Această Politică de Confidențialitate explică modul în care BLITZ ENTERPRISES S.R.L. ("BlitzClinic", "noi") colectează, utilizează, partajează și protejează datele cu caracter personal atunci când utilizați platforma și website-ul nostru. Suntem dedicați protejării confidențialității dumneavoastră și conformității cu Regulamentul General privind Protecția Datelor (GDPR) și toate legile aplicabile privind protecția datelor.

1. Operatorul de date

Operatorul de date cu caracter personal prelucrate prin platforma și website-ul BlitzClinic este: BLITZ ENTERPRISES S.R.L. Adresă: București Sectorul 1, Strada Pitar Moș, Nr. 27, Etaj 5, Ap. 17, România CUI: 54399335 Registrul Comerțului: J2026021644001 EUID: ROONRC.J2026021644001 Email: [email protected] Responsabil cu Protecția Datelor: [email protected] Când clinicile utilizează BlitzClinic pentru a prelucra datele pacienților, clinica acționează ca operator de date, iar BlitzClinic acționează ca persoană împuternicită în baza unui Acord de Prelucrare a Datelor.

2. Datele pe care le colectăm

Colectăm următoarele categorii de date cu caracter personal: Date de cont și contact: nume, adresă de email, număr de telefon, funcție, denumirea clinicii, cod de identificare fiscală (CUI/CIF), adresă de facturare. Date de sănătate (categorie specială): fișe medicale ale pacienților, planuri de tratament, diagrame dentare, prescripții, note clinice, imagistică medicală, istoric medical — prelucrate exclusiv în numele clinicilor în calitate de operatori de date. Date de utilizare: adresă IP, tip și versiune browser, informații despre dispozitiv, sistem de operare, pagini vizitate, timp petrecut pe pagini, sursă de referință, modele de navigare. Date cookie: preferințe, identificatori de sesiune, identificatori de analiză, identificatori de marketing. Consultați Politica de Cookie-uri pentru detalii. Date de comunicare: mesaje trimise prin platformă, tichete de suport, metadate ale consultațiilor video. Date de plată: înregistrări ale tranzacțiilor, detalii abonament. Detaliile complete ale cardurilor de plată sunt procesate de Revolut și nu sunt niciodată stocate pe serverele noastre.

3. Temeiul legal al prelucrării

Prelucrăm datele cu caracter personal în baza următoarelor temeiuri legale definite în Articolul 6 GDPR: Executarea contractului (Art. 6(1)(b)): Prelucrarea necesară pentru furnizarea platformei BlitzClinic, gestionarea contului, procesarea plăților și asigurarea suportului pentru clienți. Interesul legitim (Art. 6(1)(f)): Securitatea platformei și prevenirea fraudei, îmbunătățirea serviciilor și analiză, comunicări de marketing către clienții existenți (cu opțiune de dezabonare). Consimțământul (Art. 6(1)(a)): Cookie-uri de marketing și urmărire (Google Analytics, Facebook Pixel), comunicări de marketing către potențiali clienți, utilizarea funcțiilor AI care implică prelucrarea datelor. Obligația legală (Art. 6(1)(c)): Evidențe fiscale și contabile, răspunsul la solicitări legale ale autorităților, cerințe de păstrare a dosarelor medicale. Pentru datele de sănătate (Articolul 9 GDPR), prelucrarea se bazează pe consimțământul explicit al persoanei vizate (Art. 9(2)(a)) și/sau furnizarea de asistență medicală (Art. 9(2)(h)), după caz.

4. Cum utilizăm datele dumneavoastră

Utilizăm datele cu caracter personal în următoarele scopuri: • Furnizarea și menținerea platformei BlitzClinic și a funcționalităților acesteia • Crearea și gestionarea conturilor de utilizator și a tenantilor clinicilor • Procesarea plăților și gestionarea abonamentelor • Trimiterea comunicărilor tranzacționale (confirmări cont, chitanțe de plată, notificări de serviciu) • Furnizarea suportului pentru clienți și răspunsul la solicitări • Asigurarea securității platformei, detectarea fraudei și prevenirea abuzurilor • Analiza modelelor de utilizare pentru îmbunătățirea performanței platformei și a experienței utilizatorului • Generarea de analize și rapoarte anonimizate și agregate • Trimiterea comunicărilor de marketing despre serviciile noastre (cu consimțământul dumneavoastră sau în baza interesului legitim, cu opțiune de dezabonare) • Conformitatea cu obligațiile legale și de reglementare • Facilitarea funcțiilor bazate pe AI, cum ar fi asistența la documentația clinică și automatizarea fluxurilor de lucru

5. Partajarea datelor și persoanele împuternicite

Partajăm datele cu caracter personal cu următoarele categorii de persoane împuternicite terțe, fiecare fiind obligată prin acorduri de prelucrare a datelor: Cloudflare, Inc. (Statele Unite, centre de date UE) — Rețea de distribuție a conținutului (CDN), protecție DDoS, stocare obiecte R2 pentru fișiere și documente, protecție anti-bot Turnstile. Cloudflare prelucrează datele în principal în centrele de date din UE. Google LLC (Statele Unite) — Google Analytics pentru analiza traficului pe website și informații despre comportamentul utilizatorilor. Datele sunt anonimizate acolo unde este posibil. Meta Platforms, Inc. (Statele Unite) — Facebook/Meta Pixel pentru măsurarea eficienței publicității și remarketing. Activat doar cu consimțământul utilizatorului. Hetzner Online GmbH (Germania) — Găzduire pe server dedicat și infrastructură Kubernetes. Toate datele de producție sunt găzduite în centrele de date Hetzner din Germania, în cadrul UE. Microsoft Corporation — Azure (regiunea EU West) — Azure Key Vault pentru gestionarea secretelor și Azure Kubernetes Service (AKS) pentru orchestrarea containerelor. Datele sunt prelucrate în cadrul UE. Revolut Ltd (Regatul Unit / UE) — Procesarea plăților pentru facturarea abonamentelor și funcțiile de plată ale clinicii. Revolut este autorizat de Financial Conduct Authority și respectă PSD2. Anthropic PBC (Statele Unite) — Funcții AI alimentate de Claude pentru asistență la documentația clinică, automatizarea fluxurilor de lucru și sugestii inteligente. Datele trimise către Anthropic sunt minimizate și nu includ identificatori direcți ai pacienților acolo unde este fezabil din punct de vedere tehnic. Nu vindem date cu caracter personal către terți. Putem divulga date dacă este cerut de lege, hotărâre judecătorească sau pentru a ne proteja drepturile legale.

6. Transferuri internaționale de date

Datele dumneavoastră sunt stocate și prelucrate în principal în Uniunea Europeană (Germania și regiunile EU West). În cazul în care datele sunt transferate către persoane împuternicite din afara UE/SEE (Statele Unite, Regatul Unit), asigurăm protecție adecvată prin: • Clauze Contractuale Standard ale UE (SCC) aprobate de Comisia Europeană • Decizii de adecvare acolo unde este aplicabil (de ex., Regatul Unit în baza Acordului de Comerț și Cooperare UE-UK) • Măsuri tehnice suplimentare, inclusiv criptare în tranzit și în repaus Toate transferurile internaționale sunt documentate și evaluate din punct de vedere al riscului în conformitate cu cerințele Capitolului V din GDPR. Puteți solicita o copie a garanțiilor relevante de transfer contactând [email protected].

7. Perioadele de retenție a datelor

Păstrăm datele cu caracter personal doar atât timp cât este necesar pentru îndeplinirea scopurilor pentru care au fost colectate: • Date de cont: păstrate pe durata abonamentului plus 30 de zile pentru exportul datelor după reziliere • Dosare medicale/ale pacienților: păstrate conform cerințelor legislației medicale aplicabile (minimum 10 ani în România conform legislației sanitare, sau conform specificațiilor clinicii în calitate de operator de date) • Jurnale de audit: jurnalele de acces păstrate minimum 3 ani; jurnalele de audit ale dosarelor medicale păstrate minimum 7 ani • Evidențe de plată și facturare: păstrate 10 ani conform legislației fiscale românești • Evidențe ale consimțământului de marketing: păstrate pe durata consimțământului plus 3 ani • Date de utilizare și analiză: păstrate în formă anonimizată; datele brute șterse după 26 de luni • Date cookie: retenția variază în funcție de tipul cookie-ului (consultați Politica de Cookie-uri) Când datele nu mai sunt necesare, acestea sunt șterse în siguranță sau anonimizate folosind metode standard din industrie.

8. Drepturile dumneavoastră

Conform GDPR, aveți următoarele drepturi privind datele dumneavoastră cu caracter personal: Dreptul de acces (Art. 15): Solicitați o copie a datelor cu caracter personal pe care le deținem despre dumneavoastră. Dreptul la rectificare (Art. 16): Solicitați corectarea datelor inexacte sau incomplete. Dreptul la ștergere (Art. 17): Solicitați ștergerea datelor dumneavoastră cu caracter personal atunci când nu există un motiv imperativ pentru continuarea prelucrării. Dreptul la restricționare (Art. 18): Solicitați limitarea prelucrării datelor dumneavoastră în anumite circumstanțe. Dreptul la portabilitatea datelor (Art. 20): Primiți datele dumneavoastră într-un format structurat, utilizat în mod curent și care poate fi citit automat (CSV, JSON). Dreptul la opoziție (Art. 21): Vă opuneți prelucrării bazate pe interes legitim sau în scopuri de marketing direct. Dreptul de retragere a consimțământului (Art. 7(3)): Retrageți consimțământul în orice moment atunci când prelucrarea se bazează pe consimțământ, fără a afecta legalitatea prelucrării anterioare. Dreptul de a nu fi supus unei decizii automatizate (Art. 22): De a nu fi supus unor decizii bazate exclusiv pe prelucrare automatizată care produc efecte juridice sau similare semnificative. Pentru a exercita oricare dintre aceste drepturi, contactați-ne la [email protected]. Vom răspunde în termen de 30 de zile. Dacă solicitarea este complexă, putem prelungi acest termen cu încă 60 de zile, cu notificare. Nu se percepe nicio taxă pentru exercitarea drepturilor, cu excepția cazului în care solicitările sunt vădit nefondate sau excesive.

9. Datele de sănătate

BlitzClinic prelucrează categorii speciale de date cu caracter personal, inclusiv date de sănătate, conform definiției din Articolul 9 GDPR. Aceste date sunt prelucrate cu cel mai înalt nivel de protecție. Temeiul legal pentru prelucrarea datelor de sănătate: • Consimțământul explicit al pacientului (Art. 9(2)(a)), obținut și gestionat de clinică prin funcțiile de gestionare a consimțământului din platformă • Furnizarea de asistență medicală sau tratament (Art. 9(2)(h)), atunci când prelucrarea este necesară pentru diagnosticul medical, tratament sau gestionarea sistemului de sănătate sub responsabilitatea unui profesionist medical obligat la secretul profesional Măsuri tehnice de protecție pentru datele de sănătate: • Criptare în repaus folosind AES-256 și în tranzit folosind TLS 1.2+ • Izolarea datelor multi-tenant — datele fiecărei clinici sunt separate logic prin identificatorul clinicii • Control al accesului bazat pe roluri cu principiul privilegiului minim • Jurnale de audit imuabile pentru toate accesările și modificările datelor de sănătate • Minimizarea datelor — funcțiile AI prelucrează minimul de date necesar Clinicile sunt responsabile pentru obținerea consimțământului valid al pacienților și menținerea evidențelor consimțământului conform cerințelor GDPR și ale legislației medicale aplicabile.

