1. Verantwortlicher
Der Verantwortliche für PappAI ist Electric Flock Ltd, eine in England und Wales eingetragene Gesellschaft (Handelsregisternummer 16375990), mit eingetragenem Sitz in 27 Old Gloucester Street, London, United Kingdom WC1N 3AX.
Datenschutzanfragen: privacy@pappai.it. Allgemeiner Support: support@pappai.it.
2. Geltungsbereich dieser Erklärung
Diese Erklärung gilt für personenbezogene Daten, die Electric Flock Ltd als Verantwortlicher verarbeitet — insbesondere Daten von Ernährungsfachkräften, die sich für die PappAI-Plattform registrieren oder diese nutzen.
PappAI fungiert auch als Auftragsverarbeiter, wenn Ernährungsfachkräfte (die ihrerseits als Verantwortliche handeln) die Plattform nutzen, um Gesundheitsdaten ihrer Patienten zu speichern und zu verwalten. In dieser Eigenschaft richtet sich unsere Verarbeitung nach dem mit der Fachkraft geschlossenen Auftragsverarbeitungsvertrag (AVV) und nicht nach dieser Erklärung. Die Fachkraft bleibt allein verantwortlich für die Rechtmäßigkeit der Verarbeitung der Patientendaten sowie dafür, den Patienten angemessene Datenschutzinformationen bereitzustellen.
3. Personenbezogene Daten, die wir über Fachkräfte erheben
- Kontodaten: Name, E-Mail-Adresse, berufliche Rolle und bei der Registrierung angegebene Qualifikationen.
- Abrechnungsdaten: Abonnementplan, Zahlungsstatus. Kartendaten werden direkt von Stripe verarbeitet und nicht von Electric Flock Ltd gespeichert.
- Nutzungs- und Betriebsdaten: Anmeldezeitstempel, Funktionsinteraktionen und Fehlerberichte, die für den Betrieb und die Verbesserung des Dienstes erforderlich sind.
- Sicherheits- und Prüfprotokolle: Zugriffsprotokolle und KI-Interaktionsprotokolle, die für Sicherheitsüberwachung und Compliance-Zwecke aufbewahrt werden.
- Kommunikation: Supportanfragen und Korrespondenz, die an unser Team gerichtet werden.
4. Zwecke und Rechtsgrundlagen
| Zweck | Rechtsgrundlage (UK GDPR / EU GDPR) |
|---|---|
| Bereitstellung der SaaS-Plattform und des Abonnementdienstes | Art. 6(1)(b) — Vertragserfüllung |
| Kontoerstellung und Authentifizierung | Art. 6(1)(b) — Vertragserfüllung |
| Abrechnung und Zahlungsabwicklung | Art. 6(1)(b) — Vertragserfüllung; Art. 6(1)(c) — rechtliche Verpflichtung (Mehrwertsteuer, Buchhaltung) |
| Sicherheitsüberwachung, Missbrauchsprävention und Prüfprotokollierung | Art. 6(1)(f) — berechtigte Interessen (Schutz der Plattform und ihrer Nutzer) |
| Dienstverbesserung und Fehlerbehebung | Art. 6(1)(f) — berechtigte Interessen (Verbesserung von Zuverlässigkeit und Nutzererfahrung) |
| Erfüllung gesetzlicher und behördlicher Verpflichtungen | Art. 6(1)(c) — rechtliche Verpflichtung |
Wir verwenden Ihre Daten nicht für Werbung, Profiling zu Marketingzwecken oder automatisierte Entscheidungsfindung, die rechtliche oder ähnlich bedeutsame Auswirkungen hat.
5. Empfänger und Unterauftragsverarbeiter
Wir geben personenbezogene Daten nur weiter, soweit dies für die Erbringung des Dienstes erforderlich ist. Unsere wichtigsten Unterauftragsverarbeiter sind:
- Google LLC / Google Ireland Ltd (Firebase Authentication, Firebase Cloud Messaging, Google Cloud Platform, Cloud Run, Cloud Storage, Vertex AI, Google Workspace für Meet-Videokonsultationen; Google Analytics 4 für die Analyse der öffentlichen Website, vorbehaltlich der Einwilligung) — Authentifizierung, Infrastruktur, KI, Push-Benachrichtigungen, Videokonferenz.
- Stripe, Inc. — Zahlungsabwicklung für den Praktiker (SaaS) und Patient-Praktiker-Zahlungen über Stripe Connect. Stripe agiert für bestimmte Zahlungsdaten nach geltendem Recht als eigenständiger Verantwortlicher.
Wir verkaufen keine personenbezogenen Daten an Dritte. Wir geben keine Daten an Werbenetzwerke weiter. Eine aktuelle Liste der Auftragsverarbeiter (einschließlich der aktuellen DPA-Versionen) ist auf Anfrage unter privacy@pappai.it verfügbar.
6. Internationale Datenübermittlungen
Einige unserer Unterauftragsverarbeiter (darunter Google und Stripe) können Daten außerhalb des Vereinigten Königreichs und des Europäischen Wirtschaftsraums verarbeiten. Soweit solche Übermittlungen stattfinden, stützen wir uns auf geeignete Garantien:
- Für Übermittlungen aus dem Vereinigten Königreich: das UK International Data Transfer Agreement (IDTA) oder der UK Addendum zu den EU-Standardvertragsklauseln.
- Für Übermittlungen aus dem EWR: die Standardvertragsklauseln (SCC) der Europäischen Kommission.
- Soweit anwendbar, Angemessenheitsbeschlüsse des britischen Staatssekretärs oder der Europäischen Kommission.
7. Speicherdauer
- Kontodaten des Praktikers: für die Dauer Ihres Abonnements und bis zu 3 Jahre nach Kontoschließung aufbewahrt, um Streitigkeiten zu bearbeiten und gesetzliche Verpflichtungen zu erfüllen.
- Gesundheitsdaten der Patienten (Art. 9 DSGVO): von PappAI als Auftragsverarbeiter im Auftrag der Fachkraft (des Verantwortlichen) verarbeitet. Die Speicherdauer wird von der Fachkraft entsprechend ihren eigenen beruflichen und berufsethischen Pflichten sowie den geltenden steuerlichen Pflichten festgelegt; PappAI fungiert nicht als Archiv für Patientenakten und legt nicht eigenständig klinisch-gesundheitliche Aufbewahrungsfristen fest. Die Modalitäten richten sich nach dem Auftragsverarbeitungsvertrag (AVV).
- Abrechnungs- und Finanzdaten: 10 Jahre in Italien (Art. 2220 italienisches Zivilgesetzbuch) und 7 Jahre im Vereinigten Königreich aufbewahrt, je nach geltender Rechtsordnung des Verantwortlichen/Praktikers.
- An das italienische Gesundheitskartensystem (Sistema TS) übermittelte Daten: 10 Jahre zu steuerlichen Zwecken aufbewahrt (Art. 2220 italienisches Zivilgesetzbuch).
8. Ihre Rechte
Nach UK GDPR und EU GDPR haben Sie folgende Rechte in Bezug auf Ihre personenbezogenen Daten:
- Auskunftsrecht — zur Erlangung einer Kopie der personenbezogenen Daten, die wir über Sie speichern.
- Recht auf Berichtigung — zur Korrektur unrichtiger Daten.
- Recht auf Löschung — zur Beantragung der Löschung Ihrer Daten, vorbehaltlich gesetzlicher Aufbewahrungspflichten.
- Recht auf Einschränkung der Verarbeitung — zur Begrenzung der Art und Weise, wie wir Ihre Daten unter bestimmten Umständen verarbeiten.
- Recht auf Datenübertragbarkeit — zum Empfang Ihrer Daten in einem strukturierten, maschinenlesbaren Format.
- Widerspruchsrecht — gegen die Verarbeitung auf der Grundlage berechtigter Interessen.
- Recht, keiner automatisierten Entscheidung unterworfen zu werden — wir treffen keine ausschließlich automatisierten Entscheidungen mit rechtlichen oder ähnlich bedeutsamen Auswirkungen.
Um eines dieser Rechte auszuüben, kontaktieren Sie uns unter privacy@pappai.it. Wir werden innerhalb eines Monats antworten. Für Standardanfragen erheben wir keine Gebühr.
9. Beschwerderecht bei einer Aufsichtsbehörde
Wenn Sie sich im Vereinigten Königreich befinden, haben Sie das Recht, eine Beschwerde beim Information Commissioner's Office (ICO) einzureichen: ico.org.uk.
Wenn Sie sich in der Europäischen Union befinden, können Sie eine Beschwerde bei der Aufsichtsbehörde Ihres Wohnsitz- oder Niederlassungslandes einreichen (z. B. BfDI in Deutschland, Garante Privacy in Italien, AEPD in Spanien, CNIL in Frankreich, CNPD in Portugal).
Wir empfehlen Ihnen, uns zuerst zu kontaktieren, damit wir Ihr Anliegen direkt bearbeiten können.
10. Gesundheits- und Fitnessdaten in der mobilen App (Apple Health / HealthKit)
Die mobile PappAI-App wird Ihnen, dem Endnutzer, direkt bereitgestellt, und für die in diesem Abschnitt beschriebenen Daten ist Electric Flock Ltd Verantwortlicher. Sie können Ihr Konto per E-Mail, Google oder Sign in with Apple erstellen. Mit Ihrer ausdrücklichen Einwilligung kann die App auf iOS eine Verbindung zu Apple Health (HealthKit) — und auf anderen Systemen zu gleichwertigen Plattformen — herstellen, um Ihre Fitness- und Körpermessdaten zu importieren, damit Sie Ihre Fortschritte verfolgen können. Diese Verbindung ist völlig optional: Die App ist auch ohne sie voll nutzbar, und Sie können den Zugriff jederzeit in den Systemeinstellungen Ihres Geräts erteilen oder widerrufen.
Wenn Sie die Integration aktivieren, liest die App folgende Daten aus Apple Health:
- Körpergewicht
- Schrittzahl und aktiv verbrauchte Energie (Kalorien)
- Herzfrequenz
- Körpergröße, Körperfettanteil und Schlafanalyse — nur wenn Sie die optionale zusätzliche Berechtigung erteilen
Wenn Sie Informationen in PappAI erfassen und nur wenn Sie es zulassen, schreibt die App folgende Daten zurück in Apple Health, damit Ihre Aufzeichnungen synchron bleiben:
- Körpergewicht, das Sie in der App erfassen
- Wasseraufnahme (Flüssigkeitszufuhr), die Sie in der App erfassen
Gesundheits- und Fitnessdaten, die Sie freigeben, werden an unsere Server (Google Cloud Platform) übertragen, ausschließlich um die Funktionen zur Fortschrittsverfolgung in der App bereitzustellen und, sofern Sie mit einem Ernährungsfachmann verbunden sind, um sie diesem innerhalb der Plattform zur Verfügung zu stellen. Wir verarbeiten diese Daten auf Grundlage Ihrer ausdrücklichen Einwilligung (Art. 9(2)(a) UK/EU GDPR) und zur Erfüllung unseres Vertrags mit Ihnen (Art. 6(1)(b)). Wir verwenden Apple-Health-Daten (HealthKit) — und alle anderen Gesundheits- und Fitnessdaten — niemals für Werbung oder Marketing, wir verkaufen sie niemals und geben sie niemals zu deren eigenen Zwecken an Dritte weiter. HealthKit-Daten werden ausschließlich zur Bereitstellung von Gesundheits- und Fitnessfunktionen innerhalb von PappAI verwendet, im Einklang mit den HealthKit-Anforderungen von Apple.
Wenn Sie die optionale Funktion zur KI-Mahlzeitenerkennung nutzen, wird das von Ihnen aufgenommene Mahlzeitenfoto von unserem KI-Auftragsverarbeiter (Google Vertex AI) ausschließlich zu dem Zweck verarbeitet, die im Bild gezeigten Lebensmittel und deren Nährwerte zu schätzen. Mahlzeitenfotos werden nicht für Werbung und nicht zum Training von Werbemodellen Dritter verwendet; diese Verarbeitung unterliegt Abschnitt 5 (Auftragsverarbeiter) und Abschnitt 6 (internationale Übermittlungen).
Sie können Apple Health jederzeit in den iOS-Einstellungen trennen und die Löschung synchronisierter Gesundheitsdaten über die In-App-Kontolöschung oder durch Kontaktaufnahme unter privacy@pappai.it verlangen (siehe Abschnitt 7 zur Speicherung).
11. Änderungen dieser Richtlinie
Wir können diese Erklärung von Zeit zu Zeit aktualisieren. Bei wesentlichen Änderungen werden wir registrierte Nutzer mindestens 14 Tage vor Inkrafttreten der Änderungen per E-Mail oder über einen In-App-Hinweis benachrichtigen. Die aktuelle Version und ihr Gültigkeitsdatum werden oben auf dieser Seite angezeigt.
