Brazylia 
Dominikana 
Egipt 
Indie 
Kenia 
Meksyk 
Tajlandia 
Tunezja 
Turcja 
Wietnam 
Polityka prywatności
Wersja z dnia 2 maja 2026
Wprowadzenie
Niniejsza Polityka opisuje, w jaki sposób Grupa TropicalMed sp. z o.o. przetwarza Twoje dane osobowe w związku z prowadzeniem portalu tropicalmed.pl oraz świadczeniem usług medycyny podróży i szczepień.
Jesteśmy podmiotem leczniczym, dlatego ochronę danych - zwłaszcza danych zdrowotnych - traktujemy jako podstawowy obowiązek.
1. Kto jest administratorem Twoich danych
Grupa TropicalMed sp. z o.o. ul. Wrocławska 53D, 30-006 Kraków KRS: 0000931492 · NIP: 6772470625 · REGON: 520391191 Numer księgi rejestrowej podmiotu leczniczego: 000000246506
Kontakt: e-mail: [email protected] · tel.: 692 75 33 33 formularz: https://tropicalmed.pl/kontakt
2. Inspektor Ochrony Danych
W sprawach dotyczących przetwarzania Twoich danych osobowych skontaktuj się z naszym Inspektorem Ochrony Danych:
e-mail: [email protected] listownie: Inspektor Ochrony Danych, ul. Wrocławska 53D, 30-006 Kraków
Uwaga: IOD odpowiada wyłącznie na pytania prawne związane z ochroną Twoich danych osobowych i Twoimi prawami wynikającymi z RODO. IOD nie odpowiada na pytania medyczne - w sprawach dotyczących szczepień, kwalifikacji do szczepienia, odczynów poszczepiennych lub innych kwestii klinicznych skontaktuj się z recepcją ([email protected], tel. 692 75 33 33) lub umów wizytę z lekarzem.
3. Jakie dane przetwarzamy i po co
3.1. Świadczenie usług medycznych
Gdy umówisz się na wizytę i przyjdziesz na szczepienie, przetwarzamy Twoje dane identyfikacyjne (imię, nazwisko, PESEL, adres), kontaktowe (telefon, e-mail) oraz medyczne (wywiad lekarski, kierunek podróży, historia szczepień, ewentualne odczyny poszczepienne).
Robimy to, aby zakwalifikować Cię do szczepienia, wykonać je bezpiecznie, wystawić odpowiednie zaświadczenia (w tym Międzynarodową Książeczkę Szczepień WHO) i prowadzić Twoją dokumentację medyczną zgodnie z prawem.
Podstawa: świadczenie opieki zdrowotnej przez podmiot leczniczy (art. 9 ust. 2 lit. h RODO) oraz obowiązki prawne dotyczące dokumentacji medycznej i fakturowania (art. 6 ust. 1 lit. c RODO).
3.2. Rezerwacja wizyty i kontakt operacyjny
Przyjmujemy rezerwacje, potwierdzamy je SMS-em lub e-mailem, przypominamy o terminie wizyty, kontaktujemy się w sprawie zmian terminu i wystawiamy faktury.
Podstawa: wykonanie umowy o świadczenie usług oraz obowiązek prawny w zakresie fakturowania (art. 6 ust. 1 lit. b i c RODO).
3.3. Przypomnienia kliniczne - kolejne dawki i koniec ochrony
Wiele szczepień to cykle wielodawkowe (np. WZW B, kleszczowe zapalenie mózgu, wścieklizna, HPV) lub takie, których ochrona z czasem wygasa (np. błonica/tężec co 10 lat). Pominięcie kolejnej dawki lub niedoszczepienie po wygaśnięciu ochrony oznacza brak skutecznej ochrony.
Dlatego, jako podmiot leczniczy prowadzący Twoją dokumentację, przypominamy Ci SMS-em, e-mailem lub telefonicznie:
- o terminie kolejnej dawki w rozpoczętym u nas cyklu,
- o zbliżającym się końcu okresu ochrony i potrzebie doszczepienia.
