GDPR Efterlevnad

CalmCall, som drivs av CalmCall SRL (Bukarest, Rumänien), är engagerat i att fullt ut efterleva förordning (EU) 2016/679 från Europaparlamentet och rådet den 27 april 2016 om skydd av fysiska personer i samband med behandling av personuppgifter och om den fria rörligheten av sådana uppgifter ("GDPR").

Eftersom CalmCall behandlar känsliga data om mental hälsa, åtar vi oss de högsta standarderna för skydd och transparens.

1. Dataskyddsombud (DPO)

Vi har utsett ett dataskyddsombud som du kan kontakta för alla förfrågningar angående dina personuppgifter:

2. Juridiska grunder för databehandling

Vi behandlar dina personuppgifter baserat på följande juridiska grunder enligt GDPR:

• Uttryckligt samtycke (Art. 6(1)(a) och Art. 9(2)(a)): För behandling av särskilda data om mental hälsa (AI-konversationer, känslomässiga bedömningar, journalanteckningar). Samtycke begärs vid kontoskapande och kan återkallas när som helst.
• Avtalsuppfyllelse (Art. 6(1)(b)): För att tillhandahålla CalmCall-tjänster, kontohantering och betalningsbehandling.
• Juridisk skyldighet (Art. 6(1)(c)): För att följa tillämpliga skatte-, redovisnings- och juridiska krav.
• Väsentligt intresse (Art. 6(1)(d)): I exceptionella fall av att upptäcka omedelbar risk för användarens liv.
• Legitimt intresse (Art. 6(1)(f)): För tjänsteförbättring, säkerhet och bedrägeriförebyggande — samtidigt som användarnas rättigheter och intressen respekteras.

3. Databevarandeperioder

Data bevaras strikt under den tid som är nödvändig för det syfte för vilket den samlades in:

4. Tredjepartsprocessorer

Vi samarbetar med följande tredjepartsprocessorer, alla GDPR-kompatibla med undertecknade avtal om databehandling (DPA):

• Hetzner Online GmbH (Tyskland): Hosting och serverinfrastruktur. Servrar belägna i EU (Tyskland).
• Stripe Inc. (USA/Irländsk): Betalningsbehandling. PCI DSS nivå 1 certifierad. Standardavtalsklausuler för överföring mellan EU och USA.
• OpenAI (USA): AI-behandling för röstkompanjon. Data behandlas enligt DPA med standardavtalsklausuler. Användardata används inte för modellträning.
• ElevenLabs (USA): Röstsyntes för AI-kompanjon. Standardavtalsklausuler.
• Google Analytics (USA/Irländsk): Anonymiserad trafikanalys. IP-adresser anonymiseras, inga identifieringscookies.

5. Gränsöverskridande datatransfer

All data lagras på servrar inom Europeiska unionen. När datatransfer till länder utanför det europeiska ekonomiska området är nödvändig (t.ex. för AI behandling), säkerställer vi att:

• Standardavtalsklausuler (SCC) godkända av Europeiska kommissionen implementeras
• Processorer har relevanta efterlevnadscertifikat (SOC 2, ISO 27001, PCI DSS)
• Ytterligare tekniska åtgärder tillämpas: end-to-end kryptering, pseudonymisering, dataminimering
• Konsekvensbedömningar (Transfer Impact Assessments) genomförs för varje överföring

6. Begärningar om radering av data

Du kan begära fullständig radering av dina personuppgifter genom:

• Från konto: Inställningar > Sekretess > Radera all data
• E-post: Skicka en begäran till dpo@calmcall.ai
• Formulär: Fyll i GDPR-begärningsformuläret på webbplatsen

Raderingsprocess:

• Identitetsbekräftelse inom maximalt 3 arbetsdagar
• Huvuddata radering inom maximalt 30 dagar
• Säkerhetskopior raderas inom maximalt 90 dagar
• Slutlig raderingsbekräftelse via e-post

Observera: Viss data kan behållas enligt lagliga skyldigheter (skattedata — 5 år).

7. Cookiepolicy — Detaljer

Fullständig klassificering av cookies som används på CalmCall:

Strikt Nödvändiga Cookies

• session_id: Sessionsidentifierare. Varaktighet: webbläsarsession. Kan inte inaktiveras.
• csrf_token: Skydd mot CSRF-attacker. Varaktighet: session. Kan inte inaktiveras.
• auth_token: Autentiseringstoken. Varaktighet: 30 dagar eller vid utloggning. Kan inte inaktiveras.

Funktionella Cookies

• language: Språkpreferens. Varaktighet: 1 år. Kan inaktiveras.
• theme: Visuell tema-preferens. Varaktighet: 1 år. Kan inaktiveras.
• cookie_consent: Samtyckespreferenser. Varaktighet: 1 år.

Analyscookies

• _ga: Google Analytics — anonym användaridentifiering. Varaktighet: 13 månader. Kan inaktiveras.
• _ga_*: Google Analytics — sessionsstatus. Varaktighet: 13 månader. Kan inaktiveras.

Vi använder inte marknadsförings-, annonserings- eller remarketingcookies.

8. Bedömning av dataskyddspåverkan (DPIA)

Eftersom CalmCall behandlar känsliga data om mental hälsa i stor skala, har vi genomfört en bedömning av dataskyddspåverkan (DPIA) enligt Art. 35 GDPR. DPIA granskas årligen eller vid betydande förändringar i behandlingsaktiviteter. DPIA-resultat är tillgängliga på begäran till tillsynsmyndigheter.

9. Dina Rättigheter

Enligt GDPR har du följande rättigheter:

• Rätt till tillgång (Art. 15) — få en kopia av dina data
• Rätt till rättelse (Art. 16) — korrigera felaktiga data
• Rätt till radering (Art. 17) — begära radering av data
• Rätt till begränsning (Art. 18) — begränsa behandling
• Rätt till dataportabilitet (Art. 20) — ta emot data i strukturerat format
• Rätt att invända (Art. 21) — invända mot behandling
• Rätt att återkalla samtycke (Art. 7(3)) — när som helst, utan retroaktiv effekt
• Rätt att lämna in klagomål (Art. 77) — till tillsynsmyndighet

10. Tillsynsmyndigheter

Om du tror att dina rättigheter har kränkts kan du lämna in ett klagomål till:

• Rumänien: Nationell myndighet för övervakning av behandling av personuppgifter (ANSPDCP) — www.dataprotection.ro
• Cypern: Kontoret för kommissionären för skydd av personuppgifter — www.dataprotection.gov.cy

11. Kontakt

För eventuella frågor eller förfrågningar angående GDPR och skydd av personuppgifter: