Polityka prywatności
Niniejsza polityka opisuje, w jaki sposób Calmauria (dalej „Calmauria”, „my”) przetwarza dane osobowe użytkowników serwisu internetowego calmauria.com oraz powiązanej usługi („Usługa”), zgodnie z Rozporządzeniem (UE) 2016/679 („RODO”) oraz włoskim dekretem ustawodawczym 196/2003, zmienionym dekretem ustawodawczym 101/2018.
Calmauria to oparta na sztucznej inteligencji usługa wsparcia emocjonalnego i wellness. Nie jest usługą medyczną, nie stawia diagnoz, nie prowadzi terapii ani leczenia i nie zastępuje porady lekarza ani psychologa.
1. Administrator danych
Administratorem danych jest CR OÜ (società di diritto estone, codice registro 16778262), che opera con il marchio Calmauria, z siedzibą pod adresem Nõmme tee 64-3, Kristiine linnaosa, 11311 Tallinn, Harju maakond, Estonia. W każdej sprawie dotyczącej Twoich danych możesz napisać do nas na adres [email protected].
2. Kategorie danych, które przetwarzamy
- Dane konta: adres e-mail, imię (opcjonalnie), hasło (przechowywane wyłącznie w postaci skrótu kryptograficznego), potwierdzenie pełnoletności.
- Dane sesji: wybrany temat, krótki opis początkowy, tryb (audio/telefon), wybrany głos, czas trwania i godzina sesji.
- Treść rozmów: to, co mówisz podczas sesji z Aurią, oraz odpowiadające temu odpowiedzi. Treści te mogą ujawniać dane należące do szczególnych kategorii danych (art. 9 RODO) (w szczególności dane dotyczące zdrowia i dobrostanu psychicznego).
- Dane płatnicze: obsługiwane bezpośrednio przez Stripe. Nie przetwarzamy ani nie przechowujemy numerów kart; otrzymujemy jedynie identyfikatory transakcji, kwotę, status płatności oraz e-mail rozliczeniowy.
- Dane techniczne: adres IP, typ urządzenia i przeglądarki, logi techniczne i bezpieczeństwa niezbędne do działania i ochrony Usługi.
3. Cele i podstawy prawne
- Świadczenie Usługi (konto, sesje, płatności): podstawą prawną jest wykonanie umowy (art. 6 ust. 1 lit. b RODO).
- Przetwarzanie treści rozmów oraz pamięci międzysesyjnej (szczególne kategorie danych): podstawą prawną jest Twoja wyraźna zgoda (art. 9 ust. 2 lit. a RODO), którą możesz wycofać w każdej chwili.
- Bezpieczeństwo, zapobieganie nadużyciom i obsługa sytuacji kryzysowych: prawnie uzasadniony interes (art. 6 ust. 1 lit. f) oraz, w stosownych przypadkach, ochrona żywotnych interesów (art. 9 ust. 2 lit. c).
- Obowiązki podatkowe i księgowe związane z płatnościami: obowiązek prawny (art. 6 ust. 1 lit. c).
- Komunikaty dotyczące Usługi (np. potwierdzenia, powiadomienia o bezpieczeństwie): wykonanie umowy oraz prawnie uzasadniony interes.
4. Pamięć międzysesyjna
Wyłącznie jeżeli wyrazisz odrębną, dobrowolną zgodę, Auria przechowuje zaszyfrowane podsumowanie Twoich rozmów, abyś mógł kontynuować w kolejnych sesjach od miejsca, w którym skończyłeś. Zgodę tę możesz wycofać w każdej chwili w panelu swojego konta lub pisząc do nas: od tego momentu pamięć nie będzie już wykorzystywana, a podsumowania zostaną usunięte.
5. Jak chronimy Twoje dane
Treści wrażliwe (transkrypcje sesji i podsumowania) są szyfrowane na poziomie aplikacji algorytmem AES-256-GCM; klucze szyfrujące są zarządzane oddzielnie od bazy danych. Hasła są chronione funkcjami wyprowadzania klucza (scrypt). Stosujemy odpowiednie środki techniczne i organizacyjne, aby zapewnić poufność, integralność i dostępność danych.
6. Dostawcy i podmioty przetwarzające
W celu świadczenia Usługi korzystamy z dostawców działających jako podmioty przetwarzające, każdorazowo na podstawie odpowiednich zabezpieczeń umownych:
- Stripe — płatności;
- Neon — baza danych;
- LiveKit — transmisja audio/wideo w czasie rzeczywistym;
- Anam — awatar wideo (funkcja obecnie nieaktywna);
- Cartesia — synteza głosu;
- Deepgram — transkrypcja głosu;
- Anthropic — model sztucznej inteligencji generujący odpowiedzi.
