CarbCam – Polityka prywatności

Administratorem danych w rozumieniu ogólnego rozporządzenia o ochronie danych (RODO) jest:

Geschäftsführer: Martin Schiftan · Handelsregister: Amtsgericht Freiburg i. Br., HRB724192 · USt-ID: DE343662047

W przypadku zapytań dotyczących ochrony danych osobowych (informacja, usunięcie, sprostowanie, sprzeciw) prosimy o kontakt za pomocą powyższych danych lub poprzez formularz kontaktowy.

CarbCam to aplikacja na smartfony, za pomocą której użytkownicy mogą robić zdjęcia posiłków. Aplikacja przesyła te zdjęcia do analizy na serwer ns.10be.de. Tam obraz jest przekazywany do wybranego przez użytkownika lub administratora serwera zewnętrznego interfejsu AI (obecnie obsługiwane: Anthropic Claude API, Google Gemini API, OpenAI API, Zhipu GLM API, Microsoft Azure OpenAI). Zwrócone szacunkowe wartości odżywcze (węglowodany, tłuszcz, białko, FPE, indeks glikemiczny) są przekazywane do aplikacji i tam wyświetlane.

CarbCam nie wymaga rejestracji z podaniem imienia i nazwiska ani adresu e-mail. Do powiązania urządzenia z limitem/subskrypcją używany jest anonimowy identyfikator instalacji (24-znakowy ciąg szesnastkowy), który jest generowany lokalnie przy pierwszym uruchomieniu aplikacji i przesyłany przy każdym zapytaniu.

3.1 Dane zbierane automatycznie przy każdym zapytaniu

• Identyfikator instalacji: 24-znakowy ciąg szesnastkowy, generowany lokalnie przy pierwszym uruchomieniu aplikacji. Brak możliwości identyfikacji osoby fizycznej.
• Adres IP: rejestrowany przez serwer w standardowych logach (maks. 7 dni, następnie anonimizowany).
• User-Agent/wersja aplikacji: w celu sprawdzenia kompatybilności i analizy błędów.
• Znacznik czasu i kod statusu HTTP zapytania.

3.2 Treści powstające w wyniku korzystania z aplikacji

• Zdjęcie posiłku (tymczasowo): jest przesyłane na serwer, a stamtąd do interfejsu AI. Oryginalny obraz nie jest przechowywany na stałe po zakończeniu analizy.
• Hash zdjęcia i zmniejszona miniatura: hash SHA-512 obrazu oraz silnie zmniejszona miniatura są przechowywane w pamięci podręcznej analizy, aby identyczne lub podobne zdjęcia mogły być obsługiwane szybciej i tańszym kosztem (Perceptual-Hash-Matching).
• Wynik analizy: odpowiedź AI (nazwy produktów spożywczych, wielkości porcji, wartości odżywcze) jest przechowywana w pamięci podręcznej wraz z hashem.
• Zdarzenia analiz: dla każdego zapytania (skan posiłku oraz analiza przebiegu glikemii) zapisywany jest wiersz z identyfikatorem instalacji, znacznikiem czasu, dostawcą, modelem i rodzajem trafienia w pamięci podręcznej w tabeli zdarzeń. Tabela ta służy do zliczania limitu (liczba dostępnych analiz miesięcznie zależy od wybranego planu; skany i analizy BG są wliczane wspólnie do miesięcznego limitu) oraz zapobiegania nadużyciom.
• Historia zdjęć (opcjonalnie): zmniejszone zdjęcia mogą być na życzenie użytkownika przypisane do osobistej historii zdjęć za pomocą identyfikatora instalacji, aby użytkownik mógł odzyskać swoją historię po ponownej instalacji aplikacji.
• Opinie: oceny i komentarze, które użytkownik wystawia do analizy, są powiązane z identyfikatorem instalacji i odpowiednim wpisem w pamięci podręcznej.

3.3 Dane w ramach procesów płatności

• Stripe Customer-ID i Subscription-ID do powiązania instalacji z subskrypcją.
• Plan, status, okres obowiązywania i okresy rozliczeniowe subskrypcji.
• Dane osobowe związane z płatnościami (imię i nazwisko, adres, środek płatniczy) są przetwarzane wyłącznie przez Stripe i nie są nam udostępniane.
• Faktury są udostępniane przez Stripe w portalu klienta.

3.4 Opcjonalnie: Bring Your Own Key (BYOK)

• Własny klucz API użytkownika dla Anthropic/Google jest używany na serwerze wyłącznie do przekazywania zapytań do AI i nie jest przechowywany na stałe (tylko w pamięci RAM na czas trwania zapytania).
• Opcjonalnie można podać kontaktowy adres e-mail do zapytań serwisowych BYOK.
• W przypadku zapytań BYOK (Bring-Your-Own-Key) dane dotyczące użytkowania nie są zaliczane do limitu limitu wybranego pakietu.

• Realizacja funkcji podstawowej (analiza zdjęć, pamięć podręczna, opinie): art. 6 ust. 1 lit. b RODO (wykonanie umowy lub działania przed zawarciem umowy).
• Buforowanie i poprawa jakości (np. Perceptual-Hash-Matching, korekty administratora przeciwko powtarzającym się błędom AI): art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes polegający na wydajnym i ekonomicznym świadczeniu usługi; interes osób, których dane dotyczą, w zakresie mniejszego śladu obrazowego jest chroniony przez stosowanie silnie zmniejszonych miniatur oraz automatyczne usuwanie po 30 dniach).
• Rozliczenia i obsługa płatności: art. 6 ust. 1 lit. b RODO oraz art. 6 ust. 1 lit. c RODO (ustawowe obowiązki przechowywania).
• Zapobieganie nadużyciom i ochrona przed oszustwami (limity, Rate-Limits): art. 6 ust. 1 lit. f RODO.
• Logi serwera i bezpieczeństwo: art. 6 ust. 1 lit. f RODO.

Zautomatyzowane podejmowanie decyzji w rozumieniu art. 22 RODO, wywołujące skutki prawne wobec osób, których dane dotyczą, nie ma miejsca. Oparte na AI szacunki wartości odżywczych stanowią wyłącznie informacje orientacyjne i nie stanowią decyzji w sensie prawnym.

W celu świadczenia usługi dane są przekazywane następującym podmiotom przetwarzającym i osobom trzecim:

5.1 Anthropic PBC (Claude API)

Siedziba: San Francisco, Kalifornia, USA. Zdjęcia i tekstowy prompt są przesyłane do analizy za pośrednictwem Anthropic Claude API. Anthropic jest zobowiązane umownie do niewykorzystywania przekazanych danych do celów szkoleniowych (Zero-Retention-Policy dla klientów API). Podstawa przekazania: standardowe klauzule umowne UE (SCC). Polityka prywatności: anthropic.com/privacy.

5.2 Google LLC (Gemini API, opcjonalnie)

Siedziba: Mountain View, Kalifornia, USA. Opcjonalnie administrator może skonfigurować serwer tak, aby zapytania były obsługiwane przez Google Gemini API. W takim przypadku zdjęcia i prompt są przesyłane do Google. Podstawa: standardowe klauzule umowne UE. Polityka prywatności: policies.google.com/privacy.

5.3 OpenAI, L.L.C.

Siedziba: San Francisco, Kalifornia, USA. Opcjonalnie użytkownik (przez ustawienia) lub administrator może kierować zapytania do API OpenAI. W takim przypadku zdjęcia i prompt są przesyłane do OpenAI. Podstawa: standardowe klauzule umowne UE. Polityka prywatności: openai.com/policies.

5.4 Zhipu AI

Siedziba: Pekin, Chińska Republika Ludowa. Opcjonalnie użytkownik może kierować zapytania do Zhipu GLM API. Ważne: Chińska Republika Ludowa jest uznawana na gruncie RODO za państwo trzecie bez decyzji o adekwatności. Korzystanie z tego dostawcy odbywa się na wyraźny wybór użytkownika i na własne ryzyko; z dostawcą zawarto standardowe klauzule umowne. Polityka prywatności: bigmodel.cn/dev/api/security/privacy.

5.5 Microsoft Azure (OpenAI Service)

Siedziba strony umowy: Microsoft Ireland Operations Ltd., Dublin, Irlandia. Przetwarzanie danych w regionach Azure-EU. Podstawa: warunki umowne Microsoft (DPA) oraz standardowe klauzule umowne UE, o ile dane są przekazywane do państw trzecich. Polityka prywatności: privacy.microsoft.com.

5.6 Stripe Payments Europe, Ltd.

Siedziba: Dublin, Irlandia. Obsługa płatności, zarządzanie subskrypcjami, wystawianie faktur, Customer Portal. Podczas procesów płatności imię i nazwisko, adres, środek płatniczy i adres e-mail są przekazywane bezpośrednio do Stripe i nie są nam udostępniane. Polityka prywatności: stripe.com/privacy.

5.7 Open Food Facts & USDA FoodData Central

W celu dodatkowej kontroli jakości (Refine-Cross-Check) serwer może po analizie AI przeprowadzić tekstowe porównanie z publicznymi bazami danych Open Food Facts (Francja) oraz USDA FoodData Central (USA). Przy tym nie są przesyłane zdjęcia, a jedynie nazwy produktów spożywczych jako zapytanie tekstowe.

5.8 Hosting i serwery

Serwery ns.10be.de znajdują się w Niemczech, Finlandii i Francji. Dane CarbCam są przetwarzane i przechowywane na serwerach w Niemczech.

• Pamięć podręczna analiz (hash, miniatura, odpowiedź AI): 30 dni, następnie automatyczne usunięcie.
• Indeks hashów percepcyjnych: 30 dni (powiązany z pamięcią podręczną).
• Zdarzenia analiz (zliczanie limitu): co najmniej przez bieżący okres rozliczeniowy/limitowy (30 dni w planie Free), ponadto agregowane do celów statystycznych.
• Historia zdjęć (opcjonalnie, powiązana z identyfikatorem instalacji): do momentu usunięcia przez użytkownika lub do zakończenia świadczenia usługi.
• Opinie: do momentu rozpatrzenia przez administratora, powiększone o odpowiedni okres dodatkowy na kontrolę jakości.
• Dane subskrypcji/płatności: przez czas trwania stosunku umownego, a następnie przez ustawowe okresy przechowywania (z reguły 10 lat zgodnie z prawem handlowym i podatkowym).
• Logi serwera: maks. 7 dni, następnie automatyczna anonimizacja.
• Klucz BYOK: nie jest utrwalany, przechowywany tylko w pamięci RAM na czas trwania pojedynczego zapytania.

Zgodnie z RODO przysługują w szczególności następujące prawa:

• Prawo dostępu (art. 15 RODO) do danych przechowywanych w związku z identyfikatorem instalacji.
• Sprostowanie nieprawidłowych danych (art. 16 RODO).
• Usunięcie (art. 17 RODO), o ile nie stoją temu na przeszkodzie ustawowe obowiązki przechowywania.
• Ograniczenie przetwarzania: CarbCam nie oferuje szczegółowego ograniczenia poszczególnych celów przetwarzania. Można albo zaakceptować przetwarzanie danych w całości, albo je zakończyć usuwając aplikację lub resetując identyfikator instalacji.
• Przenoszenie danych (art. 20 RODO): dane posiłków (węglowodany, wartości odżywcze, znaczniki czasu) są synchronizowane przez Nightscout i dostępne tam oraz w kopiach zapasowych ns.10be.de. Zdjęcia nie są archiwizowane na serwerze – włącz „Zapisuj zdjęcia w galerii” w ustawieniach aplikacji, aby zachować lokalne kopie.
• Sprzeciw wobec przetwarzania opartego na prawnie uzasadnionym interesie (art. 21 RODO).
• Skarga do organu nadzorczego (art. 77 RODO). Właściwy jest np. Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg.

W celu skorzystania z przysługujących praw lub w razie pytań dotyczących ochrony danych prosimy o kontakt pod adresem support@ns.10be.de lub za pośrednictwem formularza kontaktowego. W przypadku żądania usunięcia bez logowania należy podać 24-znakowy identyfikator instalacji, aby można było przyporządkować odpowiednie rekordy danych.

• Przesyłanie danych między aplikacją a serwerem odbywa się wyłącznie za pośrednictwem HTTPS (TLS).
• Dostęp do serwerów jest ograniczony do dostawcy i odbywa się za pośrednictwem SSH z uwierzytelnianiem kluczem publicznym.
• Bazy danych nie są dostępne bezpośrednio z zewnątrz.
• Kopie zapasowe są tworzone w formie zaszyfrowanej i nadpisywane po maksymalnie trzech dniach, o ile nie dotyczy to głównej bazy danych.
• Klucze BYOK są przechowywane wyłącznie w pamięci operacyjnej na czas trwania zapytania i nigdy nie są zapisywane na dysku ani logowane.

Ponieważ CarbCam jest w aktywnej fazie rozwoju BETA, niniejsza polityka prywatności może być aktualizowana w przypadku dodania nowych funkcji, zmiany podmiotów przetwarzających lub gdy wymaga tego sytuacja prawna. Aktualna wersja jest zawsze dostępna pod adresem ns.10be.de/pl/carbcam-privacy.html. Istotne zmiany będą komunikowane w aplikacji lub za pośrednictwem newslettera.