Polityka prywatności

Version 1.0|Last updated: Marzec 2026|Effective: Marzec 2026

Niniejsza polityka prywatności określa zasady przetwarzania danych osobowych przez Talari AI Services OÜ w związku z korzystaniem z platformy talari.ai, zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO).

1. Tożsamość i dane kontaktowe administratora

Administratorem Twoich danych osobowych jest:

Talari AI Services OÜ

Adres siedziby: Adres do uzupełnienia

Numer rejestrowy: Numer rejestrowy do uzupełnienia

Kraj rejestracji: Estonia

E-mail: legal@talari.ai

NIP UE (VAT): NIP UE do uzupełnienia

Administrator przetwarza dane osobowe zgodnie z obowiązującymi przepisami prawa, w szczególności z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (dalej: „RODO”).

2. Inspektor ochrony danych

Administrator wyznaczył Inspektora Ochrony Danych (IOD), z którym można kontaktować się we wszelkich sprawach dotyczących przetwarzania danych osobowych oraz korzystania z praw związanych z przetwarzaniem danych.

Kontakt z IOD: dpo@talari.ai

3. Kategorie przetwarzanych danych osobowych

W ramach świadczenia usług za pośrednictwem platformy talari.ai przetwarzamy następujące kategorie danych osobowych:

Dane identyfikacyjne — imię, nazwisko, adres e-mail, nazwa użytkownika
Dane uwierzytelniające — skróty haseł (bcrypt), tokeny sesji (JWT), identyfikatory sesji Redis
Dane sesji NinaSession — nagrania audio (efemeryczne), transkrypcje sesji, raporty wygenerowane przez AI
Dane szczególnych kategorii — dane dotyczące zdrowia przetwarzane w ramach sesji NinaSession (wyłącznie na podstawie Art. 9 ust. 2 lit. h RODO)
Dane gości sesji zdalnych — pseudonim, odpowiedzi w formularzu, nagrania audio
Dokumenty kontekstowe — przesłane pliki przetwarzane efemeryczne w celu analizy AI
Dane rozliczeniowe — informacje o subskrypcji i płatnościach przetwarzane przez Stripe
Dane techniczne — adres IP, identyfikator urządzenia, dzienniki audytu, metadane sesji
Mapowanie anonimizacji PII — tablice przypisań służące do anonimizacji danych osobowych przed przekazaniem do modeli AI

4. Cele i podstawy prawne przetwarzania

Poniższa tabela przedstawia cele przetwarzania danych osobowych wraz z odpowiednimi podstawami prawnymi:

Data	Purpose	Legal Basis	Retention
Rejestracja konta (imię, e-mail)	Utworzenie i utrzymanie konta użytkownika	Art. 6 ust. 1 lit. b RODO	Do usunięcia konta
Transkrypcja sesji (audio → tekst)	Dokumentacja sesji klinicznej / profesjonalnej	Art. 6 ust. 1 lit. b + Art. 9 ust. 2 lit. h RODO	Do finalizacji sesji
Mapowanie anonimizacji PII	Ochrona danych osobowych przed przekazaniem do LLM	Art. 6 ust. 1 lit. c RODO	Czas trwania sesji
Analiza AI i generowanie raportów	Tworzenie dokumentacji na podstawie transkrypcji	Art. 6 ust. 1 lit. b RODO	Do finalizacji sesji
Metadane sesji	Zarządzanie sesjami i kontrola jakości	Art. 6 ust. 1 lit. b RODO	Do usunięcia konta
Dane gości sesji zdalnych	Umożliwienie udziału gości w sesjach zdalnych	Art. 6 ust. 1 lit. a RODO	Do finalizacji sesji
Przesłane dokumenty kontekstowe	Analiza AI dokumentów referencyjnych	Art. 6 ust. 1 lit. b RODO	Przetwarzanie efemeryczne
Dane rozliczeniowe (Stripe)	Obsługa płatności i subskrypcji	Art. 6 ust. 1 lit. b RODO	Zgodnie z wymogami podatkowymi
Uwierzytelnianie (JWT, Redis)	Bezpieczeństwo sesji i kontrola dostępu	Art. 6 ust. 1 lit. c RODO	2 godziny (sesja)
Dzienniki audytu	Bezpieczeństwo systemu i zgodność z przepisami	Art. 6 ust. 1 lit. c RODO	12 miesięcy
Wywołania dostawców LLM (anonimizowane)	Generowanie treści AI z anonimizowanych danych	Art. 6 ust. 1 lit. b RODO	Brak przechowywania (efemeryczne)

5. Szczególne kategorie danych (Art. 9 RODO)

Przetwarzanie danych dotyczących zdrowia

Platforma NinaSession umożliwia przetwarzanie danych dotyczących zdrowia w rozumieniu Art. 9 ust. 1 RODO. Przetwarzanie tych danych odbywa się wyłącznie na podstawie Art. 9 ust. 2 lit. h RODO — tj. w celu zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, diagnozy medycznej lub zarządzania systemami i usługami opieki zdrowotnej.

Użytkownik jako administrator danych swoich klientów ponosi odpowiedzialność za zapewnienie właściwej podstawy prawnej przetwarzania danych szczególnych kategorii. Talari AI Services OÜ występuje w roli podmiotu przetwarzającego dane na zlecenie użytkownika.

Stosowane środki ochrony obejmują: szyfrowanie danych w trakcie przesyłania (TLS 1.3), anonimizację PII przed przekazaniem do modeli AI, efemeryczne przetwarzanie audio oraz trwałe usunięcie danych po finalizacji sesji.

6. Zautomatyzowane przetwarzanie i profilowanie

Platforma talari.ai wykorzystuje zautomatyzowane przetwarzanie danych w następujących celach:

Transkrypcja mowy na tekst — automatyczna konwersja nagrań audio na tekst pisany
Analiza AI i generowanie raportów — tworzenie strukturyzowanej dokumentacji na podstawie transkrypcji
Anonimizacja PII — automatyczne wykrywanie i maskowanie danych osobowych przed przetwarzaniem przez modele AI
Analiza RAG — wyszukiwanie i analiza dokumentów z wykorzystaniem technologii Retrieval-Augmented Generation

Żadne z powyższych procesów nie stanowi profilowania w rozumieniu Art. 22 RODO i nie prowadzi do podejmowania decyzji wywołujących skutki prawne lub w podobny sposób istotnie wpływających na osoby, których dane dotyczą. Wszystkie wyniki generowane przez AI wymagają weryfikacji i zatwierdzenia przez użytkownika-profesjonalistę.

7. Podmioty przetwarzające i odbiorcy danych

W celu świadczenia usług korzystamy z następujących podwykonawców przetwarzania (podmiotów przetwarzających):

Processor	Country	Purpose	Safeguard
Hetzner Online GmbH	Niemcy (UE)	Hosting serwerów i infrastruktura	RODO (przetwarzanie w UE)
Stripe, Inc.	USA	Obsługa płatności i rozliczeń	SCC (Art. 46 ust. 2 lit. c RODO)
Dostawcy LLM (Anthropic, OpenAI)	USA	Przetwarzanie anonimizowanych danych przez modele AI	SCC + anonimizacja danych
Mailtrap (Railsware)	UE/USA	Wysyłka wiadomości e-mail transakcyjnych	SCC (Art. 46 ust. 2 lit. c RODO)
Redis Labs	UE	Zarządzanie sesjami i pamięć podręczna	RODO (przetwarzanie w UE)

Dane osobowe mogą być również udostępniane organom publicznym lub podmiotom uprawnionym na podstawie obowiązujących przepisów prawa, w szczególności na żądanie sądów, prokuratury lub organów regulacyjnych.

8. Międzynarodowe przekazywanie danych

Niektóre podmioty przetwarzające dane mają siedzibę poza Europejskim Obszarem Gospodarczym (EOG). W przypadku przekazywania danych osobowych do państw trzecich stosujemy następujące zabezpieczenia zgodnie z rozdziałem V RODO:

Standardowe klauzule umowne (SCC) — zatwierdzone decyzją wykonawczą Komisji Europejskiej (UE) 2021/914 z dnia 4 czerwca 2021 r., zgodnie z Art. 46 ust. 2 lit. c RODO
Anonimizacja danych — dane przekazywane do dostawców LLM są anonimizowane przed transmisją, co eliminuje możliwość identyfikacji osób fizycznych
Ocena wpływu transferu (TIA) — przeprowadzamy ocenę wpływu każdego transferu danych do państwa trzeciego na ochronę danych osobowych

9. Okresy przechowywania danych

Dane osobowe przechowywane są przez okresy niezbędne do realizacji celów przetwarzania:

Dane konta użytkownika — do momentu usunięcia konta przez użytkownika lub administratora
Dane sesji NinaSession — do momentu finalizacji sesji (finalizacja powoduje trwałe i nieodwracalne usunięcie danych)
Nagrania audio — przetwarzane efemeryczne; usuwane natychmiast po transkrypcji
Dokumenty kontekstowe — przetwarzane efemeryczne; usuwane po zakończeniu analizy
Dzienniki audytu — 12 miesięcy od daty utworzenia
Dane rozliczeniowe — zgodnie z obowiązującymi przepisami podatkowymi (zazwyczaj 5-10 lat)
Tokeny sesji — 2 godziny od ostatniej aktywności
Dane anonimizacji PII — usuwane po zakończeniu sesji

Po upływie okresu przechowywania dane są trwale usuwane lub anonimizowane w sposób uniemożliwiający identyfikację osób, których dane dotyczą.

10. Twoje prawa na podstawie RODO (Art. 15-22)

Na podstawie RODO przysługują Ci następujące prawa w odniesieniu do Twoich danych osobowych:

Prawo dostępu (Art. 15) — prawo do uzyskania potwierdzenia, czy Twoje dane osobowe są przetwarzane, oraz do uzyskania dostępu do tych danych
Prawo do sprostowania (Art. 16) — prawo do żądania niezwłocznego sprostowania nieprawidłowych danych osobowych
Prawo do usunięcia danych (Art. 17) — prawo do żądania usunięcia danych osobowych. Finalizacja sesji NinaSession powoduje trwałe i nieodwracalne usunięcie wszystkich danych sesji
Prawo do ograniczenia przetwarzania (Art. 18) — prawo do żądania ograniczenia przetwarzania danych w określonych okolicznościach
Prawo do przenoszenia danych (Art. 20) — prawo do otrzymania danych osobowych w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego
Prawo do sprzeciwu (Art. 21) — prawo do wniesienia sprzeciwu wobec przetwarzania danych osobowych opartego na prawnie uzasadnionym interesie
Prawo do cofnięcia zgody (Art. 7 ust. 3) — w przypadku przetwarzania opartego na zgodzie, prawo do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania dokonanego przed cofnięciem

Aby skorzystać z powyższych praw, skontaktuj się z Inspektorem Ochrony Danych pod adresem: dpo@talari.ai. Odpowiedź na Twoje żądanie zostanie udzielona bez zbędnej zwłoki, nie później niż w terminie 30 dni od dnia otrzymania żądania.

11. Prawo do wniesienia skargi do organu nadzorczego

Jeżeli uważasz, że przetwarzanie Twoich danych osobowych narusza przepisy RODO, przysługuje Ci prawo do wniesienia skargi do organu nadzorczego właściwego ze względu na Twoje miejsce zwykłego pobytu, miejsce pracy lub miejsce popełnienia domniemanego naruszenia.

Dla osób zamieszkałych w Polsce właściwym organem nadzorczym jest:

Urząd Ochrony Danych Osobowych (UODO)

ul. Stawki 2, 00-193 Warszawa

Telefon: +48 22 531 03 00

Strona internetowa: uodo.gov.pl

Niezależnie od powyższego, skargę można wnieść również do estońskiego organu nadzorczego (Andmekaitse Inspektsioon), właściwego ze względu na siedzibę administratora.

12. Polityka cookies

Platforma talari.ai wykorzystuje następujące rodzaje plików cookies i podobnych technologii:

Cookies niezbędne (funkcjonalne) — wymagane do prawidłowego działania platformy, w tym uwierzytelniania użytkownika (tokeny JWT w HttpOnly cookies) i zarządzania sesjami. Podstawa prawna: Art. 6 ust. 1 lit. b RODO.
Cookies bezpieczeństwa — służące do ochrony przed atakami CSRF i zapewnienia bezpieczeństwa sesji. Podstawa prawna: Art. 6 ust. 1 lit. c RODO.

Platforma nie wykorzystuje plików cookies marketingowych, analitycznych ani śledzących. Nie stosujemy narzędzi do śledzenia aktywności użytkowników (np. Google Analytics).

13. Zmiany w niniejszej polityce prywatności

Administrator zastrzega sobie prawo do wprowadzania zmian w niniejszej polityce prywatności. O istotnych zmianach użytkownicy zostaną powiadomieni za pośrednictwem wiadomości e-mail lub komunikatu w interfejsie platformy, z co najmniej 14-dniowym wyprzedzeniem.

Dalsze korzystanie z platformy po wejściu zmian w życie oznacza akceptację zaktualizowanej polityki prywatności. W przypadku braku akceptacji zmian użytkownik ma prawo do usunięcia swojego konta.

Aktualna wersja polityki prywatności jest zawsze dostępna na stronie talari.ai/legal/pl/polityka-prywatnosci.