Polityka prywatności Thrive

Ostatnia aktualizacja: 2 lipca 2025 r.

Witamy

Witamy w Thrive Global Holdings, Inc. („Thrive Global”, „Thrive”, „my”, „nam”, „nasze” i/lub formy pokrewne). Thrive zapewnia poparte naukowo rozwiązania w zakresie zmiany zachowań mające na celu poprawę samopoczucia psychicznego, emocjonalnego i fizycznego. Nasza witryna internetowa („Witryna”), aplikacja mobilna („Aplikacja”) oraz integracje z platformami stron trzecich (takimi jak Slack lub Microsoft Teams) umożliwiają użytkownikom („Ty”, „Tobie” lub „Użytkownicy”) dostęp do spersonalizowanych narzędzi, zasobów i treści – takich jak Mikrokroki, oceny, doświadczenia edukacyjne i funkcje wspierające zmiany zachowań  – które pomagają budować trwałe nawyki i poprawiać ogólne samopoczucie. Łącznie usługi świadczone przez nas za pośrednictwem Witryny, Aplikacji i powiązanych usług cyfrowych określane są jako „Usługi”.

Aby świadczyć i ulepszać te Usługi, możemy gromadzić i przetwarzać różne rodzaje informacji, w tym dane osobowe (PII), dane dotyczące zaangażowania (takie jak sposób interakcji z treściami i funkcjami), spostrzeżenia behawioralne, informacje związane ze zdrowiem i inne kategorie danych wrażliwych zgodnie z obowiązującymi przepisami. Robimy to zgodnie z odpowiednimi podstawami prawnymi i uzyskujemy zgodę użytkownika zawsze, gdy jest to wymagane.

Thrive zobowiązuje się do ochrony prywatności użytkowników i do odpowiedzialnego obchodzenia się z ich danymi. Już w fazie projektowania przestrzegamy zasad prywatności i bezpieczeństwa i domyślnie wdrażamy odpowiednie zabezpieczenia techniczne i organizacyjne. Nasze praktyki w zakresie danych zostały opracowane w celu zapewnienia zgodności z obowiązującymi przepisami dotyczącymi prywatności, w tym HIPAA, RODO, CCPA/CPRA i innymi regionalnymi regulacjami, które mogą mieć zastosowanie w zależności od lokalizacji użytkownika i charakteru jego interakcji z naszymi Usługami.

Szybki dostęp: Skorzystaj ze swoich praw do prywatności na stronie https://preferences.thriveglobal.com/privacy lub sprawdź Dane do kontaktu poniżej.

Cel Polityki prywatności

W niniejszej Polityce prywatności wyjaśniono, jakie dane osobowe gromadzimy za pośrednictwem Usług, jak wykorzystujemy i udostępniamy te dane oraz jakie masz prawa dotyczące naszych praktyk związanych z danymi. Polityka prywatności wchodzi w skład naszej Umowy w sprawie warunków i postanowień, dostępnej pod adresem https://www.thriveglobal.com/terms.

Użytkownicy z różnych regionów mogą podlegać innym standardom ochrony danych na podstawie porozumienia w sprawie ochrony danych (ang. Data Protection Agreement, DPA) zawartego z firmą Thrive Global. Niniejszy dokument zawiera sekcje poświęcone konsumentom z Europejskiego Obszaru Gospodarczego (EOG), Wielkiej Brytanii (UK), Szwajcarii i Kalifornii oraz ich prawom do prywatności.

Zmiany Polityki prywatności

Możemy aktualizować niniejszą Politykę prywatności w miarę rozwoju Usług. O istotnych zmianach informujemy pocztą elektroniczną na 30 dni przed ich wejściem w życie. Drobne aktualizacje są publikowane wraz z nowymi datami „Ostatniej aktualizacji”. Dalsze użytkowanie oznacza wyrażenie na nie zgody.

Ramy zgodności z prawem

Zachowujemy zgodność z obowiązującymi przepisami dotyczącymi prywatności, w tym RODO, CCPA/CPRA, stanowymi przepisami dotyczącymi prywatności i innymi wymogami jurysdykcyjnymi. Nasz program zgodności obejmuje regularne przeglądy prawne, oceny kontrolne i aktualizacje praktyk ochrony prywatności w miarę ewolucji przepisów. Współpracujemy z doradcami prawnymi, aby zapewnić zgodność naszych praktyk z aktualnymi standardami regulacyjnymi.

Zarządzanie prywatnością

Nasz program ochrony prywatności obejmuje wyznaczonych specjalistów ds. ochrony prywatności odpowiedzialnych za zapewnienie zgodności z przepisami, szkolenia i reagowanie na incydenty. Regularnie przeprowadzamy szkolenia dotyczące ochrony prywatności dla naszych pracowników i utrzymujemy środki kontroli, aby zapewnić stałe spełnianie obowiązków w zakresie ochrony prywatności i danych osobowych.

Zasady ochrony danych

Gromadzimy, wykorzystujemy i przetwarzamy dane osobowe wyłącznie w uzasadnionych celach, które są zgodne z naszymi operacjami biznesowymi i zobowiązaniami prawnymi. Jasno określamy cele gromadzenia danych w momencie ich gromadzenia lub przed jego rozpoczęciem, ograniczamy gromadzenie do niezbędnych danych i stosujemy zasady minimalizacji danych. Regularnie weryfikujemy nasze praktyki dotyczące danych, aby wyeliminować niepotrzebne przetwarzanie i wdrożyć środki techniczne i organizacyjne chroniące prywatność użytkowników.

Zasada prawa dostępu

Dokładamy wszelkich starań, aby zapewnić osobom fizycznym odpowiedni dostęp do ich danych osobowych. Na żądanie umożliwimy dostęp do danych osobowych użytkownika w odpowiednim czasie, po weryfikacji tożsamości i z przestrzeganiem obowiązujących wymogów prawnych. Możemy odmówić dostępu w ograniczonych okolicznościach, na przykład gdy jest to wymagane przez prawo lub gdy dostęp zagrażałby prywatności innych osób.

Oceny wpływu na prywatność

Przeprowadzamy oceny wpływu na prywatność, aby identyfikować i ograniczać zagrożenia dla danych osobowych. Oceny te biorą pod uwagę nasze działania związane z przetwarzaniem danych, w tym nowe projekty, systemy lub technologie, a ich celem jest zapewnienie zgodności z przepisami dotyczącymi prywatności i wymogami bezpieczeństwa. W przypadku zidentyfikowania ryzyka wdrażamy odpowiednie zabezpieczenia w celu ochrony danych i prywatności użytkownika.

Szczegóły dotyczące ograniczenia gromadzenia

Ograniczamy gromadzenie danych osobowych do tych, które są niezbędne do określonych celów. Gromadzimy wyłącznie te dane, które są istotne, adekwatne i bezpośrednio związane z uzasadnionymi celami określonymi w niniejszej polityce. Gromadzenie danych odbywa się w sposób zgodny z prawem i przejrzysty, a także po odpowiednim powiadomieniu i uzyskaniu zgody, jeśli jest to wymagane przez obowiązujące prawo.

Podstawa prawna przetwarzania danych

Przetwarzamy dane osobowe w oparciu o następujące podstawy prawne mające zastosowanie na mocy przepisów o ochronie prywatności:

• Zgoda: W przypadku wyrażenia przez użytkownika dobrowolnej, konkretnej i świadomej zgody na przetwarzanie danych, np. w celu komunikacji marketingowej lub opcjonalnego gromadzenia danych.
• Realizacja umowy: Przetwarzanie niezbędne do realizacji umowy o świadczenie usług zawartej z użytkownikiem lub do podjęcia działań na żądanie użytkownika przed zawarciem umowy.
• Obowiązek prawny: Przetwarzanie wymagane w celu zapewnienia zgodności z obowiązującymi przepisami prawa, regulacjami lub postępowaniami prawnymi.
• Uzasadnione interesy: Przetwarzanie niezbędne ze względu na nasze uzasadnione interesy biznesowe, takie jak bezpieczeństwo, zapobieganie oszustwom i ulepszanie usług, w przypadku gdy takie interesy są nadrzędne wobec prawa do prywatności użytkownika.

Gromadzone dane

Użytkownicy Aplikacji

• Informacje o koncie: Imię i nazwisko, adres e-mail i inne dane kontaktowe
• Informacje o profilu: Zdjęcie profilowe, biografia, informacje o kraju czy informacje demograficzne.
• Informacje o zaangażowaniu w aplikację: Twoje odpowiedzi i interakcje w ankietach dotyczących dobrego samopoczucia, webinariach i działaniach edukacyjnych
• Informacje o zdrowiu i aktywności: Dane dotyczące snu, ruchu, tętna i inne dane w zakresie dobrego samopoczucia – w tym wskaźniki fizyczne, behawioralne lub emocjonalne – tylko wtedy, gdy użytkownik zdecyduje się je przekazać bezpośrednio lub za pośrednictwem podłączonego urządzenia do noszenia.
• Komunikacja: Wiadomości wymieniane z nami lub w ramach Aplikacji, w tym prośby o wsparcie i funkcje w mediach społecznościowych
• Uwaga dotycząca nieletnich użytkowników (w wieku 13-15 lat): Jeśli Usługi są udostępniane osobom będącym na utrzymaniu lub członkom rodziny w wieku od 13 do 15 lat za pośrednictwem programu sponsorowanego lub autoryzowanego przez pracodawcę, Thrive przetwarza dane osobowe takich osób wyłącznie po uzyskaniu zweryfikowanej zgody rodzica lub opiekuna albo zgody udzielonej przez organizację sponsorującą, zgodnie z obowiązującymi przepisami o ochronie prywatności dzieci. Wszelki taki dostęp podlega postanowieniom sekcji „Prywatność dzieci” niniejszej Polityki prywatności.

Użytkownicy Witryny

• Przekazywane nam Dane osobowe: Informacje podawane podczas rejestracji w witrynie (e-mail/hasło) lub przesyłane elektronicznie za pośrednictwem formularzy, próśb o kontakt, rejestracji wydarzeń lub subskrypcji e-mail, zazwyczaj obejmujące imię i nazwisko, dane kontaktowe, informacje o firmie i numer telefonu.

Dane gromadzone automatycznie

• Dane dzienników: Adres IP, typ i ustawienia przeglądarki, data/godzina żądań oraz wzorce interakcji.
• Pliki cookie: Informacje pochodzące z plików cookie i innych technologii (patrz sekcja „Pliki cookie”)
• Informacje dotyczące urządzenia: Typ urządzenia, system operacyjny, ustawienia, unikatowe identyfikatory i informacje o sieci
• Informacje dotyczące użytkowania: Wyświetlane treści, używane funkcje, podejmowane działania, interakcje użytkownika i czas użytkowania.

Informacja o klasyfikacji regulacyjnej

Platforma Thrive została zaprojektowana jako ogólne rozwiązanie w zakresie wspierania dobrego samopoczucia, które pomaga osobom wyrobić sobie zdrowe nawyki i poprawić ogólną jakość życia. Chociaż możemy przetwarzać informacje związane ze zdrowiem, gdy użytkownik zdecyduje się je podać, nasze Usługi

• nie są przeznaczone do diagnozowania, leczenia, uzdrawiania ani zapobiegania jakimkolwiek chorobom lub schorzeniom i nie są przeznaczone do diagnozowania, leczenia ani zastępowania porad licencjonowanych pracowników służby zdrowia. Jeśli masz obawy dotyczące swojego stanu zdrowia psychicznego lub fizycznego, skonsultuj się z wykwalifikowanym pracownikiem służby zdrowia.
• Nie stanowią urządzeń medycznych w rozumieniu przepisów FDA.
• Zapewniają ogólne informacje na temat dobrego samopoczucia, a nie zalecenia kliniczne w zakresie zdrowia
• Mogą być oferowane w ramach programów wellness oferowanych przez pracodawców, zgodnie z przepisami EEOC
• Gdy nasze Usługi są świadczone za pośrednictwem programu wellness oferowanego przez pracodawcę, przestrzegamy wszystkich obowiązujących przepisów, w tym HIPAA (gdy działamy jako Partner Biznesowy), ADA, GINA oraz wymagań dla programów wellness EEOC.

