Polityka Prywatności

1. Administrator danych

Administratorem Twoich danych osobowych jest:

TAM LABS SPÓLKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ
ul. Twarda 18, 00-105 Warszawa
KRS: 0001070536
NIP: 5252981359
REGON: 527013380

Administrator nie jest zobowiązany do wyznaczenia Inspektora Ochrony Danych na podstawie art. 37 RODO, ponieważ przetwarzanie danych nie stanowi głównej działalności polegającej na operacjach wymagających regularnego i systematycznego monitorowania osób na dużą skalę ani na przetwarzaniu na dużą skalę szczególnych kategorii danych.

W sprawach związanych z ochroną danych osobowych możesz skontaktować się z nami pod adresem e-mail: hello@pupsy.app.

2. Kategorie danych osobowych

W ramach korzystania z aplikacji Pupsy przetwarzamy następujące kategorie danych:

Kategoria	Zakres danych
Konto użytkownika	Adres e-mail, hasło (przechowywane w Supabase Auth w formie zahashowanej), imię, preferowany język. W przypadku logowania przez Google OAuth: adres e-mail i dane profilowe Google (imię, zdjęcie profilowe).
Dane zwierząt	Imię zwierzęcia, gatunek, rasa, data urodzenia, płeć, waga, numer mikroczipa, alergie, choroby przewlekłe, dieta, zdjęcie profilowe.
Dane zdrowotne zwierząt	Wizyty weterynaryjne, szczepienia, leki, zabiegi i operacje, koszty leczenia, dokumenty medyczne (zdjęcia, pliki PDF), notatki właściciela.
Dane AI (analiza objawów)	Opis objawów (do 2000 znaków), kategoria problemu zdrowotnego, zdjęcie, odpowiedzi wygenerowane przez AI, logi czatu.
Skaner dokumentów	Zdjęcia skanowanych dokumentów, tekst rozpoznany przez OCR, wyekstrahowane dane (leki, wyniki badań, diagnozy).
Lokalizacja	Współrzędne GPS (wyłącznie w celu wyszukiwania weterynarzy w pobliżu; tryb „while in use”; dane NIE są przechowywane na serwerze).
Zdjęcia	Galeria zdjęć zwierząt z tagami i opisami.
Powiadomienia	Token FCM (Firebase Cloud Messaging), dane przypomnień (typ, data, treść).
Subskrypcja	Status subskrypcji, historia zakupów (przetwarzane przez RevenueCat; Pupsy nie przechowuje danych płatniczych, takich jak numery kart).

Uwaga dotycząca danych zwierząt Dane dotyczące zdrowia zwierząt nie stanowią szczególnych kategorii danych osobowych w rozumieniu art. 9 RODO, ponieważ dotyczą zwierząt, a nie ludzi. Jednocześnie, w połączeniu z danymi identyfikującymi właściciela, stanowią dane osobowe w rozumieniu art. 4 pkt 1 i podlegają ochronie na podstawie art. 6 RODO.

Dane obowiązkowe a opcjonalne Podanie adresu e-mail jest niezbędne do utworzenia konta i korzystania z Usługi (art. 13 ust. 2 lit. e RODO). Podanie danych zwierząt (imię, gatunek, rasa), zdjęć, opisów objawów i dokumentów weterynaryjnych jest dobrowolne, jednak odmowa ich podania uniemożliwi korzystanie z odpowiednich funkcji Aplikacji (kartotek zdrowia, analizy AI, skanera dokumentów).

Źródło danych W przypadku logowania za pośrednictwem Google Sign-In, dane identyfikacyjne (adres e-mail, imię, zdjęcie profilowe) są pozyskiwane bezpośrednio od dostawcy usługi uwierzytelniania (Google LLC), za zgodą użytkownika wyrażoną w procesie logowania OAuth 2.0. Pozostałe dane są zbierane bezpośrednio od użytkownika.

3. Cele i podstawy prawne przetwarzania

a) Wykonanie umowy (art. 6 ust. 1 lit. b RODO)

Założenie i prowadzenie konta użytkownika
Przechowywanie profili zwierząt i ich danych zdrowotnych
Udostępnianie funkcji analizy objawów AI i czatu AI
Skanowanie i ekstrakcja danych z dokumentów weterynaryjnych
Obsługa subskrypcji i realizacja zakupów
Wysyłanie powiadomień transakcyjnych (przypomnienia o szczepieniach, lekach, wizytach)

b) Zgoda (art. 6 ust. 1 lit. a RODO)

Dostęp do lokalizacji GPS w celu wyszukiwania weterynarzy
Otrzymywanie marketingowych powiadomień push
Firebase Analytics — zbieranie danych analitycznych (na podstawie dyrektywy ePrivacy, art. 5 ust. 3, która jako lex specialis wymaga zgody na dostęp do informacji przechowywanych w urządzeniu końcowym)
Komunikacja marketingowa

Ważne: Firebase Analytics a ePrivacy Zbieranie danych analitycznych za pośrednictwem Firebase Analytics odbywa się na podstawie zgody użytkownika (art. 6 ust. 1 lit. a RODO w połączeniu z art. 5 ust. 3 dyrektywy ePrivacy), a NIE na podstawie prawnie uzasadnionego interesu. Dyrektywa ePrivacy jest lex specialis wobec RODO w zakresie dostępu do urządzeń końcowych.

c) Prawnie uzasadniony interes administratora (art. 6 ust. 1 lit. f RODO)

Zapewnienie bezpieczeństwa usług i ochrona przed nadużyciami
Raportowanie błędów (crash reporting) w celu poprawy jakości aplikacji
Ochrona przed nieautoryzowanym dostępem i oszustwami

4. Odbiorcy danych

Twoje dane osobowe mogą być udostępniane następującym podmiotom przetwarzającym (procesorom), z którymi zawarliśmy stosowne umowy powierzenia przetwarzania danych (DPA):

Usługa	Zakres danych	Lokalizacja serwerów	Mechanizm transferu
Supabase (+ AWS)	Wszystkie dane konta, zwierząt, zdrowotne, AI, dokumenty, zdjęcia	EU West (Irlandia)	EOG — dane przetwarzane w EOG. Supabase Inc. (USA) posiada DPA + SCC na wypadek zdalnego dostępu serwisowego z USA.
OpenAI (GPT-4o)	Opisy objawów, zdjęcia, dokumenty skanowane, logi czatu	USA	SCC + DPA + TIA
Google Maps / Places	Współrzędne GPS	USA	EU-US DPF (certyfikacja nr 5780) + SCC jako zabezpieczenie dodatkowe
Firebase (Google)	Token FCM, identyfikator urządzenia, dane analityczne	USA	EU-US DPF (certyfikacja nr 5780) + SCC jako zabezpieczenie dodatkowe
RevenueCat	Identyfikator użytkownika, status subskrypcji	USA	SCC + DPA
Google Sign-In	Adres e-mail, imię, zdjęcie profilowe	USA	EU-US DPF (certyfikacja nr 5780)
Apple Sign-In	Adres e-mail (w tym adres relay), imię	USA	SCC + Apple Data Processing Addendum

Nie sprzedajemy Twoich danych osobowych podmiotom trzecim. Nie udostępniamy ich w celach reklamowych.

5. Transfer danych poza EOG

Niektórzy z naszych podwykonawców przetwarzają dane poza Europejskim Obszarem Gospodarczym (EOG). W każdym przypadku stosujemy odpowiednie zabezpieczenia wymagane przez Rozdział V RODO:

OpenAI (USA)

Standardowe klauzule umowne (SCC) — zgodne z decyzją wykonawczą Komisji (UE) 2021/914
Umowa powierzenia przetwarzania danych (DPA) z OpenAI
Ocena skutków transferu (TIA) — przeprowadzona zgodnie z zaleceniami EDPB 01/2020

Google (Maps, Firebase, Sign-In) (USA)

EU-US Data Privacy Framework (DPF) — Google LLC posiada aktywną certyfikację (nr 5780) na podstawie decyzji wykonawczej Komisji Europejskiej z dnia 10 lipca 2023 r. (C(2023) 4745)
SCC jako zabezpieczenie dodatkowe na wypadek unieważnienia decyzji o adekwatności

RevenueCat (USA)

Standardowe klauzule umowne (SCC)
Umowa powierzenia przetwarzania danych (DPA) z RevenueCat Inc.

Kopie SCC i DPA są dostępne na żądanie — prosimy o kontakt pod adresem hello@pupsy.app.

6. Okres przechowywania danych

Kategoria danych	Okres przechowywania
Dane konta	Przez okres posiadania konta + 30 dni po jego usunięciu (na wypadek przypadkowego usunięcia).
Dane subskrypcji i zakupów	5 lat od końca roku kalendarzowego, w którym dokonano transakcji — zgodnie z art. 70 Ordynacji podatkowej (obowiązek podatkowy).
Logi AI i czatu	Przez okres posiadania konta, nie dłużej niż 3 lata od ostatniej aktywności w aplikacji.
Zdjęcia i dokumenty	Usuwane po usunięciu konta. OpenAI może przechowywac przekazane dane do 30 dni w celu monitorowania bezpieczeństwa (abuse monitoring).
Token FCM	Do momentu wylogowania lub usunięcia konta.
Dane lokalizacyjne	Przetwarzane jednorazowo (transiently) — nie są przechowywane na serwerze ani lokalnie na urządzeniu. Brak retencji.
Dane analityczne (Firebase)	Maksymalnie 26 miesięcy od daty zebrania.

Po upływie okresów przechowywania dane są trwale usuwane lub skutecznie anonimizowane.

7. Bezpieczeństwo danych

Stosujemy odpowiednie środki techniczne i organizacyjne w celu ochrony Twoich danych osobowych, w tym:

Szyfrowanie w transmisji — cała komunikacja między aplikacją a serwerami odbywa się za pośrednictwem protokołu HTTPS/TLS.
Szyfrowanie w spoczynku — dane przechowywane na serwerach Supabase (AWS) są szyfrowane (encryption at rest).
Row Level Security (RLS) — polityki bezpieczeństwa na poziomie wierszy bazy danych zapewniają, że użytkownik ma dostęp wyłącznie do swoich danych.
Podpisane adresy URL — pliki (zdjęcia, dokumenty) są udostępniane za pośrednictwem podpisanych adresów URL z ograniczonym czasem ważności (TTL: 7 dni).
Bezpieczne przechowywanie tokenów — tokeny uwierzytelniające są przechowywane w bezpiecznym magazynie urządzenia (Secure Storage / Keychain).
Hashowanie haseł — hasła użytkowników są przechowywane wyłącznie w formie zahashowanej (bcrypt) i nigdy nie są przechowywane w postaci jawnej.

8. Prawa użytkownika (RODO)

Na podstawie Rozporządzenia Ogólnego o Ochronie Danych (RODO) przysługują Ci następujące prawa:

1

Prawo dostępu (art. 15 RODO)

Masz prawo uzyskać od nas potwierdzenie, czy przetwarzamy Twoje dane osobowe, oraz dostęp do tych danych i informacji o sposobie ich przetwarzania.
2

Prawo do sprostowania (art. 16 RODO)

Masz prawo żądać niezwłocznego sprostowania nieprawidłowych danych osobowych lub uzupełnienia danych niekompletnych.
3

Prawo do usunięcia — „prawo do bycia zapomnianym” (art. 17 RODO)

Masz prawo żądać usunięcia swoich danych osobowych, a my mamy obowiązek je usunąć, gdy zachodzi jedna z przesłanek określonych w art. 17 ust. 1 RODO.
4

Prawo do ograniczenia przetwarzania (art. 18 RODO)

Masz prawo żądać ograniczenia przetwarzania danych w przypadkach określonych w art. 18 RODO (np. kwestionowanie prawidłowości danych).
5

Prawo do przenoszenia danych (art. 20 RODO)

Masz prawo otrzymać swoje dane osobowe w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego (format JSON). Masz również prawo przesłać te dane innemu administratorowi.
6

Prawo do sprzeciwu (art. 21 RODO)

Masz prawo w dowolnym momencie wnieść sprzeciw wobec przetwarzania danych opartego na prawnie uzasadnionym interesie administratora (art. 6 ust. 1 lit. f).
7

Prawo do cofnięcia zgody (art. 7 ust. 3 RODO)

Jeśli przetwarzanie odbywa się na podstawie zgody, masz prawo cofnąć ją w dowolnym momencie. Cofnięcie zgody nie wpływa na zgodność z prawem przetwarzania dokonanego przed jej cofnięciem.
8

Prawo do wniesienia skargi do organu nadzorczego

Masz prawo wnieść skargę do Prezesa Urzędu Ochrony Danych Osobowych (UODO), ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl.

Termin realizacji Na Twoje żądanie odpowiemy bez zbędnej zwłoki, nie później niż w terminie 1 miesiąca od otrzymania żądania. W przypadku złożoności lub liczby żądań termin może zostać przedłużony o kolejne 2 miesiące, o czym zostaniesz poinformowany/poinformowana.

Aby skorzystać z powyższych praw, skontaktuj się z nami pod adresem: hello@pupsy.app.

9. Zautomatyzowane decyzje i profilowanie

Aplikacja Pupsy wykorzystuje sztuczną inteligencję (modele OpenAI GPT-4o) do analizy objawów zdrowotnych zwierząt, skanowania dokumentów i prowadzenia czatu doradczego.

Odpowiedzi generowane przez AI mają wyłącznie charakter informacyjny i edukacyjny. AI nie podejmuje decyzji wywołujących skutki prawne lub w podobny sposób istotnie wpływających na użytkownika w rozumieniu art. 22 RODO.

W szczególności:

AI nie zastępuje konsultacji weterynaryjnej i nie stanowi diagnozy medycznej.
Użytkownik zawsze podejmuje ostateczną decyzję dotyczącą zdrowia swojego zwierzęcia.
Nie stosujemy profilowania wywołującego skutki prawne lub w podobny sposób istotnie wpływającego na użytkownika.

10. Dane dzieci

Aplikacja Pupsy jest przeznaczona dla osób, które ukończyły 16 lat (zgodnie z art. 8 RODO w połączeniu z art. 7 ust. 2 polskiej ustawy o ochronie danych osobowych z dnia 10 maja 2018 r.).

Nie zbieramy świadomie danych osobowych od osób poniżej 16. roku życia bez zgody rodzica lub opiekuna prawnego. Weryfikacja wieku opiera się na oświadczeniu użytkownika podczas rejestracji.

Ochrona danych dzieci Jeśli dowiemy się, że przetwarzamy dane osobowe osoby poniżej 16. roku życia bez wymaganej zgody rodzica lub opiekuna prawnego, niezwłocznie usuniemy te dane i powiązane konto.

11. Dane lokalizacyjne

Aplikacja Pupsy używa danych lokalizacyjnych wyłącznie w celu wyszukiwania gabinetów weterynaryjnych w pobliżu użytkownika.

Tryb dostępu: „while in use” (tylko gdy aplikacja jest aktywna).
Przechowywanie: dane lokalizacyjne NIE są zapisywane na serwerze ani przechowywane lokalnie. Są używane jednorazowo (transiently) w momencie wyszukiwania i nie są logowane.
Przekazywanie: współrzędne GPS są przekazywane do Google Maps/Places API wyłącznie w celu wyświetlenia mapy i wyników wyszukiwania.
Cofnięcie zgody: możesz w każdej chwili wyłączyć dostęp do lokalizacji w ustawieniach systemu operacyjnego. Aplikacja będzie działać normalnie, ale funkcja wyszukiwania weterynarzy w pobliżu nie będzie dostępna.

Praktyczna wskazówka Fotografuj wyłącznie zwierzę lub dokument weterynaryjny, nie siebie. Unikniesz w ten sposób przypadkowego udostępnienia wizerunku w kontekście danych zdrowotnych.

12. Powiadomienia push

Powiadomienia transakcyjne (służbowe)

Powiadomienia bezpośrednio związane ze świadczeniem usługi — takie jak przypomnienia o szczepieniach, podaniu leku, nadchodzącej wizycie weterynaryjnej — są wysyłane na podstawie umowy o świadczenie usługi (art. 6 ust. 1 lit. b RODO) i nie wymagają oddzielnej zgody marketingowej.

Powiadomienia marketingowe

Powiadomienia o charakterze marketingowym (np. informacje o nowych funkcjach, promocjach) są wysyłane wyłącznie po uzyskaniu oddzielnej, wyraźnej zgody użytkownika, zgodnie z art. 398 ustawy — Prawo komunikacji elektronicznej (PKE).

