Политика за поверителност

Политика за поверителност
на дружество с ограничена отговорност KARDI AI Technologies s.r.o., със седалище října 459/11, 779 00 Olomouc, Чешка република, ИН 14328127, електронна поща: support@kardi.ai (наричан по-долу „Администратор“ или „Оператор“),

издадено в съответствие с Регламент (ЕС) 2016 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент за защита на данните) (наричан по-долу „ОРЗД“):

Със своето свободно решение (отбелязвайки полето или натискайки бутона) потребителят на услугите на оператора в качеството си на субект на данни декларира, че е запознат с всички изброени по-долу обстоятелства и се съгласява с по-нататъшното обработване на личните си данни за целите на бизнес дейностите на оператора на уебсайта и интерактивната онлайн платформа www.kardi.ai, нейното мобилно приложение и модела на изкуствен интелект (ИИ), свързани с тази платформа (и евентуално дава съгласие и за обработването на лични данни за целите на изпращането на бюлетини, ако е дал изричното си съгласие за това). За целите на тази Политика под „модел на ИИ“ се разбира компонент, базиран на машинно обучение, интегриран в платформата Kardi Ai. Въз основа на предходни и събрани от потребителя данни за ЕКГ и други здравни данни, моделът се учи да идентифицира модели като подобрява способността на платформата Kardi Ai да интерпретира сърдечната дейност. Този модел на ИИ е част от по-широка система за изкуствен интелект, разработена и внедрена от администратора; системата осигурява автоматизирани резултати, подпомагащи наблюдението на здравословното състояние на потребителя.

Администраторът обработва лични данни в обема, в който потребителят ги е предоставил на администратора по следните причини, в следния обем и за следните цели:

1. За целите на създаването и поддържането на потребителски профил в интерактивната онлайн платформа kardi.ai, подобряването на услугите на доставчика и оценяването на тези услуги, както и с цел изучаване, разработване и усъвършенстване на модела на изкуствен интелект, интегриран в платформата Kardi Ai, администраторът обработва лични данни, предоставени от потребителя във формуляра за регистрация или в платформата Kardi Ai, или генерирани при използването на устройството и услугите на оператора (това включва например записи на ЕКГ и свързаните с тях здравни данни) въз основа на изричното съгласие, дадено от потребителя при приемането на настоящата Политика за поверителност.

Администраторът обработва най-вече следните лични данни:

• идентификационни данни (име и фамилия, титла, дата на раждане),
• данни за контакт (телефонен номер и имейл адрес),
• финансови данни (най-вече номер на банкова сметка или разплащателна карта),
• пол и възраст,
• данни за използването на устройство на оператора, данни за физическото състояние, измерени стойности и друга информация за използването на устройство на оператора,
• здравни данни, включително данни, свързани с физическо или психическо здраве или състояние. Личните здравни данни включват и данни, които могат да се използват за определяне на здравословното състояние на лицето или за изготвяне на заключения за неговото състояние,
• и евентуално други данни, които потребителят сам посочи във формуляра за регистрация или поискани от администратора за целите на регистрацията, както и данни, предоставени от потребителя в платформата Kardi Ai.

Обработката на лични данни, които не разкриват информация за здравето, е необходима за изпълнението на договора между потребителя и оператора и за изпълнението на правните задължения, касаещи оператора. Данните за здравословното състояние (които са специална категория лични данни) се обработват от администратора също така за целите на обучаване и подобряване на модела на ИИ, използван от платформата Kardi Ai, и/или се предават на трети страни (доставчици на здравни услуги) въз основа на изрично съгласие.

Когато личните данни се събират заедно with данни, касаещи здравето (напр. записи на сърдечен ритъм или ЕКГ), целият набор от данни се счита за данни от специална категория и се обработва само въз основа на изричното съгласие на потребителя в съответствие с член 6, параграф 1, буква а) и член 9, параграф 2, буква а) от ОРЗД. Същото важи и за предаването на тези данни на трети страни (напр. доставчици на здравни услуги). Във връзка с това изричното съгласие е единственото правно основание за обработката на лични и здравни данни в платформата Kardi Ai. Без такова съгласие или ако потребителят оттегли съгласието си, администраторът не може да предоставя основните функции на платформата Kardi Ai, които се основават на обработката на здравни данни, и достъпът до платформата ще бъде ограничен по съответния начин. Оттеглянето на съгласието не засяга законосъобразността на обработката на данни, извършена преди оттеглянето му.

Някои данни, които не са показателни за здравословното състояние на потребителя, или други данни, които не се считат лични данни специална категория, могат да бъдат обработвани за цели, за които доставчикът има законен интерес, т.е. с цел подобряване на услугите на доставчика, а именно: i) за вътрешна употреба на администратора, за разработване на продуктите и портала на администратора; ii) за обработка и предаване (включително предаване на договорни партньори на администратора) в обобщена или анонимна форма (например за целите на различни проучвания, статистически доклади, инфографики, казуси и др.). Здравните данни не се обработват за тези цели без изричното съгласие на потребителя и това съгласие може да бъде оттеглено по всяко време. Оттеглянето на съгласието не засяга законосъобразността на обработката на данни, извършена преди оттеглянето му.

