1. Szyfrowanie danych

Dane w tranzycie

Wszystkie dane przesyłane za pośrednictwem naszej strony internetowej i aplikacji (np. informacje medyczne, dane weryfikacji tożsamości, dane konta i zamówienia) są szyfrowane przy użyciu TLS 1.2 lub wyższy.

Dane w spoczynku

Dane przechowywane w naszych bazach danych i kopiach zapasowych są szyfrowane przy użyciu AES-256 lub równoważnego standardu kryptograficznego w branży.

Nowoczesne zabezpieczenia

Te środki są zgodne z wymaganym przez Artykuł 32 RODO / UK RODO standardem bezpieczeństwa "najwyższej jakości".

2. Lokalizacje serwerów i hosting

Hosting danych w UE

Wszystkie dane osobowe użytkowników z UE są hostowane wyłącznie na serwerach w Europejski Obszar Gospodarczy (EOG).

Certyfikowane centra danych

Transtoyou korzysta z centrów danych certyfikowanych zgodnie z ISO 27001, SOC 2 oraz spełniających wszystkie odpowiednie wymagania RODO.

Międzynarodowe transfery

Żadne dane osobowe nie są transferowane poza EOG, chyba że odbywa się to na podstawie:

Standardowych klauzul umownych (SCC)
Decyzji o odpowiedniości wydanej przez Komisję Europejską
Wyraźnej zgody osoby, której dane dotyczą

3. Dostęp użytkowników do danych i przenoszenie danych (UE Data Act)

Użytkownicy mogą uzyskać dostęp, pobrać i wyeksportować swoje dane konta oraz dane generowane przez usługi bezpośrednio przez swoje konto Transtoyou.

Gdzie to technicznie możliwe, użytkownicy mogą również zażądać, aby Transtoyou przesłało te dane do osoby trzeciej wyznaczonej przez użytkownika, zgodnie z obowiązującymi zasadami dostępu do danych i przenoszenia danych w UE, w tym z UE Data Act, jeśli ma to zastosowanie.

Uzyskaj dostęp do swoich danych

Pobierz i wyeksportuj swoje dane bezpośrednio z panelu.

Przejdź do panelu

4. Weryfikacja tożsamości (sprawdzenie ID)

Transtoyou może wymagać jednorazowej weryfikacji tożsamości w przypadku:

Ścieżek recept wysokiego ryzyka

Ścieżek opieki zdrowotnej dla osób transpłciowych, gdy wymaga tego prawo lub standardy bezpieczeństwa

Podejrzenia nadużycia, wskaźniki oszustwa lub niespójne dane medyczne

Obowiązki regulacyjne lub apteczne

Jak działa weryfikacja tożsamości

Weryfikacja tożsamości polega na automatycznym rozpoznawaniu ważnego dokumentu tożsamości wydanego przez rząd oraz dopasowaniu twarzy w celu potwierdzenia tożsamości.

Dane biometryczne jest przetwarzane wyłącznie w celu jednorazowej weryfikacji tożsamości, zapobiegania oszustwom i bezpiecznego przepisywania. Nie jest wykorzystywane do marketingu, profilowania ani żadnych innych celów.

Podstawą prawną przetwarzania biometrycznego jest artykuł 9(2) RODO / UK RODO oraz artykuł 6(1), wspierany przez analizy skutków dla ochrony danych, ścisłe ograniczenie celu i zasady przechowywania.

Weryfikacja przez stronę trzecią

Weryfikacja tożsamości jest przeprowadzana przez wyspecjalizowanego dostawcę zewnętrznego działającego jako procesor w imieniu Transtoyou.

Transtoyou nie przechowuje kopii dokumentu tożsamości. Otrzymujemy tylko status weryfikacji oraz ograniczone metadane niezbędne do zapewnienia zgodności i zapobiegania oszustwom.

Przechowywanie danych przez dostawcę jest ograniczone do tego, co jest wymagane prawnie i regulowane przez naszą Umowę o Przetwarzaniu Danych.

5. Uwierzytelnianie dwuskładnikowe (2FA)

Personel, lekarze i apteki

Obowiązkowe

2FA jest obowiązkowe dla wszystkich logowań, zgodnie z najlepszymi praktykami zabezpieczania dostępu do danych medycznych.

Klienci

Opcjonalne, ale zalecane

2FA jest opcjonalne, ale zdecydowanie zalecane. Po włączeniu wymagany jest drugi krok autoryzacji (np. SMS) podczas logowania lub składania zamówienia.

6. Wrażliwe operacje i kontrole dostępu

Przeglądy medyczne i zatwierdzenia recept są wykonywane tylko przez licencjonowanych lekarzy zalogowanych za pomocą 2FA, z dostępem ograniczonym tylko do wymaganych danych pacjenta.
Nie wymaga się dodatkowej ponownej autoryzacji (np. biometrii) dla lekarzy podczas wrażliwych działań, ale obowiązuje ścisłe Kontrola dostępu oparta na rolach (RBAC).
Każdy dostęp do dokumentacji medycznej jest rejestrowany i audytowalny.

7. Dzienniki audytu i rejestracja dostępu

Kompleksowe rejestrowanie

Transtoyou prowadzi rejestry wszystkich dostępu do danych konsultacji, recept, weryfikacji tożsamości i danych użytkowników.

Regularny przegląd

Rejestry są okresowo przeglądane w celu wykrycia nieautoryzowanego dostępu lub anomalii.

Ograniczony dostęp

Dostęp do dokumentacji medycznej mają tylko upoważnione osoby z określoną rolą operacyjną.

8. Bezpieczeństwo konsultacji wideo i czatu

Bezpieczna platforma konsultacyjna

Transtoyou korzysta z bezpiecznej platformy konsultacyjnej wideo i czatu z szyfrowanymi połączeniami (TLS/DTLS/SRTP) oraz ścisłymi kontrolami dostępu.

Nagrania konsultacji

Konsultacje wideo i/lub czatu mogą być nagrywane tylko w przypadku, gdy jest to konieczne dla:

Bezpieczeństwa klinicznego
Zapewnienia jakości
Szkolenia związanego z bezpieczeństwem pacjentów
Rozwiązywania sporów lub skarg (na przykład, jeśli użytkownik lub lekarz kwestionuje to, co zostało powiedziane podczas konsultacji)

Okres przechowywania: 90 dni

Nagrania są przechowywane w bezpieczny sposób przez ograniczony czas 90 dni, po czym są automatycznie usuwane, chyba że dłuższy okres przechowywania jest wymagany z powodu otwartej skargi, obowiązku prawnego lub trwającego dochodzenia. Zgodnie z zasadą ograniczenia przechowywania RODO/RODO w Wielkiej Brytanii.

Ważne zabezpieczenia

Dostęp do nagrań jest ściśle ograniczony do przypisanego lekarza oraz upoważnionego personelu ds. zgodności lub rozwiązywania sporów, zgodnie z RBAC i pełnym rejestrowaniem audytów.
Nagrania nigdy nie są wykorzystywane do celów marketingowych, profilowania ani żadnych niezwiązanych celów.
Użytkownicy są informowani przed rozpoczęciem konsultacji, że nagranie może mieć miejsce, o celu nagrania oraz o okresie przechowywania.

9. Ochrona przed naruszeniem danych

Nasz protokół reakcji

W przypadku naruszenia danych, Transtoyou:

Powiadomienie władz

Powiadamia odpowiedni organ ochrony danych (np. Andmekaitse Inspektsioon w Estonii) w ciągu 72 godzin, zgodnie z wymaganiami artykułów 33 i 34 RODO.

Powiadomienie Użytkowników

Jeśli istnieje wysokie ryzyko dla osób, zostaną powiadomieni bezpośrednio.

Analiza Przyczyn Źródłowych

Analiza przyczyn źródłowych jest przeprowadzana po każdym incydencie, z natychmiast podjęte działania korygujące.

10. Środki Bezpieczeństwa Wewnętrznego

Przegląd Uprawnień Dostępu

Uprawnienia dostępu są przeglądane regularnie oraz natychmiast po zmianie roli lub zakończeniu zatrudnienia.

Szkolenie z zakresu bezpieczeństwa

Szkolenie z zakresu świadomości bezpieczeństwa i prywatności jest obowiązkowe dla wszystkich pracowników mających dostęp do danych osobowych lub medycznych.

Regularne aktualizacje

Polityki bezpieczeństwa i środki techniczne są regularnie przeglądane i aktualizowane.

11. Umowy o przetwarzaniu danych i podmioty przetwarzające

Transtoyou podpisało Umowy o przetwarzaniu danych (DPA) z wszystkimi zewnętrznymi procesorami (w tym dostawcami hostingu, dostawcami weryfikacji tożsamości, aptekami, lekarzami i narzędziami marketingowymi).
Podmioty przetwarzające mogą przetwarzać dane tylko na podstawie instrukcji i pod nadzorem Transtoyou.
Aktualna lista podmiotów przetwarzających jest dostępna na żądanie pod adresem: privacy@transtoyou.com

12. Rejestr czynności przetwarzania (art. 30 RODO)

Transtoyou prowadzi wewnętrzny Rejestr Czynności Przetwarzania (ROPA) zgodnie z artykułem 30 RODO.

Ten rejestr zawiera:

Wszystkie czynności przetwarzania
Cele
Kategorie danych osobowych
Podmioty przetwarzające
Miejsca przechowywania
Okresy przechowywania
Zastosowane środki bezpieczeństwa

Jest dostępne dla organów nadzorczych na żądanie.

13. Oceny skutków ochrony danych (DPIA)

Dla wszystkich przetwarzania danych medycznych lub wrażliwych, Transtoyou regularnie przeprowadza Oceny skutków ochrony danych (DPIA) zgodnie z artykułem 35 RODO.

DPIA są również przeprowadzane przed wprowadzeniem nowych technologii lub procesów roboczych, które wiążą się z podwyższonym ryzykiem prywatności.

14. Wewnętrzny inspektor ochrony prywatności (nie-DPO)

Transtoyou nie ma prawnego obowiązku powoływania inspektora ochrony danych (DPO) na podstawie artykułu 37 RODO, ponieważ działamy w ramach tajemnicy zawodowej.

Jednakże, powołaliśmy wewnętrzny inspektor ochrony prywatności do nadzorowania:

Zgodność z przepisami o ochronie prywatności
Utrzymanie naszego rejestru przetwarzania
Wykonanie ocen skutków dla ochrony danych (DPIA)
Przegląd umów z podmiotami przetwarzającymi

Ta osoba pełni rolę głównego punktu kontaktowego w sprawach prywatności i wspiera audyty, reakcję na naruszenia oraz łagodzenie ryzyka.

Pytania lub zgłaszanie obaw

Jeśli masz pytania dotyczące bezpieczeństwa danych lub chcesz zgłosić (podejrzaną) lukę, skontaktuj się z nami:

Zespół ds. Prywatności i Bezpieczeństwa

W przypadku pytań i obaw dotyczących bezpieczeństwa:
privacy@transtoyou.com

Zgłoś lukę

Znalazłeś problem z bezpieczeństwem? Daj nam znać:
privacy@transtoyou.com

Twoje bezpieczeństwo jest dla nas priorytetem

Nieustannie inwestujemy w ochronę Twoich danych osobowych i medycznych, stosując nowoczesne środki bezpieczeństwa.

Polityka prywatności Prawa GDPR

Typ

Zakres cenowy

Zdrowie seksualne i wydolność

Zdrowie hormonalne i witalność

Pielęgnacja włosów i skóry głowy

Antykoncepcja

Zdrowie hormonalne i reprodukcyjne

Zdrowie waginalne i menstruacyjne

Opieka hormonalna i tranzycyjna

Wsparcie zdrowotne

Wsparcie psychiczne i ogólne

Ból i powrót do zdrowia

Choroby przewlekłe i metaboliczne

Alergie, infekcje i układ moczowy

Dermatologia i intymne

Przegląd wsparcia

Twoje darmowe narzędzia eHealth

O Transtoyou eHealth

Transtoyou social media