Zarządzanie powiadomieniami

Możesz w każdej chwili wyłączyć powiadomienia push:

W ustawieniach aplikacji Pupsy
W ustawieniach systemu operacyjnego urządzenia (iOS: Ustawienia → Powiadomienia → Pupsy; Android: Ustawienia → Aplikacje → Pupsy → Powiadomienia)

13. Zdjęcia i kamera

Aplikacja Pupsy może prosić o dostęp do kamery lub galerii zdjęć w następujących sytuacjach:

Zdjęcie profilowe zwierzęcia — dodawanie i aktualizacja zdjęcia profilu.
Galeria zdrowotna — dokumentowanie zmian zdrowotnych za pomocą zdjęć.
Analiza AI — dołączanie zdjęcia do opisu objawów w celu analizy przez AI.
Skaner dokumentów — fotografowanie dokumentów weterynaryjnych w celu ekstrakcji danych.

Zasady dostępu

Dostęp na żądanie (on-demand) — aplikacja prosi o dostęp do kamery/galerii wyłącznie w momencie, gdy użytkownik inicjuje odpowiednią akcję. Nie uzyskujemy dostępu w tle.
Systemowy selektor zdjęć — w przypadku jednorazowego skanowania wykorzystujemy systemowy mechanizm wyboru zdjęć (photo picker), który nie wymaga szerokiego dostępu do całej galerii (zgodnie z Google Play Photo Permission Policy).
Przechowywanie — zdjęcia są przechowywane w Supabase Storage na serwerach w Unii Europejskiej (Irlandia).

14. Przetwarzanie danych przez AI

Pupsy wykorzystuje modele sztucznej inteligencji (OpenAI GPT-4o) w trzech głównych kontekstach:

Analiza AI — analiza opisanych objawów i zdjęć w celu wstępnego podsumowania informacji.
Skaner dokumentów — ekstrakcja danych (leki, wyniki badań, diagnozy) ze zdjęć/skanów dokumentów weterynaryjnych.
Czat AI — interaktywna rozmowa z asystentem AI na temat zdrowia zwierzęcia.

Jakie dane są przekazywane do OpenAI?

Opisy objawów wprowadzone przez użytkownika (do 2000 znaków)
Zdjęcia dołączone do zapytań (objawy, dokumenty)
Dane kontekstowe zwierzęcia (gatunek, rasa, wiek, waga, znane alergie i choroby) — w zakresie niezbędnym do udzielenia adekwatnej odpowiedzi
Historia wiadomości w ramach aktywnej sesji czatu

Przetwarzanie danych przez OpenAI

OpenAI nie trenuje swoich modeli na danych przesyłanych przez API. Zgodnie z regulaminem OpenAI API, dane przesyłane za pośrednictwem interfejsu API nie są wykorzystywane do trenowania ani doskonalenia modeli.
Retencja danych: OpenAI może przechowywać dane przesłane przez API przez okres do 30 dni wyłącznie w celu monitorowania bezpieczeństwa i wykrywania nadużyć (abuse monitoring), po czym są automatycznie usuwane.
Lokalizacja serwerów: dane są przetwarzane na serwerach OpenAI w Stanach Zjednoczonych.
Zabezpieczenia transferu: standardowe klauzule umowne (SCC), umowa powierzenia przetwarzania danych (DPA) oraz przeprowadzona ocena skutków transferu (TIA).

Zgodność z Aktem o Sztucznej Inteligencji UE (EU AI Act)

Zgodnie z wymogami Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2024/1689 (Akt o Sztucznej Inteligencji), informujemy, że:

Użytkownik jest świadomy, że wchodzi w interakcję ze sztuczną inteligencją, a nie z człowiekiem.
Generowane treści mają charakter wyłącznie informacyjny i nie stanowią porady weterynaryjnej.
System AI stosowany w Pupsy nie jest klasyfikowany jako system wysokiego ryzyka w rozumieniu Załącznika III Aktu o AI.

Przetwarzanie zdjęć

Zdjęcia przesyłane do analizy AI nie są przetwarzane biometrycznie. Nie stosujemy rozpoznawania twarzy ani innych technologii identyfikacji biometrycznej. Analiza zdjęć dotyczy wyłącznie objawów zdrowotnych zwierząt lub treści dokumentów weterynaryjnych.

15. Technologie śledzące i SDK

Aplikacja Pupsy jest natywną aplikacją mobilną (Flutter) i nie wykorzystuje plików cookie w tradycyjnym rozumieniu (cookies przeglądarkowe). Wykorzystujemy jednak następujące zestawy SDK:

SDK / Technologia	Cel	Podstawa prawna
Firebase Analytics	Analityka użytkowania aplikacji (anonimowe statystyki, zdarzenia)	Zgoda użytkownika (art. 6 ust. 1 lit. a RODO + art. 5 ust. 3 ePrivacy)
Firebase Cloud Messaging	Dostarczanie powiadomień push	Wykonanie umowy (art. 6 ust. 1 lit. b RODO)
Google Maps SDK	Wyświetlanie mapy i lokalizacji weterynarzy	Zgoda na lokalizację (art. 6 ust. 1 lit. a RODO)
RevenueCat SDK	Zarządzanie subskrypcjami i zakupami w aplikacji	Wykonanie umowy (art. 6 ust. 1 lit. b RODO)

Nasze zasady

Brak reklam — nie wyświetlamy reklam i nie korzystamy z reklamowych sieci śledzenia.
Brak zewnętrznych trackerów — nie udostępniamy danych sieciom reklamowym ani brokerom danych.
Analytics domyślnie wyłączone — Firebase Analytics jest domyślnie dezaktywowane i uruchamiane dopiero po wyrażeniu zgody przez użytkownika.

16. Zmiany polityki prywatności

Zastrzegamy sobie prawo do aktualizacji niniejszej Polityki Prywatności w celu odzwierciedlenia zmian w naszych praktykach przetwarzania danych, zmian prawnych lub technologicznych.

O każdej istotnej zmianie poinformujemy Cię:

Powiadomieniem w aplikacji — wyświetlimy komunikat o zaktualizowanej polityce przy najbliższym uruchomieniu aplikacji.
Wiadomością e-mail — na adres e-mail przypisany do Twojego konta.

Aktualna wersja Polityki Prywatności jest zawsze dostępna w aplikacji (Ustawienia → Polityka Prywatności) oraz na stronie pupsy.app/polityka-prywatnosci.

Wersja	Data	Opis zmian
1.0	21 lutego 2026	Pierwsza wersja Polityki Prywatności.
1.1	22 lutego 2026	Dodano §18 (naruszenia ochrony danych). Skorygowano lokalizację Supabase. Dodano Apple Sign-In do odbiorców. Dodano dane lokalizacyjne do tabeli retencji. Uzupełniono informacje o danych obowiązkowych/opcjonalnych i źródle danych. Skorygowano URL polityki.

17. Kontakt

W sprawach związanych z niniejszą Polityką Prywatności oraz ochroną danych osobowych prosimy o kontakt:

TAM LABS SPÓLKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ
ul. Twarda 18
00-105 Warszawa
Polska

E-mail: hello@pupsy.app

Dołożymy starań, aby odpowiedzieć na Twoje zapytanie w możliwie najkrótszym terminie, nie później niż w ciągu 14 dni roboczych. W przypadku żądań dotyczących praw z RODO (sekcja 8) obowiązuje termin 1 miesiąca.

18. Naruszenia ochrony danych

W przypadku naruszenia ochrony danych osobowych (tzw. data breach):

Zgłoszenie do UODO — Administrator zgłosi naruszenie Prezesowi Urzędu Ochrony Danych Osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin od stwierdzenia naruszenia, zgodnie z art. 33 RODO, chyba że jest mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.
Powiadomienie użytkowników — Jeżeli naruszenie może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, Administrator bez zbędnej zwłoki powiadomi osoby, których dane dotyczą, zgodnie z art. 34 RODO, opisując charakter naruszenia, jego możliwe konsekwencje oraz środki podjęte w celu zaradzenia naruszeniu.
Rejestr naruszeń — Administrator prowadzi wewnętrzny rejestr wszystkich naruszeń ochrony danych osobowych, obejmujący okoliczności naruszenia, jego skutki oraz podjęte działania zaradcze, zgodnie z art. 33 ust. 5 RODO.