Polityka Prywatności

Niniejsza polityka prywatności opisuje, w jaki sposób Calmika — prowadzona przez Dávida Kovácsa, jednoosobową działalność gospodarczą (Węgry) — przetwarza dane osobowe na stronie internetowej calmika.com i w aplikacji mobilnej Calmika.

Dane przetwarzamy wyłącznie w celu działania aplikacji i strony, obsługi subskrypcji, wsparcia, bezpieczeństwa oraz połączeń terapeutycznych/instytucjonalnych osobno zatwierdzonych przez rodzica. Nie sprzedajemy danych i nie używamy systemów reklamy targetowanej.

Calmika opiera się na minimalizacji danych. Przetwarzamy tylko dane potrzebne do działania aplikacji, strony, subskrypcji, wsparcia, zgłoszeń terapeutów lub połączenia z terapeutą zatwierdzonego przez rodzica.

• Adres e-mail i treść wiadomości — tylko gdy podasz je w celu kontaktu, zgłoszenia terapeuty lub wsparcia.
• Techniczne dane urządzenia i użycia strony — dla bezpieczeństwa, diagnostyki, podstawowego działania oraz, po zgodzie, zagregowanej analityki Google Analytics.

Nie sprzedajemy danych, nie tworzymy profili reklamowych dzieci i nie używamy reklamy behawioralnej ani śledzenia firm trzecich w interfejsie dziecięcym.

Profile dzieci, preferencje i dane użycia aplikacji działają przede wszystkim lokalnie na urządzeniu. Połączenie z terapeutą/instytucją nie daje automatycznego dostępu do surowych danych.

Po zatwierdzeniu połączenia specjalista widzi tylko bezpieczne pod kątem RODO, zagregowane i ograniczone do celu podsumowanie: np. przedział wieku, pseudonim dziecka lub nazwę zatwierdzoną przez rodzica, sumy użycia modułów i trendy rozwojowe. Nie widzi surowych logów zdarzeń, danych płatności, kontaktu do rodzica ani diagnoz medycznych.

Strona używa dwóch kategorii: niezbędnych technologii oraz opcjonalnej analityki.

• Niezbędne działanie — preferencja językowa, zapamiętanie wyboru cookie/analityki, bezpieczeństwo i działanie techniczne.
• Opcjonalny Google Analytics — ładuje się tylko po zaakceptowaniu analityki; używamy go z anonimizacją IP do zagregowanego pomiaru odwiedzin.
• Brak reklamowych i remarketingowych plików cookie, brak pikseli Meta/TikTok/Google Ads oraz brak profilowania dzieci.

Możemy korzystać z następujących dostawców do działania aplikacji, strony, subskrypcji, e-maili i panelu terapeuty:

• Vercel — hosting strony, wydajność i logi bezpieczeństwa.
• RevenueCat i Google Play Billing — obsługa subskrypcji i zakupów; nie przetwarzamy danych kart płatniczych.
• Supabase — logowanie, panel terapeuty, kody zaproszeń, zgody rodziców, dzienniki audytu i zagregowane podsumowania dla specjalistów.
• Resend — e-maile transakcyjne, np. kody zaproszeń terapeuty i komunikaty systemowe.
• Google Analytics — opcjonalna, oparta na zgodzie zagregowana analityka strony; nie używamy jej do targetowania reklam ani profilowania dzieci.

Dostawcy działają wyłącznie w niezbędnej roli technicznej/podmiotu przetwarzającego i nie mogą używać danych do własnych celów reklamowych.

Kod zaproszenia terapeuty lub instytucji można aktywować wyłącznie w procesie zgody w Strefie Rodzica. Rodzic widzi podgląd specjalisty/instytucji, termin ważności dostępu i kategorie danych, które mogą być udostępnione.

Połączenie aktywuje się tylko po wyraźnej zgodzie. Zapisujemy wersję zgody, czas, snapshot wyświetlonego tekstu i zakres udostępniania danych. Rodzic może w każdej chwili odwołać połączenie w aplikacji; po odwołaniu specjalista nie otrzymuje dalszych podsumowań rodziny.

Dostęp specjalistów jest zapisywany w logach audytu: rejestrujemy, który uprawniony specjalista otworzył podsumowanie rodziny/dziecka i kiedy. Dashboard nie otrzymuje hashy kodów zaproszeń, surowych logów zdarzeń, danych płatniczych ani danych kontaktowych rodzica.

Przechowujemy dane tylko tak długo, jak jest to potrzebne do danego celu lub uzasadnione względami prawnymi/bezpieczeństwa. Dla funkcji terapeutycznych obowiązują zasady:

• Aktywne połączenie terapeuta-rodzina: przez czas trwania połączenia albo do odwołania przez rodzica.
• Odwołane połączenie i logi dostępu: do 24 miesięcy w celach sporów, bezpieczeństwa i zgodności.
• Wygasłe lub niewykorzystane metadane kodów zaproszeń: do 12 miesięcy w celu zapobiegania nadużyciom i bezpieczeństwa.
• Stare plaintext kody terapeutyczne nie są częścią produkcyjnego procesu; publiczny dostęp jest wyłączony, a pozostałe dane legacy zostały usunięte.

W użyciu terapeutycznym lub instytucjonalnym specjalista/instytucja może używać wyłącznie minimalnych, celowych podsumowań rodzin, które zatwierdziły połączenie. Dane nie mogą być używane do profilowania, automatycznego podejmowania decyzji ani przekazywania stronom trzecim bez osobnej zgody rodzica.

Dla użycia instytucjonalnego/B2B osobne warunki powierzenia przetwarzania danych (DPA) określają role, dostęp, zgłaszanie incydentów, usuwanie i podprocesorów. Główni techniczni podprocesorzy mogą obejmować Supabase, Vercel, Resend, RevenueCat i Google Play.

Możesz zażądać dostępu, sprostowania, usunięcia, ograniczenia lub wnieść sprzeciw wobec przetwarzania danych osobowych, które przechowujemy. Połączenie z terapeutą możesz też odwołać w aplikacji.

W sprawach prywatności skontaktuj się z nami:

info@calmika.com

W pytaniach o prywatność, usunięcie danych lub prawa rodzicielskie napisz do nas:

info@calmika.com

Jeśli istotnie zmienimy tę informację, zaktualizujemy datę „Ostatnia aktualizacja” i, gdy będzie to właściwe, przekażemy osobne powiadomienie. Wersja tekstu udostępniania terapeutycznego jest zapisywana jako snapshot w momencie zgody.