GDPR · Confidențialitate

Politica de Confidențialitate

Modul în care aplicația NexusMed colectează, prelucrează și protejează datele cu caracter personal, în conformitate cu Regulamentul (UE) 2016/679 (GDPR).

Versiune 1.0 Actualizat: 15.05.2026

1Introducere

Această Politică de Confidențialitate descrie modul în care aplicația NexusMed (în continuare „Aplicația" sau „Platforma") colectează, utilizează, stochează și protejează datele cu caracter personal ale utilizatorilor săi.

Prelucrarea se realizează în deplină conformitate cu Regulamentul (UE) 2016/679 (GDPR), cu Legea nr. 190/2018 și cu legislația națională aplicabilă în domeniul medical.

Prin utilizarea aplicației, confirmi că ai citit, înțeles și acceptat termenii acestei politici.

2Operatorul de date

Denumire NexusMed Medicina Muncii SRL
CUI / CIF RO00000000
Reg. Comerțului J00/0000/2025
Sediu Str. Exemplu nr. 1, București, România
Email contact contact@nexuxmed.ro
DPO Responsabil GDPR — gdpr@nexuxmed.ro

3Categorii de date colectate

Date de identificare

  • Nume și prenume
  • Cod Numeric Personal (CNP)
  • Serie și număr carte de identitate
  • Adresa de domiciliu

Date de contact

  • Adresa de email
  • Număr de telefon

Date profesionale

  • Funcția / ocupația
  • Angajatorul
  • Locul de muncă

Date medicale (categorii speciale conform Art. 9 GDPR)

  • Fișe medicale și antecedente
  • Rezultate analize și investigații
  • Concluzii medicale și aviz de aptitudine
  • Istoricul examinărilor periodice

Date tehnice

  • Adresa IP
  • Tipul de browser și sistemul de operare
  • Loguri de acces și activitate (audit log)

4Scopul prelucrării

Datele sunt prelucrate exclusiv pentru:

  • Gestionarea fișelor de medicina muncii pentru pacienți și angajați
  • Generarea documentelor medicale (fișe de aptitudine, dosare medicale, rapoarte)
  • Programarea și evidența serviciilor medicale
  • Comunicarea cu pacienții și angajatorii (în limita necesară)
  • Îndeplinirea obligațiilor legale (raportări către autoritățile competente)
  • Securitatea aplicației și prevenirea fraudei
  • Audit intern și asigurarea conformității

5Temeiul legal al prelucrării

Prelucrăm datele în baza unuia sau mai multor temeiuri:

  • Executarea unui contract (Art. 6(1)(b) GDPR) — pentru furnizarea serviciilor medicale contractate
  • Obligație legală (Art. 6(1)(c) GDPR) — pentru raportările obligatorii și arhivarea conform legii medicale
  • Interes legitim (Art. 6(1)(f) GDPR) — pentru securitate, audit și prevenirea fraudei
  • Consimțământ (Art. 6(1)(a) GDPR) — pentru cookie-urile non-esențiale și comunicări de marketing
  • Drept și obligații în domeniul medicinei muncii (Art. 9(2)(h) GDPR) — pentru datele medicale

6Stocarea și păstrarea datelor

Datele sunt stocate:

  • Pe servere securizate, situate în Uniunea Europeană
  • În baze de date criptate, cu acces controlat
  • Cu backup periodic al întregii baze de date

Durata de păstrare:

  • Date medicale: conform legislației medicale (minim 30 ani pentru fișe medicale)
  • Date contractuale: 10 ani de la încetarea contractului
  • Loguri de audit: 3 ani
  • Cookie-uri: maxim 365 zile (sau până la retragerea consimțământului)

7Drepturile tale

Conform GDPR, ai următoarele drepturi:

  • Dreptul de acces — să afli ce date prelucrăm despre tine
  • Dreptul la rectificare — să corectezi datele inexacte
  • Dreptul la ștergere („dreptul de a fi uitat") — în limitele legii medicale
  • Dreptul la restricționare a prelucrării
  • Dreptul la portabilitate — să primești datele într-un format structurat
  • Dreptul de opoziție la prelucrare
  • Dreptul de a nu fi supus unei decizii automate
  • Dreptul de a-ți retrage consimțământul oricând
  • Dreptul de a depune o plângere la ANSPDCP

Pentru a-ți exercita drepturile, contactează DPO-ul nostru la gdpr@nexuxmed.ro.

Vom răspunde în maxim 30 de zile de la primirea solicitării.

8Măsuri de securitate

NexusMed implementează măsuri tehnice și organizatorice adecvate pentru protecția datelor:

Măsuri tehnice

  • Criptare HTTPS / TLS pentru toate transmisiile
  • Parole hash-uite cu bcrypt (12 rounds)
  • Protecție CSRF pe toate formularele
  • Validare strictă a inputului utilizatorului
  • Prevenire SQL Injection prin Eloquent ORM
  • Protecție XSS prin escape automat în template-uri
  • Captcha la autentificare
  • Backup automat și regulat al bazei de date

Măsuri organizatorice

  • Control strict de acces bazat pe roluri (RBAC)
  • Audit log complet pentru toate acțiunile critice
  • Politici interne de securitate
  • Instruire periodică a personalului
  • Confidențialitate contractuală pentru toți operatorii

9Transferuri internaționale

Datele tale nu sunt transferate în afara Uniunii Europene, cu excepția situațiilor în care există garanții legale adecvate (clauze contractuale standard - SCC sau decizii de adecvare ale Comisiei Europene).

10Date privind minorii

Aplicația poate prelucra date privind minori doar în contextul medical, cu acordul reprezentantului legal, în conformitate cu legislația română privind drepturile minorilor și GDPR.

11Modificări ale politicii

Această politică poate fi actualizată periodic pentru a reflecta modificări în practici, legislație sau funcționalități. Versiunea curentă este 1.0, ultima actualizare la 15.05.2026.

În cazul unor modificări semnificative, te vom notifica prin email sau prin afișarea unui banner în aplicație.

12Contact

Pentru orice întrebări sau solicitări: