1. Cine suntem

WELIST S.R.L., cu sediul social în Județul Iași, Municipiul Iași, Strada Pantelimon, Nr. 23A, Etaj 1, CUI 54493544, Nr. Reg. Com. J2026025099009, denumită în continuare „Societatea", „noi" sau „VAstoma", operează platforma SaaS accesibilă la vastoma.ro.

Puteți contacta Societatea la: contact@vastoma.ro (general) · gdpr@vastoma.ro (GDPR) · WhatsApp: +40 750 416 833

În relația cu cabinetele stomatologice (clienții noștri direcți), Societatea acționează ca operator de date. În relația cu pacienții cabinetelor, Societatea acționează ca persoană împuternicită de operator, operatorul principal fiind cabinetul stomatologic.

2. Ce date colectăm și de ce

2.1 Date ale cabinetelor stomatologice (clienți direcți)

Categorie de date	Scop	Baza legală
Nume, prenume, adresă email, parolă (criptată)	Creare și gestionare cont	Executarea contractului (Art. 6(1)(b) GDPR)
Denumire cabinet, adresă, telefon, nr. WhatsApp	Configurarea agentului AI	Executarea contractului (Art. 6(1)(b) GDPR)
Servicii stomatologice, prețuri, orar de lucru	Funcționarea sistemului de programări	Executarea contractului (Art. 6(1)(b) GDPR)
Date de facturare	Emiterea facturilor	Obligație legală (Art. 6(1)(c) GDPR)
Date de utilizare, log-uri de acces	Securitate, depanare, îmbunătățire serviciu	Interes legitim (Art. 6(1)(f) GDPR)

2.2 Date ale pacienților (procesate în numele cabinetului)

Categorie de date	Scop	Baza legală
Nume, număr de telefon WhatsApp	Identificarea pacientului, comunicare	Executarea contractului de servicii medicale (Art. 6(1)(b) GDPR)
Istoricul programărilor (dată, serviciu, stare)	Gestionarea programărilor	Executarea contractului de servicii medicale (Art. 6(1)(b) GDPR)
Conținutul conversațiilor WhatsApp	Procesarea cererilor de programare prin AI	Executarea contractului (Art. 6(1)(b) GDPR) + Art. 9(2)(h) GDPR — sub responsabilitatea medicului stomatolog, pentru informații medicale menționate spontan
Observații medicale introduse de medic (alergii, tratamente)	Asistarea medicului în îngrijirea pacientului	Art. 9(2)(h) GDPR — necesar pentru asistență medicală

Notă privind datele medicale (Art. 9 GDPR): Datele privind sănătatea sunt date cu caracter special și beneficiază de protecție sporită. Platforma VAstoma nu solicită în mod activ date medicale de la pacienți. Cu toate acestea, pacienții pot menționa ocazional și nesolicitat informații medicale în conversațiile WhatsApp. Acestea sunt procesate incidental în temeiul Art. 9(2)(h) GDPR, exclusiv sub responsabilitatea medicului stomatolog — profesionist supus secretului medical. Observațiile medicale introduse manual de medic în fișa pacientului sunt procesate tot în temeiul Art. 9(2)(h) GDPR.

3. Sub-procesatori și transferuri internaționale

Pentru furnizarea serviciilor, colaborăm cu următorii sub-procesatori:

Sub-procesator	Țara	Scop	Garanție transfer
Hetzner Online GmbH	Germania (UE)	Hosting servere, stocare date	Teritoriu UE — nu necesită garanții suplimentare
Twilio Inc.	SUA	Trimiterea și primirea mesajelor WhatsApp	Clauze Contractuale Standard (SCC) — Decizia 2021/914/UE
Anthropic PBC	SUA	Procesarea NLP a mesajelor prin Claude AI	Clauze Contractuale Standard (SCC) — Decizia 2021/914/UE
Google LLC	SUA	Sincronizare Google Calendar (opțional)	Clauze Contractuale Standard (SCC) — Decizia 2021/914/UE
Cloudflare Inc.	SUA/UE	CDN, protecție DDoS, WAF, geo-blocking	EU-US Data Privacy Framework + SCC
Stripe Inc.	Irlanda (UE)	Procesare plăți abonamente — nu procesează date pacienți	Teritoriu UE — DPA Stripe
Resend Inc.	SUA	Emailuri tranzacționale sistem	Clauze Contractuale Standard (SCC)
ElevenLabs Inc.	SUA	Generare voce sintetică pentru remindere vocale	Clauze Contractuale Standard (SCC)
UptimeRobot Ltd.	SUA	Monitorizare disponibilitate — nu procesează date pacienți	Clauze Contractuale Standard (SCC)

Transferurile către SUA sunt acoperite prin Clauze Contractuale Standard adoptate de Comisia Europeană. Datele stocate pe servere (Hetzner) rămân în Germania, în interiorul UE.

