GDPR Overholdelse

CalmCall, drevet af CalmCall SRL (Bukarest, Rumænien), er forpligtet til fuldt ud at overholde forordning (EU) 2016/679 fra Europa-Parlamentet og Rådet af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri bevægelighed for sådanne data ("GDPR").

Da CalmCall behandler følsomme data om mental sundhed, forpligter vi os til de højeste standarder for beskyttelse og gennemsigtighed.

1. Data Protection Officer (DPO)

Vi har udpeget en Data Protection Officer, som du kan kontakte for eventuelle anmodninger vedrørende dine personoplysninger:

2. Juridiske Grundlag for Databehandling

Vi behandler dine personoplysninger baseret på følgende juridiske grundlag i henhold til GDPR:

• Eksplicit samtykke (Art. 6(1)(a) og Art. 9(2)(a)): Til behandling af særlige data om mental sundhed (AI-samtaler, følelsesmæssige vurderinger, dagbogsindlæg). Samtykke anmodes om ved oprettelse af konto og kan til enhver tid tilbagekaldes.
• Kontraktopfyldelse (Art. 6(1)(b)): Til levering af CalmCall-tjenester, kontoadministration og betalingsbehandling.
• Juridisk forpligtelse (Art. 6(1)(c)): Til overholdelse af gældende skatte-, regnskabs- og juridiske krav.
• Vital interesse (Art. 6(1)(d)): I særlige tilfælde af at opdage nærliggende risiko for brugerens liv.
• Legitim interesse (Art. 6(1)(f)): Til forbedring af tjenester, sikkerhed og forebyggelse af svindel — samtidig med at brugernes rettigheder og interesser respekteres.

3. Opbevaringsperioder for Data

Data opbevares strengt i den periode, der er nødvendig for det formål, hvortil de blev indsamlet:

4. Tredjepartsbehandlere

Vi arbejder med følgende tredjepartsbehandlere, som alle er GDPR-kompatible med underskrevne databehandlingsaftaler (DPA):

• Hetzner Online GmbH (Tyskland): Hosting og serverinfrastruktur. Servere placeret i EU (Tyskland).
• Stripe Inc. (USA/Irland): Betalingsbehandling. PCI DSS Niveau 1 certificeret. Standard kontraktbestemmelser for EU-US overførsel.
• OpenAI (USA): AI-behandling til stemmeassistent. Data behandles i henhold til DPA med standard kontraktbestemmelser. Brugerdata bruges ikke til modeltræning.
• ElevenLabs (USA): Stemmesyntese til AI-assistent. Standard kontraktbestemmelser.
• Google Analytics (USA/Irland): Anonymiseret trafik-analyse. IP-adresser anonymiseres, ingen identifikations-cookies.

5. Grænseoverskridende Dataoverførsler

Alle data opbevares på servere inden for Den Europæiske Union. Når dataoverførsel til lande uden for Det Europæiske Økonomiske Samarbejde er nødvendig (f.eks. til AI behandling), sikrer vi, at:

• Standard kontraktbestemmelser (SCC) godkendt af Europa-Kommissionen implementeres
• Behandlere har relevante overholdelsescertifikater (SOC 2, ISO 27001, PCI DSS)
• Yderligere tekniske foranstaltninger gælder: ende-til-ende kryptering, pseudonymisering, dataminimering
• Indvirkningsvurderinger (Transfer Impact Assessments) udføres for hver overførsel

6. Anmodninger om Sletning af Data

Du kan anmode om fuldstændig sletning af dine personoplysninger gennem:

• Fra konto: Indstillinger > Privatliv > Slet alle data
• Email: Send en anmodning til dpo@calmcall.ai
• Formular: Udfyld GDPR-anmodningsformularen på hjemmesiden

Sletningsproces:

• Identitetsbekræftelse inden for maksimalt 3 arbejdsdage
• Primær datalæsning inden for maksimalt 30 dage
• Sletning af sikkerhedskopier inden for maksimalt 90 dage
• Endelig bekræftelse af sletning via email

Bemærk: Visse data kan opbevares i henhold til juridiske forpligtelser (skattedata — 5 år).

7. Cookiepolitik — Detaljer

Komplet klassifikation af cookies, der anvendes på CalmCall:

Strengt Nødvendige Cookies

• session_id: Session-identifikator. Varighed: browsersession. Kan ikke deaktiveres.
• csrf_token: Beskyttelse mod CSRF-angreb. Varighed: session. Kan ikke deaktiveres.
• auth_token: Autentificeringstoken. Varighed: 30 dage eller ved logout. Kan ikke deaktiveres.

Funktionelle Cookies

• language: Sprogpræference. Varighed: 1 år. Kan deaktiveres.
• theme: Visuel tema-præference. Varighed: 1 år. Kan deaktiveres.
• cookie_consent: Samtykkepræferencer. Varighed: 1 år.

Analyse-Cookies

• _ga: Google Analytics — anonym brugeridentifikation. Varighed: 13 måneder. Kan deaktiveres.
• _ga_*: Google Analytics — sessionsstatus. Varighed: 13 måneder. Kan deaktiveres.

Vi bruger ikke marketing-, reklame- eller remarketing-cookies.

8. Vurdering af Databeskyttelsens Indvirkning (DPIA)

Da CalmCall behandler følsomme data om mental sundhed i stor skala, har vi gennemført en vurdering af databeskyttelsens indvirkning (DPIA) i henhold til Art. 35 GDPR. DPIA'en gennemgås årligt eller ved enhver væsentlig ændring af behandlingsaktiviteterne. DPIA-resultater er tilgængelige efter anmodning til tilsynsmyndighederne.

9. Dine Rettigheder

I henhold til GDPR har du følgende rettigheder:

• Ret til indsigt (Art. 15) — få en kopi af dine data
• Ret til berigtigelse (Art. 16) — rette unøjagtige data
• Ret til sletning (Art. 17) — anmode om sletning af data
• Ret til begrænsning (Art. 18) — begrænse behandlingen
• Ret til dataportabilitet (Art. 20) — modtage data i struktureret format
• Ret til at gøre indsigelse (Art. 21) — gøre indsigelse mod behandlingen
• Ret til at trække samtykke tilbage (Art. 7(3)) — til enhver tid, uden tilbagevirkende kraft
• Ret til at indgive klage (Art. 77) — til tilsynsmyndigheden

10. Tilsynsmyndigheder

Hvis du mener, at dine rettigheder er blevet krænket, kan du indgive en klage til:

• Rumænien: Nationalmyndigheden for tilsyn med behandling af personoplysninger (ANSPDCP) — www.dataprotection.ro
• Cypern: Kontoret for kommissæren for beskyttelse af personoplysninger — www.dataprotection.gov.cy

11. Kontakt

For eventuelle spørgsmål eller anmodninger vedrørende GDPR og beskyttelse af personoplysninger: