Data Security Statement

> ⚠ **Nieoficjalne tłumaczenie. W przypadku rozbieżności obowiązuje wersja angielska.**

# Polityka Bezpieczeństwa i Ochrony Danych – 2Zone Therapy v1.0

**Data wejścia w życie:** 6 sierpnia 2025  
**Ostatnia aktualizacja:** 23 października 2025  

---

## 1. Nasze zobowiązanie wobec bezpieczeństwa
**2Zone Therapy**, operator systemów **HealthGPT** i **ERRIC**, zobowiązuje się do ochrony **poufności, integralności i dostępności** danych użytkowników.  
Stosujemy międzynarodowe standardy bezpieczeństwa informacji (w tym ISO 27001) oraz pełną zgodność z przepisami **RODO (GDPR)**.

---

## 2. Infrastruktura i hosting
- Dane są przechowywane na serwerach w centrach danych **certyfikowanych ISO 27001**.  
- Wszystkie połączenia z naszymi serwerami są zabezpieczone **szyfrowaniem SSL/TLS 256-bitowym**.  
- Codziennie tworzone są kopie zapasowe (backupy), przechowywane w postaci szyfrowanej w różnych lokalizacjach.  
- Dostęp do infrastruktury jest chroniony przez **uwierzytelnianie wieloskładnikowe (MFA)**.

---

## 3. Szyfrowanie i przechowywanie danych
- **Hasła i Sekretne Frazy Hasła** są szyfrowane i nigdy nie są przechowywane w formie jawnej.  
- **Protokoły zdrowotne** i logi ERRIC są zabezpieczone szyfrowaniem **AES-256**.  
- Nie przesyłamy ani nie przechowujemy danych w postaci niezaszyfrowanej.  
- Komunikacja wewnętrzna między systemami jest chroniona kluczami API i monitorowana pod kątem anomalii.

---

## 4. Kontrola dostępu i uwierzytelnianie
- Każdy użytkownik ma unikalne dane logowania.  
- Próby logowania z nieznanych urządzeń lub lokalizacji są automatycznie blokowane.  
- Wszystkie działania, takie jak logowania, modyfikacje i usuwanie danych, są rejestrowane w dzienniku bezpieczeństwa.

---

## 5. Wykrywanie i reagowanie na incydenty
- Systemy są monitorowane 24/7 w celu wykrywania naruszeń bezpieczeństwa.  
- W przypadku incydentu lub naruszenia danych osobowych użytkownicy zostaną powiadomieni w ciągu **72 godzin**, zgodnie z wymogami RODO.  
- Pełny raport dotyczący incydentu można uzyskać od **Inspektora Ochrony Danych (IOD)**.

---

## 6. Usuwanie i przechowywanie danych
- Użytkownicy mogą żądać trwałego usunięcia swoich danych za pośrednictwem panelu użytkownika (szczegóły w [Polityce Prywatności](../privacy_policy_v5.0.md)).  
- Dane usunięte są trwale kasowane w ciągu **30 dni** od potwierdzenia.  
- Kopie zapasowe zawierające te dane są nadpisywane w ciągu **60 dni**.

---

## 7. Dostawcy i transfery międzynarodowe
Współpracujemy wyłącznie z dostawcami usług **zgodnymi z RODO** lub posiadającymi certyfikat **ISO 27001**.  
Transfery danych poza Europejski Obszar Gospodarczy (EOG) są zabezpieczone **Standardowymi Klauzulami Umownymi (SCC)** lub równoważnymi gwarancjami prawnymi.

---

## 8. Szkolenia i audyty
- Pracownicy i partnerzy 2Zone Therapy przechodzą coroczne szkolenia z zakresu **bezpieczeństwa danych i cyberhigieny**.  
- Co pół roku przeprowadzane są **wewnętrzne audyty bezpieczeństwa**.  
- Naruszenia zasad bezpieczeństwa mogą prowadzić do sankcji dyscyplinarnych lub rozwiązania współpracy.

---

## 9. Prawa użytkownika
Masz prawo do:
- wglądu w swoje dane osobowe,  
- żądania ich poprawienia lub usunięcia,  
- kontaktu z Inspektorem Ochrony Danych w sprawach bezpieczeństwa.

---

## 10. Kontakt – Bezpieczeństwo i Prywatność
**Inspektor Ochrony Danych (IOD) – 2Zone Therapy**  
E-mail: **privacy@2zonetherapy.com**  
Wsparcie techniczne: **support@healthgpt.co.il**

---

## 11. Aktualizacje polityki
Niniejsza Polityka Bezpieczeństwa może być okresowo aktualizowana.  
O zmianach istotnych użytkownicy zostaną poinformowani drogą mailową lub poprzez panel użytkownika.  
W przypadku wątpliwości interpretacyjnych **decydująca jest wersja angielska**.

---