10. Cookie-uri

Utilizăm cookie-uri și tehnologii similare pe website-ul nostru. Pentru informații detaliate despre tipurile de cookie-uri pe care le utilizăm, scopurile acestora și modul de gestionare a preferințelor, vă rugăm să consultați Politica de Cookie-uri disponibilă la https://blitzclinic.com/legal/cookies. Puteți gestiona preferințele de cookie-uri în orice moment prin bannerul de consimțământ pentru cookie-uri de pe website-ul nostru.

11. Securitatea datelor

Implementăm măsuri tehnice și organizatorice cuprinzătoare pentru protejarea datelor cu caracter personal: • Criptare: AES-256 în repaus, TLS 1.2+ în tranzit pentru toate datele • Infrastructură: Sistemele de producție găzduite în centre de date certificate din UE (Hetzner, Germania) cu orchestrare Kubernetes • Control al accesului: Control al accesului bazat pe roluri (RBAC), autentificare multi-factor, principiul privilegiului minim • Monitorizare: Monitorizare continuă a securității, detectarea intruziunilor și alertare automată • Backup-uri: Backup-uri automate criptate cu proceduri testate de recuperare în caz de dezastru (RPO: 1 oră, RTO: 4 ore) • Gestionarea secretelor: Toate credențialele și cheile API stocate în Azure Key Vault, niciodată în codul sursă • Jurnalizare de audit: Jurnale de audit imuabile, doar cu adăugare, pentru toate accesările și modificările datelor • Securitate rețea: Politici de rețea Kubernetes care restricționează comunicarea pod-la-pod, trafic exclusiv HTTPS • Răspuns la incidente: Plan documentat de răspuns la incidente cu roluri definite, proceduri de escaladare și termene de notificare conforme cu Articolul 33 GDPR (notificare breșă în 72 de ore) Revizuim și actualizăm periodic măsurile de securitate pentru a aborda amenințările emergente.

12. Confidențialitatea copiilor

Platforma BlitzClinic este concepută pentru utilizarea de către profesioniști medicali și personalul clinicii. Nu este destinată utilizării directe de către copii sub 16 ani. În cazul în care fișele medicale ale minorilor sunt prelucrate prin platformă, acest lucru se face sub responsabilitatea clinicii (operator de date) cu consimțământul corespunzător al părintelui sau tutorelui, conform legislației aplicabile. Dacă aflăm că am colectat date cu caracter personal de la un copil sub 16 ani fără consimțământul corespunzător, vom lua măsuri pentru a șterge prompt acele date.

13. Modificări ale acestei politici

Putem actualiza această Politică de Confidențialitate periodic pentru a reflecta modificări ale practicilor noastre, tehnologiei, cerințelor legale sau altor factori. Modificările semnificative vor fi comunicate utilizatorilor înregistrați prin email și/sau notificare în platformă cu cel puțin 30 de zile înainte de intrarea în vigoare. Data "Ultima actualizare" din partea de sus a acestei politici indică ultima revizuire. Vă încurajăm să revizuiți periodic această politică. Utilizarea continuă a platformei după intrarea în vigoare a modificărilor constituie acceptarea politicii actualizate.

14. Contact DPO și autoritatea de supraveghere

Responsabil cu Protecția Datelor Email: [email protected] BLITZ ENTERPRISES S.R.L. București Sectorul 1, Strada Pitar Moș, Nr. 27, Etaj 5, Ap. 17, România Aveți dreptul de a depune o plângere la o autoritate de supraveghere dacă considerați că drepturile dumneavoastră privind protecția datelor au fost încălcate. Autoritatea de supraveghere competentă pentru România este: Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) Adresă: B-dul G-ral. Gheorghe Magheru 28-30, Sector 1, 010336 București, România Telefon: +40.318.059.211 Email: [email protected] Website: https://www.dataprotection.ro Dacă vă aflați într-un alt stat membru UE/SEE, puteți contacta și autoritatea locală de protecție a datelor.

Politica de Confidențialitate