Politica de confidențialitate

Ultima actualizare: Martie 2026

Mențiune privind limba: In cazul oricărei discrepanțe intre versiunea in limba engleză și versiunea in limba română a acestui document, versiunea in limba română va prevala.

1. Introducere

Această Politică de confidențialitate descrie modul in care Oris, operat de Spicy Coconut SRL, o societate inregistrată in România sub CUI RO49793618, cu sediul social la Str. 1 Mai, nr. 1, Cicarlau, Maramures ("noi", "al nostru" sau "Oris"), colectează, utilizează, stochează și protejează datele dumneavoastră cu caracter personal atunci cand utilizați platforma noastră de management al clinicilor stomatologice ("Serviciul").

Oris este o platformă Software-as-a-Service (SaaS) concepută pentru clinicile stomatologice care operează in Romania. Ne angajăm să protejăm confidențialitatea și securitatea datelor cu caracter personal in conformitate cu Regulamentul General privind Protecția Datelor (UE) 2016/679 ("GDPR"), Legea română nr. 190/2018 de implementare a GDPR și toată legislația aplicabilă privind protecția datelor.

Această Politică de confidențialitate se aplică tuturor utilizatorilor Serviciului nostru, inclusiv administratorilor clinicilor, profesioniștilor stomatologi, personalului clinic și persoanelor ale căror date sunt prelucrate prin intermediul Serviciului.

2. Distincția OPERATOR DE DATE vs. PERSOANA IMPUTERNICITĂ DE OPERATOR

Această secțiune este esențială pentru ințelegerea modului in care datele cu caracter personal sunt gestionate prin platforma Oris.

Oris ca OPERATOR DE DATE CU CARACTER PERSONAL: Acționăm in calitate de operator de date pentru următoarele categorii de date, ceea ce inseamnă că stabilim scopurile și mijloacele de prelucrare:

  • Date de inregistrare a contului (nume, adresă de email, hash parolă)
  • Analiză și telemetrie privind utilizarea Serviciului
  • Date privind cookie-urile și preferințele de consimțămant
  • Informații privind plata și abonamentul
  • Date de comunicare (emailuri trimise de noi referitoare la Serviciu)

Oris ca PERSOANA IMPUTERNICITĂ DE OPERATOR: Acționăm in calitate de persoană imputernicită de operator pentru toate datele medicale ale pacienților introduse de clinicile stomatologice in platformă. In această calitate:

  • Clinica stomatologică este OPERATORUL DE DATE CU CARACTER PERSONAL pentru toate datele medicale ale pacienților
  • Prelucrăm datele medicale ale pacienților exclusiv in numele și conform instrucțiunilor clinicii stomatologice
  • Nu accesăm, utilizăm sau partajăm datele medicale ale pacienților in scopuri proprii
  • Un Acord de prelucrare a datelor (DPA) este disponibil la cerere și guvernează obligațiile noastre ca persoană imputernicită de operator

Această distincție inseamnă că, dacă sunteți un pacient ale cărui date sunt gestionate prin Oris, clinica dumneavoastră stomatologică este responsabilă pentru legalitatea prelucrării datelor dumneavoastră cu caracter personal. Orice solicitări privind datele dumneavoastră de pacient trebuie adresate in primul rand clinicii dumneavoastră stomatologice.

3. Ce date colectăm

a) Date de cont

Cand vă inregistrați și utilizați Oris, colectăm:

  • Nume complet
  • Adresă de email
  • Parolă (stocată sub formă de hash criptografic, niciodată in text clar)
  • Numele și detaliile organizației/clinicii
  • Rolul in cadrul organizației (de exemplu, proprietar, medic, igienist, asistentă, recepționer)

b) Analiză a utilizării

Colectăm date despre modul in care interacționați cu Serviciul:

  • Pagini vizualizate și funcționalități utilizate
  • Adrese IP
  • Tipul browserului și informații despre dispozitiv
  • Durata și frecvența sesiunilor
  • Jurnale de erori și performanță

c) Date privind cookie-urile

Utilizăm cookie-uri și tehnologii similare pentru:

  • Menținerea sesiunii dumneavoastră (strict necesare)
  • Stocarea preferinței de limbă (funcționale)
  • Colectarea datelor de analiză (doar cu consimțămantul dumneavoastră explicit)

Consultați Secțiunea 11 pentru detalii complete despre cookie-uri.

d) Informații privind plata

Procesarea plăților este gestionată de sub-procesatorul nostru Stripe. Nu stocăm numere complete de carduri sau detalii ale metodelor de plată. Stocăm doar:

  • Statusul și nivelul abonamentului
  • Istoricul plăților (date și sume)
  • Identificatorul de client Stripe

e) Date medicale ale pacienților (in calitate de persoană imputernicită)

In numele clinicilor stomatologice, prelucrăm următoarele categorii de date medicale ale pacienților. Clinica stomatologică ramane operatorul de date pentru aceste date:

  • Date demografice ale pacienților (nume, data nașterii, cod numeric personal (CNP), date de contact)
  • Istoricul medical și stomatologic
  • Fișe stomatologice și inregistrări ale examinărilor clinice
  • Note clinice (format SOAP)
  • Planuri de tratament și inregistrări ale procedurilor
  • Prescripții și date privind medicamentele (inclusiv căutări in catalogul de medicamente ANMDMR)
  • Formulare de consimțămant și semnături
  • Fișiere incărcate ale pacienților (radiografii, fotografii, documente)
  • Istoricul programărilor
  • Inregistrări de facturare și plată legate de tratament
  • Măsurători și evaluări parodontale
  • Activitatea și mesajele din portalul pacientului

4. Cum utilizăm datele dumneavoastră

Utilizăm datele cu caracter personal in următoarele scopuri:

  • Furnizarea Serviciului: Pentru a opera, menține și livra platforma Oris și funcționalitățile acesteia
  • Gestionarea contului: Pentru a crea și gestiona contul dumneavoastră, a autentifica identitatea dumneavoastră și a gestiona apartenența la organizație
  • Securitate: Pentru a proteja impotriva accesului neautorizat, a detecta fraudele și a asigura integritatea Serviciului
  • Analiză: Pentru a ințelege cum este utilizat Serviciul și pentru a imbunătăți funcționalitatea, performanța și experiența utilizatorului
  • Conformitate legală: Pentru a respecta legile, reglementările și obligațiile legale aplicabile
  • Comunicare: Pentru a vă trimite notificări legate de Serviciu, alerte de securitate și mesaje administrative
  • Asistență: Pentru a oferi asistență tehnică și a răspunde la intrebările dumneavoastră

5. Temeiul legal al prelucrării

Prelucrăm datele cu caracter personal pe baza următoarelor temeiuri legale conform Articolului 6 din GDPR:

  • Executarea contractului (Art. 6(1)(b)): Prelucrarea datelor de cont este necesară pentru executarea contractului dintre dumneavoastră și Oris (acordul de abonament)
  • Interesul legitim (Art. 6(1)(f)): Analiza și monitorizarea securității se bazează pe interesul nostru legitim de a imbunătăți Serviciul și de a menține securitatea acestuia. Am realizat teste de echilibrare pentru a ne asigura că aceste interese nu prevalează asupra drepturilor dumneavoastră fundamentale
  • Consimțămantul (Art. 6(1)(a)): Cookie-urile de analiză și comunicările de marketing sunt prelucrate doar cu consimțămantul dumneavoastră explicit, pe care il puteți retrage in orice moment
  • Obligația legală (Art. 6(1)(c)): Anumite prelucrări de date sunt impuse de legislația română, inclusiv obligațiile de păstrare a documentelor medicale conform Ordinului 1410/2016

Pentru datele medicale ale pacienților prelucrate in calitatea noastră de persoană imputernicită de operator, temeiul legal al prelucrării este stabilit de clinica stomatologică (operatorul de date) și se bazează de obicei pe consimțămantul pacientului sau pe necesitatea furnizării serviciilor de sănătate.

6. Păstrarea datelor

Păstrăm datele cu caracter personal pentru următoarele perioade:

| Categoria de date | Perioada de păstrare | Temei | |-------------------|---------------------|-------| | Date de cont | Durata serviciului activ + 30 de zile după ștergerea contului | Executarea contractului | | Analize de utilizare | 24 de luni de la colectare | Interes legitim | | Preferințe de consimțămant privind cookie-urile | 12 luni de la consimțămant | Cerință GDPR | | Inregistrări de plată | 10 ani de la tranzacție | Legislația fiscală din Romania | | Jurnale de audit | 5 ani de la creare | Securitate și conformitate legală | | Date medicale ale pacienților (ca persoană imputernicită) | Conform instrucțiunilor clinicii stomatologice (operatorul), in conformitate cu legislația sanitară din Romania (Ordinul 1410/2016), care prevede o perioadă minimă de păstrare conform legii aplicabile | Obligația legală a operatorului |

La incetarea abonamentului unei clinici, datele medicale ale pacienților sunt păstrate timp de 30 de zile pentru a permite exportul datelor, după care sunt șterse permanent, cu excepția cazului in care o perioadă mai lungă de păstrare este impusă de legislația aplicabilă.

7. Sub-procesatori

Utilizăm următorii sub-procesatori terți pentru a furniza Serviciul:

| Sub-procesator | Scop | Locație | Date prelucrate | |----------------|------|---------|-----------------| | Stripe | Procesarea plăților | Irlanda (UE) | Detalii metode de plată, date tranzacții | | Resend | Livrarea emailurilor tranzacționale | Statele Unite | Adrese de email, conținut emailuri | | Stocare compatibilă S3 (MinIO) | Stocarea fișierelor și documentelor | Configurabilă (UE recomandat) | Fișiere incărcate ale pacienților, documente | | Vercel | Găzduirea aplicației și CDN | UE și Statele Unite | Date cereri, adrese IP |

Toți sub-procesatorii sunt legați prin acorduri de prelucrare a datelor care asigură o gestionare a datelor conformă cu GDPR. Transferurile către sub-procesatori situați in afara Spațiului Economic European (SEE) sunt protejate prin Clauze Contractuale Standard (SCC) adoptate de Comisia Europeană. Consultați Secțiunea 12 pentru mai multe informații despre transferurile internaționale.

Menținem o listă actualizată a sub-procesatorilor și vă vom notifica cu privire la orice modificări care pot afecta prelucrarea datelor dumneavoastră cu caracter personal.

8. Drepturile dumneavoastră conform GDPR

In calitate de persoană vizată, aveți următoarele drepturi conform GDPR:

  • Dreptul de acces (Art. 15): Aveți dreptul de a obține confirmarea prelucrării datelor dumneavoastră cu caracter personal și de a accesa o copie a acestor date
  • Dreptul la rectificare (Art. 16): Aveți dreptul de a solicita corectarea datelor cu caracter personal inexacte
  • Dreptul la ștergere (Art. 17): Aveți dreptul de a solicita ștergerea datelor dumneavoastră cu caracter personal, sub rezerva obligațiilor legale de păstrare ("dreptul de a fi uitat")
  • Dreptul la restricționarea prelucrării (Art. 18): Aveți dreptul de a solicita restricționarea prelucrării in anumite circumstanțe
  • Dreptul la portabilitatea datelor (Art. 20): Aveți dreptul de a primi datele dumneavoastră cu caracter personal intr-un format structurat, utilizat in mod curent și care poate fi citit automat
  • Dreptul la opoziție (Art. 21): Aveți dreptul de a vă opune prelucrării bazate pe interesul legitim
  • Dreptul de retragere a consimțămantului (Art. 7(3)): In cazul in care prelucrarea se bazează pe consimțămant, il puteți retrage in orice moment fără a afecta legalitatea prelucrării anterioare retragerii
  • Dreptul de a depune o plangere: Aveți dreptul de a depune o plangere la autoritatea de supraveghere (consultați Secțiunea 9)

Pentru a exercita oricare dintre aceste drepturi, vă rugăm să ne contactați la contact@spicycoconut.dev.

Pentru datele medicale ale pacienților: Dacă sunteți un pacient ale cărui date sunt gestionate prin Oris, vă rugăm să adresați solicitările privind drepturile dumneavoastră clinicii stomatologice (operatorul de date) in primul rand. Clinica ne poate instrui apoi să efectuăm acțiunile necesare.

Vom răspunde la solicitările privind drepturile persoanelor vizate in termen de 30 de zile, conform cerinței GDPR. Această perioadă poate fi prelungită cu incă 60 de zile pentru solicitări complexe, caz in care vă vom informa cu privire la prelungire.

9. Autoritatea de supraveghere

Autoritatea de supraveghere competentă pentru protecția datelor in Romania este:

ANSPDCP -- Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal

Aveți dreptul de a depune o plangere la ANSPDCP dacă considerați că datele dumneavoastră cu caracter personal au fost prelucrate cu incălcarea GDPR sau a legislației aplicabile in materie de protecție a datelor din Romania.

10. Responsabilul cu protecția datelor

Am desemnat un Responsabil cu protecția datelor (DPO) care poate fi contactat pentru orice intrebări sau preocupări privind practicile noastre de prelucrare a datelor:

  • Email: contact@spicycoconut.dev
  • Adresă: Str. 1 Mai, nr. 1, Cicarlau, Maramures

11. Cookie-uri

Oris utilizează cookie-uri și tehnologii similare pe site-ul și platforma sa. Categoriile noastre de cookie-uri sunt:

Cookie-uri strict necesare: Acestea sunt esențiale pentru funcționarea Serviciului și nu pot fi dezactivate. Includ cookie-urile de sesiune pentru autentificare și token-urile de securitate.

Cookie-uri funcționale: Aceste cookie-uri permit funcționalități imbunătățite, cum ar fi memorarea preferinței dumneavoastră de limbă. Sunt setate pe baza acțiunilor pe care le efectuați in Serviciu.

Cookie-uri de analiză: Aceste cookie-uri ne ajută să ințelegem cum este utilizat Serviciul și sunt setate doar cu consimțămantul dumneavoastră explicit prin bannerul de consimțămant privind cookie-urile. Puteți modifica preferințele privind cookie-urile in orice moment prin setările de cookie-uri disponibile in subsolul site-ului nostru.

Nu utilizăm cookie-uri de publicitate sau de urmărire.

12. Transferuri internaționale de date

Ne străduim să prelucrăm datele cu caracter personal in cadrul Spațiului Economic European (SEE) ori de cate ori este posibil. In cazul in care datele sunt transferate către sub-procesatori din afara SEE (consultați Secțiunea 7), ne asigurăm că sunt implementate garanții adecvate, inclusiv:

  • Clauze Contractuale Standard (SCC) adoptate de Comisia Europeană conform Deciziei 2021/914
  • Măsuri tehnice și organizatorice pentru protejarea datelor in timpul transferului

Nu transferăm date cu caracter personal in țări care nu oferă un nivel adecvat de protecție a datelor fără garanții corespunzătoare.

13. Securitatea datelor

Implementăm măsuri tehnice și organizatorice adecvate pentru protejarea datelor cu caracter personal, inclusiv:

  • Criptarea datelor in tranzit (TLS 1.2+) și in repaus
  • Hash-uirea criptografică a parolelor
  • Controlul accesului bazat pe roluri cu permisiuni granulare
  • Jurnalizarea de audit a accesului și modificărilor datelor
  • Revizuiri și actualizări regulate de securitate
  • Controale organizatorice care limitează accesul la date la personalul autorizat

Deși luăm toate măsurile rezonabile pentru a vă proteja datele, nicio metodă de stocare sau transmisie electronică nu este complet sigură. Nu putem garanta securitatea absolută.

14. Confidențialitatea copiilor

Serviciul Oris nu este destinat copiilor sub 16 ani. Nu colectăm in mod conștient date cu caracter personal de la copii sub 16 ani. Dacă constatăm că am colectat inadvertent date cu caracter personal de la un copil sub 16 ani, vom lua măsuri pentru a șterge prompt aceste date.

15. Referințe legislative

Această Politică de confidențialitate a fost elaborată in conformitate cu următoarele reglementări:

  • GDPR -- Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului
  • Legea română nr. 190/2018 -- de implementare a GDPR in Romania
  • Legea nr. 46/2003 -- privind drepturile pacientului in Romania
  • Ordinul nr. 1410/2016 -- privind păstrarea documentelor medicale in unitățile sanitare din Romania
  • Regulamentul eIDAS -- Regulamentul (UE) nr. 910/2014 privind identificarea electronică și serviciile de incredere, aplicabil consimțămantului electronic și semnăturilor colectate prin platformă

16. Modificări ale acestei politici

Putem actualiza această Politică de confidențialitate periodic pentru a reflecta modificări ale practicilor noastre, tehnologiei, cerințelor legale sau altor factori. Pentru modificări semnificative, vom:

  • Vă notifica prin email la adresa asociată contului dumneavoastră
  • Afișa o notificare vizibilă in cadrul Serviciului
  • Actualiza data "Ultima actualizare" din partea de sus a acestui document

Continuarea utilizării Serviciului după data intrării in vigoare a Politicii de confidențialitate actualizate constituie acceptarea modificărilor. Dacă nu sunteți de acord cu Politica de confidențialitate actualizată, ar trebui să incetați utilizarea Serviciului.

17. Contact

Dacă aveți intrebări, preocupări sau solicitări privind această Politică de confidențialitate sau practicile noastre de prelucrare a datelor, vă rugăm să ne contactați:

  • Email: contact@spicycoconut.dev
  • Adresă: Str. 1 Mai, nr. 1, Cicarlau, Maramures
  • Companie: Spicy Coconut SRL, CUI RO49793618