Jak wykorzystujemy dane

Zasady ograniczenia wykorzystania

Ściśle ograniczamy wykorzystanie danych osobowych do zatwierdzonych celów określonych w momencie ich gromadzenia. Wykorzystanie danych pozostaje zgodne z pierwotnymi ustaleniami gromadzenia danych i podstawami prawnymi. Nie przetwarzamy danych osobowych do celów niezgodnych z celami, dla których zostały pierwotnie zebrane, bez uzyskania odpowiedniej zgody lub ustanowienia nowej podstawy prawnej.

Prawnie uzasadnione interesy gospodarcze

Ulepszenie usług:

• Odpowiadanie na zapytania i przetwarzanie zgłoszeń serwisowych
• Dostosowywanie usług na podstawie wzorców użytkowania i preferencji
• Wysyłanie informacji administracyjnych o Usługach, warunkach korzystania i zmianach zasad
• Dostarczanie, utrzymywanie oraz ulepszanie treści i funkcjonalności

Badania i zarządzanie danymi:

• Prowadzenie badań i dostarczanie zagregowanych, zanonimizowanych informacji o użytkowaniu
• Przechowywanie podstawowych danych, aby zapobiec niechcianemu przetwarzaniu po zażądaniu ich usunięcia

Bezpieczeństwo i zgodność z prawem:

• Zapobieganie oszustwom, działalności przestępczej i niewłaściwemu korzystaniu z usług
• Zapewnienie bezpieczeństwa systemów IT i przestrzeganie zobowiązań prawnych
• Odpowiadanie na zgodne z prawem żądania i egzekwowanie naszych Warunków i postanowień
• Ochrona naszych działań, praw i bezpieczeństwa użytkowników

Wdrażane przez nas systemy AI

Wykorzystujemy sztuczną inteligencję (AI), w tym technologie ML, aby ulepszać nasze Usługi; technologie te są sklasyfikowane jako:

Systemy AI o ograniczonym ryzyku (obowiązują obowiązki w zakresie przejrzystości):

• Systemy do generowania treści: Sztuczna inteligencja tworząca spersonalizowane treści i zalecenia dotyczące dobrego samopoczucia
• Zalecane silniki: algorytmy ML sugerujące Mikrokroki i funkcje
• Chatboty i wirtualni asystenci: narzędzia wsparcia oparte na sztucznej inteligencji

Systemy AI o minimalnym ryzyku:

• Wykrywanie oszustw: sztuczna inteligencja identyfikująca podejrzane działania i zagrożenia bezpieczeństwa
• Optymalizacja systemu: ML poprawiające wydajność aplikacji i doświadczenie użytkownika
• Przetwarzanie analityczne: sztuczna inteligencja generująca anonimowe analizy użytkowania

Zgodność z unijną ustawą o sztucznej inteligencji

• Środki przejrzystości: jasne informowanie za pomocą odpowiednich powiadomień, gdy w Twoim doświadczeniu bierze udział sztuczna inteligencja.
• Nadzór ludzki: wszystkie systemy AI działają pod ścisłym nadzorem człowieka. Wykwalifikowany personel monitoruje ich działanie, a użytkownicy mają możliwość żądania interwencji człowieka.
• Dokładność i solidność: odpowiednie środki zapewniają niezawodność sztucznej inteligencji, w tym walidację wydajności, monitorowanie błędów i stronniczości oraz ciągłe doskonalenie.
• Zarządzanie ryzykiem: Procedury oceny i ograniczania ryzyka, w tym oceny systemu, dokumentacja możliwości i reagowanie na incydenty.

Zarządzanie danymi w szkoleniach AI

• Dane szkoleniowe: używamy zanonimizowanych i zagregowanych danych użytkowników zgodnie z zasadami zapewniania prywatności i bezpieczeństwa
• Modele innych firm: nie wykorzystujemy danych osobowych użytkowników do szkolenia zewnętrznych modeli sztucznej inteligencji bez ich wyraźnej zgody.
• Jakość danych: wdrażamy środki zapewniające dokładność danych szkoleniowych, ich reprezentatywność i minimalizację stronniczości

Twoje prawa i kontrola nad sztuczną inteligencją

• Prawa do informacji: Użytkownik ma prawo poprosić o szczegółowe informacje na temat systemów AI, które mają na niego istotny wpływ, aby zrozumieć zautomatyzowaną logikę decyzyjną i uzyskać dostęp do danych szkoleniowych
• Prawa do kontroli: rezygnacja z personalizacji AI, prośba o weryfikację przez człowieka, kwestionowanie treści generowanych przez AI

Marketing.

Możemy kontaktować się z użytkownikiem w celu przekazywania informacji o treściach, usługach lub produktach, które według nas będą go interesować. Tam, gdzie jest to wymagane przez prawo (np. w przypadku użytkowników z UE), będziemy wysyłać informacje marketingowe wyłącznie za zgodą użytkownika.

Opcje rezygnacji: Postępuj zgodnie z instrukcjami rezygnacji z subskrypcji zawartymi w wiadomościach e-mail, zaktualizuj ustawienia użytkownika lub skontaktuj się z nami.

Komunikacja związana z usługami, niezbędna do ich dostarczenia, nie jest objęta preferencjami rezygnacji z marketingu.

Aktualizacja Twoich danych

Przestrzegając wymogów prawnych, zapewniamy odpowiedni dostęp do danych osobowych na żądanie, z zastrzeżeniem weryfikacji tożsamości. Stosujemy rozsądne środki w celu zapewnienia dokładności i jakości danych. Jeśli uważasz, że dane są niedokładne, skontaktuj się z nami w celu ich poprawienia.

Korzystanie z prawa do prywatności: Odwiedź stronę https://preferences.thriveglobal.com/privacy lub zobacz Dane do kontaktu.

Odpowiadanie na skargi

Poważnie traktujemy skargi dotyczące naszych praktyk w zakresie prywatności. W przypadku wątpliwości dotyczących sposobu przetwarzania przez nas danych osobowych użytkownika, prosimy o kontakt z nami, korzystając z danych podanych w sekcji Dane do kontaktu. Niezwłocznie zbadamy sprawę, potwierdzimy otrzymanie zgłoszenia w ciągu siedmiu dni roboczych i postaramy się rozwiązać kwestię w ciągu 30 dni. Użytkownik ma również prawo do złożenia skargi do organu nadzorczego.

Prawa do uczestnictwa i dochodzenia roszczeń

Szanujemy prawa użytkowników do udziału w podejmowaniu decyzji dotyczących ich danych osobowych. Użytkownik może zażądać dostępu do swoich danych, ich poprawienia lub usunięcia, z zastrzeżeniem obowiązujących przepisów prawa i weryfikacji tożsamości. Odpowiemy na wnioski w rozsądnych ramach czasowych i zapewnimy środki zaradcze lub wyjaśnienia wymagane przez prawo. Użytkownik ma prawo zakwestionować nasze decyzje dotyczące przetwarzania danych i dochodzić swoich praw za pośrednictwem odpowiednich kanałów.

Ramy dotyczące ochrony prywatności danych

Dobrowolnie uczestniczymy w programie ochrony prywatności danych UE-USA, jego rozszerzeniu w Wielkiej Brytanii i porozumieniu szwajcarsko-amerykańskim oraz stosujemy się do ich postanowień. Ramy dotyczące ochrony prywatności danych. Podlegamy nadzorowi FTC i jesteśmy odpowiedzialni za przetwarzanie przez sprzedawcę/usługodawcę niezgodne z zasadami DPF.

Rozwiązywanie sporów: W przypadku skarg DPF skontaktuj się z nami w pierwszej kolejności. Nierozstrzygnięte skargi zostaną przekazane do alternatywnego rozstrzygania sporów JAMS bez ponoszenia żadnych kosztów przez użytkownika.

Dane dotyczące użytkowania i programy Thrive Global

Wykorzystujemy informacje dotyczące korzystania z Usług i możemy tworzyć zagregowane/zanonimizowane dane na potrzeby analiz operacyjnych, sprawozdawczości finansowej, audytów i innych celów biznesowych. Podczas przetwarzania danych z programów wellness oferowanych przez pracodawców dbamy, aby wszystkie zbiorcze raporty spełniały odpowiednie standardy anonimizacji, w celu zapobieżenia ponownej identyfikacji poszczególnych osób.

W przypadku programów Thrive (webinariów, wydarzeń, konkursów) uczestnictwo w nich daje nam prawo do wykorzystania przesłanych treści w uzasadnionych celach biznesowych. Uczestnictwo oznacza wyrażenie zgody na te warunki.

Udostępnianie i ujawnianie informacji

Udostępnianie w zgodnym z prawem celu biznesowym

Sprzedawcy i usługodawcy: Udostępniamy dane stronom trzecim na potrzeby hostingu, komunikacji e-mail, obsługi klienta i analiz (np. Google Analytics, Google Cloud, Microsoft Azure). Wszyscy dostawcy przestrzegają surowych standardów prywatności na podstawie pisemnych umów.

Przeniesienie działalności gospodarczej: dane osobowe mogą być przekazywane w ramach fuzji, przejęć lub sprzedaży aktywów.

Wymogi prawne: możemy ujawniać dane w celu wypełnienia zobowiązań prawnych, ochrony praw/własności lub zapewnienia bezpieczeństwa publicznego.

Udostępnianie informacji na polecenie użytkownika

Możemy udostępniać dane, gdy użytkownik autoryzuje dostęp stron trzecich lub zdecyduje się na udostępnianie raportów zaangażowania klientom korporacyjnym. Użytkownik może dobrowolnie udostępniać informacje innym użytkownikom za pośrednictwem funkcji mediów społecznościowych aplikacji.

Ogólne rozporządzenie o ochronie danych (RODO), RODO w Wielkiej Brytanii i szwajcarska ustawa o ochronie danych

Zakres i przekazywanie danych

Ta sekcja dotyczy użytkowników w EOG, Wielkiej Brytanii i Szwajcarii. Gdy użytkownik uzyskuje dostęp do naszych Usług, jego dane osobowe są przesyłane na nasze amerykańskie serwery z zastosowaniem odpowiednich zabezpieczeń, w tym standardowych klauzul umownych, certyfikatów Data Privacy Framework oraz technicznych/organizacyjnych środków bezpieczeństwa.

Role administratora i podmiotu przetwarzającego dane

Administrator danych: Gdy użytkownik przekazuje dane osobowe za pośrednictwem naszej Platformy, określamy cele przetwarzania i przestrzegamy obowiązujących przepisów, łącznie z przeprowadzeniem oceny skutków dla ochrony danych, jeśli jest to wymagane.

Podmiot przetwarzający dane: Przetwarzając dane dla klientów korporacyjnych, działamy zgodnie z ich instrukcjami w ramach obowiązujących obowiązków podmiotu przetwarzającego.

Prawa użytkownika wynikające z RODO

• Prawo dostępu: do uzyskania potwierdzenia przetwarzania i otrzymania kopii swoich danych osobowych
• Prawo do sprostowania: żądanie skorygowania niedokładnych lub niekompletnych danych osobowych
• Prawo do usunięcia: żądanie usunięcia danych, gdy spełnione są określone warunki
• Prawo do ograniczenia przetwarzania: żądanie ograniczenia sposobu, w jaki wykorzystujemy dane użytkownika
• Prawo do przeniesienia danych: otrzymanie danych w ustrukturyzowanym formacie nadającym się do odczytu maszynowego
• Prawo do sprzeciwu: sprzeciw wobec przetwarzania przez nas danych osobowych w dowolnym momencie
• Prawo do wycofania zgody: wycofanie uprzednio udzielonej zgody w dowolnym momencie
• Prawa dotyczące zautomatyzowanego podejmowania decyzji: niepodleganie decyzjom opartym wyłącznie na zautomatyzowanym przetwarzaniu.
• Prawo do złożenia skargi: złożenie skargi do lokalnego organu ochrony danych

Procedury żądania dostępu

Przestrzegając obowiązujących wymogów prawnych, zapewniamy odpowiedni dostęp do danych osobowych na żądanie, z zastrzeżeniem weryfikacji tożsamości. Aby poprosić o dostęp, skontaktuj się z nami, korzystając z danych podanych w sekcji Dane do kontaktu. Możemy odmówić dostępu w ograniczonych okolicznościach, na przykład gdy jest to wymagane przez prawo lub gdy dostęp zagrażałby prywatności innych osób. Odpowiemy w odpowiednich ramach czasowych i przedstawimy wyjaśnienia dotyczące wszelkich odmów.

