl/polityka-prywatnosci wraz z datą ostatniej aktualizacji i numerem wersji.
16. Kontakt
We wszystkich sprawach związanych z ochroną danych osobowych oraz wykonywaniem praw wynikających z RODO możesz skontaktować się z Administratorem oraz Inspektorem Ochrony Danych pod adresem:
KROPELKA SC AGATA CHMIELIŃSKA-JURKIEWICZ, JAKUB JURKIEWICZ, ul. Królewny Śnieżki 30, 10-696 Olsztyn
Cenimy Twoją prywatność i dołożymy wszelkich starań, aby odpowiedzieć na Twoje pytania szybko i wyczerpująco.