Zasady ochrony danych osobowych

Zasady ochrony danych osobowych
spółki z ograniczoną odpowiedzialnością KARDI AI Technologies s.r.o., z siedzibą pod adresem 28. října 459/11, 779 00 Olomouc, Republika Czeska, IČO (REGON): 14328127, e-mail: support@kardi.ai (dalej tylko „administrator“ lub „operator“),

wydane zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (dalej tylko „RODO“):

Użytkownik usług operatora jako podmiot danych swoją dobrowolną decyzją (zaznaczając pole, naciskając przycisk) daje do wiadomości, że jest świadomy wszystkich poniższych okoliczności i wyraża zgodę na dalsze przetwarzanie swoich danych osobowych do celów działalności gospodarczej operatora strony internetowej i interaktywnej platformy internetowej www.kardi.ai, jej aplikacji mobilnej i modelu sztucznej inteligencji (AI) powiązanego z tą platformą (i ewentualnie wyraża zgodę na przetwarzanie danych osobowych w celu wysyłania biuletynów, jeśli wyraził na to samodzielną zgodę). Do celów niniejszych Zasad przez „model AI“ rozumie się komponent oparty na uczeniu maszynowym zintegrowany z platformą Kardi Ai. Model uczy się identyfikować wzorce na podstawie historycznych i skompilowanych przez użytkownika danych EKG i innych danych zdrowotnych, poprawiając zdolność platformy Kardi Ai do interpretowania aktywności serca. Ten model sztucznej inteligencji jest częścią szerszego systemu sztucznej inteligencji opracowanego i wdrożonego przez administratora; system zapewnia zautomatyzowane dane wyjściowe w celu wsparcia monitorowania stanu zdrowia użytkownika.

Administrator przetwarza dane osobowe w zakresie, w jakim użytkownik przekazał je administratorowi z następujących powodów, w następującym zakresie i w następujących celach:

1. W celu założenia i prowadzenia konta użytkownika na interaktywnej platformie internetowej kardi.ai oraz ulepszania usług dostawcy i oceny tych usług, a także w celu uczenia się, rozwijania i dostrajania modelu sztucznej inteligencji zintegrowanego z platformą Kardi Ai, administrator przetwarza dane osobowe podane przez użytkownika w formularzu rejestracyjnym lub w ramach platformy Kardi Ai lub wygenerowane podczas korzystania z urządzeń i usług operatora (obejmuje to na przykład zapisy EKG i powiązane dane zdrowotne) na podstawie wyraźnej zgody udzielonej przez użytkownika przy akceptacji niniejszych Zasad Ochrony Danych Osobowych.

Administrator przetwarza w szczególności następujące dane osobowe:

• dane identyfikacyjne (imię i nazwisko, tytuł, data urodzenia),
• dane kontaktowe (numer telefonu i adres e-mail),
• dane finansowe (w szczególności numer konta bankowego lub karty płatniczej),
• płeć i wiek,
• dane dotyczące korzystania z urządzeń operatora, dane dotyczące stanu fizycznego, zmierzone wartości i inne informacje dotyczące korzystania z urządzeń operatora,
• dane zdrowotne, w tym dane dotyczące zdrowia lub stanu fizycznego lub psychicznego. Dane osobowe dotyczące zdrowia obejmują również takie dane, które można wykorzystać do określenia stanu zdrowia danej osoby lub wyciągnięcia wniosków na temat jej stanu zdrowia,
• i ewentualnie inne dane podane przez użytkownika w formularzu rejestracyjnym lub wymagane przez administratora do celów rejestracji, a także dane podane przez użytkownika w ramach platformy Kardi Ai.

Przetwarzanie danych osobowych, które nie ujawniają informacji o stanie zdrowia, jest niezbędne do realizacji umowy między użytkownikiem a operatorem oraz do spełnienia obowiązków prawnych dotyczących operatora. Dane dotyczące zdrowia (będące szczególną kategorią danych osobowych) są przetwarzane przez administratora między innymi w celu uczenia się i ulepszania modelu sztucznej inteligencji wykorzystywanego przez platformę Kardi Ai i/lub przekazywane stronom trzecim (podmiotom świadczącym usługi medyczne) na podstawie wyraźnej zgody.

W przypadku, gdy dane osobowe są gromadzone wraz z danymi dotyczącymi zdrowia (np. zapisy tętna lub EKG), cały taki zestaw danych jest uważany za dane specjalnej kategorii i jest przetwarzany wyłącznie na podstawie wyraźnej zgody użytkownika zgodnie z art. 6 ust. 1 lit. a) i art. 9 ust. 2 lit. a) rozporządzenia RODO. To samo dotyczy przekazywania tych danych stronom trzecim (np. podmiotom świadczącym usługi medyczne). W tym kontekście wyraźna zgoda jest jedyną podstawą prawną przetwarzania danych osobowych i zdrowotnych w ramach platformy Kardi Ai. Bez takiej zgody lub jeżeli użytkownik wycofa zgodę, administrator nie może zapewnić podstawowych funkcji platformy Kardi Ai, które opierają się na przetwarzaniu danych dotyczących zdrowia, a dostęp do platformy zostanie odpowiednio ograniczony. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania danych przebiegającego przed jej wycofaniem.

Niektóre dane, które nie informują o stanie zdrowia użytkownika lub inne dane, które nie są uważane za szczególne kategorie danych osobowych, mogą być przetwarzane do celów, w których dostawca ma uzasadniony interes, tj. w celu ulepszania usług dostawcy, a mianowicie: i) do użytku wewnętrznego administratora, w celu rozwoju produktów i portalu administratora; ii) do przetwarzania i przekazywania (w tym przekazywania partnerom umownym administratora) w formie zagregowanej lub anonimowej (np. do celów różnych badań, raportów statystycznych, infografik, studiów przypadków, itp.). Dane dotyczące zdrowia nie są przetwarzane w tych celach bez wyraźnej zgody użytkownika, która może zostać kiedykolwiek wycofana. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania danych przebiegającego przed jej wycofaniem.

Niniejszym informuje się użytkownika, że zmierzone wartości zgromadzone za pośrednictwem usług operatora nie mogą zostać odzyskane ani udostępnione użytkownikowi po dezaktywacji konta użytkownika.

2. W celu zasyłania biuletynów i innych informacji handlowych administrator przetwarza dane osobowe na podstawie zgody w zakresie:

• adres e-mail,
• numer telefonu.

Te dane osobowe są również przetwarzane w celu prezentowania spersonalizowanych ofert produktowych administratora i jego partnerów umownych. Udzielając zgody, użytkownik wyraża również zgodę na pobieranie, przetwarzanie, przechowywanie i wykorzystywanie danych przez administratora do następujących celów: i) na potrzeby wewnętrzne administratora, w celu rozwoju produktów administratora i składania użytkownikom ofert produktów administratora na miarę; ii) do przetwarzania i przekazywania (w tym przekazywania partnerom umownym administratora) w formie zagregowanej lub anonimowej (np. do celów różnych badań, raportów statystycznych, infografik, studiów przypadku, itp.).

Podmiot danych ma prawo kiedykolwiek wnieść sprzeciw wobec przetwarzania jego danych osobowych w tym celu.

Przetwarzanie danych osobowych w tym celu będzie miało miejsce przez okres obowiązywania udzielonej zgody, ale nie dłużej niż przez czas trwania stosunku umownego z operatorem. Zgodę można kiedykolwiek wycofać zasyłając wiadomość e-mail na adres gdpr@kardi.ai lub klikając w link rezygnacji z abonamentu, który jest podany w każdej wiadomości. Jeżeli użytkownik wycofa zgodę, administrator usunie jego dane osobowe.

Przetwarzanie danych osobowych we wszystkich powyższych celach jest realizowane przez administratora. Dostawcy usług medycznych mają również dostęp do danych zdrowotnych, jeżeli sprzedadzą użytkownikowi urządzenie z aplikacją. Administrator jest uprawniony do przekazywania danych osobowych podmiotom świadczącym usługi medyczne. Dostawy usług medycznych są niezależnymi administratorami takich danych osobowych. Administrator jest uprawniony do przekazywania danych osobowych innym podmiotom (podmiotom przetwarzającym), z którymi zawarł umowę powierzenia przetwarzania danych osobowych, w szczególności eksternistycznym specjalistom (takim jak księgowi, prawnicy, lekarze) oraz osobom uczestniczym w świadczeniu usług administratora.

Administrator oświadcza, że wszystkie podmioty, którym mogą zostać udostępnione dane osobowe, szanują prawo podmiotów danych do ochrony prywatności i są zobowiązane do przestrzegania obowiązujących przepisów o ochronie danych osobowych.

Dane osobowe obywateli krajów Europejskiego Obszaru Gospodarczego nie są przekazywane do krajów poza Unią Europejską. Dane osobowe obywateli państw trzecich (spoza Europejskiego Obszaru Gospodarczego) mogą być przekazywane spółkom w państwach trzecich (poza Europejskim Obszarem Gospodarczym). W takich przypadkach, gdy dane są przekazywane z Europejskiego Obszaru Gospodarczego do kraju trzeciego, administrator przekaże dane tylko wtedy, gdy spełniony jest jeden z następujących warunków: (i) w danym kraju istnieje odpowiedni poziom ochrony określony przez Komisję Europejską, lub (ii) firma odbierająca dane/importer danych jest zarejestrowana w ramach Tarczy Prywatności UE-USA, lub (iii) istnieją standardowe klauzule umowne (klauzule modelowe UE) zatwierdzone przez Komisję Europejską i inne dodatkowe środki regulujące przekazywanie danych.

Administrator stosuje odpowiednie środki techniczne i organizacyjne w celu ochrony danych osobowych, które są odpowiednie do charakteru i rodzaju danych osobowych lub kategorii danych osobowych oraz ryzyk związanych z ich przetwarzaniem.

Jako podmiot danych osobowych, użytkownik ma następujące prawa wynikające z RODO:

• Prawo do wycofania zgody. W przypadku, gdy do celów przetwarzania danych osobowych wymagana jest zgoda użytkownika, użytkownik jest uprawniony do wycofania zgody w dowolnym momencie.
• Prawo dostępu. Użytkownik ma prawo dostępu do przetwarzanych jego danych osobowych, i jednocześnie prawo do informacji o tym, jakie jego dane osobowe są przetwarzane, jak długo, jakie są cele ich przetwarzania, komu są udostępniane i czy są wykorzystywane do zautomatyzowanego podejmowania decyzji.
• Prawo do korekty. Jeżeli użytkownik stwierdzi, że przetwarzane jego dane osobowe są niekompletne lub nieprawidłowe, ma prawo do ich skorygowania lub do ich uzupełnienia.
• Prawo do usunięcia danych. Użytkownik ma prawo do usunięcia przechowywanych i przetwarzanych jego danych osobowych. Administrator, w ciągu miesiąca od powzięcia wiadomości o braku podstawy prawnej, usunie lub zniszczy dane.
• Prawo do przenoszenia. Na jego podstawie użytkownik może zażądać udostępnienia danych osobowych w ustrukturyzowanym formacie nadającym się do odczytu maszynowego.
• Prawo do ograniczenia przetwarzania. Użytkownik ma prawo zażądać od administratora ograniczenia przetwarzania na czas niezbędny do zweryfikowania prawidłowości danych.
• Prawo do sprzeciwu wobec przetwarzania danych osobowych. Użytkownik ma prawo wnieść sprzeciw wobec przetwarzania danych osobowych do celów marketingu bezpośredniego.
• Prawo do złożenia skargi. Podmiot danych może skontaktować się z administratorem pod adresem gdpr@kardi.ai. Ma również prawo złożyć skargę do organu: Urząd Ochrony Danych Osobowych (Praga, Republika Czeska) przez uoou.gov.cz.

Administrator zwraca uwagę na to, że nie ma możliwości żądania usunięcia danych osobowych, do których gromadzenia administrator jest zobowiązany przepisami prawa.

Jeśli użytkownik chce skorygować swoje dane osobowe przetwarzane przez operatora lub skorzystać z któregokolwiek z wyżej wymienionych praw, może skontaktować się z administratorem pod następującym adresem e-mail: gdpr@kardi.ai.

Data: 1 października 2025 r.