To jest kontakt kliniczny w ramach kontynuacji świadczenia zdrowotnego, nie marketing - dotyczy wyłącznie szczepień, które już u nas wykonałeś. Nie wymaga osobnej zgody.
Możesz w każdej chwili zrezygnować z przypomnień:
- kliknij link rezygnacji w e-mailu,
- powiadom personel recepcji,
- napisz na [email protected].
Jeśli zrezygnujesz, odpowiedzialność za zachowanie odpowiednich okien czasowych będzie spoczywała na Tobie.
Podstawa: opieka zdrowotna i kontynuacja świadczenia (art. 9 ust. 2 lit. h oraz art. 6 ust. 1 lit. f RODO).
3.4. Marketing i komunikacja handlowa
Jeśli wyrazisz osobną zgodę, możemy wysyłać Ci newsletter, informacje o nowych usługach, sezonowych promocjach (np. szczepienia przeciw grypie) oraz reklamy dopasowane do zainteresowań na innych stronach internetowych (remarketing).
Zgodę możesz wycofać w każdej chwili - link "Wypisz się" w e-mailu, ustawienia cookies w stopce Portalu, lub kontakt na [email protected].
Podstawa: Twoja zgoda (art. 6 ust. 1 lit. a RODO i art. 398 Prawa komunikacji elektronicznej).
3.5. Prognozowanie frekwencji wizyt
Stosujemy regułowy system statystyczny, który na podstawie kilku cech rezerwacji (m.in. liczba dni między rezerwacją a wizytą, historia poprzednich nieobecności, czy jest to pierwsza wizyta, dostępność numeru telefonu) szacuje prawdopodobieństwo, że wizyta nie zostanie zrealizowana. Pomaga nam to lepiej organizować harmonogram i unikać marnowania szczepionek o krótkim terminie ważności.
To, co warto wiedzieć:
- prognoza nie wpływa na decyzje medyczne ani na Twoje prawo do umówienia wizyty w wybranym terminie,
- wizyty z wyższym ryzykiem niezrealizowania mogą zostać oznaczone do dodatkowego potwierdzenia (np. dodatkowy kontakt telefoniczny przed wizytą) - to wpływ proceduralny, nie kliniczny,
- decyzje kliniczne podejmuje wyłącznie lekarz; system nie podejmuje żadnych decyzji medycznych,
- system korzysta wyłącznie z danych operacyjnych (nie wykorzystuje danych medycznych ani treści wywiadu lekarskiego),
- masz prawo do interwencji człowieka i wyjaśnienia działania systemu (kontakt z IOD).
Podstawa: prawnie uzasadniony interes - optymalizacja pracy placówek (art. 6 ust. 1 lit. f RODO).
3.6. Sztuczna inteligencja w treściach publicznych
Korzystamy z usług sztucznej inteligencji Google Cloud do tworzenia treści publicznych Portalu - artykułów, poradników o medycynie podróży i odpowiedzi na publiczne opinie. AI nie ma dostępu do danych pacjentów ani dokumentacji medycznej.
Podstawa: prawnie uzasadniony interes - tworzenie treści informacyjnych (art. 6 ust. 1 lit. f RODO).
3.7. Korzystanie z Portalu i analityka
Gdy odwiedzasz tropicalmed.pl, automatycznie zbieramy dane techniczne (adres IP, kod kraju z geolokalizacji IP, typ przeglądarki, czas wizyty, odwiedzane strony, źródło ruchu) - żeby Portal działał, był bezpieczny i żebyśmy mogli go ulepszać.
Prowadzimy także własny licznik odsłon (pageview tracker), który zapisuje identyfikator sesji (UUID), odwiedzane strony i kraj wizyty. Identyfikator sesji nie jest powiązany z Twoją tożsamością i służy wyłącznie do agregowanej statystyki ruchu.
Cookies analityczne (Google Analytics) i marketingowe (Google Ads, Meta, Microsoft) ładują się tylko po wyrażeniu zgody w bannerze cookies. Szczegóły: zob. sekcję 7.
Podstawa: Twoja zgoda na cookies opcjonalne (art. 6 ust. 1 lit. a RODO) oraz prawnie uzasadniony interes w zakresie bezpieczeństwa Portalu i podstawowych statystyk ruchu (art. 6 ust. 1 lit. f RODO).
3.8. Ankiety satysfakcji
Po wizycie możemy wysłać Ci SMS-em lub e-mailem link do krótkiej ankiety satysfakcji (NPS), w której zapytamy o ocenę obsługi i ewentualne uwagi. Wypełnienie ankiety jest dobrowolne - brak wypełnienia nie ma żadnego wpływu na dalszą obsługę.
Co wykorzystujemy:
- imię, numer telefonu lub adres e-mail (wysyłka),
- treść Twoich odpowiedzi (ocena, komentarze).
Po co:
- analiza jakości obsługi i identyfikacja obszarów do poprawy,
- przekazywanie wewnętrznego feedbacku do zespołów placówek.
Negatywne lub krytyczne odpowiedzi są analizowane wewnętrznie i nie są publikowane bez Twojej osobnej zgody. Jeśli wyrazisz zgodę na publikację swojej opinii (np. w Google Reviews lub Trustpilot), zrobimy to za Twoją wiedzą i akceptacją.
Procesor: SMSAPI (wysyłka SMS z linkiem do ankiety). Sam formularz ankiety, baza odpowiedzi i analiza wyników są przetwarzane wewnętrznie na naszej infrastrukturze (Google Cloud i Hetzner - opisane w sekcji 5.2).
Retencja: 6 miesięcy od zakończenia ankiety, po czym dane są anonimizowane lub usuwane.
Podstawa: prawnie uzasadniony interes - poprawa jakości usług (art. 6 ust. 1 lit. f RODO).
3.9. Obsługa zapytań
Gdy napiszesz do nas przez formularz kontaktowy lub e-mail, przetwarzamy Twoje dane, by udzielić odpowiedzi. Jeśli w wiadomości podasz informacje o stanie zdrowia, traktujemy je z taką samą ostrożnością jak dane medyczne z wizyty (art. 9 ust. 2 lit. h RODO). Lepiej jednak pełny wywiad medyczny przeprowadzić podczas wizyty, nie e-mailem.
3.10. Monitoring wizyjny w placówkach
W naszych placówkach prowadzimy monitoring wizyjny dla bezpieczeństwa pacjentów, personelu, mienia oraz zabezpieczenia szczepionek (łańcuch chłodniczy). Nagrania przechowujemy 60 dni, po czym są automatycznie usuwane.
3.11. Ustalenie i obrona roszczeń
W razie reklamacji lub sporu możemy przetwarzać dane niezbędne do ustalenia, dochodzenia lub obrony przed roszczeniami przez okres wymagany przepisami (art. 6 ust. 1 lit. f RODO).
4. Jak długo przechowujemy Twoje dane
| Kategoria | Okres |
|---|---|
| Dokumentacja medyczna | 20 lat od końca roku ostatniego wpisu |
| Dokumentacja medyczna w przypadku zgonu wskutek uszkodzenia ciała / zatrucia | 30 lat |
| Faktury i dokumenty księgowe | 5 lat od końca roku obrotowego |
| Roszczenia cywilne | 6 lat |
| Korespondencja z pacjentem | 3 lata |
| Dane marketingowe | do wycofania zgody lub sprzeciwu |
| Ankiety satysfakcji | 6 miesięcy |
| Cookies | zgodnie z czasem życia danego pliku (zob. sekcję 7) |
| Nagrania monitoringu | 60 dni |
| Logi serwera | 12 miesięcy |
Po upływie okresu retencji dane są nieodwracalnie usuwane lub anonimizowane.
