Principiile privind protecția datelor personale

Principiile privind protecția datelor personale
ale societății cu răspundere limitată KARDI AI Technologies s.r.o., cu sediul social la 28. října 459/11, 779 00 Olomouc, Republica Cehă, C.U.I.: 14328127, e-mail: support@kardi.ai (denumit în continuare “administratorul” sau “operatorul”),

elaborate în conformitate cu Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (regulament general privind protecția datelor personale) (denumit în continuare “GDPR”):

Utilizatorul serviciilor operatorului în calitate de persoană vizată decide în mod liber (bifând căsuța, apăsând butonul) că este conștient de toate aspectele de mai jos și este de acord cu prelucrarea ulterioară a datelor sale cu caracter personal în scopul activităților comerciale ale operatorului site-ului web și al platformei online interactive www.kardi.ai, aplicația sa mobilă și modelul de inteligență artificială (AI) asociat acestei platforme (și, după caz, consimte la prelucrarea datelor cu caracter personal în scopul trimiterii de buletine informative dacă și-a exprimat acordul specific în acest sens). În sensul prezentei politici, “model AI” reprezintă o componentă bazată pe învățarea automată integrată în platforma Kardi Ai. Modelul învață să identifice tipare bazate pe istoricul EKG și alte date de sănătate compilate de utilizator, îmbunătățind capacitatea platformei Kardi Ai de a interpreta activitatea inimii. Acest model AI face parte dintr-un sistem AI mai amplu dezvoltat și implementat de operator; sistemul oferă rezultate automate pentru a sprijini monitorizarea sănătății utilizatorului.

Operatorul prelucrează datele cu caracter personal în măsura în care utilizatorul le-a furnizat operatorului pentru următoarele motive, în următorul volum și în următoarele scopuri:

1. În scopul creării și menținerii unui cont de utilizator pe platforma online interactivă kardi.ai și al îmbunătățirii serviciilor furnizorului și al evaluării acestor servicii, precum și în scopul învățării, dezvoltării și perfecționării modelului de inteligență artificială integrat în platforma Kardi Ai, operatorul prelucrează datele cu caracter personal furnizate de utilizator în formularul de înregistrare sau în cadrul platformei Kardi Ai sau generate la utilizarea echipamentelor și serviciilor operatorului (acestea includ, de exemplu, înregistrările EKG și datele de sănătate aferente), pe baza acordului explicit dat de utilizator la acceptarea acestor Principii privind protecția datelor personale.

În special, operatorul prelucrează următoarele date cu caracter personal:

• date de identificare (nume și prenume, titlu, data nașterii),
• date de contact (numărul de telefon și adresa de e-mail),
• detalii financiare (în special numărul contului bancar sau al cardului de credit),
• sex și vârstă,
• date privind utilizarea echipamentului operatorului, date privind starea fizică, valori măsurate și alte informații privind utilizarea echipamentului operatorului,
• date mediale, inclusiv date referitoare la sănătatea sau starea fizică sau mentală. Datele personale de sănătate includ, de asemenea, date care pot fi utilizate pentru a determina starea de sănătate a unei persoane sau pentru a trage concluzii cu privire la starea acesteia,
• și, după caz, alte date furnizate de utilizator în formularul de înregistrare sau solicitate de operator în scopul înregistrării, precum și datele furnizate de utilizator în cadrul platformei Kardi Ai.

Prelucrarea datelor cu caracter personal care nu dezvăluie informații privind sănătatea este necesară pentru executarea contractului dintre utilizator și operator și pentru îndeplinirea obligațiilor legale la care este supus operatorul. Datele privind sănătatea (care reprezintă o categorie specială de date cu caracter personal) sunt prelucrate de operator, printre altele, în scopul învățării și îmbunătățirii modelului AI utilizat de platforma Kardi Ai și/sau transferate către terți (furnizori de asistență medicală) pe baza acordului explicit.

