BELYO — Privatumo politika / Privacy Policy
Versija: 1.0 Įsigaliojimo data: 2026-07-06 Paskutinis atnaujinimas: 2026-06-23
🇱🇹 PRIVATUMO POLITIKA (LT)
1. Įvadas ir duomenų valdytojas
BELYO yra dirbtinio intelekto kompanionų programėlė, kurią teikia UAB TMK Investment (toliau — „mes", „BELYO" arba „Bendrovė").
Duomenų valdytojo kontaktai:
- Pavadinimas: UAB TMK Investment
- Įmonės kodas: 306121862
- Adresas: Chemijos g. 27C-62, LT-51331 Kaunas, Lietuva
- El. paštas duomenų apsaugos klausimais: [email protected]
- Direktorius: Tomas Karpavičius
Ši politika paaiškina, kaip mes renkame, naudojame, saugome ir saugome jūsų asmens duomenis, kai naudojatės BELYO programėle.
1.1. Automatizuotas sprendimų priėmimas (GDPR 22 str.)
BELYO naudoja automatizuotą realaus laiko teksto analizę krizinių žinučių aptikimui (CRISIS_PROTOCOL). Šis procesas atitinka GDPR 22 str. tvarkos reikalavimus:
(a) BELYO automatizuotas sprendimas — krizinio pop-up'o rodymas — nesukelia teisinio efekto Vartotojui ir nepasiekia panašaus reikšmingo poveikio slenksčio (žr. ESTT byla C-634/21 SCHUFA Holding, 2023-12-07).
(b) Vartotojas bet kuriuo metu gali atšaukti CRISIS_PROTOCOL aptikimą per Settings → Privacy → Crisis Detection → OFF. Atšaukus, realaus laiko aptikimo logika bus išjungta vartotojo paskyrai.
(c) Vartotojas turi teisę pateikti skundą per [email protected] dėl klaidingo aptikimo. Skundas peržiūrimas per 30 d. ir gali pakeisti aptikimo algoritmo nustatymus.
Daugiau informacijos — žr. DPIA v1.0 final 12.4 sk. ir LIA v2.0 final 3.9 sk.
2. Kokius duomenis renkame
2.1. Duomenys, kuriuos jūs pateikiate
- Registracijos duomenys: el. pašto adresas, slaptažodis (saugomas šifruotai per Supabase Auth)
- Profilio duomenys: vartotojo vardas (display name), gimimo data (amžiaus patvirtinimui 18+), pirminė kalba
- Kompanionų konfigūracija: kompanionų vardai, asmenybių aprašymai, balsų pasirinkimai, emoji
- Pokalbių turinys: visos žinutės tarp jūsų ir AI kompanionų
Amžiaus tapatybės verifikacija (mokantiems vartotojams): Founding 1000, Standard ir Lifetime tier'ų vartotojams prieš pirmąjį mokėjimą atliekama vienkartinė asmens tapatybės verifikacija per Smart-ID (LT, EE, LV vartotojams) arba Veriff OÜ (likusios ES bei tarptautiniai vartotojai). BELYO nesaugo asmens kodo ar tapatybės dokumento vaizdo — iš verifikacijos provider'io gauname tik boolean žymę „verified 18+" ir verifikacijos laiką. Verifikacijos duomenys lieka pas SK ID Solutions (Smart-ID) arba Veriff OÜ pagal jų atskirus DPA susitarimus.
2.2. Duomenys, renkami automatiškai
- Įrenginio informacija: įrenginio tipas, operacinė sistema (iOS/Android versija), unikalus įrenginio identifikatorius
- Naudojimo statistika: funkcijų naudojimo dažnis, sesijų trukmė, klaidos
- IP adresas: saugumo ir geografinio aptarnavimo tikslais
2.3. Mokėjimų duomenys
BELYO nesaugo kortelės duomenų. Visi mokėjimo duomenys tvarkomi pagal vartotojo platformą ir regioną (atitinka Naudojimosi sąlygų 7.1A sk.):
- iOS vartotojai iš ES/EEE — gali pasirinkti mokėjimą per
belyoapp.com(Stripe Payments Europe Ltd) ar Apple In-App Purchase (Apple Inc.). Pasirinkus Stripe ES kelią — taikomas Apple „Core Technology Commission" 5% (DMA reikalavimai). - iOS vartotojai iš kitų regionų — Apple In-App Purchase (Apple Inc.).
- Android vartotojai — Google Play Billing (Google LLC).
- Web vartotojai (
belyoapp.com) — Stripe Payments Europe Ltd.
BELYO gauna iš mokėjimų tvarkytojų tik mokėjimo būseną ir prenumeratos statusą (be kortelės duomenų). Apple Inc., Google LLC ir Stripe veikia kaip atskiri duomenų valdytojai mokėjimo srityje — žr. jų privatumo politikas:
- Apple: https://www.apple.com/legal/privacy/
- Google: https://policies.google.com/privacy
- Stripe: https://stripe.com/privacy
2.4. Krizinis turinys (sveikatos duomenys pagal GDPR 9 str.)
Kai sistema aptinka krizinio pobūdžio žinutes (savižudybės, savęs žalojimo, smurto pavojus), vyksta du atskiri procesai:
(a) Realaus laiko techninis aptikimas — vyksta visada, kad galėtume parodyti pagalbos resursus (telefonus, krizės linijas). Šis aptikimas atliekamas pagal teisėtą interesą saugoti vartotojų sveikatą ir gyvybę.
(b) Metaduomenų saugojimas tobulinimo tikslais — vyksta TIK jei vartotojas davė atskirą aiškų sutikimą registracijos metu (GDPR 9 str. 2 d. a p.). Saugomi tik metaduomenys (aptikimo tipas, laikas, sėkmingumo žyma), be žinutės teksto ir asmens identifikatoriaus, 12 mėnesių laikotarpiu, vidaus saugumo žurnale.
Vartotojas gali bet kuriuo metu atšaukti sutikimą Settings ekrane — tai sustabdys metaduomenų saugojimą, bet realaus laiko aptikimas (a) liks aktyvus saugumo tikslais. Krizinio turinio informacija niekuomet nenaudojama reklamai ar perduodama trečiosioms šalims komerciniais tikslais.
2.5. Dienoraščio funkcija („Dienoraštis")
„Dienoraštis" yra papildoma Premium („Belyo Plus") funkcija, leidžianti paprašyti kompaniono apžvelgti, apie ką kalbėjotės per pasirinktą laikotarpį (pvz., savaitę, mėnesį, metus ar kelis metus). Apžvalga generuojama pareikalavus iš jau saugomų jūsų pokalbių santraukų — nerenkame jokių naujų duomenų ir nesukuriame atskiro dienoraščio saugyklos šiame funkcionalumo etape.
(a) Teisinis pagrindas. Kadangi pokalbiai gali atskleisti jautrią informaciją (GDPR 9 str.), „Dienoraščio" funkcija įjungiama tik davus atskirą aiškų sutikimą (GDPR 6 str. 1 d. a p. + 9 str. 2 d. a p.) Nustatymų ekrane. Be šio sutikimo apžvalga negeneruojama.
(b) Atšaukimas. Sutikimą galite bet kada atšaukti Nustatymuose — apžvalgos nustos būti generuojamos. Tai nepaveikia pačių pokalbių (jie tvarkomi pagal 2.1 ir 6 sk.).
(c) Apimtis. Apžvalga apima tik duomenis, saugomus pagal 6 sk. saugojimo terminus (aktyvios paskyros istorija saugoma, kol paskyra aktyvi — apžvalga gali apimti ir kelerių metų pokalbius). „Dienoraštis" neįveda jokios naujos saugojimo trukmės. Apžvalga apdorojama per tą patį AI subprocesorių (Anthropic), kaip ir pokalbių santraukos (žr. 4 sk.) — naujų gavėjų nėra.
(d) Paskirtis. Funkcija skirta jūsų pačių refleksijai ir savijautai, NĖRA medicininė, diagnostinė ar sveikatos stebėjimo priemonė (žr. 10 sk.).
3. Tikslai ir teisinis pagrindas
| # | Tikslas | Teisinis pagrindas (GDPR) |
|---|---|---|
| 1 | Paskyros sukūrimas ir paslaugos teikimas | Sutartis (6 str. 1 d. b p.) |
| 2 | AI atsakymų generavimas | Sutartis (6 str. 1 d. b p.) |
| 3 | Apmokestinimas ir buhalterija | Teisinė prievolė (6 str. 1 d. c p.) |
| 4 | Saugumas, sukčiavimo prevencija | Teisėtas interesas (6 str. 1 d. f p.) |
| 5a | Krizinio turinio techninis aptikimas (real-time, anoniminis) | Teisėtas interesas (6 str. 1 d. f p.) + atlikta LIA |
| 5b | Krizinio turinio metaduomenų saugojimas (sveikatos duomenys, GDPR 9 str.) | Aiškus sutikimas (6 str. 1 d. a p. + 9 str. 2 d. a p.) — atskiras checkbox registracijoje |
| 5c | ⚠️ NEAKTYVUOTA — Pagalbos tarnybų (112) informavimas avariniais atvejais. Aktyvavimas planuojamas V1.2+ tik su atskira DPIA addendum, VDAI prior consultation ir Bendrojo pagalbos centro 112 sutartimi. Iki tol BELYO nesisiunčia jokių duomenų į 112. | (Būsimas) Gyvybiškai svarbus interesas (6 str. 1 d. d p. + 9 str. 2 d. c p.) + atskiras sutikimas geolokacijai |
| 6 | Paslaugos tobulinimas (anoniminiai duomenys) | Teisėtas interesas (6 str. 1 d. f p.) |
| 7 | Tiesioginė rinkodara (jei sutiksite) | Sutikimas (6 str. 1 d. a p.) |
| 8 | „Dienoraščio" apžvalga (refleksija) iš saugomų pokalbių santraukų | Aiškus sutikimas (6 str. 1 d. a p. + 9 str. 2 d. a p.) — atskiras įjungimas Nustatymuose |
4. Subprocesoriai ir trečiosios šalys
Naudojame šiuos subprocesorius (visi turi atitinkamus susitarimus):
| Subprocesorius | Paskirtis | Šalis | DPA / SCC |
|---|---|---|---|
| Anthropic, PBC | AI atsakymų generavimas (Claude modeliai). Perduodama: jūsų pokalbio žinučių tekstas ir pokalbio kontekstas — realiu laiku per Claude API, kad būtų sugeneruotas atsakymas. Neperduodama: el. paštas, slaptažodis, mokėjimo duomenys. | JAV | SCC 2021/914 pagal Anthropic Commercial Terms. Lygiavertė apsauga: šifruotas perdavimas (TLS); Anthropic nenaudoja jūsų pokalbių savo modeliams mokyti. DPA: console.anthropic.com → Settings → Compliance. |
| Supabase, Inc. | Duomenų bazė, autentifikacija | ES (Frankfurt, AWS eu-central-1) | DPA pasirašyta. Duomenys lieka ES. |
| Stripe, Inc. | Mokėjimų tvarkymas | JAV / ES | SCC + DPA per Stripe Services Agreement |
| RevenueCat, Inc. | In-app prenumeratų valdymas (Apple/Google billing tarpininkas) — perduodama tik pseudonimizuotas vartotojo ID, pirkimo įvykiai, kaina, kvitai (NE pokalbiai, NE kortelės duomenys) | JAV | SCC 2021/914 (Module 2); DPA per Customer Agreement. SOC 2 Type II. Ištrinama per 30 d. |
| Hetzner Online GmbH | Serverių hostingas | Vokietija | DPA pasirašyta (GDPR atitiktis pagal Vokietijos teisę). Sąskaita migruojama į UAB TMK Investment iki 2026-06-30 (žr. Legal Opinion #3 + #5). |
| Cloudflare, Inc. | Turinio pristatymo tinklas (CDN), DNS, el. pašto nukreipimas (Email Routing — info@, support@, privacy@, dpo@, [email protected] ir kt.), interneto saugumas (WAF), SSL/TLS sertifikatai. |
JAV | DPA pasirašyta UAB TMK Investment vardu 2026-05-28 (legal/cloudflare-dpa-signed-2026-05-28.pdf). EU–US Data Privacy Framework + SCC 2021/914 (Module 2/3). ISO 27001, SOC 2 Type II, PCI DSS Level 1. Cloudflare nesaugo el. laiškų turinio — tik nukreipia. Subprocesoriai: https://www.cloudflare.com/sub-processors/ |
| PostHog Inc. | Produkto analitika (naudojimo įvykiai ir funnel — NE pokalbių turinys, NE 9 str. ypatingų kategorijų duomenys) | JAV (galima ES Cloud) | DPA pasirašyta ir countersigned 2026-06-09 (legal/posthog-dpa-signed-2026-06-09.pdf). SCC 2021/914 Module 2. PostHog nenaudoja duomenų savo AI modelių mokymui. Subprocesoriai: https://posthog.com/subprocessors |
| SK ID Solutions AS | Mokančių vartotojų amžiaus tapatybės verifikacija per Smart-ID | Estija (ES) | DPA pasirašoma prieš PAID tier paleidimą; duomenys lieka ES — SCC nereikalingas |
| Veriff OÜ | Mokančių vartotojų amžiaus tapatybės verifikacija (ne Baltijos šalys) | Estija (ES) | DPA pasirašoma prieš PAID tier paleidimą; duomenys lieka ES — SCC nereikalingas |
| Let's Encrypt (ISRG) | HTTPS sertifikatai (Caddy automatika) | Tarptautinė | Tik metaduomenys (domeno vardas) |
Pastaba: ElevenLabs (balso generavimas) subprocesorius nuo 2026-05-22 yra išbrauktas iš aktyvių subprocesorių sąrašo, nes voice funkcijos neaktyvuotos prod aplinkoje. Aktyvavus voice'ą ateityje, ElevenLabs bus pridėtas atgal kartu su pasirašyta DPA, ir vartotojai bus informuoti prieš 14 dienų pagal GDPR 28 str. nuostatas.
5. Tarptautinis duomenų perdavimas
Kai duomenys perduodami už ES/EEE ribų (pvz., Anthropic — JAV), mes naudojame:
- Europos Komisijos Standartines sutartines sąlygas (SCC) pagal 2021/914 sprendimą
- Papildomas technines priemones: šifravimas perdavimo metu (TLS 1.3), pseudonimizavimas, prieigos kontrolė
6. Saugojimo terminai
| Duomenų tipas | Saugojimo terminas |
|---|---|
| Paskyros duomenys | Kol aktyvi paskyra + 30 dienų po panaikinimo. Po 24 mėnesių neaktyvumo (be login, be žinučių) paskyra ir visi susiję duomenys automatiškai ištrinami, prieš tai 30 d. įspėjus el. paštu. |
| Pokalbių istorija | Kol aktyvi paskyra (galima ištrinti programėlėje). Automatiškai ištrinama kartu su paskyra po 24 mėn. neaktyvumo. |
| Mokėjimų įrašai | 10 metų (buhalterinė prievolė) |
| Saugumo žurnalai | 6 mėnesiai |
| Krizinio turinio metaduomenys | 12 mėnesių, anonimiškai |
| „Dienoraščio" apžvalgos | Negeneruojama nuolatinė kopija — apžvalga sudaroma pareikalavus iš santraukų (žr. „Pokalbių istorija") ir nesaugoma. |
| Backup'ai | 30 dienų rolling |
7. Jūsų teisės (GDPR)
Pagal GDPR, jūs turite šias teises:
- Susipažinti (15 str.) — gauti kopiją savo duomenų
- Ištaisyti (16 str.) — pakeisti netikslius duomenis
- Ištrinti (17 str., „teisė būti pamirštam") — pareikalauti pašalinimo
- Apriboti tvarkymą (18 str.) — sustabdyti tvarkymą tam tikrais atvejais
- Perkelti duomenis (20 str.) — gauti duomenis struktūrizuotu formatu
- Prieštarauti (21 str.) — tiesioginė rinkodara, profiliavimas
- Atšaukti sutikimą (7 str. 3 d.) — bet kuriuo metu, jei tvarkymas pagrįstas sutikimu
- Pateikti skundą priežiūros institucijai: Valstybinė duomenų apsaugos inspekcija (Lietuva), L. Sapiegos g. 17, 10312 Vilnius, [email protected]
Užklausų apdorojimo terminas: 30 dienų nuo gavimo (gali būti pratęstas iki 60 dienų sudėtingais atvejais).
Kaip pateikti užklausą: [email protected] arba per programėlės Settings ekraną.
Jūsų teisės pagal 15, 17 ir 20 str. apima ir pokalbių santraukas, kuriomis grindžiama „Dienoraščio" funkcija; atskiros nuolatinės „Dienoraščio" saugyklos nėra, todėl ištrynus pokalbius / paskyrą, apžvalgų generavimas nebėra įmanomas.
8. Saugumas
Mes taikome šias priemones:
- Šifravimas: TLS 1.3 perdavimo metu, AES-256 saugojimui
- Autentifikacija: JWT su asymmetrine kriptografija (ES256), Supabase Auth
- Slaptažodžiai: bcrypt hashing (Supabase standartas), niekada nesaugomi grynu tekstu
- Prieiga prie duomenų: tik įgaliotam personalui pagal need-to-know principą
- Saugumo auditas: vidaus auditas kas 12 mėn.; išorinis penetration test po €100k MRR pasiekimo
9. Vaikų privatumas
BELYO yra skirta 18 metų ir vyresniems asmenims. Mes sąmoningai nerinkome ir nesirenka duomenų iš asmenų iki 18 metų. Jei sužinome, kad surinkome tokius duomenis, juos pašaliname.
Tėvai ar globėjai, manantys, kad jų vaikas pateikė duomenis BELYO, prašom susisiekti [email protected].
10. Krizinio turinio disclaimer'is
SVARBU: BELYO NĖRA medicinos paslauga, psichoterapija ar krizės centras. Mūsų AI kompanionai gali aptikti tam tikras krizines frazes ir reaguoti su saugumo informacija, bet negarantuoja teisingo aptikimo visais atvejais.
Krizės atveju kreipkitės:
- Lietuva: Bendrasis pagalbos telefonas — 112 | Vilties linija (suaugusiems): 116 123 | Jaunimo linija: 8 800 28888
- ES (tarpvalstybinė): 112 (skubi pagalba)
- JAV: 988 Suicide & Crisis Lifeline
- Tarptautinė: findahelpline.com
11. Slapukai
BELYO mobile app slapukų nenaudoja. Web versija (belyo.app / belyoapp.com landing) bus padengta atskira Slapukų politika (cookies.md), publikuojama prieš landing'o paskelbimą.
12. Pakeitimai
Mes galime atnaujinti šią politiką. Esminiai pakeitimai bus pranešti programėlėje arba el. paštu prieš 30 dienų iki įsigaliojimo.
13. Duomenų tvarkymas turinio publikavimui socialiniuose tinkluose (BELYO Content Agent)
Atskirai nuo BELYO programėlės vartotojų asmens duomenų, UAB TMK Investment valdo vidinę pirmosios šalies (first-party) priemonę BELYO Content Agent, kuri skelbia BELYO pačios sukurtus rinkodaros vaizdo įrašus į BELYO nuosavas oficialias socialinių tinklų paskyras (pvz., @belyoapp). Ši priemonė nerenka ir netvarko BELYO programėlės vartotojų ar bet kokių trečiųjų asmenų duomenų.
TikTok. Naudodama TikTok Login Kit ir Content Posting API, priemonė gauna ir saugo tik su BELYO nuosava @belyoapp paskyra susijusius techninius duomenis:
- OAuth prieigos ir atnaujinimo žetonus (access/refresh tokens), reikalingus įkelti vaizdo įrašus į mūsų pačių paskyrą;
- paskyros identifikatorių (
open_id) ir bazinę paskyros informaciją (user.info.basic) — kad būtų matoma, kuri mūsų paskyra prijungta.
Šie duomenys yra UAB TMK Investment įmonės duomenys (ne galutinių vartotojų asmens duomenys). Žetonai saugomi šifruoti mūsų pačių serveryje (Hetzner, ES) ir nėra perduodami tretiesiems asmenims rinkodaros tikslais. Teisinis pagrindas — teisėtas interesas (BDAR 6 str. 1 d. f p.) administruoti nuosavus rinkodaros kanalus. Žetonai saugomi tol, kol integracija aktyvi; atšaukus prieigą TikTok nustatymuose arba pašalinus integraciją, jie ištrinami. Priemonė nepasiekia ir nesaugo jokių TikTok vartotojų, sekėjų ar trečiųjų šalių analitikos duomenų. Šios funkcijos paslaugos sąlygos aprašytos Naudojimosi sąlygų 15 skyriuje.
🇬🇧 PRIVACY POLICY (EN)
1. Introduction and Data Controller
BELYO is an AI companion application provided by UAB TMK Investment (hereinafter — "we", "BELYO", or "the Company").
Data Controller contacts:
- Company name: UAB TMK Investment
- Registration number: 306121862
- Address: Chemijos g. 27C-62, LT-51331 Kaunas, Lithuania
- Data protection email: [email protected]
- Director: Tomas Karpavičius
This policy explains how we collect, use, store, and protect your personal data when using the BELYO application.
1.1. Automated decision-making (GDPR Article 22)
BELYO uses automated real-time text analysis to detect crisis messages (CRISIS_PROTOCOL). This process complies with GDPR Article 22 requirements:
(a) BELYO's automated decision — displaying a crisis pop-up — does not produce legal effects on the User and does not reach a similarly significant effect threshold (see CJEU Case C-634/21 SCHUFA Holding, 2023-12-07).
(b) The User may withdraw CRISIS_PROTOCOL detection at any time via Settings → Privacy → Crisis Detection → OFF. Once withdrawn, real-time detection logic is disabled for that User's account.
(c) The User has the right to lodge a complaint via [email protected] regarding incorrect detection. Complaints are reviewed within 30 days and may adjust the detection algorithm settings.
For further information, see DPIA v1.0 final Section 12.4 and LIA v2.0 final Section 3.9.
2. Data We Collect
2.1. Data you provide
- Registration data: email address, password (stored encrypted via Supabase Auth)
- Profile data: display name, date of birth (for 18+ age verification), primary language
- Companion configuration: companion names, personality descriptions, voice choices, emoji
- Conversation content: all messages between you and the AI companions
Identity-based age verification (paying users): Founding 1000, Standard, and Lifetime tier users undergo a one-time identity verification via Smart-ID (LT, EE, LV users) or Veriff OÜ (other EU and international users) before their first payment. BELYO does not store any national identification number or ID document image — we receive only a boolean "verified 18+" flag and the verification timestamp from the verification provider. Verification data remains with SK ID Solutions (Smart-ID) or Veriff OÜ under their separate DPAs.
2.2. Data collected automatically
- Device information: device type, operating system (iOS/Android version), unique device identifier
- Usage statistics: feature usage frequency, session duration, errors
- IP address: for security and geographic service purposes
2.3. Payment data
BELYO does not store card data. All payment data is processed according to the User's platform and region (consistent with Terms of Service Section 7.1A):
- iOS Users from EU/EEA — may choose payment via
belyoapp.com(Stripe Payments Europe Ltd) or Apple In-App Purchase (Apple Inc.). Choosing the Stripe EU path incurs Apple's "Core Technology Commission" of 5% (DMA requirement). - iOS Users from other regions — Apple In-App Purchase (Apple Inc.).
- Android Users — Google Play Billing (Google LLC).
- Web Users (
belyoapp.com) — Stripe Payments Europe Ltd.
BELYO receives from payment processors only payment status and subscription information (no card data). Apple Inc., Google LLC, and Stripe act as separate data controllers for payment-related processing — see their privacy policies:
- Apple: https://www.apple.com/legal/privacy/
- Google: https://policies.google.com/privacy
- Stripe: https://stripe.com/privacy
2.4. Crisis content (health data under GDPR Article 9)
When the system detects messages of a crisis nature (suicide, self-harm, violence risk), two separate processes occur:
(a) Real-time technical detection — always active, to display help resources (helplines, crisis lines). This detection is performed based on legitimate interest in protecting user health and life.
(b) Metadata storage for improvement purposes — occurs ONLY if the User has given separate explicit consent at registration (GDPR Art. 9(2)(a)). Only metadata is stored (detection type, time, success flag), without the message text or personal identifier, for 12 months in an internal safety journal.
The User may withdraw consent at any time in the Settings screen — this stops metadata storage, but the real-time detection (a) remains active for safety purposes. Crisis content information is never used for advertising or shared with third parties for commercial purposes.
2.5. Journal feature ("Dienoraštis")
The Journal ("Dienoraštis") is an optional Premium ("Belyo Plus") feature that lets you ask your companion to recap what you talked about over a chosen period (e.g. a week, a month, a year, or longer). The recap is generated on demand from your already-stored conversation summaries — we collect no new data and create no separate journal store at this stage of the feature.
(a) Legal basis. Because conversations may reveal sensitive information (GDPR Art. 9), the Journal feature is enabled only after you give separate explicit consent (GDPR Art. 6(1)(a) + Art. 9(2)(a)) in the Settings screen. Without this consent, no recap is generated.
(b) Withdrawal. You may withdraw consent at any time in Settings — recaps will stop being generated. This does not affect the conversations themselves (handled under Sections 2.1 and 6).
(c) Scope. The recap covers only data retained under Section 6 (an active account's history is kept while the account is active — so a recap may span several years of conversations). The Journal introduces no new retention period. The recap is processed via the same AI sub-processor (Anthropic) as conversation summaries (see Section 4) — there are no new recipients.
(d) Purpose. The feature is for your own reflection and wellbeing; it is NOT a medical, diagnostic, or mental-health-tracking tool (see Section 10).
3. Purposes and Legal Basis
| # | Purpose | Legal Basis (GDPR) |
|---|---|---|
| 1 | Account creation and service provision | Contract (Art. 6(1)(b)) |
| 2 | AI response generation | Contract (Art. 6(1)(b)) |
| 3 | Billing and accounting | Legal obligation (Art. 6(1)(c)) |
| 4 | Security, fraud prevention | Legitimate interest (Art. 6(1)(f)) |
| 5a | Crisis content technical detection (real-time, anonymous) | Legitimate interest (Art. 6(1)(f)) + LIA performed |
| 5b | Crisis content metadata storage (health data, GDPR Art. 9) | Explicit consent (Art. 6(1)(a) + Art. 9(2)(a)) — separate checkbox at registration |
| 5c | ⚠️ NOT ACTIVATED — Notifying emergency services (112). Activation planned for V1.2+ only with a separate DPIA addendum, prior consultation with SDPI (VDAI), and an agreement with the General Emergency Center 112. Until then, BELYO does not send any data to 112. | (Future) Vital interest (Art. 6(1)(d) + Art. 9(2)(c)) + separate consent for geolocation |
| 6 | Service improvement (anonymized data) | Legitimate interest (Art. 6(1)(f)) |
| 7 | Direct marketing (if you consent) | Consent (Art. 6(1)(a)) |
| 8 | Journal recap (reflection) from stored conversation summaries | Explicit consent (Art. 6(1)(a) + Art. 9(2)(a)) — separate opt-in in Settings |
4. Sub-processors and Third Parties
We use the following sub-processors (all with appropriate agreements):
| Sub-processor | Purpose | Country | DPA / SCC |
|---|---|---|---|
| Anthropic, PBC | AI response generation (Claude models). Sent: your message text and conversation context — in real time via the Claude API to generate a reply. Not sent: email, password, payment details. | USA | SCC 2021/914 via Anthropic Commercial Terms. Equivalent protection: encrypted transfer (TLS); Anthropic does not use your conversations to train its models. DPA: console.anthropic.com → Settings → Compliance. |
| Supabase, Inc. | Database, authentication | EU (Frankfurt, AWS eu-central-1) | DPA signed. Data stays in EU. |
| Stripe, Inc. | Payment processing | USA / EU | SCC + DPA via Stripe Services Agreement |
| RevenueCat, Inc. | In-app subscription management (Apple/Google billing intermediary) — only pseudonymized user ID, purchase events, price, receipts transferred (NOT conversations, NOT card data) | USA | SCC 2021/914 (Module 2); DPA via Customer Agreement. SOC 2 Type II. Deleted within 30 days. |
| Hetzner Online GmbH | Server hosting | Germany | DPA signed (GDPR compliance under German law). Account migration to UAB TMK Investment by 2026-06-30 (see Legal Opinion #3 + #5). |
| Cloudflare, Inc. | Content delivery network (CDN), DNS, email routing (Email Routing — info@, support@, privacy@, dpo@, [email protected] etc.), web security (WAF), SSL/TLS certificates. |
USA | DPA signed in the name of UAB TMK Investment on 2026-05-28 (legal/cloudflare-dpa-signed-2026-05-28.pdf). EU–US Data Privacy Framework + SCC 2021/914 (Module 2/3). ISO 27001, SOC 2 Type II, PCI DSS Level 1. Cloudflare does not store email content — only routes it. Subprocessors: https://www.cloudflare.com/sub-processors/ |
| PostHog Inc. | Product analytics (usage events and funnels — NOT conversation content, NOT special-category data) | USA (EU Cloud available) | DPA signed and countersigned 2026-06-09 (legal/posthog-dpa-signed-2026-06-09.pdf). SCC 2021/914 Module 2. PostHog does not use the data to train its AI models. Subprocessors: https://posthog.com/subprocessors |
| SK ID Solutions AS | Paid-tier identity-based age verification via Smart-ID | Estonia (EU) | DPA to be signed before PAID tier launch; data remains in EU — no SCC required |
| Veriff OÜ | Paid-tier identity-based age verification (non-Baltic users) | Estonia (EU) | DPA to be signed before PAID tier launch; data remains in EU — no SCC required |
| Let's Encrypt (ISRG) | HTTPS certificates (Caddy automation) | International | Only metadata (domain name) |
Note: ElevenLabs (voice generation) sub-processor was removed from the active sub-processor list on 2026-05-22, as voice features are not enabled in the production environment. Upon future activation of voice features, ElevenLabs will be re-added together with a signed DPA, and users will be notified at least 14 days in advance pursuant to GDPR Article 28.
5. International Data Transfer
When data is transferred outside EU/EEA (e.g., Anthropic — USA), we use:
- European Commission Standard Contractual Clauses (SCC) per Decision 2021/914
- Additional technical measures: encryption in transit (TLS 1.3), pseudonymization, access control
6. Retention Periods
| Data type | Retention period |
|---|---|
| Account data | While account active + 30 days after deletion. After 24 months of inactivity (no login, no messages), the account and all related data are automatically deleted, with 30 days' prior email notice. |
| Conversation history | While account active (can be deleted in-app). Automatically deleted together with the account after 24 months of inactivity. |
| Payment records | 10 years (accounting obligation) |
| Security logs | 6 months |
| Crisis content metadata | 12 months, anonymized |
| Journal recaps | No persistent copy is generated — recaps are produced on demand from summaries (see "Conversation history") and are not stored. |
| Backups | 30 days rolling |
7. Your Rights (GDPR)
Under GDPR, you have these rights:
- Access (Art. 15) — obtain a copy of your data
- Rectification (Art. 16) — correct inaccurate data
- Erasure (Art. 17, "right to be forgotten") — request deletion
- Restrict processing (Art. 18) — stop processing in certain cases
- Data portability (Art. 20) — receive data in structured format
- Object (Art. 21) — to direct marketing, profiling
- Withdraw consent (Art. 7(3)) — at any time if processing is consent-based
- Lodge a complaint with the supervisory authority: State Data Protection Inspectorate (Lithuania), L. Sapiegos g. 17, 10312 Vilnius, [email protected]
Request response time: 30 days from receipt (may be extended to 60 days in complex cases).
How to submit a request: [email protected] or via the Settings screen in the app.
Your rights under Articles 15, 17, and 20 also cover the conversation summaries on which the Journal feature relies; there is no separate persistent Journal store, so once conversations / the account are deleted, recap generation is no longer possible.
8. Security
We implement the following measures:
- Encryption: TLS 1.3 in transit, AES-256 at rest
- Authentication: JWT with asymmetric cryptography (ES256), Supabase Auth
- Passwords: bcrypt hashing (Supabase standard), never stored in plaintext
- Data access: only authorized personnel on a need-to-know basis
- Security audit: internal audit every 12 months; external penetration test after reaching €100k MRR
9. Children's Privacy
BELYO is intended for users aged 18 and over. We do not knowingly collect data from persons under 18. If we learn that we have collected such data, we delete it.
Parents or guardians who believe their child has provided data to BELYO, please contact [email protected].
10. Crisis Content Disclaimer
IMPORTANT: BELYO is NOT a medical service, psychotherapy, or crisis center. Our AI companions can detect certain crisis phrases and respond with safety information, but do not guarantee correct detection in all cases.
In a crisis, please contact:
- Lithuania: Emergency — 112 | Hopeline (adults): 116 123 | Youth line: 8 800 28888
- EU (cross-border): 112 (emergency)
- USA: 988 Suicide & Crisis Lifeline
- International: findahelpline.com
11. Cookies
The BELYO mobile app does not use cookies. The web version (belyo.app / belyoapp.com landing) will be covered by a separate Cookie Policy (cookies.md), published before the landing goes live.
12. Changes
We may update this policy. Material changes will be announced in-app or via email 30 days before they take effect.
13. Data Processing for Social Media Publishing (BELYO Content Agent)
Separately from the personal data of BELYO app users, UAB TMK Investment operates an internal, first-party tool called BELYO Content Agent, which publishes BELYO's own marketing videos to BELYO's own official social media accounts (e.g., @belyoapp). This tool does not collect or process the data of BELYO app users or any third parties.
TikTok. Using the TikTok Login Kit and Content Posting API, the tool obtains and stores only technical data related to BELYO's own @belyoapp account:
- OAuth access and refresh tokens needed to upload videos to our own account;
- the account identifier (
open_id) and basic account information (user.info.basic) so we can display which of our accounts is connected.
This data is corporate data of UAB TMK Investment (not the personal data of end users). Tokens are stored encrypted on our own server (Hetzner, EU) and are not shared with third parties for marketing purposes. The legal basis is legitimate interest (GDPR Art. 6(1)(f)) in administering our own marketing channels. Tokens are retained while the integration is active; if access is revoked in TikTok settings or the integration is removed, they are deleted. The tool does not access or store any TikTok users', followers', or third parties' analytics data. The terms of service for this feature are described in Section 15 of the Terms of Service.