Document GDPR Oficial

Politica de Confidențialitate

Prelucrarea Datelor cu Caracter Personal — Platforma DentaPlan

Versiunea 2.0 În vigoare: 01 Ianuarie 2025 GDPR (UE) 2016/679 Legislație Română

Dacă ești o Clinică (Client B2B)

Această politică descrie cum prelucrăm datele tale de business și datele pacienților tăi prin platforma DentaPlan. Citește în special §3, §4 și §6.

Dacă ești un Pacient

Datele tale sunt prelucrate de clinica dentară la care ești înregistrat, care utilizează platforma DentaPlan. Clinica este Operatorul tău de date. Citește §9 pentru drepturile tale.

§ 1 Identitatea Operatorului și a Împuternicitului

Platforma DentaPlan implică doi actori juridici distincți în materia protecției datelor, cu roluri și responsabilități diferite:

Operatorul de Date

Determină scopul și mijloacele prelucrării

Clinica Dentară utilizatoare DentaPlan

Fiecare clinică înregistrată în platformă acționează ca Operator de Date față de proprii pacienți. Clinica determină: ce date colectează, în ce scop, cât timp le păstrează și cui le comunică.

Denumire: [completat la înregistrare]

CUI: [completat la înregistrare]

Email DPO: [email clinic]

Împuternicitul

Prelucrează date în numele Operatorului

[NUME] [PRENUME], PFA

Înregistrat la: Craiova, Dolj, România

CIF: [CIF PFA]

Platformă operată: dentaplan.ro / app.dentaplan.ro

Contact: contact@dentaplan.ro

Împuternicitul prelucrează datele pacienților exclusiv pentru a furniza serviciul SaaS contractat de clinică, conform instrucțiunilor Operatorului și în baza Acordului de Prelucrare a Datelor (DPA) din Termenii și Condițiile B2B.

Notă pentru pacienți: Dacă dorești să exerciți un drept GDPR (acces, ștergere, portabilitate), adresează cererea în primul rând clinicii dentare la care ești înregistrat — aceasta este Operatorul tău de date. DentaPlan procesează solicitările transmise de clinică, nu direct de pacienți, cu excepția cazurilor prevăzute la §12.

§ 2 Cadrul Legal Aplicabil

Prelucrarea datelor cu caracter personal prin platforma DentaPlan se desfășoară în conformitate cu:

Regulamentul (UE) 2016/679 — GDPR

Regulamentul General privind Protecția Datelor

Legea nr. 190/2018

Măsuri de aplicare a GDPR în România

Legea nr. 95/2006

Reforma în domeniul sănătății — obligativitate arhivare dosare medicale (min. 5 ani)

Ordinul MS nr. 1410/2016

Norme privind activitatea cabinetelor medicale stomatologice

Legea nr. 506/2004

Prelucrarea datelor personale în comunicații electronice

Legea nr. 455/2001 + eIDAS 910/2014

Semnătura electronică și contractele digitale

Temeiurile legale folosite (Art. 6 + Art. 9 GDPR):

Art. 6(1)(b) — Executarea contractului (furnizarea serviciului SaaS către clinică)

Art. 6(1)(c) — Obligație legală (arhivare, facturare, GDPR compliance)

Art. 6(1)(f) — Interes legitim (securitate platformă, prevenirea fraudei, log-uri audit)

Art. 6(1)(a) — Consimțământ (marketing opțional, newsletter)

Art. 9(2)(h)Date de sănătate — scop medical, de către profesionist sanitar autorizat (clinica)

Art. 9(2)(a)Date biometrice — consimțământ explicit (fotografii before/after)

§ 3 Ce Date Colectăm și Prelucrăm

DentaPlan prelucrează două categorii principale de date: datele clinicilor (clienți B2B) și datele pacienților (introduse de clinici în platformă).

3.1 Date ale Clinicilor (Clienți B2B)

Identificare business

  • — Denumire clinică / societate
  • — CUI / CIF
  • — Adresă sediu
  • — Telefon, email contact
  • — Nume reprezentant legal

Date utilizatori clinică

  • — Nume și prenume angajat
  • — Adresă email de autentificare
  • — Rol în platformă (RBAC)
  • — Culoare calendar, foto profil
  • — Comision medic (dacă aplicabil)

Date tehnice & securitate

  • — Adresă IP la autentificare
  • — Timestamp login/logout
  • — Dispozitiv / browser (User-Agent)
  • — Log-uri audit acțiuni critice
  • — Tentative autentificare eșuate

3.2 Date ale Pacienților (Introduse de Clinici)

⚠️ Aceste date sunt introduse exclusiv de personalul clinicii. DentaPlan nu colectează date direct de la pacienți, cu excepția Portalului Pacientului (viitor). Clinica este Operatorul responsabil pentru legalitatea colectării.

Date de identificare

  • Nume și prenume, CNP
  • Data nașterii, sex/gen
  • Adresă, telefon, email
  • Date reprezentant legal (minori)
  • Sursa recomandare pacient

Date medicale — Categorie Specială Art. 9

  • Fișă dentară digitală, diagnostic
  • Istoric medical, alergii, medicații
  • Planuri de tratament, etape
  • Radiografii 2D, fotografii intraoral
  • Fotografii before/after (biometrice)
  • Cazuri OrtoPlan / ImplantoPlan

Date financiare administrative

  • Costuri servicii, plăți înregistrate
  • Facturi emise, rest de plată
  • NU stocăm date card bancar

Date programări

  • Data, ora, durata programării
  • Medicul alocat, serviciul
  • Statusul reminder-elor trimise

3.3 Date de Plată (Abonament Clinică via Stripe)

Plata abonamentelor se procesează exclusiv prin Stripe Payments Europe, Ltd. DentaPlan nu stochează și nu are acces la datele cardului bancar al clinicii.

DentaPlan stochează exclusiv: ID-ul clientului Stripe (stripeCustomerId), ID-ul abonamentului (stripeSubscriptionId), data expirării perioadei de facturare și planul activ — necesare pentru gestionarea accesului la platformă.

Datele de card sunt stocate exclusiv de Stripe, certificat PCI DSS Level 1. Pentru detalii: stripe.com/privacy

§ 4 Stocarea Imaginilor Medicale — Regim Special

Radiografiile, fotografiile intraoral și fotografiile before/after ale pacienților sunt date de sănătate și date biometrice conform Art. 4(14), 4(15) și Art. 9 GDPR, beneficiind de protecție maximă. Prelucrarea lor este permisă exclusiv în baza unui temei legal explicit din Art. 9(2) GDPR.

4.1 Modalitățile de stocare disponibile:

DentaPlan oferă clinicilor două variante de stocare, descrise detaliat în Termenii și Condițiile B2B (Art. 18):

Varianta A — Firebase Storage (DentaPlan Cloud)

Fișierele sunt stocate pe Google Firebase Storage, în infrastructura DentaPlan, pe servere Google Cloud din europe-west1/europe-west3 (UE). Accesul este controlat prin reguli de securitate Firebase. DentaPlan este Împuternicit, clinica este Operator.

Varianta B — Google Drive al Clinicii

Fișierele sunt stocate în contul Google Drive / Workspace propriu al clinicii. DentaPlan accesează fișierele exclusiv prin OAuth2 read-only, fără a le stoca pe propriile servere. Clinica este Operator și Împuternicit față de Google.

4.2 Consimțământul pacientului — obligația clinicii:

Clinica (Operatorul) este singura responsabilă pentru obținerea consimțământului explicit al pacientului pentru:

  • — Realizarea și stocarea digitală a radiografiilor dentare pe o platformă cloud (DentaPlan/Firebase, servere UE)
  • — Fotografierea intraorală în scop de documentare clinică
  • — Fotografierea before/after — consimțământ explicit și scris separat față de consimțământul general de tratament
  • — Utilizarea fotografiilor before/after în scop de marketing/promovare — consimțământ suplimentar distinct, retractabil oricând

4.3 Accesul DentaPlan la imagini:

DentaPlan (Împuternicitul) accesează imaginile medicale exclusiv în scopuri tehnice: furnizarea serviciului (afișare în interfață autentificată), backup automatizat, mentenanță și depanare la solicitarea clinicii. DentaPlan nu vizualizează, nu analizează, nu vinde și nu utilizează conținutul imaginilor în niciun alt scop.

4.4 Retenție imagini medicale:

Tip imagine Perioadă retenție Temei legal Acțiune la expirare
Radiografii dentare Min. 5 ani Ordin MS 1410/2016 + Legea 95/2006 Ștergere la solicitarea clinicii sau post-reziliere
Fotografii intraoral Durata abonamentului Art. 9(2)(h) GDPR — scop medical Ștergere la 30 zile post-reziliere
Fotografii before/after Durata abonamentului sau retragere consimțământ Art. 9(2)(a) — consimțământ explicit Ștergere imediată la retragerea consimțământului

4.5 Portal Pacient (Funcționalitate Viitoare)

DentaPlan intenționează lansarea unui Portal al Pacientului care va permite pacienților vizualizarea propriilor imagini medicale prin token securizat. La lansare, clinica va fi obligată să obțină un consimțământ explicit al pacientului anterior activării accesului prin portal. Pacienții vor fi informați printr-o actualizare a prezentei politici cu minimum 30 de zile înainte de lansare.

§ 5 Scopurile Prelucrării

Furnizarea serviciului medical stomatologic

Gestionarea programărilor, fișelor dentare, planurilor de tratament și evidenței clinice a pacienților. Temei: Art. 9(2)(h) GDPR.

Comunicare și reminder-e programări

Trimiterea de SMS-uri și notificări WhatsApp pentru confirmarea și amintirea programărilor. Temei: Art. 6(1)(b) — executarea contractului.

Obligații legale — arhivare și facturare

Arhivarea dosarelor medicale conform Legii 95/2006 (min. 5 ani), emiterea și stocarea facturilor conform Codului Fiscal (10 ani). Temei: Art. 6(1)(c) GDPR.

Statistici și rapoarte de business

Generarea rapoartelor financiare, de activitate și KPI-uri pentru managementul clinicii. Datele sunt agregate și utilizate exclusiv în cadrul clinicii respective. Temei: Art. 6(1)(b).

Securitate și prevenirea fraudei

Monitorizarea tentativelor de acces neautorizat, jurnalizarea evenimentelor de securitate, blocarea conturilor compromise. Temei: Art. 6(1)(f) — interes legitim.

Marketing și comunicare promoțională (opțional)

Trimiterea de newsletter-uri, noutăți despre platformă și oferte comerciale — exclusiv cu consimțâmântul explicit al persoanei vizate, retractabil oricând. Temei: Art. 6(1)(a).

DentaPlan nu utilizează datele pacienților pentru: profilare automată, advertising, vânzare sau închiriere către terți, antrenarea de modele AI/ML, benchmarking inter-clinici sau orice alt scop incompatibil cu cel medical-administrativ pentru care au fost colectate.

§ 6 Terțe Părți, Sub-împuterniciți și Transferuri de Date

Pentru furnizarea serviciului, DentaPlan utilizează o serie de furnizori de servicii tehnice (Sub-împuterniciți) cu care sunt încheiate contracte de prelucrare a datelor. Toți furnizorii au sediul sau procesează date în UE/SEE sau oferă garanții adecvate conform GDPR.

Google Firebase / Google Cloud Platform

Sub-împuternicit principal — infrastructură și stocare

Servicii utilizate

Firestore (bază de date), Firebase Auth (autentificare), Firebase Storage (fișiere), Firebase Functions (logică server)

Localizare date

Google Cloud Platform, europe-west1 (Belgia) / europe-west3 (Frankfurt, Germania). Fără transfer în afara SEE.

Garanții GDPR

Firebase Data Processing Terms + Google LLC Standard Contractual Clauses (SCC)

Stripe Payments Europe, Ltd.

Sub-împuternicit — procesare plăți abonamente clinici

Servicii utilizate

Checkout Session, Customer Portal, Webhooks, Facturare recurentă abonamente

Date transmise

Email, CUI, denumire firmă, adresă — necesare pentru facturare. Nu se transmit date medicale ale pacienților.

Garanții GDPR

Sediu UE (Dublin, Irlanda). Politica de confidențialitate Stripe. PCI DSS Level 1.

Google Drive / Google Workspace (al Clinicii)

Opțional — stocare imagini medicale la alegerea clinicii

Rolul DentaPlan

Facilitator tehnic acces OAuth2 read-only. DentaPlan nu stochează fișierele din Google Drive pe propriile servere.

Responsabilitate

100% a clinicii (Operatorul). Clinica acceptă propriile Google Workspace DPA cu Google.

Transfer date

Conform politicilor Google Workspace ale clinicii. DentaPlan nu controlează configurația Google Drive a clinicii.

Hostinger (Serviciu Email Tranzacțional)

Sub-împuternicit — trimitere e-mailuri platformă (activare cont, notificări)

Date transmise

Adresă email destinatar, conținut e-mail (link activare, notificare abonament). Nu se transmit date medicale.

Scopuri

E-mailuri de activare cont, notificări abonament (reînnoire, expirare, modificare plan)

Retenție

Conform politicii Hostinger. DentaPlan nu arhivează conținutul e-mailurilor trimise.

Transfer în afara SEE: DentaPlan nu transferă date cu caracter personal în afara Spațiului Economic European (SEE). Toți Sub-împuterniciții utilizați operează sau stochează date în UE/SEE. În cazul în care un furnizor terț utilizat de DentaPlan ar procesa date în afara SEE, aceasta se va face exclusiv pe baza unor Clauze Contractuale Standard (SCC) adoptate de Comisia Europeană sau a unui mecanism echivalent.

§ 7 Perioadele de Retenție și Ștergerea Datelor

DentaPlan aplică principiul minimizării datelor — datele sunt păstrate exclusiv pe durata necesară scopului prelucrării sau obligației legale aplicabile.

Categorie date Perioadă retenție Temei legal Acțiune la expirare
Dosare medicale / fișe dentare Minim 5 ani Legea nr. 95/2006 Ștergere la cererea clinicii sau post-reziliere + perioadă grație
Radiografii dentare (imagini) Minim 5 ani Ordin MS 1410/2016 + Legea 95/2006 Ștergere ireversibilă la 30 zile post-reziliere abonament
Fotografii intraoral Durata abonamentului Art. 9(2)(h) GDPR Ștergere ireversibilă la 30 zile post-reziliere
Fotografii before/after Până la retragerea consimțământului sau reziliere Art. 9(2)(a) GDPR Ștergere imediată la retragerea consimțântului pacientului
Documente fiscale / facturi 10 ani Codul Fiscal (Legea 571/2003) Arhivare / ștergere conform normelor contabile
Log-uri audit și securitate 12 luni Art. 6(1)(f) — interes legitim Ștergere automată
Date cont utilizator clinică Durata abonamentului + 30 zile grație Art. 6(1)(b) GDPR Ștergere ireversibilă post-grație
Date Stripe (abonament) Durata relației comerciale + 3 ani Art. 6(1)(c) — obligație fiscală Ștergere conform politicii Stripe + DentaPlan
Log-uri juridice activare (legal_logs) 5 ani Art. 6(1)(c) — dovadă contract electronic Ștergere după expirarea termenului de prescripție

* Perioadele de retenție minime impuse de lege prevalează asupra preferințelor de ștergere ale Clientului. DentaPlan nu poate șterge dosare medicale înainte de expirarea perioadei legale minime de 5 ani, chiar la cererea clinicii.

§ 8 Securitatea Datelor

DentaPlan implementează măsuri tehnice și organizatorice adecvate conform Art. 32 GDPR pentru protecția datelor împotriva accesului neautorizat, pierderii sau distrugerii accidentale.

Măsuri Tehnice

  • Criptare în repaus: AES-256 (Google Cloud Storage)
  • Criptare în tranzit: TLS 1.3 pentru toate comunicațiile
  • Autentificare: Firebase Auth cu blocare cont după 5 tentative eșuate
  • Acces bazat pe roluri (RBAC) — izolare per clinică (multi-tenant)
  • Firebase Security Rules — acces zero cross-tenant la nivel de bază de date
  • URL-uri semnate temporar pentru accesul la fișiere (imagini medicale)
  • Backup zilnic automat pe infrastructura Google Cloud
  • Hash SHA-256 pentru autentificarea Super Admin

Măsuri Organizatorice

  • Acces la datele clinicilor limitat la personajul tehnic minim necesar
  • Audit trail complet pentru toate acțiunile administrative critice
  • Notificarea breșelor de securitate în max. 72 ore (Art. 33 GDPR)
  • Contracte DPA cu toți Sub-împuterniciții (Google, Stripe, Hostinger)
  • Politică internă de gestionare a incidentelor de securitate
  • Rate limiting și protecție anti-brute-force

Important: DentaPlan implementează toate măsurile tehnice rezonabile pentru protecția datelor. Cu toate acestea, nicio soluție tehnică nu poate garanta securitate absolută. În cazul unui incident de securitate care afectează datele clinicii, DentaPlan va notifica Clientul în termen de maximum 72 de ore de la constatare, conform Art. 33 GDPR.

§ 9 Drepturile Tale conform GDPR

Conform Regulamentului (UE) 2016/679, orice persoană vizată beneficiază de următoarele drepturi. Clinicile (Clienți B2B) pot exercita aceste drepturi direct la DentaPlan. Pacienții trebuie să se adreseze în primul rând clinicii dentare (Operatorul lor de date).

Dreptul de Acces (Art. 15)

Poți solicita o copie a tuturor datelor personale pe care le deținem despre tine. Răspuns în termen de 30 de zile.

