Politica de Confidențialitate
Cum protejăm și utilizăm datele dumneavoastră personale
1. Introducere
La MedMentor, respectăm confidențialitatea și protejăm datele personale ale utilizatorilor noștri. Această politică de confidențialitate explică cum colectăm, utilizăm, protejăm și partajăm informațiile dumneavoastră personale în conformitate cu:
- Regulamentul General privind Protecția Datelor (GDPR) - UE 2016/679
- Legea nr. 190/2018 privind protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal (România)
Angajamentul nostru: Nu vindem, nu închiriem și nu comercializăm datele tale personale către terți în niciun scop de marketing.
2. Operator de Date (Controller)
Operatorul de date personale este:
- Denumire: MedMentor
- Adresă: București, România
- Email contact: privacy@medmentor.ai
- Website: www.medmentor.ai
Pentru orice întrebări legate de prelucrarea datelor personale, puteți contacta direct Responsabilul cu Protecția Datelor (DPO) la adresa: dpo@medmentor.ai
3. Date Colectate
Colectăm următoarele categorii de date personale:
3.1 Date de Înregistrare
- Nume complet - pentru identificare și personalizare
- Adresă email - pentru autentificare și comunicare
- Parolă - stocată criptat (hash + salt)
3.2 Date de Utilizare și Progres
- Întrebări accesate - pentru algoritmi adaptivi
- Răspunsuri furnizate - pentru analiză performanță
- Timp petrecut - pentru optimizarea experienței
- Scor și statistici - pentru dashboard progres
- Lacune identificate - pentru recomandări personalizate
3.3 Date Tehnice
- Adresă IP - pentru securitate și prevenire fraudă
- Informații browser - pentru compatibilitate și optimizare
- Tip dispozitiv - pentru responsiveness
- Cookies - pentru funcționalitate (vezi Politica de Cookies)
3.4 Date de Plată (dacă aplicabil)
- Nume titular card - pentru facturare
- Ultim 4 cifre card - pentru identificare tranzacție
- Adresă de facturare - pentru conformitate fiscală
Notă importantă: Datele complete ale cardului sunt procesate direct de furnizorii de plăți (Stripe, PayPal) prin conexiuni securizate PCI-DSS. MedMentor nu stochează și nu are acces la numerele complete ale cardurilor.
4. Scopul Prelucrării Datelor
Utilizăm datele dumneavoastră personale pentru următoarele scopuri:
| Scop | Descriere |
|---|---|
| Furnizarea serviciului | Crearea contului, autentificare, acces la întrebări, salvare progres |
| Personalizare AI | Generarea explicațiilor adaptate nivelului tău, recomandări personalizate |
| Analiză performanță | Dashboard statistici, identificare lacune, grafice progres |
| Comunicare | Notificări despre cont, actualizări platformă, răspunsuri suport |
| Procesare plăți | Gestionarea abonamentelor, facturare, rambursări |
| Securitate | Detectare activități suspecte, prevenire fraudă, protecție cont |
| Îmbunătățire serviciu | Analiză agregată pentru optimizare platformă, dezvoltare funcționalități noi |
| Conformitate legală | Respectare obligații legale (fiscale, contabile, GDPR) |
5. Baza Legală a Prelucrării
Prelucrăm datele dumneavoastră pe baza următoarelor temeiuri legale conform GDPR:
5.1 Consimțământ (Art. 6(1)(a) GDPR)
La crearea contului, vă dați consimțământul explicit pentru prelucrarea datelor personale în scopurile menționate. Puteți retrage consimțământul oricând.
5.2 Executarea Contractului (Art. 6(1)(b) GDPR)
Prelucrarea este necesară pentru furnizarea serviciilor platformei (autentificare, acces conținut, salvare progres) în baza contractului pe care îl acceptați prin Termeni și Condiții.