Integrarea Google Calendar

VAstoma oferă o integrare opțională cu Google Calendar, activată exclusiv la cererea explicită a utilizatorului (proprietarul cabinetului stomatologic). Această integrare funcționează astfel:

• Scop: Sincronizarea automată a programărilor create prin VAstoma în Google Calendar-ul cabinetului, pentru o vizualizare centralizată a agendei.
• Permisiuni solicitate: Solicităm exclusiv scope-ul https://www.googleapis.com/auth/calendar.events, care permite crearea, modificarea și ștergerea evenimentelor de calendar. Nu accesăm alte date Google ale utilizatorului (contacte, email, documente etc.).
• Date stocate: Stocăm tokenul de acces și tokenul de reînnoire (refresh token) furnizate de Google, necesare pentru operațiunile de calendar. Aceste tokene sunt stocate criptat și nu sunt partajate cu terți.
• Utilizarea datelor: Tokenele sunt utilizate exclusiv pentru a crea/modifica/șterge evenimente în Google Calendar-ul cabinetului, corespunzătoare programărilor gestionate prin VAstoma.
• Nu citim date existente: VAstoma nu citește, nu procesează și nu stochează evenimentele existente din Google Calendar-ul utilizatorului.
• Revocare acces: Utilizatorul poate revoca accesul în orice moment din dashboard-ul VAstoma (Setări → Calendar) sau direct din contul Google (myaccount.google.com/connections). La revocare, tokenele sunt șterse imediat din baza noastră de date și accesul este revocat la Google.
• Conformitate: Utilizarea API-urilor Google respectă Politica Google privind datele utilizatorilor pentru serviciile API, inclusiv cerințele de utilizare limitată.

4. Durata retenției datelor

Categorie de date	Durata retenției
Date de cont cabinet (email, parolă, configurații)	Pe durata contractului + 30 de zile după reziliere
Date de facturare	10 ani (obligație legală conform Legii contabilității nr. 82/1991)
Date pacienți (programări, conversații)	Pe durata contractului + 30 de zile după reziliere
Observații medicale din fișele pacienților	Conform instrucțiunilor cabinetului stomatologic (operator)
Log-uri de securitate și acces	90 de zile
Date de conversații WhatsApp procesate prin AI	Pe durata contractului + 30 de zile după reziliere

5. Drepturile dumneavoastră

În conformitate cu GDPR, aveți următoarele drepturi:

• Dreptul de acces (Art. 15 GDPR) — Puteți solicita o copie a datelor pe care le deținem despre dumneavoastră.
• Dreptul la rectificare (Art. 16 GDPR) — Puteți solicita corectarea datelor incorecte sau incomplete.
• Dreptul la ștergere ("dreptul de a fi uitat") (Art. 17 GDPR) — Puteți solicita ștergerea datelor, în condițiile prevăzute de lege.
• Dreptul la restricționarea prelucrării (Art. 18 GDPR) — Puteți solicita limitarea prelucrării datelor în anumite circumstanțe.
• Dreptul la portabilitate (Art. 20 GDPR) — Puteți solicita datele dumneavoastră într-un format structurat, utilizat în mod curent și lizibil de mașini.
• Dreptul la opoziție (Art. 21 GDPR) — Vă puteți opune prelucrării datelor pe baza interesului legitim.
• Dreptul de a retrage consimțământul — Acolo unde prelucrarea se bazează pe consimțământ, îl puteți retrage oricând.
• Dreptul de a depune o plângere — Puteți depune o plângere la ANSPDCP (Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal), B-dul G-ral. Gheorghe Magheru 28-30, Sector 1, București, www.dataprotection.ro.

Pentru pacienții cabinetelor stomatologice: drepturile GDPR se exercită în principal față de cabinetul stomatologic, care este operatorul datelor dumneavoastră. VAstoma va sprijini cabinetul în onorarea acestor solicitări.

6. Securitatea datelor

Implementăm măsuri tehnice și organizatorice adecvate pentru protejarea datelor, inclusiv:

• Criptare în tranzit (TLS 1.3) pentru toate comunicațiile
• Criptare la repaus pentru datele stocate
• Parole stocate exclusiv sub formă de hash (bcrypt)
• Acces restricționat la date pe baza principiului „need-to-know"
• Monitorizare continuă a securității și log-uri de acces
• Backup-uri regulate ale datelor

7. Cookie-uri

Utilizăm cookie-uri pentru funcționarea platformei. Detalii complete în Politica de cookie-uri.

8. Modificări ale acestei politici

Putem actualiza periodic această politică. Vă vom notifica cu privire la modificările semnificative prin email sau prin afișare proeminentă pe platformă, cu cel puțin 30 de zile înainte de intrarea în vigoare.