Politica de confidențialitate, TeleMind

Răspuns rapid: Politica de confidențialitate TeleMind explică ce date colectăm în aplicație și pe site, de ce, cu cine le împărtășim (inclusiv SDK-uri terțe precum Firebase, Stripe, GetStream și, pe dispozitive Huawei fără Google Play Services, Huawei Push Kit și Safety Detect), cum îți exerciți drepturile și cum îți poți șterge contul. Documentul este public, fără autentificare, la telemind.ro/privacy.

1. Operatorul și contactul

TeleMind este numele produsului/platformei. Entitatea care operează platforma și operator de date cu caracter personal pentru prelucrările descrise în această politică este:

Denumire: SYNNOVION SRL
CUI: 54222812
Sediu social: Str. Maior Vasile Băcila, nr. 13, bl. 19, sector 2, București, România
Reprezentant legal: Marian-Stelian Cornea
Suport general: [email protected]
Responsabil Protecția Datelor (DPO): [email protected]

Prelucrarea se face cu respectarea Regulamentului (UE) 2016/679 (GDPR), a Legii nr. 190/2018 privind măsurile de punere în aplicare a GDPR în România, a Legii nr. 506/2004 (comunicații electronice) și a legislației sectoriale aplicabile (Legea 95/2006, Legea 46/2003, Legea 16/1996, Legea 82/1991 etc.).

În relația medicală dintre medic și pacient, medicul este operator pentru datele medicale (fișă pacient, diagnostic, tratament), cu baza legală Art. 9(2)(h) GDPR, iar TeleMind / SYNNOVION SRL acționează ca împuternicit al operatorului (Art. 28 GDPR) pentru aceste date. Pentru datele proprii ale medicului (identificare, fiscale, profesionale, IBAN, istoric venituri) și pentru raportarea fiscală DAC7 către ANAF, TeleMind / SYNNOVION SRL acționează ca operator independent.

Dreptul de a depune plângere îl poți exercita la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), cu sediul în București. Informații: www.dataprotection.ro.

2. Scopurile și bazele legale ale prelucrării

Prelucrăm datele tale pentru:

Furnizarea serviciilor platformei, cont, programări, consultații video, comunicare asincronă (chat) și întrebări scrise (Q&A), facturare, mood tracking, prescripții (electronice și TAB 2/3 fizice), reminder-e, generare tehnică a documentelor PDF medicale (inclusiv cele destinate instituțiilor de învățământ, la indicația medicului) și afișarea în interfață a tarifelor orientative înainte de rezervare (suma finală este confirmată în aplicație), bază legală: executarea contractului, Art. 6(1)(b) GDPR.
Respectarea obligațiilor legale, păstrarea datelor medicale conform legislației de arhivare aplicabile (Legea 16/1996 și Nomenclatorul arhivistic MS), obligații fiscale (Legea 82/1991), raportare DAC7 către ANAF (OG 16/2023), cerințe de securitate cibernetică (NIS2), bază legală: obligație legală, Art. 6(1)(c) GDPR.
Securitatea și îmbunătățirea serviciilor, monitorizare tehnică, prevenirea fraudelor, audit logs, rate limiting, App Check, bază legală: interes legitim, Art. 6(1)(f) GDPR.
Moderare conținut generat de utilizatori (recenzii, reclamații), inclusiv proceduri notice-and-action conform DSA, bază legală: obligație legală (Reg. UE 2022/2065 DSA) + interes legitim.
Comunicări de marketing, doar cu consimțământul tău explicit (Art. 6(1)(a) GDPR).
Comunicări operaționale despre serviciu, inclusiv informări privind accesul la aplicație, disponibilitatea funcționalităților sau actualizări importante (bază legală: executarea contractului sau, după caz, interes legitim conform Art. 6(1)(b) și 6(1)(f) GDPR). Pentru aceste comunicări, prelucrăm date de contact precum adresa de email și nu folosim datele în alte scopuri fără temei legal distinct.

Pentru datele cu caracter special (date de sănătate), inclusiv mood tracking, evaluări clinice (PHQ-9, GAD-7), note medicale, prescripții, documente medicale, prelucrarea se bazează pe:

Consimțământul tău explicit conform Art. 9 alin. (2) lit. (a) GDPR, solicitat la înregistrare, înainte de programarea unei consultații și înainte de consultația video, pentru pacient în relație cu platforma;
Asistența medicală / actul medical conform Art. 9 alin. (2) lit. (h) GDPR, coroborat cu secretul profesional (Art. 9(3) GDPR + Legea 95/2006), pentru prelucrarea efectuată de medic în scop de diagnostic și tratament.

3. Categorii de date prelucrate

Prelucrăm, în funcție de rolul tău (pacient sau medic):

Date de identificare și contact, nume, email, telefon, adresă de domiciliu.
Date de cont și autentificare, credențiale, istoric autentificare.
Date legate de consultații, programări, note medicale, prescripții, scrisori medicale.
Date de sănătate mintală, mood tracking (8 dimensiuni), evaluări PHQ-9/GAD-7, rapoarte de criză.
Date de plată, necesare procesării tranzacțiilor (via Stripe; TeleMind nu stochează datele cardului).
Date tehnice, IP, dispozitiv, sistem de operare, pentru securitate și funcționare.
Documente medicale, documente încărcate de pacient sau generate de medic, inclusiv fișiere PDF și metadate asociate (descrieri, tip document, snapshot-uri structurate ale unor formulare) pentru rețete, scrisori medicale, avize sau fișe adresate terților (ex. unități de învățământ), în limitele legii.
Imagini oficiale ale medicului (ștampilă parafă, semnătură) transmise pentru verificare de conformitate înainte de utilizare pe documente; motivul unei eventuale respingeri este păstrat până la încărcarea unei imagini noi.
Token-uri de notificări push (Firebase Cloud Messaging pe dispozitive cu Google Play Services sau Huawei Push Kit pe dispozitive fără GMS), asociate contului, pentru alerte operaționale (programări, mesaje, consultații).

3.1. Permisiuni pe dispozitiv (aplicația mobilă)

Aplicația solicită doar permisiunile necesare funcțiilor descrise. Nu folosim permisiunea de locație (GPS) și nu colectăm coordonate GPS în fundal. Nu folosim date de sănătate sau biometrie pentru publicitate, analiză publicitară sau îmbunătățiri neesențiale ale serviciului (conform cerințelor platformelor de distribuție, inclusiv Huawei AppGallery).

Cameră, consultații video, fotografie de profil, încărcare documente (doar când alegi explicit aceste acțiuni).
Microfon, audio în consultațiile video și, opțional, funcții viitoare de transcripție (inactive în v1).
Notificări, remindere de programări, mesaje operaționale, alerte de securitate; le poți dezactiva din setările telefonului.
Fișiere / galerie foto, încărcare documente medicale sau imagini de profil la cererea ta.
Bluetooth (unde e cazul), redare audio în timpul apelurilor (căști, hands-free).
Autentificare biometrică (opțională), deblocare locală a aplicației pe dispozitiv; datele biometrice rămân pe dispozitiv, nu sunt transmise către TeleMind.
Rețea, funcționarea serviciului, securitate (App Check) și sincronizare date.

4. Destinatari și transferuri

Datele pot fi puse la dispoziția următoarelor categorii de destinatari, obligați la confidențialitate și măsuri de securitate adecvate:

4.1. Sub-împuterniciți tehnici (Art. 28 GDPR)

Google / Firebase (Google Cloud Platform), autentificare, Firestore, Cloud Functions, Cloud Storage, hosting, Firebase Cloud Messaging (FCM) pentru notificări pe dispozitive cu Google Play Services, Firebase Crashlytics pentru raportarea erorilor tehnice (fără date medicale în mesaje de crash), Firebase Analytics pentru evenimente de produs agregate (fără date de sănătate), Firebase App Check (Play Integrity pe GMS), Remote Config. Locații: UE (regiunea europe-west) și SUA; transferuri sub garanții SCC și Data Privacy Framework. Politică: firebase.google.com/support/privacy.
Google Sign-In (doar pe dispozitive cu Google Play Services), autentificare opțională; identificator și email de cont. Politică: policies.google.com/privacy.
Apple Sign-In (iOS), autentificare opțională; identificator și, dacă alegi, email de cont. Politică: apple.com/legal/privacy.
Stripe, procesare plăți (carduri, 3DS, chargeback, refund). Locații: Irlanda (UE) și SUA (SCC). TeleMind nu stochează datele cardului.
GetStream, video consultații, chat securizat. Locație: UE (Frankfurt).
SendGrid / furnizor email tranzacțional, pentru notificări email și recuperare cont.
Curier (FanCourier / DPD / Sameday) și EasyBox (Sameday), pentru expedierea fizică a prescripțiilor TAB 2 / TAB 3 (Legea 339/2005), numai pe teritoriul României, doar pentru pacienții care optează pentru această formă de livrare. Date transmise: nume, adresă, telefon, referință coletului. Relația contractuală și plata pentru transport revin în mod normal pacientului (costul livrării nu este inclus în tariful consultației din platformă).

4.2. Dispozitive Huawei și Huawei Mobile Services (HMS)

Aplicația TeleMind pentru Android este distribuită și prin Huawei AppGallery. Pe dispozitive fără Google Play Services (GMS), anumite funcții Google sunt înlocuite cu echivalente Huawei, numai dacă sunt necesare pentru securitate și notificări. Nu activăm HMS pe telefoane care au deja GMS (ex. majoritatea instalărilor din Google Play).

Huawei Push Kit (HMS Push), furnizor: Huawei Technologies Co., Ltd. Date prelucrate: token push HMS, stare conexiune, identificator de aplicație. Scop: livrarea notificărilor operaționale (programări, mesaje, consultații). Stocare: token-ul este salvat în profilul tău de utilizator (Firestore), alături de token-urile FCM, pentru a putea trimite notificări pe canalul disponibil pe dispozitiv. Bază legală: executarea contractului / interes legitim (funcționarea serviciului). Politică Huawei: consumer.huawei.com/en/privacy/privacy-policy.
Huawei Safety Detect (SysIntegrity, HMS Core), furnizor: Huawei Technologies Co., Ltd. Date prelucrate: rezultat de integritate al dispozitivului (JWS), nonce de sesiune, metadate tehnice minime pentru validare anti-abuz; nu includ date medicale, conținut de consultații sau mesaje clinice. Scop: protecția API-urilor (Firebase App Check) împotriva clienților neautorizați și a automatizărilor abuzive. Bază legală: interes legitim (securitate). Documentație: HMS Safety Detect.

Schimbul de date cu Huawei are loc doar în măsura necesară funcțiilor de mai sus. Pentru întrebări privind prelucrarea de către Huawei, poți consulta politicile lor și ne poți contacta la [email protected] pentru clarificări privind rolul TeleMind ca operator.

4.3. Destinatari legali

ANAF (Agenția Națională de Administrare Fiscală), destinatar legal al datelor pentru raportarea fiscală anuală DAC7 a medicilor (Art. 6(1)(c) GDPR, OG 16/2023); transmitere prin RO e-Factura pentru facturile B2B (din 15.01.2026).
DNSC (Directoratul Național de Securitate Cibernetică), pentru raportarea incidentelor de securitate cibernetică, conform NIS2 (OUG 155/2024 + Legea 124/2025), unde aplicabil.
ANSPDCP, pentru notificarea breșelor de securitate a datelor (Art. 33 GDPR).
Autorități judiciare / de anchetă, la cererea expresă a acestora, în condițiile legii.
CMR (Colegiul Medicilor din România) / ANPC, în cadrul investigării plângerilor deontologice sau de protecție a consumatorilor, în condițiile legii.

Transferurile în afara SEE sunt făcute în baza deciziilor de adecvare (ex. EU-US Data Privacy Framework), garanțiilor standard (SCC) sau altor mijloace prevăzute de Capitolul V GDPR.

5. Cookie-uri, Google Analytics 4 (GA4) și consimțământ

Pentru a-ți respecta preferințele, stocăm consimțământul tău în browser în localStorage, sub cheia telemind_cookie_consent.

Există două opțiuni în banner:

Doar necesare, nu încărcăm Google Analytics 4 (GA4), nu încărcăm Google Ads conversion tracking și nu înregistrăm vizitele landing-ului în infrastructura TeleMind pentru statistici.
Accept toate, încărcăm GA4 (measurementId G-JTGKPD5RZX), Google Ads conversion tracking (ID AW-18032474790) și înregistrăm vizitele landing-ului în infrastructura TeleMind pentru statistici.

Când consimți pentru analitice, transmitem către infrastructura TeleMind un set minimal de date despre vizită: page, pathname, referrer și userAgent. Pe acest site (landing), analiticele și tracking-ul de conversie sunt activate numai după acceptul tău.

În plus, folosim Google Fonts (Poppins) pentru afișarea textului.

6. Perioada de păstrare

Păstrăm datele atât timp cât este necesar pentru scopurile pentru care au fost colectate, cu respectarea obligațiilor legale de arhivare aplicabile:

Date de cont și date de contact, pe durata existenței contului și o perioadă rezonabilă după închidere, pentru eventuale cerințe legale sau contractuale.
Date medicale (fișă pacient, note clinice, prescripții, documente medicale), conform Legii nr. 16/1996 (Arhivele Naționale) și Nomenclatorului arhivistic al Ministerului Sănătății aplicabil per categorie de document (orientativ: minimum 5 ani pentru fișa ambulatorie, 20+ ani pentru foaia de observație clinică spitalicească).
Date financiar-contabile (facturi, rapoarte venituri, documente justificative), minimum 10 ani conform Legii nr. 82/1991 (contabilitate), respectiv 5 ani pentru alte documente justificative prevăzute expres de lege.
Date pentru raportarea DAC7 către ANAF, conform termenelor legale fiscale (minimum 5 ani de la încheierea perioadei de raportare).
Date tehnice (audit logs, telemetrie minimă), maximum 12 luni, cu excepția celor legate de investigații active sau de cerințe legale de securitate cibernetică.

Notă: trimiterea anterioară la "minimum 10 ani conform Legii nr. 46/2003" a fost revizuită. Legea nr. 46/2003 reglementează drepturile pacientului, dar nu stabilește o perioadă fixă de 10 ani pentru retenție; baza reală a retenției datelor medicale este Legea nr. 16/1996 și Nomenclatorul arhivistic MS.

După expirarea perioadei de păstrare, datele sunt șterse sau anonimizate.

7. Drepturile tale (GDPR)

În calitate de persoană vizată, ai următoarele drepturi:

Acces (Art. 15), poți obține confirmarea dacă prelucrăm datele tale și o copie a acestora.
Rectificare (Art. 16), poți solicita corectarea datelor inexacte.
Ștergere (Art. 17), poți solicita ștergerea, cu excepțiile legale (ex. obligații de arhivare medicală sau fiscală).
Restricționarea prelucrării (Art. 18), în anumite condiții.
Portabilitatea datelor (Art. 20), poți primi datele într-un format structurat, de uz curent.
Opoziția (Art. 21), în anumite situații poți să te opui prelucrării.
Retragerea consimțământului, unde prelucrarea se bazează pe consimțământ, retragerea acestuia nu afectează legalitatea prelucrării efectuate anterior.

Pentru exercitarea drepturilor, contactează-ne la [email protected] sau la [email protected] (canal de feedback pentru probleme de confidențialitate). Răspundem în termenele prevăzute de GDPR (de regulă, maximum 30 de zile).

7.1. Ștergerea contului, export și retragerea consimțământului

Dacă ai cont în aplicație, poți solicita exportul sau ștergerea datelor (deregistrare cont) astfel:

În aplicație: Setări → Confidențialitate & Date (GDPR): cerere de export sau ștergere a datelor asociate contului.
Prin email: [email protected], cu subiect „Cerere GDPR”, menționând adresa de email a contului.

După confirmarea identității, procesăm cererea conform politicii interne și a obligațiilor legale de păstrare (date medicale și fiscale pot fi reținute pe perioadele prevăzute la secțiunea 6, chiar dacă contul este închis). Poți retrage consimțământul pentru prelucrări bazate pe consimțământ oricând; retragerea nu afectează legalitatea prelucrărilor anterioare. Notificările push pot fi oprite din setările sistemului de operare sau dezactivând permisiunea de notificări pentru aplicație.

Linkul către această politică este disponibil și în aplicație (meniu Setări / legal) și pe pagina AppGallery, fără a necesita autentificare pentru citire.

7.2. Publicitate personalizată și identificatori publicitari

TeleMind nu vinde date personale. Aplicația mobilă nu afișează reclame personalizate și nu folosește OAID sau alți identificatori publicitari pentru profilare sau marketing în app. Comunicările de marketing (email) sunt trimise doar cu consimțământ explicit separat și pot fi oprite din setările contului sau prin link de dezabonare. Pe site-ul landing, Google Ads și GA4 se încarcă doar după consimțământul din bannerul de cookie-uri (secțiunea 5).

7.3. Minori

Serviciile TeleMind sunt destinate în principal persoanelor adulte. Nu colectăm în mod intenționat date de la copii sub 16 ani fără implicarea unui părinte sau tutore legal. Dacă afli că un minor ne-a furnizat date fără acordul parental, contactează [email protected] pentru ștergere. Consultațiile pentru minori, unde sunt permise de lege, necesită acordul părintelui sau tutorelui conform procedurilor medicale și ale platformei.

7.4. Decizii automatizate și inteligență artificială

TeleMind NU efectuează, în versiunea v1, decizii automate care să producă efecte juridice asupra utilizatorilor sau care să îi afecteze în mod similar semnificativ, în sensul Art. 22 GDPR. Deciziile medicale (diagnostic, tratament, prescripție) aparțin exclusiv medicului, nu unui algoritm.

Platforma are, în roadmap, componente cu inteligență artificială (transcripție audio automată, sumarizare conversație, „consult copilot" de asistență pentru medic). Aceste componente sunt INACTIVE în versiunea v1. La activarea viitoare, vor respecta:

Regulamentul (UE) 2024/1689 (AI Act), inclusiv obligațiile de transparență din Art. 50 (etichetă "generat AI");
Consimțământ explicit separat al pacientului pentru procesarea cu AI a datelor de sănătate (Art. 9 GDPR);
Principiul "human-in-the-loop": medicul validează mereu output-ul AI înainte de utilizare clinică;
Drept de opt-out al pacientului;
Datele clinice NU vor fi folosite pentru antrenarea modelelor fără un program separat de guvernanță.

8. Securitate

Implementăm măsuri tehnice și organizatorice adecvate pentru protejarea datelor:

Criptare în tranzit (TLS 1.2+) și la stocare (unde este disponibil)
Acces restricționat pe baza rolurilor (RBAC: admin / medic / pacient)
Validare server-side prin Firebase Cloud Functions și reguli de securitate Firestore
Firebase App Check pentru a preveni utilizarea abuzivă a API-urilor din clienți neautorizați
Rate limiting pe acțiunile sensibile (booking, upload, login) și cooldown-uri anti-spam
Protecție captură ecran în timpul consultațiilor video
Autentificare biometrică (opțională)
Audit log complet pentru acțiunile sensibile
Stocare securizată pe dispozitiv, folosind mecanismele de securitate oferite de sistemul de operare
Backup automat, monitorizare, segregare roluri, management incidente

Notificare breșă GDPR. În cazul unei încălcări a securității cu risc pentru drepturile persoanelor, vom notifica ANSPDCP (Art. 33 GDPR) și, unde e cazul, persoanele vizate (Art. 34 GDPR), în cel mult 72 de ore de la identificarea breșei.

NIS2 – securitate cibernetică. În calitate de entitate din domeniul sănătății, intrăm în sfera Directivei (UE) 2022/2555 (NIS2), transpusă prin OUG nr. 155/2024 și Legea nr. 124/2025. În caz de incident semnificativ de securitate cibernetică, raportăm către DNSC (Directoratul Național de Securitate Cibernetică) în termenele legale (early warning 24h, notification 72h, final report 30 zile), conform aplicabilității.

9. Modificări ale politicii

Putem actualiza această politică. Versiunile semnificative vor fi comunicate prin aplicație și/sau prin email. Data ultimei actualizări și versiunea sunt indicate în partea de sus a documentului. Reînregistrarea consimțământului poate fi solicitată la versiuni majore.

10. Raportare fiscală DAC7 (medici)

Începând cu 2024, conform OG nr. 16/2023 (transpunere Directiva UE 2021/514 – DAC7), TeleMind este operator de platformă digitală raportabil și are obligația legală să raporteze anual către ANAF (până la 31 ianuarie pentru anul fiscal anterior) datele aferente veniturilor medicilor realizate prin platformă.

Categorii de date raportate către ANAF (pentru medici): nume / denumire, CNP / CUI / CIF, adresă, IBAN, venituri brute realizate prin platformă în perioada de raportare, comisionul reținut de platformă, țara de rezidență fiscală.

Baza legală: Art. 6 alin. (1) lit. (c) GDPR (obligație legală). Consimțământul medicului nu este necesar pentru această prelucrare, însă acesta este informat despre ea.

Drepturile medicului: acces, rectificare a datelor transmise, informații despre destinatar (ANAF) și despre baza legală. Cererile de ștergere nu pot fi onorate pentru datele transmise către ANAF, dar datele se păstrează doar pe durata termenelor legale fiscale (minimum 5 ani).

e-Factura (RO e-Factura). Pentru facturile B2B (inclusiv între platformă și medici persoane juridice), transmiterea se face obligatoriu prin sistemul național RO e-Factura începând cu 15 ianuarie 2026. Transmiterea prin RO e-Factura implică prelucrarea datelor fiscale și financiare de către Ministerul Finanțelor / ANAF.