Политика конфиденциальности
Настоящая политика описывает, каким образом Calmauria (далее — «Calmauria», «мы», «нас») обрабатывает персональные данные пользователей сайта calmauria.com и связанного с ним сервиса («Сервис») в соответствии с Регламентом (ЕС) 2016/679 (Общий регламент по защите данных, «GDPR») и итальянским Законодательным декретом 196/2003 в редакции Законодательного декрета 101/2018.
Calmauria — это сервис эмоциональной поддержки и заботы о внутреннем благополучии на основе искусственного интеллекта. Он не является медицинской услугой, не ставит диагнозы, не проводит терапию или лечение и не заменяет консультацию врача или психолога.
1. Оператор данных
Оператором (контролёром) данных является CR OÜ (società di diritto estone, codice registro 16778262), che opera con il marchio Calmauria с юридическим адресом: Nõmme tee 64-3, Kristiine linnaosa, 11311 Tallinn, Harju maakond, Estonia. По любым вопросам, касающимся ваших данных, вы можете написать нам по адресу [email protected].
2. Категории обрабатываемых данных
- Данные учётной записи: адрес электронной почты, имя (по желанию), пароль (хранится исключительно в виде криптографического хеша), подтверждение совершеннолетия.
- Данные сессий: выбранная тема, краткое первоначальное описание, режим (аудио/телефон), выбранный голос, продолжительность и время сессий.
- Содержание разговоров: то, что вы говорите во время сессий с Auria, и соответствующие ответы. Такое содержание может раскрывать данные, относящиеся к специальным категориям данных (статья 9 GDPR) — в частности, данные о здоровье и психологическом благополучии.
- Платёжные данные: обрабатываются напрямую компанией Stripe. Мы не обрабатываем и не храним номера карт; мы получаем только идентификаторы транзакций, сумму, статус платежа и адрес электронной почты для выставления счетов.
- Технические данные: IP-адрес, тип устройства и браузера, технические журналы и журналы безопасности, необходимые для работы и защиты Сервиса.
3. Цели и правовые основания обработки
- Предоставление Сервиса (учётная запись, сессии, платежи): правовое основание — исполнение договора (ст. 6(1)(b) GDPR).
- Обработка содержания разговоров и памяти между сессиями (специальные категории данных): правовое основание — ваше явное согласие (ст. 9(2)(a) GDPR), которое вы можете отозвать в любой момент.
- Безопасность, предотвращение злоупотреблений и реагирование на кризисные ситуации: законный интерес (ст. 6(1)(f)) и, где применимо, защита жизненно важных интересов (ст. 9(2)(c)).
- Налоговые и бухгалтерские обязанности, связанные с платежами: юридическая обязанность (ст. 6(1)(c)).
- Сервисные уведомления (например, подтверждения, уведомления о безопасности): исполнение договора и законный интерес.
4. Память между сессиями
Только при наличии вашего отдельного, необязательного согласия Auria сохраняет зашифрованное резюме ваших разговоров, чтобы в последующих сессиях вы могли продолжить с того места, на котором остановились. Вы можете отозвать это согласие в любой момент в личном кабинете или написав нам: с этого момента память больше не используется, а резюме удаляются.
5. Как мы защищаем ваши данные
Чувствительное содержание (стенограммы сессий и резюме) шифруется на уровне приложения по алгоритму AES-256-GCM; ключи шифрования хранятся отдельно от базы данных. Пароли защищены функциями формирования ключа (scrypt). Мы применяем надлежащие технические и организационные меры для обеспечения конфиденциальности, целостности и доступности данных.
6. Поставщики услуг и обработчики данных
Для предоставления Сервиса мы привлекаем поставщиков, действующих в качестве обработчиков данных, каждый — на основании надлежащих договорных гарантий:
- Stripe — платежи;
- Neon — база данных;
- LiveKit — передача аудио/видео в реальном времени;
- Anam — видеоаватар (функция в настоящее время не активна);
- Cartesia — синтез речи;
- Deepgram — транскрипция речи;
- Anthropic — модель искусственного интеллекта, генерирующая ответы.