Niektórzy dostawcy mogą przetwarzać dane poza Europejskim Obszarem Gospodarczym. W takim przypadku przekazywanie danych odbywa się na podstawie odpowiednich zabezpieczeń przewidzianych w art. 44 i nast. RODO (w szczególności standardowych klauzul umownych). Tam, gdzie jest to technicznie możliwe, preferujemy dostawców oferujących przechowywanie danych w UE oraz umowne zobowiązanie do nietrenowania swoich modeli na Twoich treściach.
7. Zautomatyzowane podejmowanie decyzji
Usługa wykorzystuje sztuczną inteligencję do generowania odpowiedzi oraz, równolegle, zautomatyzowany klasyfikator bezpieczeństwa, który analizuje każdą wypowiedź w celu wykrycia sygnałów ryzyka (np. myśli samobójczych, zagrożenia dla Ciebie lub innych). Przetwarzanie to nie wywołuje wobec Ciebie skutków prawnych: jego jedynym celem jest Twoje bezpieczeństwo. Nie prowadzimy profilowania w celach marketingowych.
8. Okres przechowywania danych
- Dane konta: przez czas trwania relacji i tak długo, jak konto pozostaje aktywne.
- Transkrypcje i podsumowania: przechowywane wyłącznie za Twoją zgodą; jeżeli nie wyrazisz zgody na pamięć, treści nie są przechowywane po zakończeniu sesji lub są usuwane w terminach określonych w naszych zasadach retencji.
- Dane płatnicze i dokumenty podatkowe: przez okres wymagany przepisami prawa.
- Logi bezpieczeństwa: przez czas ściśle niezbędny do celów bezpieczeństwa.
9. Osoby małoletnie
Usługa jest przeznaczona wyłącznie dla osób pełnoletnich (18 lat lub więcej). Nie gromadzimy świadomie danych osób małoletnich. Jeżeli wykryjemy oznaki, że użytkownik może być osobą małoletnią, kończymy sesję i kierujemy go do dedykowanych zasobów pomocy. Jeżeli uważasz, że osoba małoletnia przekazała nam dane, napisz do nas, a je usuniemy.
10. Postępowanie w sytuacjach kryzysowych
Calmauria nie obsługuje sytuacji nagłych. W przypadku sygnałów zagrożenia życia Auria przerywa rozmowę i kieruje użytkownika do natychmiastowej pomocy ze strony ludzi (numery alarmowe i telefony zaufania). W sytuacji bezpośredniego zagrożenia zadzwoń pod numer 112 (lub lokalny numer alarmowy).
11. Twoje prawa
Jako osoba, której dane dotyczą, możesz w każdej chwili skorzystać z praw przewidzianych w art. 15-22 RODO:
- dostępu do swoich danych i uzyskania ich kopii;
- sprostowania danych nieprawidłowych;
- usunięcia danych („prawo do bycia zapomnianym”);
- ograniczenia przetwarzania oraz sprzeciwu wobec przetwarzania;
- przenoszenia danych;
- wycofania zgody w dowolnym momencie, bez wpływu na zgodność z prawem przetwarzania dokonanego wcześniej.
Aby skorzystać ze swoich praw, napisz na adres [email protected]. Odpowiemy w terminach wymaganych przepisami prawa.
12. Skarga do organu nadzorczego
Masz prawo wnieść skargę do włoskiego organu ochrony danych osobowych (Garante per la protezione dei dati personali, www.garanteprivacy.it) lub do organu nadzorczego państwa członkowskiego UE, w którym mieszkasz.
13. Zmiany
Możemy okresowo aktualizować niniejszą politykę. Zmiany będą publikowane na tej stronie wraz z odpowiednią datą aktualizacji.
Dodatkowa informacja dla mieszkańców Stanów Zjednoczonych — Consumer Health Data
Niniejsza sekcja dotyczy wyłącznie osób zamieszkałych w USA. Treść Twoich rozmów z Aurią może stanowić „consumer health data” (konsumenckie dane zdrowotne) w rozumieniu przepisów niektórych stanów USA, w tym Washington My Health My Data Act. W odniesieniu do takich danych:
- gromadzimy je i przetwarzamy wyłącznie za Twoją wyraźną zgodą i jedynie w celu świadczenia Ci Usługi;
- nie sprzedajemy konsumenckich danych zdrowotnych i nie udostępniamy ich w celach reklamowych;
- możesz w każdej chwili skorzystać z prawa dostępu, usunięcia danych i wycofania zgody, pisząc na adres [email protected];
- dane te są chronione szyfrowaniem na poziomie aplikacji, jak opisano w punkcie 5.
Uwaga: niniejszy dokument jest tłumaczeniem grzecznościowym udostępnionym dla wygody użytkownika. W razie rozbieżności między wersją polską a włoską wiążąca jest wersja włoska, w zakresie dopuszczalnym przez bezwzględnie obowiązujące przepisy o ochronie konsumentów. Niniejsza polityka została przygotowana z najwyższą starannością, ale nie zastępuje indywidualnej porady prawnej: przed publicznym uruchomieniem zaleca się weryfikację przez wykwalifikowanego prawnika oraz przeprowadzenie oceny skutków dla ochrony danych (DPIA).