Politica de confidențialitate

Această politică descrie cum Calmika — operată de Dávid Kovács, persoană fizică autorizată în Ungaria — gestionează datele personale pe calmika.com și în aplicația mobilă Calmika.

Datele sunt prelucrate doar pentru operarea aplicației și website-ului, gestionarea abonamentelor, suport, securitate și conexiuni terapeutice/instituționale aprobate separat de părinte. Nu vindem date și nu folosim sisteme de publicitate targetată.

Calmika este construită pe principiul minimizării datelor. Prelucrăm doar datele necesare pentru aplicație, website, abonamente, suport, aplicări de terapeuți sau conexiuni aprobate de părinte.

• Adresă de email și conținutul mesajului — doar când le oferi pentru contact, aplicare de terapeut sau suport.
• Date tehnice despre dispozitiv și utilizarea website-ului — pentru securitate, depanare, funcționare esențială și, după consimțământ, analytics agregat Google Analytics.

Nu vindem date, nu construim profiluri publicitare pentru copii și nu folosim publicitate comportamentală sau tracking terț în interfața copilului.

Profilurile copilului, preferințele și datele de utilizare funcționează în principal local pe dispozitiv. O conexiune terapeutică/instituțională nu oferă acces automat la date brute.

Când o conexiune este aprobată, specialistul poate vedea doar un rezumat agregat, sigur GDPR și limitat ca scop: de exemplu interval de vârstă, pseudonim/etichetă aprobată de părinte, totaluri de utilizare pe module și tendințe de dezvoltare. Nu vede loguri brute, date de plată, contactul părintelui sau diagnostice medicale.

Website-ul folosește două categorii: tehnologii necesare și analytics opțional.

• Funcționare necesară — preferința de limbă, memorarea alegerii cookie/analytics, securitate și funcționare tehnică.
• Google Analytics opțional — se încarcă doar dacă accepți analytics; folosit cu anonimizare IP pentru măsurare agregată.
• Fără cookie-uri de publicitate sau remarketing, fără pixeli Meta/TikTok/Google Ads și fără profilare a copiilor.

Putem folosi următorii furnizori pentru aplicație, website, abonamente, emailuri și dashboardul terapeuților:

• Vercel — găzduire website, performanță și loguri de securitate.
• RevenueCat și Google Play Billing — gestionarea abonamentelor și achizițiilor; nu procesăm datele cardului.
• Supabase — autentificare, dashboard terapeuți, coduri de invitație, consimțământ parental, loguri de audit și rezumate profesionale agregate.
• Resend — emailuri tranzacționale precum invitații și mesaje de sistem.
• Google Analytics — analytics agregat opțional, bazat pe consimțământ; nu îl folosim pentru targetare publicitară sau profilarea copiilor.

Acești furnizori acționează doar în rolul tehnic/procesator necesar și nu pot folosi datele pentru propria publicitate.

Un cod de invitație de terapeut sau instituție poate fi folosit doar prin fluxul de consimțământ din Zona părintelui. Părintele vede o previzualizare a specialistului/instituției, expirarea accesului și categoriile de date care pot fi partajate.

Conexiunea devine activă doar după aprobare explicită. Stocăm versiunea consimțământului, timestampul, snapshotul textului afișat și scopul partajării. Părintele poate revoca oricând conexiunea în aplicație; după revocare, specialistul nu mai primește rezumate.

Accesul profesional este auditat: înregistrăm ce specialist autorizat a deschis un rezumat familie/copil și când. Dashboardul nu primește hash-uri de coduri de invitație, loguri brute, date de plată sau contactul părintelui.

Păstrăm datele doar cât este necesar scopului relevant sau când motive legale/de securitate justifică acest lucru. Pentru funcțiile de terapeut, regulile principale sunt:

• Conexiune activă terapeut-familie: pe durata conexiunii sau până când părintele o revocă.
• Conexiune revocată și audit de acces: până la 24 de luni pentru litigii, securitate și conformitate.
• Metadate pentru coduri expirate sau nefolosite: până la 12 luni pentru prevenirea abuzului și securitate.
• Codurile terapeutice vechi în text simplu nu fac parte din fluxul de producție; accesul public este dezactivat și datele legacy rămase au fost șterse.

În utilizarea terapeutică sau instituțională, specialistul/instituția poate folosi doar rezumate minime, limitate ca scop, pentru familiile care au aprobat conexiunea. Datele nu pot fi folosite pentru profilare, decizii automate sau dezvăluire către terți fără aprobare separată a părintelui.

Pentru utilizare instituțională/B2B, termenii separați de prelucrare (DPA) definesc roluri, acces, raportare incidente, ștergere și subprocesatori. Subprocesatorii tehnici principali pot include Supabase, Vercel, Resend, RevenueCat și Google Play.

Poți solicita acces, corectare, ștergere, restricționare sau opoziție la datele personale pe care le stocăm. Poți revoca și conexiunea cu terapeutul în aplicație.

Pentru cereri de confidențialitate, contactează-ne:

info@calmika.com

Pentru întrebări de confidențialitate, cereri de ștergere sau drepturi parentale, scrie-ne la:

info@calmika.com

Dacă modificăm semnificativ această notificare, actualizăm data „Ultima actualizare” și, unde este cazul, oferim o notificare separată. Versiunea textului de partajare cu terapeutul este stocată ca snapshot în momentul consimțământului.