Dreptul la Rectificare (Art. 16)

Poți solicita corectarea datelor inexacte sau completarea datelor incomplete. Clinicile pot efectua rectificări direct în platformă.

Dreptul la Ștergere (Art. 17)

„Dreptul de a fi uitat". Aplicabil cu excepția datelor pentru care există obligație legală de păstrare (dosare medicale min. 5 ani, facturi 10 ani).

Dreptul la Portabilitate (Art. 20)

Poți solicita datele tale într-un format structurat, lizibil de mașini (JSON/CSV). Clinicile pot folosi modulul Export Date din platformă. Procesare: max. 48h lucrătoare.

Dreptul la Restricționare (Art. 18)

Poți solicita restricționarea prelucrării în timp ce o contestație sau cerere de ștergere este analizată.

Dreptul de Opoziție (Art. 21)

Poți te opune prelucrării bazate pe interes legitim (Art. 6(1)(f)) sau prelucrării în scop de marketing direct. Opoziția față de marketing are efect imediat.

Retragerea Consimțământului

Orice consimțământ acordat (ex: fotografii before/after, newsletter) poate fi retras oricând, fără justificare, fără a afecta legalitatea prelucrării anterioare retragerii.

Dreptul de a Depune Plângere (Art. 77)

Poți depune plângere la ANSPDCP (Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal): dataprotection.ro, tel: +40.318.059.211.

Cum îți exerciți drepturile:

  1. Trimite o cerere scrisă la contact@dentaplan.ro sau dpo@dentaplan.ro
  2. Specifică dreptul pe care dorești să îl exerciți și datele vizate
  3. Atașează o dovadă de identitate (pentru verificarea identității solicitantului)
  4. Vei primi un răspuns în termen de 30 de zile calendaristice (prelungibil cu 60 de zile în cazuri complexe, cu notificare)

§ 10 Prelucrarea Datelor Minorilor

DentaPlan recunoaște că printre pacienții clinicilor utilizatoare se pot afla persoane sub 18 ani. Datele minorilor beneficiază de protecție suplimentară conform Art. 8 GDPR și Legii nr. 190/2018.

Obligațiile clinicii (Operatorul): Clinica este responsabilă pentru obținerea consimțământului reprezentantului legal (părinte/tutore) pentru prelucrarea datelor minorilor, inclusiv pentru fotografii medicale (intraoral, before/after). Platforma permite stocarea datelor reprezentantului legal în fișa pacientului minor.

DentaPlan: Nu colectează direct date de la minori și nu are niciun mijloc de verificare a vârstei pacienților introduși de clinici. Responsabilitatea colectării legale aparține integral clinicii.

La împlinirea vârstei de 18 ani a pacientului, clinica trebuie să obțină consimțâmântul propriu al fostului minor pentru continuarea prelucrării datelor sale în platforma DentaPlan, dacă acesta continuă să fie pacient al clinicii.

§ 11 Modificări ale Politicii de Confidențialitate

DentaPlan poate actualiza prezenta Politică de Confidențialitate pentru a reflecta modificări legislative, tehnice sau de business. Versiunea curentă este întotdeauna disponibilă la dentaplan.ro/confidentialitate.

Notificarea modificărilor: Clinicile înregistrate vor fi notificate prin e-mail cu minimum 30 de zile înainte de intrarea în vigoare a modificărilor substanțiale. Modificările minore (corectare erori, clarificări) pot fi efectuate fără notificare prealabilă.

Continuarea utilizării platformei după data intrării în vigoare a modificărilor constituie acceptarea tacită a noii versiuni.

Istoricul versiunilor:

v1.0 — Ianuarie 2025: Versiunea inițială

v2.0 — Ianuarie 2025: Adăugare regim special imagini medicale (§4), clarificare structură PFA, actualizare sub-împuterniciți

§ 12 Contact, DPO și Autoritatea de Supraveghere

Contact DentaPlan (Împuternicit)

[NUME PRENUME], PFA — DentaPlan

contact@dentaplan.ro dpo@dentaplan.ro (cereri GDPR)

Craiova, Dolj, România

dentaplan.ro

Răspuns cereri GDPR: maximum 30 de zile calendaristice de la primire.

Autoritatea de Supraveghere (România)

ANSPDCP

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal

www.dataprotection.ro

+40.318.059.211

anspdcp@dataprotection.ro

Ai dreptul de a depune plângere la ANSPDCP dacă consideri că prelucrarea datelor tale încalcă GDPR, conform Art. 77 din Regulament.