Conformitate GDPR

CalmCall, operat de CalmCall Ltd (București, the United Kingdom), se angajează să respecte pe deplin Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date ("GDPR").

Având în vedere că CalmCall procesează date sensibile mental health, ne angajăm la cele mai înalte standarde de protecție și transparență.

1. Responsabilul cu Protecția Datelor (DPO)

Am desemnat un Responsabil cu Protecția Datelor (Data Protection Officer) pe care îl puteți contacta pentru orice solicitări legate de datele dumneavoastră personale:

2. Temeiurile Legale pentru Prelucrarea Datelor

Prelucrăm datele dumneavoastră personale pe baza următoarelor temeiuri legale prevăzute de GDPR:

• Consimțământ explicit (Art. 6(1)(a) și Art. 9(2)(a)): Pentru prelucrarea datelor speciale mental health (conversații AI, evaluări emoționale, note de jurnal). Consimțământul este solicitat la crearea contului și poate fi retras oricând.
• Executarea contractului (Art. 6(1)(b)): Pentru furnizarea serviciilor CalmCall, gestionarea contului și procesarea plăților.
• Obligație legală (Art. 6(1)(c)): Pentru conformitatea cu cerințele fiscale, contabile și legale aplicabile.
• Interes vital (Art. 6(1)(d)): În cazuri excepționale de detectare a riscului iminent pentru viața utilizatorului.
• Interes legitim (Art. 6(1)(f)): Pentru îmbunătățirea serviciilor, securitate și prevenirea fraudei — cu respectarea drepturilor și intereselor utilizatorilor.

3. Perioade de Retenție a Datelor

Datele sunt păstrate strict pe durata necesară scopului pentru care au fost colectate:

4. Procesatori Terți

Colaborăm cu următorii procesatori terți, toți conformi cu GDPR și cu acorduri de prelucrare a datelor (DPA) semnate:

• Hetzner Online GmbH (Germania): Hosting și infrastructură server. Servere localizate în UE (Germania).
• Stripe Inc. (SUA/Irlanda): Procesare plăți. Certificat PCI DSS Level 1. Clauze contractuale standard pentru transfer UE-SUA.
• OpenAI (SUA): Procesare AI pentru companionul vocal. Date procesate conform DPA cu clauze contractuale standard. Nu se folosesc datele utilizatorilor pentru antrenarea modelelor.
• ElevenLabs (SUA): Sinteză vocală pentru companionul AI. Clauze contractuale standard.
• Google Analytics (SUA/Irlanda): Analiză anonimizată a traficului. IP-uri anonimizate, fără cookie-uri de identificare.

5. Transferuri Transfrontaliere de Date

Toate datele sunt stocate pe servere din Uniunea Europeană. Atunci când transferul de date către țări din afara Spațiului Economic European este necesar (de exemplu, pentru procesarea AI), ne asigurăm că:

• Sunt implementate Clauze Contractuale Standard (SCC) aprobate de Comisia Europeană
• Procesatorii au certificări de conformitate relevante (SOC 2, ISO 27001, PCI DSS)
• Se aplică măsuri tehnice suplimentare: criptare end-to-end, pseudonimizare, minimizarea datelor transferate
• Se efectuează evaluări de impact (Transfer Impact Assessments) pentru fiecare transfer

6. Solicitări de Ștergere a Datelor

Puteți solicita ștergerea completă a datelor dumneavoastră personale prin:

• Din cont: Setări > Privacy Policy > Șterge toate datele
• Email: Trimiteți o solicitare la dpo@calmcall.ai
• Formular: Completați formularul de solicitare GDPR de pe site

Procesul de ștergere:

• Confirmarea identității în maxim 3 zile lucrătoare
• Ștergerea datelor principale în maxim 30 de zile
• Ștergerea din backup-uri în maxim 90 de zile
• Confirmarea finală a ștergerii pe email

Notă: Anumite date pot fi reținute conform obligațiilor legale (date fiscale — 5 ani).

7. Politica de Cookies — Detalii

Clasificarea completă a cookie-urilor utilizate pe CalmCall:

Cookies Strict Necesare

• session_id: Identificator de sesiune. Durată: sesiune browser. Nu poate fi dezactivat.
• csrf_token: Protecție împotriva atacurilor CSRF. Durată: sesiune. Nu poate fi dezactivat.
• auth_token: Token de autentificare. Durată: 30 zile sau la deconectare. Nu poate fi dezactivat.

Cookies Funcționale

• language: Preferință de limbă. Durată: 1 an. Poate fi dezactivat.
• theme: Preferință temă vizuală. Durată: 1 an. Poate fi dezactivat.
• cookie_consent: Preferințe de consimțământ. Durată: 1 an.

Cookies Analitice

• _ga: Google Analytics — identificare utilizator anonim. Durată: 13 luni. Poate fi dezactivat.
• _ga_*: Google Analytics — stare sesiune. Durată: 13 luni. Poate fi dezactivat.

Nu utilizăm cookies de marketing, publicitate sau remarketing.

8. Evaluarea Impactului asupra Protecției Datelor (DPIA)

Având în vedere că CalmCall procesează date sensibile mental health la scară largă, am efectuat o Evaluare a Impactului asupra Protecției Datelor (DPIA) conform Art. 35 GDPR. DPIA este revizuită anual sau la orice modificare semnificativă a proceselor de prelucrare. Rezultatele DPIA sunt disponibile la cerere pentru autoritățile de supraveghere.

9. Drepturile Dumneavoastră

Conform GDPR, aveți următoarele drepturi:

• Dreptul de acces (Art. 15) — obțineți o copie a datelor dumneavoastră
• Dreptul la rectificare (Art. 16) — corectați datele inexacte
• Dreptul la ștergere (Art. 17) — solicitați ștergerea datelor
• Dreptul la restricționare (Art. 18) — limitați prelucrarea
• Dreptul la portabilitate (Art. 20) — primiți datele în format structurat
• Dreptul de opoziție (Art. 21) — obiectați la prelucrare
• Dreptul de retragere a consimțământului (Art. 7(3)) — oricând, fără efect retroactiv
• Dreptul de a depune plângere (Art. 77) — la autoritatea de supraveghere

10. Autorități de Supraveghere

Dacă considerați că drepturile dumneavoastră au fost încălcate, puteți depune o plângere la:

• the United Kingdom: Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) — www.dataprotection.ro
• Cipru: Office of the Commissioner for Personal Data Protection — www.dataprotection.gov.cy

11. Contact

Pentru orice întrebări sau solicitări legate de GDPR și protecția datelor personale: