Document legal · GDPR Art. 28

Acord de Prelucrare a Datelor

Versiunea 3.3 · Intrată în vigoare: Iunie 2026 · WELIST S.R.L. · CUI 54493544

Descarcă acordul complet în format PDF sau citește rezumatul de mai jos.

⬇ Descarcă DPA v3.3 (PDF) 👁 Vizualizează online

Pe scurt — Ce facem și ce nu facem

✅ Ce facem cu datele pacienților tăi

Prelucrăm datele pacienților exclusiv pentru gestionarea programărilor stomatologice prin WhatsApp
Stocăm datele pe servere în Germania (UE), la Hetzner Online GmbH
Criptăm toate conexiunile cu TLS 1.3 și parolele cu bcrypt
Facem backup zilnic criptat în locație separată
Ștergem datele din sistemele active în 30 de zile după încheierea contractului
Te notificăm în maximum 24 de ore dacă detectăm o breșă de securitate
Răspundem la cererile GDPR ale pacienților în 3–7 zile lucrătoare
Monitorizăm platforma 24/7 pentru disponibilitate și securitate

❌ Ce nu facem

NU vindem sau transferăm datele pacienților unor terți în afara sub-procesatorilor autorizați
NU folosim datele pentru publicitate sau marketing
NU creăm profiluri comportamentale sau medicale ale pacienților
NU aplicăm decizii automate cu efecte juridice asupra pacienților
NU solicităm activ informații medicale prin conversațiile WhatsApp
NU oferim diagnostic medical, tratament sau consultații medicale
NU antrenăm modele AI pe datele din conversațiile pacienților (confirmat contractual de Anthropic)

⚠️ Date de sănătate — Art. 9 GDPR

Platforma VAstoma nu solicită în mod activ date medicale de la pacienți. Agentul AI este un instrument administrativ pentru programări, nu un sistem medical.

Cu toate acestea, pacienții pot menționa ocazional și nesolicitat informații medicale în conversație. Aceste informații sunt procesate incidental, în temeiul Art. 9(2)(h) GDPR, exclusiv sub responsabilitatea medicului stomatolog, profesionist supus secretului medical conform legislației române.

Sub-procesatori autorizați

Datele sunt procesate prin următorii furnizori de servicii, fiecare cu contracte de conformitate GDPR:

Furnizor	Locație	Rol
Hetzner Online GmbH	Germania (UE)	Hosting și stocare date
Meta Platforms Ireland Ltd. (WhatsApp Business API oficial)	Irlanda (UE)	Transmitere mesaje WhatsApp
Anthropic PBC (Claude API)	SUA	Procesare NLP pentru răspunsuri AI — nu antrenează modele pe date API
Twilio Inc.	SUA	Gateway WhatsApp, remindere vocale
Cloudflare Inc.	SUA/UE	Protecție DDoS, WAF, CDN
Stripe Inc.	Irlanda (UE)	Procesare plăți — nu procesează date pacienți
Google LLC (Calendar API — opțional)	SUA/UE	Sincronizare programări în calendarul cabinetului
ElevenLabs Inc.	SUA	Generare voce sintetică pentru remindere
Resend Inc.	SUA	Emailuri tranzacționale sistem

Transferurile către furnizori din SUA se realizează prin Clauze Contractuale Standard (SCC) și/sau EU-US Data Privacy Framework (DPF). TIA-urile sunt disponibile la solicitare la gdpr@vastoma.ro.

Drepturile pacienților (Art. 15–22 GDPR)

Pacienții cabinetului tău au dreptul să solicite:

Dreptul	Termen răspuns
Acces la datele lor (Art. 15)	5 zile lucrătoare
Rectificarea datelor incorecte (Art. 16)	3 zile lucrătoare
Ștergerea datelor — „dreptul de a fi uitat" (Art. 17)	5 zile lucrătoare
Portabilitatea datelor în format CSV/JSON (Art. 20)	7 zile lucrătoare
Restricționarea prelucrării (Art. 18)	3 zile lucrătoare
Opoziție față de prelucrare (Art. 21)	3 zile lucrătoare

Cererile se transmit de pacient la cabinetul stomatologic (Operator), care le notifică ulterior VAstoma.

Procedura în caz de breșă de securitate

⏱️ Timeline obligatoriu

Max. 24 ore: VAstoma notifică cabinetul cu detaliile breșei
Max. 72 ore: Cabinetul notifică ANSPDCP (dataprotection.ro)
Dacă risc ridicat: Cabinetul notifică și pacienții afectați (Art. 34 GDPR)

Contact urgențe securitate 24/7: security@vastoma.ro

Acceptare și intrare în vigoare

Prezentul DPA este acceptat în format electronic la prima autentificare în Platforma VAstoma. Prin acceptare, Operatorul confirmă că activează în domeniul serviciilor medicale sau stomatologice, că are dreptul legal de a procesa date medicale ale pacienților săi și că utilizatorul care acceptă are autoritatea de a angaja juridic Operatorul. VAstoma păstrează logurile electronice (data, ora, adresa IP) care atestă acceptarea.

Prin acceptare, Operatorul confirmă că utilizatorul are autoritatea de a angaja juridic cabinetul și că a citit și înțeles prezentul acord.

Contacte GDPR

📧 Întrebări generale GDPR: gdpr@vastoma.ro

🔒 Urgențe securitate (24/7): security@vastoma.ro

📄 Document complet: Descarcă DPA v3.3 PDF

🏛️ Autoritate supraveghere: ANSPDCP — dataprotection.ro