С настоящото потребителят се уведомява, че измерените стойности, събрани чрез услугите на оператора, не могат да бъдат възстановени или предоставени на потребителя след деактивиране на потребителския акаунт.

2. За целите на изпращането на бюлетини и други търговски съобщения администраторът обработва лични данни въз основа на съгласие в следния обем:

• имейл адрес,
• телефонен номер.

Тези лични данни се обработват и за целите на представянето на персонализирани оферти за продукти на администратора и неговите договорни партньори. С даването на съгласието си потребителят се съгласява администраторът да изтегля, обработва, съхранява и използва данните за следните цели: i) за вътрешна употреба от администратора, за разработване на продукти на администратора и представяне на потребителите на персонализирани предложения за продукти на администратора; ii) за обработка и предаване (включително предаване на договорни партньори на администратора) в обобщена или анонимна форма (например за целите на различни проучвания, статистически доклади, инфографики, казуси и др.).

Субектът на данните има право по всяко време да възрази срещу обработването на личните си данни за тази цел.

Обработката на лични данни за тази цел ще се извършва за срока на даденото съгласие, но не по-дълго от срока на договорните отношения с оператора. Съгласието може да бъде оттеглено по всяко време чрез изпращане на имейл до gdpr@kardi.ai или чрез кликване върху връзката за отписване, посочена във всяко съобщение. Ако потребителят оттегли съгласието си, администраторът ще заличи личните данни на потребителя.

Обработката на лични данни за всички горепосочени цели се извършва от администратора. Доставчиците на здравни услуги имат също така достъп до здравните данни ако продадат на потребителя устройство с приложение. Администраторът има право да предава лични данни на доставчици на здравни услуги. Доставчиците на здравни услуги са независими администратори на такива лични данни. Администраторът има право да предава лични данни на други субекти (обработващи лични данни), с които е сключил договор за обработване на лични данни, по-специално на външни специалисти (като счетоводители, адвокати, лекари) и лица, участващи в предоставянето на услугите на Администратора.

Администраторът декларира, че всички субекти, които могат да получат достъп до лични данни, зачитат правото на субектите на данни на неприкосновеност на личния живот и са задължени да спазват приложимото законодателство за защита на личните данни.

Личните данни на граждани на държави от Европейското икономическо пространство не се предават на страни извън Европейския съюз. Личните данни на граждани на трети държави (извън Европейското икономическо пространство) могат да бъдат предавани на дружества в трети страни (извън Европейското икономическо пространство). В такива случаи данните се предават само при наличие на адекватно ниво на защита (ЕК), регистрация по Рамката за защита на личните данни между ЕС и САЩ или наличие на стандартни договорни клаузи (ЕС).

Администраторът прилага подходящи технически и организационни мерки за защита на личните данни, отговарящи на естеството и вида на съответните лични данни или категории лични данни и за рисковете, свързани с обработването им.

Като субект на лични данни потребителят има следните права съгласно ОРЗД:

• Право на оттегляне на съгласието. Потребителят има право да оттегли съгласието си по всяко време, което може да направи като изпрати имейл или като кликне върху връзката за отписване в бюлетина.
• Право на достъп. Потребителят има право на достъп до личните данни, които се обработват за него, целите на обработката, на кого се предават и дали се използват за автоматизирано вземане на решения.
• Право на редактиране. Ако открие непълни или неверни лични данни, потребителят има право да поиска коригирането или допълването им.
• Право на заличаване. Потребителят има право на заличаване на личните данни. Администраторът връща или унищожава данните до един месец, ако няма правно основание за обработка.
• Право на преносимост. Потребителят може да поиска предоставянето на личните данни в структуриран и пригоден за машинно четене формат.
• Право на ограничаване на обработката. Когато потребителят счита, че данните са неверни, той има право да поиска ограничаване на обработването им за времето, необходимо за проверка на точността им.
• Право на възражение срещу обработката на лични данни. Потребителят има право да възрази срещу обработката на лични данни за целите на директния маркетинг.
• Право на подаване на жалба. Субектът на данните може да се свърже с администратора на gdpr@kardi.ai. Има право и на жалба до надзорния орган: Агенция за защита на личните данни (Прага, Чешка република) чрез uoou.gov.cz.

Администраторът предупреждава, че не е възможно да се поиска заличаване на лични данни, които администраторът е задължен да събира по закон.

Ако потребителят желае да коригира личните данни, които операторът обработва за него, или да упражни някое от горепосочените права, той може да се свърже с администратора на следния електронен адрес: gdpr@kardi.ai.

Дата: 1 октомври 2025 г.