Procedury dotyczące praw osób, których dane dotyczą

• Przetwarzanie żądań: stosujemy standardowe procedury obsługi wniosków dotyczących praw prywatności, obejmujące: weryfikację tożsamości, zatwierdzanie wniosków, ocenę wyjątków i koordynację odpowiedzi pomiędzy jednostkami biznesowymi.
• Czas odpowiedzi: na standardowe wnioski odpowiadamy w ciągu 30 dni, z możliwością przedłużenia o 60 dni w przypadku złożonych wniosków. Powiadomimy o wszelkich opóźnieniach i przedstawimy uzasadnienie.
• Wymagania weryfikacyjne: weryfikacja tożsamości może obejmować potwierdzenie e-mail, uwierzytelnienie konta lub dodatkową dokumentację w przypadku wniosków wysokiego ryzyka, aby zapobiec dostępowi osób nieuprawnionych.

Międzynarodowe transfery danych

Wdrażamy odpowiednie zabezpieczenia, w tym standardowe klauzule umowne, decyzje stwierdzające odpowiedni stopień ochrony i środki uzupełniające zgodnie z wymogami art. 46 RODO. W przypadku transferów do krajów, w których nie podjęto decyzji o odpowiednim poziomie ochrony, przeprowadzamy ocenę skutków transferu i wdrażamy dodatkowe środki techniczne i organizacyjne, w tym ulepszone szyfrowanie, kontrole dostępu i zabezpieczenia umowne, aby zagwarantować odpowiednią ochronę.

Przechowywanie danych

Przechowujemy dane osobowe jedynie tak długo, jak jest to konieczne do celów gromadzenia, zgodności z prawem lub rozstrzygania sporów. Dane są bezpiecznie usuwane poprzez standardowe procedury usuwania lub anonimizacji. Okresy przechowywania są dokumentowane i poddawane corocznemu przeglądowi.

Dokładność i jakość danych

Dążymy do utrzymania dokładności, kompletności i adekwatności przechowywanych przez nas danych osobowych. Podejmujemy uzasadnione środki w celu zapewnienia jakości danych, w tym aktualizację danych w przypadku zidentyfikowania nieścisłości. Jeśli uważasz, że Twoje dane osobowe są niedokładne lub niekompletne, skontaktuj się z nami w celu ich poprawienia, korzystając z danych podanych w sekcji Dane do kontaktu.

Ograniczenia wykorzystania

Używamy danych osobowych wyłącznie do celów wskazanych w momencie ich zbierania oraz zgodnych z nimi. Nie wykorzystujemy danych użytkownika do niepowiązanych celów bez uzyskania odpowiedniej zgody lub ustanowienia nowej podstawy prawnej. Nasze działania związane z przetwarzaniem danych są dokumentowane i poddawane regularnym przeglądom w celu zapewnienia ciągłej zgodności z określonymi celami.

Przetwarzanie PHI i zgodność z HIPAA

Możemy przetwarzać chronione informacje zdrowotne („PHI”) zgodnie z ustawą HIPAA. PHI obejmują dane dotyczące zdrowia, takie jak historia choroby, dane biometryczne i informacje o aktywności zdrowotnej, gromadzone w ramach programów wellness sponsorowanych przez pracodawcę lub gdy wyraźnie zdecydujesz się udostępnić takie informacje. Przetwarzanie jest ściśle ograniczone do wspierania naszych Usług z zachowaniem odpowiednich zabezpieczeń, a PHI są udostępniane wyłącznie upoważnionym stronom na mocy partnerskich umów biznesowych (BAA).

Okresy przechowywania danych

• Rejestry PHI i ePHI: Co najmniej 6 lat zgodnie z wymogami § 164.316(b)(2)(i) HIPAA, przy czym w przypadku dłuższych okresów obowiązują wymogi specyficzne dla danego stanu.
• Dzienniki audytu PHI: Co najmniej 6 lat w przypadku wszystkich systemów zawierających lub przetwarzających ePHI, w tym dzienników dostępu, rejestrów modyfikacji i dzienników zdarzeń bezpieczeństwa.
• Dokumentacja HIPAA: 6 lat w przypadku całej dokumentacji zgodności z HIPAA, w tym polityk, procedur, ocen ryzyka, dokumentacji szkoleniowej i raportów z incydentów.

Ogólne zasady przechowywania danych:

• Dane konta: okres aktywności plus 90 dni po usunięciu dla celów bezpieczeństwa
• Dane śledzenia dobrego samopoczucia: do momentu rozwiązania umowy plus 90 dni
• Preferencje marketingowe: do czasu rezygnacji oraz przez okres wymagany przez prawo
• Komunikacja z działem wsparcia: 1 rok, aby ulepszać nasze usługi
• Dzienniki bezpieczeństwa (nie-PHI): 1 rok w celu zapewnienia ochrony systemu i reagowania na incydenty
• Dokumentacja biznesowa: 7 lat zgodnie z wymogami przepisów finansowych i podatkowych

Prawne procedury przechowywania: możemy być zmuszeni do dłuższego przechowywania danych, jeśli jest to wymagane w związku z postępowaniami prawnymi, dochodzeniami lub kwestiami regulacyjnymi. Tego rodzaju zabezpieczenia prawne przeważają nad standardowymi terminami usuwania danych, dopóki nasz zespół prawny ich nie zwolni.

Podrzędne podmioty przetwarzające dane

Poniżej znajduje się pełna lista naszych podwykonawców i zewnętrznych podmiotów przetwarzających dane, z których każdy jest zobowiązany do ścisłego przestrzegania wymogów dotyczących prywatności i bezpieczeństwa na mocy pisemnych umów. Lista ta jest regularnie aktualizowana. Możesz zapisać się na naszą listę mailingową, aby otrzymywać powiadomienia o zmianach.

Wszystkie usługi:

• Coda* - Zaangażowanie użytkowników i zarządzanie projektami - 888 Villa St, Floor 4, Mountain View, CA 94041
• Datagrail - Automatyzacja prywatności - 164 Townsend Street, Suite 12, San Francisco, CA 94107 US
• Fivetran - Przepływ danych ETL - 405 14th St floor 11, Oakland, CA 94612 US
• Google Cloud Platform - Magazyn danych - 1600 Amphitheatre Pkwy Mountain View, CA 94043 US
• Google Workspace* - Tworzenie treści - 1600 Amphitheatre Pkwy Mountain View, CA 94043 US
• HubSpot - Marketing e-mail - 25 First Street, 2nd Floor Cambridge, MA 02141
• Looker - Analiza danych - 101 Church Street, 4th Floor, Santa Cruz, CA 95060 US
• Microsoft Azure - Dostawca hostingu w chmurze - One Microsoft Way, Redmond, WA 980527 US
• Rethink Autism* - Opiekun osób z zaburzeniami układu nerwowego - 49 West 27th Street, New York, NY 10001
• Salesforce - Zarządzanie relacjami z klientem - The Landmark @ One Market, Suite 300 San Francisco, CA 94105 US
• Segment - Analiza użytkowników - 100 California Street, Suite 700 San Francisco, CA 94111 US
• Typeform* - Platforma ankietowa - Calle de Pallars 108 (Aticco), 08018 – Barcelona (Spain)
• Zapier* - Automatyzacja przepływu pracy - 548 Market St. #62411, San Francisco, CA 94104
• Zendesk - Oprogramowanie wsparcia użytkowników - 450 Park Ave S, New York, NY 10016

Podrzędne podmioty przetwarzające dane wyłącznie w Witrynie:

• Webflow - Hosting stron marketingowych - 398 11th Street, 2nd Floor, San Francisco, CA 94103

Podrzędne podmioty przetwarzające dane wyłącznie w Aplikacji:

• Amazon Web Services* - SFTP - 410 Terry Avenue North, Seattle, WA 98109 US
• Datadog - Platforma do monitorowania infrastruktury i bezpieczeństwa - 620 8th Avenue, Floor 45, New York, NY 10018
• HumanAPI* - Integracja urządzeń noszonych - 951 Mariners Island Blvd., Suite 300
• Qualtrics - Platforma ankietowa - 333 W River Park Dr, Provo, UT 84604, US
• Mailgun E-mail transakcyjny - 112 E Pecan Street, San Antonio, TX 78205 US

*Może nie mieć zastosowania do wszystkich użytkowników

Wymogi dotyczące prywatności dla wykonawców i podmiotów przetwarzających

Wszyscy kontrahenci i podmioty przetwarzające przestrzegają rygorystycznych standardów. Zostało to potwierdzone w pisemnych umowach nakazujących przestrzeganie przepisów GDPR, CCPA i HIPAA, stosowanie odpowiednich środków bezpieczeństwa, powiadamianie o naruszeniach w ciągu 72 godzin, regularne audyty oraz zwrot/niszczenie danych po rozwiązaniu umowy.

Zgłaszanie incydentów naruszenia prywatności

Stosujemy przejrzyste mechanizmy raportowania w celu dokumentowania i reagowania na incydenty związane z prywatnością, zapytania i działania zgodne z przepisami. Regularnie dokonujemy przeglądu naszych praktyk w zakresie ochrony prywatności i zgodnie z wymogami prawa składamy sprawozdania odpowiednim interesariuszom, w tym organom regulacyjnym. W przypadku naruszenia danych niezwłocznie powiadomimy osoby dotknięte naruszeniem oraz organy władzy, zgodnie z obowiązującymi przepisami prawa.

Informacje dotyczące prywatności w stanie Kalifornia

„Do Not Track” oraz CCPA

Nie reagujemy na sygnały „Do Not Track”. Nie sprzedajemy danych osobowych w zamian za pieniądze, ale szeroka definicja „sprzedaży” zgodnie z prawem stanu Kalifornia wymaga ujawnienia informacji o udostępnianiu danych z plików cookie dostawcom zewnętrznym.

Prawa konsumentów w Kalifornii

Prawa do informacji: kategorie i źródła gromadzonych danych osobowych, cele przetwarzania, kategorie udostępniania stronom trzecim oraz cele ujawniania informacji biznesowych.

Prawa do kontroli: rezygnacja ze „sprzedaży” danych, żądanie usunięcia (z zastrzeżeniem wyjątków) i brak dyskryminacji w zakresie korzystania z praw.

Jak korzystać z praw: Odwiedź stronę https://preferences.thriveglobal.com/privacy lub zobacz Dane do kontaktu.

Prywatność dzieci

Usługi Thrive są przeznaczone dla osób w wieku 16 lat lub starszych w ramach programów sponsorowanych przez pracodawcę. Nie gromadzimy świadomie danych osobowych dzieci w wieku poniżej 16 lat bez odpowiedniej zgody rodzica, opiekuna lub upoważnionego pracownika organizacji uczestniczącej. Jeśli dowiemy się, że zebrane zostały dane osobowe dziecka bez wymaganej zgody, niezwłocznie usuniemy takie informacje i podejmiemy kroki, aby zapobiec ich gromadzeniu w przyszłości. W przypadku użytkowników w wieku poniżej 18 lat dostęp do Usług może wymagać zgody rodzica lub opiekuna, zgodnie z obowiązującymi przepisami, takimi jak COPPA (ustawa o ochronie prywatności dzieci w Internecie), CCPA/CPRA i RODO. Thrive nie kieruje swoich Usług bezpośrednio do dzieci i nie zezwala na samodzielną rejestrację przez osoby niepełnoletnie. Jeżeli uważasz, że mogliśmy zebrać informacje od dziecka z naruszeniem niniejszej sekcji, skontaktuj się z nami natychmiast pod adresem privacy@thriveglobal.com.

Program zgodności z HIPAA

Zgodność z przepisami HIPAA

• Zgodność z zasadami ochrony prywatności: przestrzegamy wymogów ustawy o ochronie prywatności HIPAA, w tym praw osób, minimalnych niezbędnych standardów, informacji o praktykach dotyczących prywatności oraz zabezpieczeń administracyjnych, fizycznych i technicznych.
• Zgodność z zasadami bezpieczeństwa: wdrażamy wymagane i możliwe do zaadresowania specyfikacje wdrożeniowe zgodnie z zasadami bezpieczeństwa HIPAA, wraz z udokumentowanymi decyzjami dotyczącymi możliwych do zaadresowania specyfikacji w oparciu o ocenę ryzyka i możliwości organizacyjne.
• Egzekwowanie przepisów i kary: uznajemy uprawnienia do egzekwowania HIPAA przez Biuro Praw Obywatelskich Departamentu Zdrowia i Opieki Społecznej i utrzymujemy programy zgodności, aby zapobiegać naruszeniom, które mogą skutkować cywilnymi karami pieniężnymi lub postępowaniem karnym.
• Zgodność z prawem stanowym: przestrzegamy obowiązujących stanowych przepisów dotyczących prywatności i bezpieczeństwa, które mogą zapewniać dodatkową ochronę informacji zdrowotnych, wykraczającą poza wymogi HIPAA.

Specjalista ds. ochrony prywatności i bezpieczeństwa

Specjalista ds. ochrony prywatności: odpowiada za opracowywanie, wdrażanie i utrzymywanie polityk i procedur dotyczących prywatności, prowadzenie szkoleń w zakresie prywatności, rozpatrywanie skarg i zapewnianie zgodności z wymogami ochrony prywatności HIPAA.

Specjalista ds. bezpieczeństwa odpowiada za opracowywanie, wdrażanie i utrzymywanie polityk i procedur bezpieczeństwa, przeprowadzanie szkoleń w zakresie bezpieczeństwa, zarządzanie kontrolą dostępu i zapewnianie zgodności z wymogami ochrony prywatności HIPAA.

Zarządzanie wspólnikami biznesowymi

Umowy ze wspólnikami biznesowymi (BAA): wszyscy dostawcy, wykonawcy i podwykonawcy przetwarzający PHI w naszym imieniu muszą podpisać umowy o współpracy biznesowej, które obejmują następujące kwestie:

• Dozwolone wykorzystywanie i ujawnianie PHI
• Zabezpieczenia przed nieuprawnionym użyciem lub ujawnieniem
• Wymogi dotyczące powiadamiania o naruszeniach
• Zwrot lub zniszczenie PHI po rozwiązaniu umowy
• Monitorowanie zgodności i prawa do audytu

Nadzór nad podwykonawcami: partnerzy biznesowi muszą uzyskać naszą zgodę przed rozpoczęciem współpracy z podwykonawcami i zapewnić właściwą realizację umów BAA ze wszystkimi podwykonawcami zajmującymi się przetwarzaniem PHI.

Ocena ryzyka i monitorowanie zgodności z HIPAA

Roczne oceny ryzyka: każdego roku przeprowadzamy ocenę ryzyka w celu zidentyfikowania luk w zabezpieczeniach, oceny bieżących zabezpieczeń i określenia dodatkowych środków bezpieczeństwa niezbędnych do zapewnienia ochrony ePHI.

Szkolenie pracowników: wszyscy pracownicy przechodzą szkolenie z zakresu prywatności i bezpieczeństwa HIPAA po zatrudnieniu oraz co roku w późniejszym czasie, a personel mający dostęp do PHI przechodzi szkolenie dostosowane do stanowiska.

Monitorowanie zgodności: prowadzimy stały monitoring zgodności poprzez:

• Regularne przeglądy dzienników audytu i monitorowanie dostępu
• Kwartalne przeglądy kontroli dostępu i walidację uprawnień
• Coroczne przeglądy i aktualizacje zasad i procedur
• Śledzenie incydentów i zarządzanie działaniami naprawczymi

Standard niezbędnego minimum: ograniczamy wykorzystywanie, ujawnianie i żądania dotyczące PHI do minimum niezbędnego do osiągnięcia zamierzonego celu, z wyjątkiem ujawnienia informacji konkretnej osobie lub sytuacji, gdy jest to wyraźnie dozwolone.

Prawa jednostki wynikające z ustawy HIPAA: masz prawo do:

• Dostępu i uzyskiwania kopii PHI
• Żądania poprawienia niedokładnych lub niekompletnych PHI
• Żądania ograniczenia wykorzystywania lub ujawniania PHI
• Żądania poufnej komunikacji
• Otrzymania zestawienia ujawnień PHI
• Składania skarg dotyczących postępowania z PHI

Zabezpieczenia HIPAA

Zabezpieczenia administracyjne:

• Wyznaczony urzędnik ds. bezpieczeństwa HIPAA odpowiedzialny za bezpieczeństwo ePHI
• Szkolenie pracowników i procedury zarządzania dostępem
• Zarządzanie dostępem do informacji w oparciu o zasadę niezbędnego minimum
• Procedury dotyczące incydentów bezpieczeństwa i planowanie łagodzenia sytuacji
• Regularne oceny bezpieczeństwa i ryzyka

Zabezpieczenia fizyczne:

• Kontrola dostępu do obiektu ograniczająca fizyczny dostęp do systemów ePHI
• Kontrola urządzeń i nośników do tworzenia, odbioru i konserwacji ePHI
• Procedury bezpiecznej utylizacji urządzeń i nośników zawierających dane ePHI

Zabezpieczenia techniczne:

• Unikalna identyfikacja użytkownika i procedury automatycznego wylogowywania
• Szyfrowanie danych ePHI w stanie spoczynku (AES-256) i podczas przesyłania (TLS 1.2+)
• Kontrole audytowe śledzące dostęp i modyfikacje ePHI
• Kontrole integralności zapobiegające nieautoryzowanym zmianom ePHI
• Bezpieczeństwo transmisji podczas komunikacji ePHI

Bezpieczeństwo

Regularnie przeglądamy i aktualizujemy nasze praktyki bezpieczeństwa, aby sprostać zmieniającym się zagrożeniom i oczekiwaniom regulacyjnym. Chociaż podejmujemy zdecydowane środki w celu ochrony informacji użytkownika, żadna transmisja internetowa ani e-mailowa nie jest w pełni bezpieczna. Zachowaj ostrożność podczas udostępniania poufnych informacji za pośrednictwem poczty elektronicznej lub otwartych kanałów komunikacji. Thrive nie może gwarantować działań innych użytkowników, którym udostępniasz informacje. Nie ponosimy również odpowiedzialności za jakiekolwiek obejście ustawień prywatności lub funkcji bezpieczeństwa w ramach Usług. Dodatkowe informacje na temat stanu bezpieczeństwa i certyfikacji Thrive można znaleźć na stronie https://thriveglobal.com/security.

Pliki cookie

Używamy plików cookie i innych technologii celem świadczenia Usług, poprawy komfortu użytkowania i gromadzenia danych o użytkowaniu.

Rodzaje plików cookie

Niezbędne pliki cookie (zawsze aktywne):

• HubSpot: Privacy preferences (__hs_do_not_track, __hs_cookie_cat_pref)
• Cloudflare: Ochrona bezpieczeństwa (_cfuvid)

Funkcjonalne pliki cookie (opcjonalnie):

• Spotify: Preferencje muzyczne (sp_landing, sp_t)

Analityczne pliki cookie (opcjonalnie):

• HubSpot: Śledzenie użycia (hubspotutk, __hstc, __hssrc, __hssc)
• Thrive Global: Śledzenie zaangażowania (ajs_anonymous_id)
• Google Analytics: Analiza ruchu (_gat_gtag_UA_87667366_5, _ga_C4ZNYJBEB7, _ga_0S15647RW6, _ga, _gid)
• Rippling: Monitorowanie wydajności (__cf_bm)
• YouTube: Analiza wideo (YSC)
• WordPress Engine: Testowanie funkcjonalności (wordpress_test_cookie)

Reklamowe pliki cookie (opcjonalnie):

• YouTube: Personalizacja reklam (VISITOR_INFO1_LIVE)

Twoje wybory

Większość przeglądarek umożliwia kontrolowanie plików cookie za pomocą ustawień. Ograniczenie plików cookie może mieć wpływ na funkcjonalność witryny. Kontrola śledzenia urządzeń mobilnych może być ograniczona.

Łącza do innych stron internetowych

Usługi mogą zawierać łącza do Stron osób trzecich, które nie są przez nas kontrolowane. Udostępnianie informacji w witrynach stron trzecich podlega ich polityce prywatności, a nie naszej. Nie wyrażamy poparcia dla witryn, do których prowadzą linki.

Dane do kontaktu

Zespół ds. prywatności

• E-mail: privacy@thriveglobal.com
• Privacy Portal: https://preferences.thriveglobal.com/privacy
• Telefon: 1-888-700-8474

Inspektor ochrony danych

• E-mail: dpo@thriveglobal.com

Zespół ds. bezpieczeństwa

• E-mail: security@thriveglobal.com

Adres do korespondencji

Thrive Global Holdings, Inc.
599 Broadway, 6th Floor
New York, NY 10012

Tel.: 1-888-700-8474

Rezydenci UE/UK/Szwajcarii (DataRep)

• Formularz online: www.dpr.eu.com/thriveglobal
• E-mail: thriveglobal@datarep.com
• Irlandia: DataRep, Phoenix House, Monahan Road, Cork, T12 H1XY, Irlandia
• Islandia: DataRep, Laugavegur 13, 101 Reykjavik, Islandia

---

© 2025 Thrive Global Holdings, Inc. Wszelkie prawa zastrzeżone.

AUTRES CONDITIONS

Votre accès et votre utilisation des Services sont soumis à toutes les autres conditions applicables à ces Services qui peuvent être publiées sur les Services de temps à autre, y compris, sans s’y limiter, les Conditions générales d’utilisation de Thrive Global sur le site https://www.thriveglobal.com/terms.

MODIFICATIONS DE LA POLITIQUE DE CONFIDENTIALITÉ

Les Services et nos activités peuvent parfois changer. Par conséquent, nous pouvons modifier la présente Politique de confidentialité à tout moment et, le cas échéant, nous publierons une version actualisée sur cette page et indiquerons la date de la dernière mise à jour ci-dessus, à moins qu’un autre type d’avis ne soit requis par la loi en vigueur. Il est recommandé de consulter régulièrement la présente Politique de confidentialité pour prendre connaissance des éventuelles modifications. En continuant à utiliser les Services ou à nous fournir des données après la publication d’une mise à jour de la Politique de confidentialité, ou après que nous vous l’avons notifiée le cas échéant, vous acceptez la Politique de confidentialité révisée et les pratiques qui y sont décrites.

RESPONSABLE DE LA PROTECTION DES DONNÉES

Vous pouvez contacter le ou la responsable de la protection des données en envoyant un e-mail à l’adresse dpo@thriveglobal.com

NOUS CONTACTER

N’hésitez pas à contacter notre équipe de protection des Données à caractère personnel si vous avez des questions sur la Politique de confidentialité de Thrive Global ou sur ses pratiques en matière de traitement de données des Services. Vous pouvez nous contacter par les moyens suivants : Vous pouvez envoyer un e-mail à l’adresse privacy@thriveglobal.com ou envoyer un courrier à l’adresse suivante :

Thrive Global Holdings, Inc.
Service clientèle
599 Broadway
6th Floor
New York, NY 10012
Tél. : 1-888-700-8474

Si vous souhaitez exercer vos droits en matière de confidentialité des données selon votre lieu de résidence, veuillez consulter le site https://preferences.thriveglobal.com/privacy. Pour toute question d’ordre général concernant les demandes et autres préoccupations en matière de confidentialité, veuillez envoyer un e-mail à l’adresse privacy@thriveglobal.com.