Некоторые поставщики могут обрабатывать данные за пределами Европейской экономической зоны. В этом случае передача осуществляется на основании надлежащих гарантий согласно статьям 44 и последующим GDPR (в частности, стандартных договорных условий). Там, где это технически возможно, мы отдаём предпочтение поставщикам, обеспечивающим хранение данных в ЕС и принимающим договорные обязательства не обучать свои модели на вашем контенте.
7. Автоматизированное принятие решений
Сервис использует искусственный интеллект для генерации ответов и, параллельно, автоматизированный классификатор безопасности, который анализирует каждую реплику для выявления сигналов риска (например, суицидальных мыслей, опасности для вас или окружающих). Такая обработка не влечёт для вас юридических последствий: её единственная цель — ваша безопасность. Мы не осуществляем профилирование в маркетинговых целях.
8. Сроки хранения данных
- Данные учётной записи: в течение срока действия отношений и до тех пор, пока учётная запись остаётся активной.
- Стенограммы и резюме: хранятся только с вашего согласия; если вы не даёте согласия на память, содержание не сохраняется после окончания сессии либо удаляется в сроки, предусмотренные нашими правилами хранения.
- Платёжные данные и налоговые документы: в течение срока, установленного законом.
- Журналы безопасности: в течение времени, строго необходимого для целей безопасности.
9. Несовершеннолетние
Сервис предназначен исключительно для совершеннолетних (18 лет и старше). Мы сознательно не собираем данные несовершеннолетних. Если мы обнаруживаем признаки того, что пользователь может быть несовершеннолетним, мы завершаем сессию и направляем его к специализированным ресурсам. Если вы считаете, что несовершеннолетний предоставил нам свои данные, напишите нам, и мы их удалим.
10. Реагирование на кризисные ситуации
Calmauria не работает с экстренными ситуациями. При наличии сигналов угрозы жизни Auria прерывает разговор и направляет пользователя к немедленной помощи людей (экстренные номера и линии поддержки). В ситуации непосредственной опасности звоните по номеру 112 (или по местному номеру экстренных служб).
11. Ваши права
Как субъект данных вы можете в любой момент осуществить права, предусмотренные статьями 15–22 GDPR:
- доступ к своим данным и получение их копии;
- исправление неточных данных;
- удаление данных («право на забвение»);
- ограничение обработки и возражение против неё;
- переносимость данных;
- отзыв согласия в любой момент — без ущерба для законности обработки, осуществлённой до отзыва.
Для осуществления своих прав напишите по адресу [email protected]. Мы ответим в сроки, установленные законом.
12. Жалоба в надзорный орган
Вы имеете право подать жалобу в итальянский орган по защите персональных данных (Garante per la protezione dei dati personali, www.garanteprivacy.it) или в надзорный орган государства — члена ЕС, в котором вы проживаете.
13. Изменения
Мы можем время от времени обновлять настоящую политику. Изменения публикуются на этой странице с указанием даты соответствующего обновления.
Дополнительное уведомление для жителей США — Consumer Health Data (данные потребителей о здоровье)
Настоящий раздел применяется к лицам, проживающим в Соединённых Штатах Америки. Содержание ваших разговоров с Auria может квалифицироваться как «consumer health data» (данные потребителей о здоровье) согласно законодательству отдельных штатов США, включая закон штата Вашингтон My Health My Data Act. В отношении таких данных:
- мы собираем и обрабатываем их только с вашего явного согласия и исключительно для предоставления вам Сервиса;
- мы не продаём данные потребителей о здоровье и не передаём их для рекламных целей;
- вы можете в любой момент осуществить свои права на доступ, удаление и отзыв согласия, написав по адресу [email protected];
- эти данные защищены шифрованием на уровне приложения, как описано в разделе 5.
Примечание: настоящий перевод предоставлен для удобства. В случае расхождений между русской и итальянской версиями преимущественную силу имеет итальянская версия — в пределах, допускаемых императивными нормами о защите прав потребителей. Настоящая политика составлена с максимальной тщательностью, но не заменяет индивидуальную юридическую консультацию: перед публичным запуском рекомендуется проверка квалифицированным юристом, а также проведение оценки воздействия на защиту данных (DPIA).