5. Komu udostępniamy Twoje dane
5.1. Organom uprawnionym z mocy prawa
Główny Inspektor Sanitarny i Wojewódzkie Stacje Sanitarno-Epidemiologiczne (zgłoszenia odczynów poszczepiennych), URPL (działania niepożądane produktów leczniczych), NIZP-PZH (statystyki epidemiologiczne), Ministerstwo Finansów przez Krajowy System e-Faktur (KSeF), sądy, prokuratura, policja, organy administracji - wyłącznie na żądanie i w zakresie wymaganym prawem.
5.2. Procesorom działającym w naszym imieniu
Korzystamy ze sprawdzonych dostawców, z którymi zawarliśmy umowy powierzenia przetwarzania danych zgodnie z art. 28 RODO:
| Dostawca | Co robi | Lokalizacja |
|---|---|---|
| Google Cloud | Hostuje bazy danych, przechowuje dokumenty i faktury | Polska (region Warszawa), EOG |
| Google Cloud - usługi AI | Generuje publiczne treści Portalu (bez danych pacjentów) | EOG |
| Hetzner | Serwery aplikacyjne Portalu | Niemcy, EOG |
| Cloudflare | Ochrona przed atakami i przyspieszenie strony | USA (Data Privacy Framework) |
| Google Workspace | E-mail, dokumenty, wysyłka transakcyjna | Irlandia (EOG) + USA (DPF) |
| Google Analytics, Google Ads | Analityka ruchu i kampanie reklamowe | Irlandia (EOG) + USA (DPF) |
| Meta | Pixel Facebook i remarketing | Irlandia (EOG) + USA (DPF) |
| Microsoft (Bing UET) | Microsoft Advertising | Irlandia (EOG) + USA (DPF) |
| InsERT (Subiekt) | System fakturowania | Polska |
| Posnet | Fiskalizacja w placówkach | Polska, on-premise |
| SMSAPI | Wysyłka SMS | Polska |
| Operatorzy płatności | Obsługa płatności online | Polska / EOG |
| Kancelarie prawne, biuro rachunkowe | Obsługa prawna i księgowa | Polska |
Każdy procesor działa wyłącznie na nasze udokumentowane polecenie i jest zobowiązany do zachowania poufności.
5.3. Innym podmiotom medycznym
Wyłącznie za Twoim wyraźnym upoważnieniem (np. w karcie pacjenta) lub w celu zapewnienia ciągłości leczenia.
Nie sprzedajemy Twoich danych podmiotom trzecim.
6. Transfer danych poza Europejski Obszar Gospodarczy
Dane medyczne i operacyjne są przetwarzane wyłącznie w obrębie EOG (Polska, Niemcy, Irlandia, Malta).
Niektórzy dostawcy narzędzi technicznych (analityka, marketing, ochrona Portalu) mogą przetwarzać dane w USA. W takich przypadkach stosujemy zabezpieczenia wymagane przez RODO:
- EU-U.S. Data Privacy Framework - Google, Meta, Microsoft i Cloudflare są aktywnymi uczestnikami,
- standardowe klauzule umowne zatwierdzone przez Komisję Europejską,
- ocena skutków transferu (Transfer Impact Assessment).
Kopię klauzul i informacje o zabezpieczeniach możesz uzyskać od naszego IOD.
7. Pliki cookies
Czym są i jak nimi zarządzasz
Cookies to małe pliki zapisywane w Twojej przeglądarce. Stosujemy 4 kategorie:
- Niezbędne - bez nich Portal nie działa (sesja, koszyk, zapamiętanie zgody). Zawsze aktywne.
- Funkcjonalne - zapamiętują preferencje (język, ścieżka), umożliwiają osadzanie map i wideo. Wymagają zgody.
- Analityczne - pomagają nam zrozumieć, jak korzystasz z Portalu (Google Analytics). Wymagają zgody.
- Marketingowe - pozwalają mierzyć skuteczność reklam i pokazywać dopasowane treści (Google Ads, Meta, Bing). Wymagają zgody.
Zgodą zarządzasz przez banner cookies przy pierwszej wizycie lub klikając "Ustawienia cookies" w stopce Portalu w dowolnym momencie.
Lista plików cookies
| Nazwa | Kategoria | Czas życia | Cel |
|---|---|---|---|
| PHPSESSID | Niezbędne | sesja | Sesja serwera |
| tmed_consent | Niezbędne | 365 dni | Zapamiętanie wyboru w bannerze cookies |
| tm_sid | Funkcjonalne | 30 dni | Identyfikator sesji własnego licznika odsłon (statystyki ruchu, niepowiązany z Twoją tożsamością) |
| utm_*, gclid, fbclid, gad_source, srsltid, msclkid | Marketingowe | 30 dni | Rozpoznanie źródła wizyty (z jakiej kampanii przyszedłeś) |
| landing_page, utm_journey | Funkcjonalne | 30 dni | Ścieżka użytkownika |
| _ga, ga* | Analityczne | 14 miesięcy | Google Analytics 4 |
| _gcl_au, _gcl_aw, _gcl_dc | Marketingowe | 90 dni | Google Ads |
| _fbp, fr | Marketingowe | 90 dni | Meta Pixel |
| _uetsid, _uetvid | Marketingowe | 30 min / 13 mies. | Microsoft Bing UET |
Cookies możesz też wyłączyć w ustawieniach przeglądarki - instrukcje znajdziesz w pomocy każdej z nich (Chrome, Firefox, Safari, Edge).
8. Twoje prawa
W związku z przetwarzaniem danych przysługują Ci prawa do:
- dostępu do swoich danych i otrzymania ich kopii,
- sprostowania nieprawidłowych lub uzupełnienia niekompletnych danych,
- usunięcia danych ("prawo do bycia zapomnianym") - z zastrzeżeniem, że dane w dokumentacji medycznej muszą być przechowywane przez 20 lat zgodnie z prawem,
- ograniczenia przetwarzania,
- przenoszenia danych w ustrukturyzowanym formacie,
- sprzeciwu wobec przetwarzania na podstawie naszego uzasadnionego interesu (np. marketingu),
- wycofania zgody w dowolnym momencie,
- niepodlegania decyzji automatycznej (w przypadku prognoz frekwencji masz prawo do interwencji człowieka),
- wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa, https://uodo.gov.pl).
Aby skorzystać z tych praw, napisz do naszego IOD: [email protected]. Odpowiadamy w terminie do 1 miesiąca.
9. Bezpieczeństwo danych
Stosujemy środki techniczne i organizacyjne odpowiednie do rodzaju przetwarzanych danych:
- wszystkie połączenia z Portalem są szyfrowane (HTTPS),
- bazy danych są zaszyfrowane i przechowywane w Polsce oraz EOG,
- dostęp do dokumentacji medycznej mają wyłącznie upoważnieni pracownicy, każdy dostęp jest rejestrowany,
- personel przechodzi cykliczne szkolenia z ochrony danych i tajemnicy lekarskiej,
- mamy procedurę reagowania na incydenty (zgłoszenie do UODO w 72 godziny zgodnie z art. 33 RODO).
10. Dane osób niepełnoletnich
Świadczymy usługi również osobom niepełnoletnim. Zgodę na szczepienie i przetwarzanie danych dziecka wyraża rodzic lub opiekun prawny, który musi być obecny przy szczepieniu. Komunikacji marketingowej nie kierujemy do osób niepełnoletnich.
11. Linki do innych stron
Portal może zawierać linki do stron podmiotów trzecich (np. WHO, ECDC, partnerów). Nasza Polityka nie obejmuje przetwarzania danych przez te podmioty - w razie odwiedzin tych stron zapoznaj się z ich politykami.
12. Zmiany Polityki
Politykę aktualizujemy w razie zmian prawa, technologii lub zakresu usług. O istotnych zmianach poinformujemy Cię przez komunikat na stronie głównej oraz, jeśli wyraziłeś zgodę na komunikację, e-mailem.
Aktualna wersja: 2.0, 2 maja 2026 r.
W razie pytań - napisz do naszego IOD: [email protected] lub na [email protected].