Synapsa.app
HealthTech Enterprise Trust

Prywatność i Bezpieczeństwo Danych Medycznych

W Synapsa AI stosujemy rygorystyczne standardy ochrony danych wrażliwych, łącząc architekturę Hybrid Local-First z certyfikowaną infrastrukturą chmurową. Niniejszy dokument stanowi wiążącą deklarację techniczną i prawną.

Wersja Systemowa: v2.2.0-SEC-COMPLIANT
Ostatnia Rewizja: 29 stycznia 2026 r.

I. Administrator Danych Osobowych

Administratorem Twoich danych osobowych (jako Użytkownika-Specjalisty) oraz Podmiotem Przetwarzającym dane Twoich pacjentów w rozumieniu Art. 28 RODO jest:

Siedziba Główna

AETION LABS Sp. z o.o.

Al. Jerozolimskie 109/70, 02-011 Warszawa

KRS 0001220146
NIP 7011296686
REGON 543829761

Organ rejestrowy: SĄD REJONOWY DLA M.ST. WARSZAWY W WARSZAWIE, XII WYDZIAŁ GOSPODARCZY KRAJOWEGO REJESTRU SĄDOWEGO

II. Definicje i Kategorie Przetwarzania

System Synapsa AI (Moduły MIND i MED) operuje na ściśle zdefiniowanych zbiorach danych, podlegających różnym reżimom ochrony:

A Dane Konta (PDI)

Dane niezbędne do zawarcia i wykonania umowy. Obejmują: identyfikatory systemowe, dane uwierzytelniające, rejestry aktywności technicznej (logs), dane bilingowe oraz konfigurację gabinetu.
Podstawa: Art. 6 ust. 1 lit. b RODO.

B Dane Kliniczne (PHI)

Kluczowe dane wrażliwe przetwarzane na zlecenie Specjalisty. Obejmują: nagrania audio sesji (ephemeral), transkrypcje tekstowe, analizy kliniczne (SOAP, transferencja, red-flags), diagnozy oraz parametry wizyt.
Podstawa: Umowa powierzenia przetwarzania.

III. Manifest Architektury Hybrid Core

Desktop Strategy

Aplikacja Desktopowa realizuje model Privacy-at-Rest. Dane są zapisywane w lokalnej, szyfrowanej bazie SQLite (SQLCipher-ready) przed jakąkolwiek próbą synchronizacji. Specjalista posiada fizyczną kopię danych na własnym urządzeniu.

PowerSync Engine Gwarantuje integralność danych w czasie rzeczywistym.

Cloud Strategy

Wersja Web oraz warstwa synchronizacji wykorzystują infrastrukturę Supabase. Dane w chmurze są izolowane na najniższym poziomie bazy danych. Komunikacja odbywa się wyłącznie przez zaszyfrowane kanały TLS 1.3.

PostgreSQL + RLS Fizyczna niemożliwość dostępu międzydomenowego.

IV. Row Level Security (Izolacja Granularna)

W przeciwieństwie do tradycyjnych baz danych, gdzie dostęp jest kontrolowany na poziomie aplikacji, Synapsa AI wdraża mechanizm Row Level Security (RLS) bezpośrednio w silniku bazy danych PostgreSQL. Każdy rekord (sesja, profil pacjenta, notatka) posiada nieusuwalny znacznik własności `user_id`.

"Oznacza to, że nawet w przypadku błędu w kodzie frontendu, baza danych odrzuci jakąkolwiek próbę odczytu rekordu przez osobę inną niż zalogowany właściciel. Uprawnienia są egzekwowane na poziomie jądra bazy danych, co stanowi najwyższy standard bezpieczeństwa w architekturze chmurowej."

V. Gwarancje Bezpieczeństwa Systemów AI

Zero-Training Policy

Współpraca z Google Cloud (Vertex AI) odbywa się w reżimie Enterprise Privacy. Dane przesyłane do analizy klinicznej są wyłączone z procesów szkoleniowych modeli Gemini. Twoja unikalna metodologia pracy i dane pacjentów nie zasilają publicznych modeli AI.

Compliance: GCP Enterprise Agreement

Ephemeral Audio Processing

Silnik transkrypcji Whisper (OpenAI Enterprise) przetwarza strumień audio w trybie State-less. Pliki tymczasowe są niszczone natychmiast po wygenerowaniu transkrypcji tekstowej. Nie przechowujemy nagrań audio dłużej, niż wymaga tego proces techniczny.

Security: AES-256 TLS Encryption

VI. Autoryzowani Subprocesorzy i Regiony

Partner Technologiczny Lokalizacja Danych
Supabase Inc. (AWS) Frankfurt (EU-Central-1)
Google Cloud (Vertex AI) Warsaw / Belgium (EU)
PowerSync Inc. AWS Infrastructure (EU)

Wszyscy nasi subprocesorzy są zobowiązani do przestrzegania Standardowych Klauzul Umownych (SCC) oraz zapewnienia bezpieczeństwa na poziomie zgodnym z RODO.

VII. Retencja i Trwałe Usuwanie Danych

Synapsa AI stosuje zasadę ograniczenia przechowywania:

  • Dane Aktywne: Przechowywane przez okres trwania subskrypcji.
  • Usunięcie Konta: Po zgłoszeniu żądania usunięcia konta, dane Specjalisty są trwale nadpisywane (Hard-Delete) w ciągu 30 dni.
  • Kopie Zapasowe: Backup bazy danych jest przechowywany przez 90 dni i jest w pełni zaszyfrowany kluczem Administratora Infrastruktury.

VIII. Twoje Prawa (Control Center)

Portability

Możliwość eksportu wszystkich sesji do formatu JSON/CSV w dowolnym momencie.

Erasure

Prawo do bycia zapomnianym - całkowite czyszczenie Twoich danych z chmury.

Access

Pełny wgląd w rejestry dostępowe - widzisz, kiedy system uzyskiwał dostęp do danych.

Rectification

Natychmiastowa możliwość korekty błędnych danych klinicznych.

Restriction

Zablokowanie przetwarzania na czas rozpatrywania sporów.

Objection

Prawo do sprzeciwu wobec określonych procesów analitycznych AI.

Technical Response Team

Masz wątpliwości techniczne dotyczące szyfrowania lub chcesz zgłosić incydent bezpieczeństwa? Nasz zespół Inżynierów Bezpieczeństwa oraz Inspektor Ochrony Danych są dostępni 24/7.

Security & Privacy Inquiries

security@synapsa.app

Data Protection Officer

iod@synapsa.app