Politică de Confidențialitate
Ultima actualizare: 30 mai 2026
Diana CRM („noi", „Diana", „Furnizorul") respectă confidențialitatea datelor utilizatorilor noștri și a pacienților gestionați prin intermediul platformei. Această Politică de Confidențialitate descrie ce date colectăm, cum le folosim, cu cine le partajăm și ce drepturi aveți în baza Regulamentului General privind Protecția Datelor (Regulamentul (UE) 2016/679 — „GDPR") și a Legii nr. 190/2018.
1. Operator de date
Diana CRM este operatorul de date pentru informațiile colectate direct de la clinicile utilizatoare („Utilizatori") și împuternicit pentru datele pacienților prelucrate la cererea Utilizatorilor.
Pentru orice solicitări legate de protecția datelor, ne puteți contacta la: [email protected]
2. Categorii de date colectate
Colectăm și prelucrăm următoarele categorii de date personale:
- De la Utilizator (clinică): nume și prenume reprezentant, adresă de e-mail, număr de telefon, denumire clinică, CUI, parolă (stocată sub formă criptată — hash bcrypt), preferințe de comunicare.
- Despre pacienții clinicii (în calitate de împuternicit): nume, prenume, număr de telefon, e-mail, CNP (opțional, doar dacă clinica îl introduce), data nașterii, adresă, fișe medicale, observații clinice, istoric programări, facturi, fotografii medicale (dacă sunt încărcate).
- Date tehnice și de utilizare: adresă IP, user-agent, jurnale (log-uri) de acces, identificatori de sesiune, cookie-uri esențiale (a se vedea politica de cookie-uri).
- Conversații WhatsApp: mesajele schimbate între pacient și botul AI sunt stocate pentru auditare, calitatea serviciului și conformitate.
Datele pacienților pot include categorii speciale de date (date privind sănătatea, conform Art. 9 GDPR). Acestea sunt prelucrate exclusiv în baza temeiurilor legale prevăzute la Art. 9 alin. (2) lit. (h) GDPR — scopuri de medicină preventivă, diagnostic medical, furnizarea de asistență medicală — sub responsabilitatea clinicii operatoare.
3. Scopurile prelucrării
Prelucrăm datele personale pentru următoarele scopuri:
- Furnizarea serviciilor de CRM medical (programări, gestionare pacienți, facturare).
- Comunicarea cu pacienții prin SMS / WhatsApp / e-mail (confirmări, remindere, follow-up).
- Generarea de rapoarte, statistici și analize operaționale pentru clinică.
- Asigurarea securității, prevenirea fraudei, jurnalizare audit.
- Îndeplinirea obligațiilor legale (fiscale, contabile, raportări către autorități).
- Comunicări de serviciu (notificări tehnice, actualizări contractuale, facturare).
4. Temei legal al prelucrării
- Executarea contractului încheiat cu Utilizatorul (clinica) — Art. 6 alin. (1) lit. (b) GDPR.
- Consimțământul persoanei vizate, acolo unde este necesar — Art. 6 alin. (1) lit. (a) GDPR.
- Obligație legală (legislația medicală, fiscală, contabilă) — Art. 6 alin. (1) lit. (c) GDPR.
- Interes legitim al operatorului (securitate, prevenire fraudă, îmbunătățire serviciu) — Art. 6 alin. (1) lit. (f) GDPR.
- Pentru datele de sănătate ale pacienților, temeiul este furnizarea de asistență medicală — Art. 9 alin. (2) lit. (h) GDPR, clinica fiind operator, iar Diana împuternicit conform Art. 28 GDPR (DPA semnat separat).
5. Durata stocării
Datele Utilizatorului (cont clinică) sunt stocate pe durata contractului și încă 30 de zile după anulare, pentru a permite recuperarea sau exportul. După aceea sunt șterse definitiv.
Datele pacienților se stochează conform cerințelor legislației medicale române: minimum 5 ani de la ultima interacțiune (Ordinul MS nr. 1410/2016 și Legea nr. 95/2006 privind reforma în sănătate).
Datele de facturare se păstrează 10 ani conform Codului Fiscal.
Jurnalele tehnice (log-uri) se păstrează maximum 12 luni.
6. Drepturile dumneavoastră
În calitate de persoană vizată, aveți următoarele drepturi:
- Dreptul de acces (Art. 15 GDPR) — să aflați ce date deținem despre dumneavoastră.
- Dreptul la rectificare (Art. 16 GDPR) — să corectați date inexacte.
- Dreptul la ștergere („dreptul de a fi uitat", Art. 17 GDPR) — sub rezerva obligațiilor legale de păstrare.
- Dreptul la restricționarea prelucrării (Art. 18 GDPR).
- Dreptul la portabilitate (Art. 20 GDPR) — exportul datelor într-un format structurat, accesibil în CRM la Setări → Date personale → Export.
- Dreptul la opoziție (Art. 21 GDPR).
- Dreptul de a nu face obiectul unei decizii automate (Art. 22 GDPR).
- Dreptul de a depune o plângere la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) — anspdcp.ro.
Pentru exercitarea drepturilor, contactați-ne la [email protected]. Vom răspunde în termen de maximum 30 de zile.
7. Subîmputerniciți (Sub-procesori)
Pentru furnizarea serviciului, folosim următorii furnizori, toți cu garanții GDPR adecvate:
- Cloudflare, Inc. — găzduire frontend, CDN, protecție DDoS (servere în UE).
- Railway Corp. — găzduire backend API (regiune europeană — Amsterdam).
- Supabase Inc. — bază de date PostgreSQL (regiune EU-West — Irlanda).
- Anthropic PBC — model de limbaj AI pentru botul WhatsApp (date pseudonimizate, nu sunt folosite pentru antrenare).
- Resend — serviciu de e-mail tranzacțional (UE).
- Lemon Squeezy / Stripe — procesare plăți online (Europa).
Lista completă și actualizată este disponibilă la cerere prin e-mail la [email protected].
8. Transferul datelor în afara UE
Toți sub-procesorii principali stochează datele în interiorul Uniunii Europene (Supabase — Irlanda, Railway — Amsterdam, Cloudflare — UE).
Pentru servicii cu sediul în SUA (Anthropic, Cloudflare global), folosim Clauzele Contractuale Standard (SCC) ale Comisiei Europene și mecanisme de protecție conform Cadrului UE-SUA pentru protecția datelor.
9. Măsuri de securitate
- Transmisie criptată TLS 1.3 pe toate rutele HTTP.
- Criptare la nivel de bază de date (encryption at rest).
- Autentificare prin token JWT cu expirare automată.
- Autentificare cu doi factori (2FA) opțională.
- Jurnal de audit (audit log) pentru toate operațiunile sensibile.
- Backup zilnic automatizat, păstrat pe servere separate, criptat.
- Acces la date pe principiul „need-to-know", segregare a rolurilor.
- Testare periodică de penetrare și audit de securitate.
10. Cookie-uri
Folosim doar cookie-uri esențiale pentru funcționarea platformei (autentificare, preferințe limbă). Nu folosim cookie-uri de marketing sau urmărire de terți fără consimțământ explicit. Pentru detalii, consultați Politica de Cookie-uri.
11. Contact Responsabil Protecția Datelor
Pentru orice solicitare referitoare la prelucrarea datelor personale, vă rugăm să ne contactați la:
E-mail: [email protected]
Vom răspunde solicitărilor în maximum 30 de zile calendaristice.
12. Modificări ale politicii
Această Politică de Confidențialitate poate fi actualizată periodic. Orice modificare semnificativă va fi notificată prin e-mail Utilizatorilor cu cel puțin 30 de zile înainte de intrarea în vigoare.
Diana CRM · [email protected] · Ultima actualizare: 30 mai 2026