Polityka prywatności
Administrator danych: MindReset AI self-help platform, operated by MindReset AI Ltd, spółka zarejestrowana w England & Wales, z siedzibą w Londynie, Wielka Brytania — support@mindreset.ai
[NOTE: Rejestracja w ICO musi zostać uzyskana poprzez ico.org.uk przed publicznym uruchomieniem. Roczna opłata ~£40-60. Rejestracja musi zostać ukończona przed rozpoczęciem jakiegokolwiek marketingu lub publicznej dostępności.]
1. Zakres niniejszej Privacy Policy
Niniejsza Privacy Policy wyjaśnia, jakie dane osobowe zbieramy o Tobie podczas korzystania z Usługi, dlaczego je zbieramy, jak je zabezpieczamy, z kim je udostępniamy, jak długo je przechowujemy oraz jakie prawa przysługują Ci na podstawie UK GDPR oraz — w stosownych przypadkach — EU GDPR.
2. Dane, które zbieramy
| Kategoria | Przykłady | Cel | Podstawa prawna |
|---|---|---|---|
| Dane konta | email address, hashed password, country (ustalany na podstawie IP), preferred language | tworzenie i zarządzanie kontem; świadczenie Usługi | Wykonanie umowy |
| Dane ankiety | Twoje odpowiedzi w Readiness Check, wynikowa klasyfikacja (Green / Yellow / Red), podsumowanie powodów | klasyfikacja, czy Usługa jest odpowiednia dla Ciebie; ochrona użytkowników przed potencjalną szkodą | Wyraźna zgoda (art. 9 §2 a UK GDPR) |
| Dane rozmów (kategoria szczególna) | wiadomości wysyłane do MiniMind lub modułów; reflections i odpowiedzi w ćwiczeniach; mood i energy check-ins | analiza AI w celu sugerowania praktyk; spersonalizowane wsparcie wellbeing; śledzenie Twoich postępów | Wyraźna zgoda (art. 9 §2 a UK GDPR) |
| Profil samopoczucia | wyprowadzone wzorce (np. „elevated anxiety“, „recent stable period“), obserwacje stanów i tematów | personalizacja; smart routing do odpowiednich praktyk i modułów | Wyraźna zgoda (art. 9 §2 a UK GDPR) |
| Zdarzenia bezpieczeństwa | oznaczone momenty conversation, które uruchomiły nasz safety protocol, naszą automated response, optional manual review notes | audyt safety protocol; zgodność z obowiązkami dotyczącymi priority offences wynikającymi z Online Safety Act 2023 | Prawnie uzasadniony interes (rejestr bezpieczeństwa) / Obowiązek prawny |
| Dane o użytkowaniu | typ urządzenia, browser, IP address, cookies, timestamps, wyświetlenia stron | bezpieczeństwo, anti-abuse, ulepszanie Usługi, anonimowa analityka | Prawnie uzasadniony interes |
| Dane płatności | ostatnie 4 cyfry karty, transaction ID, billing email (pełne dane karty są przechowywane przez payment processor, nie przez nas) | billing, zapobieganie oszustwom, dokumentacja finansowa | Wykonanie umowy / Obowiązek prawny (prawo podatkowe) |
| Wiadomości do wsparcia | emails wysyłane na support@mindreset.ai lub nasze inne adresy | odpowiadanie na zapytania; rozwiązywanie problemów | Prawnie uzasadniony interes |
Nie wymagamy podawania prawdziwego imienia i nazwiska, adresu fizycznego, daty urodzenia ani identyfikatorów państwowych. Prosimy unikać udostępniania danych umożliwiających identyfikację Ciebie lub innych osób w conversations z AI.
3. Jak wykorzystujemy AI
Twoje conversation data są przetwarzane przez nasz AI engine w celu generowania odpowiedzi i sugerowania praktyk.
- AI tworzy niemedyczne wellbeing observations (np. „the user describes physical tension when discussing work“), aby lepiej personalizować praktyki
- AI nie stawia diagnoz medycznych
- AI nie podejmuje decyzji wywołujących skutki prawne wobec Ciebie
- Możesz skontaktować się z nami pod adresem support@mindreset.ai, jeśli uważasz, że automated response jest nieprawidłowa lub szkodliwa; zostanie przeprowadzona human review
Zgodnie z Article 22 UK GDPR masz prawo nie podlegać decyzji opartej wyłącznie na automated processing, która wywołuje skutki prawne lub podobnie istotne skutki. Wellbeing observations i practice suggestions tworzone przez nasze AI nie stanowią takich decyzji.
