raTool
informacje prawne

Polityka prywatności

Nasza polityka prywatności i sposób wykorzystania twoich danych

Ostatnia aktualizacja: 18 maja 2026

1. Administrator danych osobowych

Administratorem Twoich danych osobowych jest Łukasz Weyer Ratownictwo Medyczne, jednoosobowa działalność gospodarcza, ul. Mściwoja 11/1, 85-459 Bydgoszcz, NIP 8471516109, REGON 340618290, wpisana do Centralnej Ewidencji i Informacji o Działalności Gospodarczej (dalej: Administrator, my).

Kontakt w sprawach ochrony danych: kontakt@ratool.pl.

2. Zakres dokumentu

Polityka opisuje, jakie dane osobowe zbieramy w związku z korzystaniem z aplikacji raTool (dalej: Aplikacja), w jakich celach i na jakich podstawach prawnych je przetwarzamy oraz jakie prawa Ci przysługują na gruncie RODO (Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679).

3. Cele i podstawy prawne przetwarzania

  • Świadczenie usługi raTool (zakładanie konta, układanie grafiku dyżurów, zamiany, dyspozycyjność, narzędzia kliniczne) - art. 6 ust. 1 lit. b RODO (wykonanie umowy).
  • Utrwalanie zgód, akceptacji i dowodów ich złożenia (akceptacja Regulaminu, Polityki prywatności i umowy powierzenia, preferencje cookies, zgoda na rozpoczęcie świadczenia usługi cyfrowej przed upływem terminu odstąpienia, wraz z metadanymi potwierdzającymi, kiedy i w jakich okolicznościach oświadczenie złożono) - art. 6 ust. 1 lit. b i c RODO oraz, w zakresie przechowywania dowodów na potrzeby ustalenia, dochodzenia lub obrony roszczeń, art. 6 ust. 1 lit. f RODO.
  • Rozliczenia i faktury (subskrypcja Stacja / Pro, wystawianie faktur w iFirma) - art. 6 ust. 1 lit. b oraz lit. c RODO (obowiązki podatkowe i księgowe).
  • Komunikacja transakcyjna (potwierdzenia, powiadomienia o zmianach grafiku, przypomnienia o dyspozycyjności) - art. 6 ust. 1 lit. b RODO.
  • Bezpieczeństwo, diagnostyka i wykrywanie nadużyć (logi dostępu, audit log zmian w grafikach, monitoring błędów, obsługa MFA) - art. 6 ust. 1 lit. f RODO (uzasadniony interes Administratora).
  • Obsługa zgłoszeń i pomoc techniczna - art. 6 ust. 1 lit. b oraz lit. f RODO.
  • Realizacja praw użytkownika z RODO - art. 6 ust. 1 lit. c RODO.

Nie przetwarzamy w Aplikacji danych pacjentów ani danych medycznych dotyczących osób trzecich. raTool nie jest wyrobem medycznym i nie służy do dokumentacji medycznej zdarzeń ratunkowych. Podanie danych jest dobrowolne, ale w zakresie danych oznaczonych jako wymagane jest niezbędne do zawarcia lub wykonania umowy, prowadzenia konta, rozliczeń albo obsługi zgłoszenia.

4. Kategorie przetwarzanych danych

  • Dane konta: imię, nazwisko, e-mail, hasło (przechowywane w postaci skrótu), avatar, identyfikator konta, metoda logowania, dane dostawcy OAuth, status MFA i historia ostatniego logowania.
  • Dane zgód i ustawień: data i wersja zaakceptowanego Regulaminu, Polityki prywatności oraz - w przypadku kont stacji - umowy powierzenia przetwarzania, preferencje cookies, potwierdzenia wymagane przy płatnościach, preferencje powiadomień, wybrany język, motyw oraz ustawienia widoku. Dla każdego takiego oświadczenia zapisujemy dowodowe metadane: znacznik czasu, charakter oświadczenia (np. akceptacja albo potwierdzenie zapoznania się), język interfejsu, skrócony identyfikator przeglądarki (user agent) oraz adres IP w postaci nieodwracalnego skrótu kryptograficznego (dla tych oświadczeń nie przechowujemy adresu IP w postaci jawnej).
  • Dane zawodowe: stanowisko lub rola (np. ratownik medyczny, lekarz, koordynator), numer prawa wykonywania zawodu lub inne kwalifikacje, status współpracy, przynależność do stacji lub zespołu.
  • Dane operacyjne: zgłoszona dyspozycyjność, przypisania do dyżurów i ZRM, propozycje zamian, korekta czasu pracy, historia zmian, komentarze organizacyjne i audit log.
  • Dane zgłoszeń i komunikacji: treść zgłoszeń supportowych, wiadomości transakcyjne, powiadomienia systemowe i informacje niezbędne do obsługi zapytań.
  • Dane rozliczeniowe (tylko dla kont płatnych): dane do faktury (firma lub imię i nazwisko, NIP, adres, e-mail do faktur), historia płatności, identyfikatory klienta i transakcji Stripe oraz metadane rozliczeniowe niezbędne do obsługi subskrypcji.
  • Dane techniczne i diagnostyczne: adres IP, user agent, logi serwera, identyfikator sesji, identyfikator żądania, informacje o błędach aplikacji, ścieżka strony i środowisko przeglądarki. W logach diagnostycznych ograniczamy zakres danych i redagujemy wrażliwe nagłówki, takie jak cookies i tokeny autoryzacyjne.

5. Odbiorcy danych i dostawcy usług

Korzystamy z usług sprawdzonych dostawców. W zależności od zakresu usługi i przepisów właściwych dla danego dostawcy mogą oni działać jako podmioty przetwarzające, dalsi podprocesorzy, odrębni administratorzy danych albo odbiorcy danych w rozumieniu RODO:

  • Supabase Inc. - hosting bazy danych, uwierzytelnianie, storage i obsługa sesji; co do zasady podmiot przetwarzający.
  • Vercel Inc. - hosting aplikacji, CDN, logi dostępu i infrastruktura edge; co do zasady podmiot przetwarzający.
  • Stripe Payments Europe Ltd. (Irlandia) - obsługa płatności subskrypcyjnych; w zakresie regulowanych usług płatniczych Stripe może działać jako odrębny administrator danych.
  • IFIRMA S.A. (Polska) - wystawianie faktur sprzedaży i obsługa dokumentów księgowych.
  • Resend Inc. (USA) - wysyłka transakcyjnych wiadomości e-mail; co do zasady podmiot przetwarzający.
  • Functional Software, Inc. (Sentry.io) - monitoring błędów aplikacji. Po stronie przeglądarki monitoring uruchamiamy po wyrażeniu zgody analitycznej; nie korzystamy z session replay. Co do zasady jest to podmiot przetwarzający.
  • ImprovMX (USA) - email forwarding dla aliasów w domenie mail.ratool.pl (np. weryfikacja kont serwisowych). Może przetwarzać nagłówki i treść wiadomości przekazywanych przez aliasy.
  • Google - logowanie OAuth, wyłącznie gdy Użytkownik wybierze logowanie przez konto Google. Google przetwarza wtedy dane również jako odrębny administrator na zasadach własnej polityki.

Pełna lista odbiorców i podprocesorów wraz z lokalizacjami serwerów dostępna jest na żądanie pod adresem kontakt@ratool.pl.

6. Przekazywanie danych poza Europejski Obszar Gospodarczy

Część dostawców lub ich podprocesorów może przetwarzać dane poza Europejskim Obszarem Gospodarczym. W takim przypadku stosujemy odpowiednie mechanizmy legalizujące transfer, w szczególności Standardowe Klauzule Umowne Komisji Europejskiej (decyzja 2021/914), dodatkowe zabezpieczenia umowne i techniczne albo EU-U.S. Data Privacy Framework, gdy dany dostawca jest certyfikowany.

7. Okres przechowywania

  • Dane konta - przez okres trwania umowy. Po usunięciu konta dane są usuwane lub anonimizowane w ciągu 30 dni, z wyjątkiem danych objętych obowiązkiem archiwizacji, rozliczeń, bezpieczeństwa lub dochodzenia roszczeń.
  • Dane rozliczeniowe i faktury - 5 lat od końca roku kalendarzowego, w którym upłynął termin płatności podatku (art. 86 § 1 Ordynacji podatkowej).
  • Dane operacyjne (grafiki, zamiany, audit log) - przez okres aktywności konta stacji oraz 3 lata po zakończeniu umowy w celach dowodowych.
  • Logi techniczne - do 90 dni.
  • Zgody, akceptacje i dowody ich złożenia (w tym preferencje cookies) - przez okres potrzebny do wykazania ich udzielenia, zmiany lub wycofania, wraz z dowodowymi metadanymi oświadczeń (znacznik czasu, charakter oświadczenia, skrócony identyfikator przeglądarki, zahashowany adres IP), nie dłużej niż 3 lata od zakończenia korzystania z usługi, chyba że dłuższy okres jest wymagany w celu ustalenia, dochodzenia lub obrony roszczeń. Te dowodowe metadane przechowujemy niezależnie od logów technicznych (do 90 dni), o których mowa powyżej.

8. Twoje prawa

Na gruncie RODO przysługuje Ci:

  • prawo dostępu do danych (art. 15 RODO),
  • prawo do sprostowania (art. 16 RODO),
  • prawo do usunięcia ("prawo do bycia zapomnianym", art. 17 RODO),
  • prawo do ograniczenia przetwarzania (art. 18 RODO),
  • prawo do przenoszenia danych (art. 20 RODO),
  • prawo sprzeciwu (art. 21 RODO),
  • prawo wycofania zgody w dowolnym momencie, gdy przetwarzanie opiera się na zgodzie; wycofanie zgody nie wpływa na zgodność z prawem przetwarzania dokonanego przed jej wycofaniem,
  • prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa).

Z części praw skorzystasz samodzielnie z poziomu ustawień konta, w tym przez eksport danych, zmianę danych lub złożenie żądania usunięcia konta. W pozostałych przypadkach napisz na kontakt@ratool.pl - odpowiadamy bez zbędnej zwłoki, co do zasady w ciągu 30 dni.

9. Decyzje zautomatyzowane i profilowanie

Nie podejmujemy wobec Ciebie zautomatyzowanych decyzji wywołujących skutki prawne lub podobnie istotnie na Ciebie wpływających (art. 22 RODO). Algorytmy organizacyjne raTool (np. wykrywanie konfliktów grafiku, sugestie zamian) służą wyłącznie wsparciu człowieka i nie zastępują decyzji koordynatora ani dysponenta.

10. Cookies

Szczegóły dotyczące plików cookies i podobnych technologii znajdziesz w odrębnej Polityce cookies. Zgoda analityczna jest dobrowolna i może zostać wycofana w każdej chwili z poziomu ustawień cookies.

11. Bezpieczeństwo danych

Stosujemy środki techniczne i organizacyjne adekwatne do ryzyka: szyfrowanie w trakcie przesyłania (TLS 1.3) i w spoczynku, kontrolę dostępu opartą o role (RLS na poziomie bazy danych), audit log zmian w danych operacyjnych, uwierzytelnianie wieloskładnikowe (TOTP) dla kont z podwyższonymi uprawnieniami.

12. Zmiany polityki

O istotnych zmianach polityki poinformujemy Cię e-mailem lub przez powiadomienie w aplikacji co najmniej 14 dni przed ich wejściem w życie. Aktualną wersję wraz z datą publikacji znajdziesz zawsze na tej stronie.

  • 18 maja 2026 - Pierwsza wersja dokumentu.