5.3 Interes Legitim (Art. 6(1)(f) GDPR)
Prelucrăm anumite date pentru:
- Securitatea platformei - detectare atacuri, prevenire fraudă
- Îmbunătățirea serviciilor - analiză agregată, optimizare performanță
- Comunicare esențială - notificări tehnice, actualizări critice
5.4 Obligații Legale (Art. 6(1)(c) GDPR)
Păstrăm anumite date pentru conformitate cu:
- Legislația fiscală și contabilă (facturi, plăți)
- Solicitări legale ale autorităților competente
- Obligații de raportare GDPR
6. Partajarea Datelor (Sub-procesatori)
Nu comercializăm datele tale. Partajăm informații doar cu sub-procesatori de încredere, strict necesari pentru funcționarea platformei:
6.1 Furnizori de Infrastructură
- Google Cloud Platform (GCP)
- Scop: Hosting aplicație, baze de date, loguri
- Locație: Europa (eu-west3 - Frankfurt, Germania)
- Conformitate: DPA semnat, certificare ISO 27001, SOC 2
6.2 Furnizori de Plăți
- Stripe - Procesare carduri (PCI-DSS Level 1)
- PayPal - Plăți alternative
Acești furnizori procesează datele de plată direct, fără ca MedMentor să aibă acces la informațiile complete ale cardului.
6.3 Servicii AI (dacă aplicabil)
- Google Vertex AI - Generare explicații personalizate
- Date transmise: Întrebări, răspunsuri, context educațional (fără date de identificare directă)
Important: Toți sub-procesatorii au semnat Data Processing Agreements (DPA) conforme GDPR și implementează măsuri tehnice și organizatorice adecvate pentru protecția datelor.
7. Securitatea Datelor
Implementăm măsuri tehnice și organizatorice avansate pentru protejarea datelor:
7.1 Măsuri Tehnice
- Criptare în tranzit: HTTPS/TLS 1.3 pentru toate conexiunile
- Criptare la repaus: Baze de date criptate AES-256
- Autentificare securizată: Parole hash-uite (bcrypt), sesiuni securizate
- Firewall și IDS: Protecție împotriva atacurilor DDoS, SQL injection, XSS
- Backup-uri regulate: Backup zilnic automat, retenție 30 zile
- Patch management: Actualizări de securitate automate
7.2 Măsuri Organizatorice
- Acces controlat: Principiul minimelor privilegii, autentificare multi-factor
- Audit logs: Monitorizare activități, logging acces date sensibile
- Training echipă: Instruire GDPR și securitate pentru toți angajații
- Politici interne: Proceduri de gestionare incidente, protocoale de raportare
7.3 Breach Notification
În cazul unui incident de securitate care afectează datele personale, vom:
- Notifica Autoritatea Națională de Supraveghere a Prelucrării Datelor (ANSPDCP) în maximum 72 ore
- Informa utilizatorii afectați fără întârziere nejustificată
- Documenta incidentul și măsurile luate
8. Retenția Datelor
Păstrăm datele personale doar cât timp este necesar pentru scopurile declarate:
| Categorie Date | Perioadă Retenție |
|---|---|
| Date cont activ | Pe durata utilizării active a platformei |
| Date progres educațional | Pe durata contului activ + 1 an după ultimul login |
| Date facturare/plăți | 10 ani (obligație legală contabilitate/fiscalitate) |
| Loguri securitate | 6 luni |
| Backup-uri | 30 zile (rotație automată) |
| Date anonimizate (statistici) | Indefinit (nu mai constituie date personale) |
Ștergere cont: La cererea ta sau după 2 ani de inactivitate, ștergem definitiv toate datele personale (cu excepția celor păstrate pentru conformitate fiscală).
9. Drepturile Tale GDPR
Conform GDPR, beneficiezi de următoarele drepturi:
9.1 Dreptul de Acces (Art. 15)
Poți solicita o copie a tuturor datelor personale pe care le deținem despre tine. Răspundem în maximum 30 zile.
9.2 Dreptul de Rectificare (Art. 16)
Poți corecta oricând datele incorecte sau incomplete din secțiunea "Profil" sau prin solicitare la privacy@medmentor.ai.
9.3 Dreptul la Ștergere - "Right to be Forgotten" (Art. 17)
Poți solicita ștergerea completă a contului și a datelor asociate. Excepții:
- Date necesare pentru conformitate fiscală (facturi - 10 ani)
- Obligații legale sau litigii în curs
9.4 Dreptul la Portabilitate (Art. 20)
Poți exporta datele tale într-un format structurat, utilizat în mod curent și care poate fi citit automat (JSON/CSV):
- Profil utilizator
- Istoric întrebări și răspunsuri
- Statistici progres
9.5 Dreptul la Restricționare (Art. 18)
Poți solicita suspendarea temporară a prelucrării datelor în anumite circumstanțe (ex: contestare acuratețe date, verificare legalitate).
9.6 Dreptul la Opoziție (Art. 21)
Poți obiecta la prelucrarea datelor bazată pe interes legitim sau marketing direct.
9.7 Retragerea Consimțământului (Art. 7(3))
Poți retrage consimțământul oricând, fără a afecta legalitatea prelucrării anterioare.
Cum să-ți exerciți drepturile: Trimite solicitarea la privacy@medmentor.ai sau contactează DPO-ul nostru la dpo@medmentor.ai. Răspundem în maximum 30 zile.
9.8 Dreptul de a Depune Plângere
Dacă consideri că drepturile tale GDPR au fost încălcate, poți depune plângere la:
- Autoritatea Națională de Supraveghere a Prelucrării Datelor (ANSPDCP)
- Adresă: B-dul G-ral. Gheorghe Magheru 28-30, Sector 1, București
- Telefon: +40 318 059 211 sau +40 318 059 212
- Email: anspdcp@dataprotection.ro
- Website: www.dataprotection.ro
10. Transferuri Internaționale de Date
Datele dumneavoastră sunt stocate în principal pe servere situate în Uniunea Europeană (Frankfurt, Germania - Google Cloud eu-west3).
În cazuri limitate, anumite servicii pot implica transferuri către SUA:
- Google Vertex AI - pentru generare explicații AI
- Stripe - pentru procesare plăți
Aceste transferuri sunt protejate prin:
- Standard Contractual Clauses (SCC) aprobate de Comisia Europeană
- Adequacy Decision pentru SUA (Data Privacy Framework - dacă aplicabil)
- Măsuri de securitate suplimentare (criptare end-to-end)
Transparență: În cazul unor schimbări ale sub-procesatorilor sau locațiilor de stocare, veți fi notificați cu minimum 30 zile înainte.
11. Datele Minorilor
Platforma MedMentor se adresează în principal elevilor de liceu (16-18 ani) care se pregătesc pentru admiterea la UMF.
11.1 Vârsta Minimă
- 16+ ani: Pot crea cont independent
- Sub 16 ani: Necesită consimțământul părinților/tutorilor legali
11.2 Protecții Suplimentare
Pentru utilizatorii minori, aplicăm măsuri suplimentare:
- Prelucrare minimă de date (strict necesare serviciului)
- Fără marketing direct către minori
- Verificare consimțământ parental pentru sub-16 ani
11.3 Drepturile Părinților
Părinții/tutorii legali pot:
- Solicita acces la datele copilului
- Rectifica sau șterge datele
- Retrage consimțământul oricând
Contact pentru părinți: parinte@medmentor.ai
12. Modificări ale Politicii
Ne rezervăm dreptul de a actualiza această politică de confidențialitate pentru a reflecta:
- Schimbări ale funcționalităților platformei
- Noi cerințe legale sau reglementare
- Îmbunătățiri ale practicilor de securitate
12.1 Notificare Modificări
În cazul unor modificări semnificative, veți fi notificat prin:
- Email - cu minimum 14 zile înainte de intrarea în vigoare
- Banner pe platformă - notificare vizibilă la autentificare
- Actualizare dată - "Ultima actualizare" din partea de sus
12.2 Istoricul Versiunilor
Păstrăm un arhivă a versiunilor anterioare, disponibilă la cerere: privacy@medmentor.ai
13. Contact Data Protection Officer (DPO)
Pentru orice întrebări, cereri sau preocupări legate de protecția datelor personale, ne puteți contacta:
13.1 Responsabil Protecție Date (DPO)
- Email DPO: dpo@medmentor.ai
- Email Privacy: privacy@medmentor.ai
- Formular Contact: www.medmentor.ai/contact
13.2 Timp de Răspuns
Ne angajăm să răspundem tuturor solicitărilor în:
- Solicitări simple: 5-7 zile lucrătoare
- Cereri GDPR (acces, ștergere, portabilitate): Maximum 30 zile
- Incidente securitate: Imediat (maxim 72 ore pentru raportare)
Ai întrebări despre datele tale?
Echipa noastră de protecție a datelor este disponibilă să te ajute.
Contactează DPO