4. Z kim udostępniamy dane
Nigdy nie sprzedajemy ani nie wynajmujemy Twoich danych osobowych. Udostępniamy je wyłącznie kategoriom service providers niezbędnym do świadczenia Usługi:
- Cloud hosting i database services
- AI infrastructure (dla conversational i analytical features)
- Speech-to-text transcription (dla voice input)
- Authentication i account management
- Obsługa płatności
- Dostarczanie wiadomości transakcyjnych
- Hosting witryny
Voice input. Jeśli zdecydujesz się korzystać z voice input w MiniMind, nagrane audio jest bezpiecznie przesyłane do naszego speech-to-text provider w celu transcription. Włączyliśmy zero data retention u tego provider — audio nie jest przechowywane po transcription ani w infrastrukturze MindReset, ani u provider. Jedynie resulting text jest zapisywany jako część Twojej conversation history. Jeśli wolisz, możesz korzystać z Usługi wyłącznie poprzez typing.
Konkretni providers mogą zmieniać się z czasem. Aktualna lista service providers, z których korzystamy, jest dostępna na żądanie — wyślij email na support@mindreset.ai.
Możemy również ujawnić Twoje dane, gdy jesteśmy do tego prawnie zobowiązani na podstawie court order lub podobnego legal process.
Stosujemy Standard Contractual Clauses (lub równoważne mechanizmy UK IDTA) dla wszelkich international data transfers, uzupełnione w razie potrzeby dodatkowymi safeguards, w tym encryption in transit i at rest.
5. Transfery międzynarodowe
Twoje dane mogą być przetwarzane poza Wielką Brytanią i UE, głównie w Stanach Zjednoczonych. W takich przypadkach opieramy się na:
- adequacy decision wydanej przez Wielką Brytanię lub UE (jeśli istnieje)
- Standard Contractual Clauses zatwierdzonych przez Komisję Europejską lub UK ICO
- Innych odpowiednich safeguards dozwolonych na podstawie UK GDPR lub EU GDPR
Możesz zażądać szczegółów dotyczących safeguards stosowanych przy konkretnym transferze, wysyłając email na support@mindreset.ai.
6. Bezpieczeństwo
Wdrażamy odpowiednie środki techniczne i organizacyjne w celu ochrony Państwa danych:
- TLS 1.2 lub wyższy dla wszystkich danych przesyłanych
- Szyfrowanie danych w spoczynku AES-256 dla przechowywanych danych (zapewniane przez Supabase)
- Haszowane hasła z wykorzystaniem algorytmów zgodnych ze standardami branżowymi (zarządzane przez Clerk)
- Dostęp oparty na rolach do naszych systemów backendowych; dostęp jest rejestrowany i podlega audytowi
- Obowiązki zachowania poufności dla wszystkich osób posiadających dostęp do danych
- Regularne przeglądy bezpieczeństwa oraz monitorowanie podatności zależności
- Szyfrowane kopie zapasowe z ograniczonym okresem przechowywania
Żaden system bezpieczeństwa nie gwarantuje pełnej ochrony przed naruszeniami. W przypadku naruszenia ochrony danych mogącego wpływać na Państwa prawa i wolności poinformujemy ICO w ciągu 72 godzin oraz, w stosownych przypadkach, bez zbędnej zwłoki powiadomimy użytkowników, których dotyczy naruszenie.
7. Okres przechowywania danych
| Kategoria danych | Okres przechowywania |
|---|---|
| Dane konta | Aktywne konto: do momentu jego usunięcia przez użytkownika. Nieaktywne konto: usuwane po 12 miesiącach od ostatniego logowania. |
| Dane przesiewowe | 12 miesięcy od ostatniego logowania lub natychmiast po usunięciu konta |
| Dane konwersacji | 12 miesięcy od ostatniego logowania lub natychmiast po usunięciu konta |
| Profil dobrostanu | Taki sam jak dla danych konwersacji |
| Zdarzenia związane z bezpieczeństwem | 7 lat (ustawowy obowiązek przechowywania ścieżki audytowej) — dane są anonimizowane po usunięciu konta |
| Dane płatnicze | 6 lat (wymóg brytyjskiego prawa podatkowego) |
| Kopie zapasowe | Maksymalnie 30 dni |
| Wiadomości do działu wsparcia | 24 miesiące od ostatniego kontaktu |
Mają Państwo prawo zażądać wcześniejszego usunięcia wszelkich danych, z wyjątkiem sytuacji, w których jesteśmy prawnie zobowiązani do ich przechowywania (np. dokumentacji finansowej zgodnie z przepisami podatkowymi lub zdarzeń bezpieczeństwa zgodnie z Online Safety Act).
8. Państwa prawa
Zgodnie z UK GDPR (oraz RODO UE, jeśli ma zastosowanie) przysługują Państwu następujące prawa:
- Dostęp — prawo do uzyskania kopii danych osobowych, które przechowujemy na Państwa temat
- Sprostowanie — prawo do poprawienia nieprawidłowych danych
- Usunięcie — prawo do żądania usunięcia danych („prawo do bycia zapomnianym”), z zastrzeżeniem ustawowych obowiązków przechowywania danych
- Ograniczenie — prawo do żądania ograniczenia sposobu przetwarzania danych
- Sprzeciw — prawo do wniesienia sprzeciwu wobec przetwarzania opartego na prawnie uzasadnionych interesach
- Przenoszenie danych — prawo do otrzymania danych w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego
- Wycofanie zgody — w odniesieniu do każdego przetwarzania opartego na zgodzie
Aby skorzystać z któregokolwiek z tych praw:
- Skorzystaj z sekcji „Dane” w ustawieniach swojego konta (jeżeli jest dostępna) lub
- Wyślij swoją prośbę na adres e-mail: support@mindreset.ai
Odpowiemy w ciągu jednego miesiąca lub poinformujemy Państwa w tym terminie, jeśli ze względu na złożoność sprawy będziemy potrzebowali dodatkowego czasu (maksymalnie kolejnych dwóch miesięcy).
Jeżeli nie są Państwo zadowoleni ze sposobu, w jaki przetwarzamy Państwa dane, mają Państwo prawo złożyć skargę do brytyjskiego Information Commissioner’s Office (ICO) pod adresem ico.org.uk lub do lokalnego organu ochrony danych w UE.
9. Pliki cookie
Używamy:
- Ściśle niezbędnych plików cookie — do uwierzytelniania (sesja Clerk), zapewnienia bezpieczeństwa oraz podstawowego funkcjonowania strony. Tych plików cookie nie można wyłączyć
- Opcjonalnych analitycznych plików cookie — w celu zrozumienia sposobu korzystania z Usługi i jej ulepszania. Podczas pierwszej wizyty użytkownik zostanie poproszony o zaakceptowanie lub odrzucenie tych plików cookie
Nie używamy reklamowych plików cookie, marketingowych pikseli śledzących ani zewnętrznych trackerów.
10. Dane dzieci
Usługa jest przeznaczona dla osób dorosłych w wieku 18 lat i starszych. Świadomie nie gromadzimy danych osobowych osób poniżej 18 roku życia. Jeżeli uważają Państwo, że osoba poniżej 18 roku życia przekazała nam dane osobowe, prosimy o kontakt pod adresem support@mindreset.ai, a usuniemy takie dane.
11. Zmiany niniejszej Polityki
Możemy okresowo aktualizować niniejszą Politykę Prywatności w celu odzwierciedlenia zmian w naszych praktykach lub obowiązującym prawie. Istotne zmiany będą ogłaszane drogą e-mailową i/lub w aplikacji co najmniej 30 dni przed ich wejściem w życie. Dalsze korzystanie z Usługi po dacie wejścia zmian w życie oznacza akceptację zaktualizowanej Polityki.
12. Kontakt
W przypadku pytań dotyczących prywatności lub chęci skorzystania ze swoich praw:
- Adres e-mail: support@mindreset.ai
- Adres pocztowy: [UWAGA: Zostanie dodane po uzyskaniu zarejestrowanego adresu działalności.]