În cazul în care datele cu caracter personal sunt colectate împreună cu date referitoare la sănătate (de exemplu, ritm cardiac sau înregistrări EKG), întregul set de date este considerat a fi date din categorii speciale și este prelucrat numai pe baza acordului explicit al utilizatorului, în conformitate cu articolul 6 alin. 1 lit. a) și art. 9 alin. 2 lit. a) din regulamentul GDPR. Același lucru este valabil și pentru transferul acestor date către părți terțe (de exemplu, furnizori de asistență medicală). În acest context, acordul explicit este singurul temei juridic pentru prelucrarea datelor cu caracter personal și de sănătate în cadrul platformei Kardi Ai. Fără un astfel de acord sau în cazul în care utilizatorul își retrage acordul, operatorul nu poate furniza funcțiile esențiale ale platformei Kardi Ai care se bazează pe prelucrarea datelor privind sănătatea, iar accesul la platformă va fi restricționat ca atare. Retragerea acordului nu afectează legalitatea prelucrării datelor efectuate înainte de retragerea acestuia.

Anumite date care nu indică sănătatea utilizatorului sau alte date care nu sunt considerate categorii speciale de date cu caracter personal pot fi prelucrate în scopuri în care furnizorul are un interes legitim, și anume pentru a îmbunătăți serviciile furnizorului, de exemplu: i) pentru uzul intern al operatorului, pentru dezvoltarea produselor și a portalului operatorului; ii) pentru prelucrare și transmitere (inclusiv transmiterea către partenerii contractuali ai operatorului) în formă agregată sau anonimă (de exemplu, în scopul diferitelor studii, rapoarte statistice, informații grafice, studii de caz etc.). Datele privind sănătatea nu sunt prelucrate în aceste scopuri fără acordul explicit al utilizatorului, iar acest acord poate fi retras în orice moment. Retragerea acordului nu afectează legalitatea prelucrării datelor efectuate înainte de retragerea acestuia.

Utilizatorul este informat prin prezenta că valorile măsurate colectate prin intermediul serviciilor operatorului nu pot fi recuperate sau furnizate utilizatorului după dezactivarea contului de utilizator.

2. În scopul trimiterii de buletine informative și alte comunicări comerciale, operatorul prelucrează datele cu caracter personal pe baza acordului în următorul volum:

• adresa de e-mail,
• număr de telefon.

Aceste date cu caracter personal sunt prelucrate și în scopul prezentării de oferte de produse personalizate ale operatorului și ale partenerilor săi contractuali. Prin exprimarea acordului, utilizatorul aprobă de asemenea descărcarea, prelucrarea, stocarea și utilizarea datelor de către operator în următoarele scopuri: i) pentru uzul intern al operatorului, pentru dezvoltarea produselor operatorului și pentru prezentarea ofertelor de produse personalizate ale operatorului către utilizatori; ii) pentru prelucrare și publicare (inclusiv transmiterea către partenerii contractuali ai operatorului) în formă agregată sau anonimă (de exemplu, în scopul realizării de diverse studii, rapoarte statistice, informații grafice, studii de caz etc.).

Persoana vizată are dreptul de a se opune în orice moment prelucrării datelor sale cu caracter personal în acest scop.

Prelucrarea datelor cu caracter personal în acest scop va avea loc pe durata acordului dat, dar nu mai mult decât durata relației contractuale cu operatorul. Acordul poate fi retras în orice moment prin trimiterea unui e-mail la gdpr@kardi.ai sau făcând clic pe link-ul de dezabonare furnizat în fiecare mesaj. În cazul în care utilizatorul își retrage acordul, operatorul va șterge datele cu caracter personal ale utilizatorului.

Prelucrarea datelor cu caracter personal pentru toate scopurile de mai sus este efectuată de operator. Furnizorii de servicii medicale au, de asemenea, acces la datele de sănătate la vânzarea unui echipament cu o aplicație unui utilizator. Operatorul are dreptul de a transfera date cu caracter personal către furnizorii de servicii medicale. Furnizorii de servicii medicale sunt operatori independenți ai acestor date cu caracter personal. Operatorul are dreptul de a transfera date cu caracter personal către alte entități (operatori) cu care a încheiat un contract pentru prelucrarea datelor cu caracter personal, în special profesioniști externi (cum ar fi contabili, avocați, medici) și persoane implicate în furnizarea serviciilor operatorului.

Operatorul declară că toate entitățile cărora le pot fi oferite date cu caracter personal respectă dreptul persoanelor vizate la viață privată și sunt obligate să respecte legislația aplicabilă privind protecția datelor.

Datele cu caracter personal ale cetățenilor din țările aparținând Spațiului Economic European nu sunt transferate în țări din afara Uniunii Europene. Datele cu caracter personal ale cetățenilor din țări terțe (din afara Spațiului Economic European) pot fi transferate către societăți din țări terțe (din afara Spațiului Economic European). În astfel de cazuri în care datele sunt transferate din Spațiul Economic European către o țară terță, operatorul de date va transfera datele numai dacă este îndeplinită una dintre următoarele condiții: (i) există un nivel adecvat de protecție în țara respectivă, astfel cum a fost stabilit de Comisia Europeană sau (ii) societatea destinatară/importatorul de date este înregistrat în conformitate cu Cadrul de protecție a vieții private UE-SUA sau (iii) sunt în vigoare clauze contractuale standard (clauze-tip UE) aprobate de Comisia Europeană și alte măsuri suplimentare pentru reglementarea transferului de date.

Operatorul pune în aplicare măsuri tehnice și organizatorice adecvate pentru a proteja datele cu caracter personal care sunt adecvate naturii și tipului de date cu caracter personal sau de categorii de date cu caracter personal în cauză și riscurilor asociate prelucrării acestora.

În calitate de persoană vizată utilizatorul are următoarele drepturi în conformitate cu regulamentul GDPR:

• Dreptul de a retrage acordul. În cazul în care acordul utilizatorului este necesar în scopul prelucrării datelor cu caracter personal, utilizatorul are dreptul de a-și retrage acordul în orice moment, în special prin trimiterea unui e-mail de la adresa de e-mail a utilizatorului sau făcând clic pe link-ul de dezabonare din buletinul informativ.
• Dreptul de acces. Utilizatorul ha dreptul de acces la datele cu caracter personal prelucrate care îl privesc și, în același timp, dreptul la informații cu privire la datele cu caracter personal prelucrate care îl privesc, durata, scopurile prelucrării, cui sunt prezentate și dacă sunt utilizate pentru luarea automată a deciziilor.
• Dreptul de a corecta. În cazul în care utilizatorul descoperă că sunt prelucrate date cu caracter personal incomplete sau incorecte cu privire la el, acesta are dreptul de a corecta sau de a completa datele cu caracter personal.
• Dreptul de a șterge. Dreptul utilizatorului este, de asemenea, dreptul la ștergerea datelor cu caracter personal stocate și prelucrate cu privire la acesta. Operatorul, în termen de o lună de la luarea la cunoștință a lipsei temeiului juridic, șterge sau distruge datele.
• Dreptul de a transfera. Pe această bază, utilizatorul poate solicita furnizarea de date cu caracter personal care au fost transmise operatorului pe baza acordului utilizatorului și care sunt prelucrate automat de către operator, într-un format structurat și care poate fi citit automat.
• Dreptul de a restricționa prelucrarea. În cazul în care utilizatorul consideră că datele sale cu caracter personal sunt incorecte, acesta are dreptul de a solicita operatorului să restricționeze prelucrarea acestora pe perioada necesară pentru a verifica exactitatea acestor date.
• Dreptul de a se opune prelucrării datelor cu caracter personal. Utilizatorul are dreptul de a se opune prelucrării datelor cu caracter personal de către operator în scopuri de marketing direct.
• Dreptul de a depune o plângere. În cazul în care persoana vizată are întrebări sau dorește să își exercite drepturile, aceasta poate contacta operatorul la gdpr@kardi.ai. De asemenea, are dreptul de a depune o plângere la autoritatea competentă: Oficiul pentru protecția datelor cu caracter personal (Praga, Republica Cehă) prin uoou.gov.cz.

Operatorul subliniază că nu este posibil să se solicite ștergerea datelor cu caracter personal pe care operatorul este obligat să le colecteze prin lege.

În cazul în care utilizatorul dorește să corecteze datele cu caracter personal prelucrate de operator sau să exercite oricare dintre drepturile menționate mai sus, acesta poate contacta operatorul la următoarea adresă de e-mail: gdpr@kardi.ai.

Data: 1 octombrie 2025