Politica de Confidentialitate

OptimHealth este operat de IOT & AI SOLUTIONS SRL, cu sediul in Str. Heliade Intre Vii 8, Sector 2, Bucuresti, Cod 023383, inregistrata la Registrul Comertului sub nr. J40/10034/2004, CUI RO16532004. Datele de contact: office@optim.health. Responsabil protectia datelor (DPO): adrianmicu@optim.health.

In functie de functionalitatile utilizate, prelucram urmatoarele categorii de date: • Date de identificare: nume, prenume, data nasterii, sex • Date antropometrice: greutate, inaltime • Date de sanatate: alergii, diagnostice (coduri ICD-11), medicatie curenta si istorica, rezultate de laborator, constatari imagistice, scoruri de risc clinic • Date din documente medicale: text extras din PDF-uri medicale incarcate • Date de cont: adresa de email, rol (medic/pacient) • Date tehnice: adresa IP, log-uri de acces, timestamp-uri

Prelucram datele dumneavoastra in urmatoarele scopuri: • Gestionarea profilului medical al pacientului • Extragerea structurata a datelor din documente medicale folosind inteligenta artificiala • Calculul scorurilor de risc clinic (renal, hepatic, cardiac, hemoragic) • Verificarea compatibilitatii medicamentelor si detectarea interactiunilor • Monitorizarea evolutiei parametrilor de laborator in timp • Identificarea alergiilor la excipienti din medicamente • Asigurarea securitatii si functionarii platformei

Prelucrarea datelor se bazeaza pe: • Art. 6(1)(a) GDPR — consimtamantul dumneavoastra explicit • Art. 9(2)(a) GDPR — consimtamant explicit pentru datele de sanatate • Art. 9(2)(h) GDPR — prelucrare necesara in scopuri de medicina preventiva sau asistenta medicala, de catre un profesionist medical supus secretului profesional • Art. 6(1)(b) GDPR — executarea unui contract de prestare servicii • Art. 6(1)(f) GDPR — interes legitim (securitate, prevenirea fraudei) Cadru national aplicabil: Legea 190/2018 (specificitati GDPR in Romania), Legea 95/2006 privind reforma in domeniul sanatatii (art. 24 — pastrarea documentelor medicale, art. 217-218 — secretul profesional medical), Codul deontologic al medicului (CMR), Codul penal art. 227 (secret profesional). Profesionistii medicali utilizatori isi pastreaza obligatia de secret profesional independent de prelucrarea prin platforma. Consimtamantul poate fi retras in orice moment, fara a afecta legalitatea prelucrarii efectuate inainte de retragere.

Documentele medicale incarcate sunt procesate cu ajutorul modelului GPT-4o (furnizat de OpenAI, Inc.). Inainte de trimitere: • Textul este pseudonimizat — numele pacientului, data nasterii, CNP-ul, numerele de telefon si adresele de email sunt eliminate automat • Se trimite doar textul medical relevant, nu intregul PDF • OpenAI nu retine datele trimise prin API conform termenilor contractuali (DPA semnat) Scorurile de risc si extractiile sunt marcate ca 'suport decizional — verificare umana necesara' si nu inlocuiesc judecata clinica a medicului.

Datele pot fi accesate de: • Medicul care a creat profilul pacientului (acces exclusiv la pacientii proprii) • Furnizorul de procesare AI (OpenAI, Inc., SUA) — doar text pseudonimizat, conform DPA si SCC • Furnizorul de hosting (Hetzner Online GmbH, Germania, UE) — toate datele, in conditii de securitate Nu vindem si nu partajam datele cu terte parti in scopuri de marketing.

Textul pseudonimizat al documentelor medicale este transmis catre OpenAI, Inc. (SUA) pentru procesare. Acest transfer este protejat prin: • Data Processing Agreement (DPA) semnat cu OpenAI • Clauze Contractuale Standard (SCC) conform deciziei Comisiei Europene • Transfer Impact Assessment (TIA) realizat • Masuri tehnice de pseudonimizare aplicate inainte de transmitere Toate celelalte date sunt stocate exclusiv pe servere din Uniunea Europeana (Germania).

Pastrarea documentelor medicale urmeaza obligatiile legale romanesti. Categoriile si termenele: Documente medicale (cadru Legea 95/2006 si reglementari Ministerul Sanatatii): • Foaie de observatie clinica generala (FOCG) si echivalente: minim 100 ani de la incheierea episodului de ingrijire • Bilet de externare, scrisoare medicala, raport operator: 50 ani • Rezultate de laborator, imagistica, anatomopatologie: pe durata relatiei medicale, dar minim conform Ord. MS 1410/2016 si reglementari aplicabile • Consimtamant medical informat: arhivat impreuna cu documentul medical asociat Date tehnice si de cont: • Profil pacient activ: pe durata relatiei medicale • Profil pacient inactiv (cont): 5 ani de la ultima activitate, sub rezerva obligatiilor de pastrare a documentelor medicale de mai sus • Log-uri de audit acces (MDR Class IIa, Legea 95/2006 art. 24): 5 ani minim • Log-uri tehnice (server, request): 90 de zile • Backup-uri criptate offsite: 30 de zile rolling • Dovada consimtamantului GDPR: permanent (raman necesare pentru auditul legalitatii prelucrarii anterioare) La cererea de stergere (Art. 17 GDPR), datele tehnice si de cont sunt eliminate ireversibil; documentele medicale care fac obiectul unei obligatii legale de pastrare raman in arhiva pseudonimizata pana la expirarea termenului legal, dupa care sunt distruse conform procedurii de retentie.

Conform GDPR, aveti urmatoarele drepturi: • Dreptul de acces (Art. 15) — puteti solicita o copie a tuturor datelor dumneavoastra. Butonul 'Export GDPR' din profilul pacientului genereaza un fisier JSON complet. • Dreptul la rectificare (Art. 16) — puteti corecta datele din profil in orice moment prin editare. • Dreptul la stergere (Art. 17) — puteti solicita stergerea completa a tuturor datelor. Butonul 'Sterge' din profil elimina ireversibil toate datele asociate. • Dreptul la restrictionare (Art. 18) — puteti solicita blocarea temporara a prelucrarii. • Dreptul la portabilitate (Art. 20) — exportul GDPR furnizeaza datele in format JSON structurat. • Dreptul de opozitie (Art. 21) — puteti contesta prelucrarea bazata pe interes legitim. • Dreptul privind deciziile automate (Art. 22) — scorurile de risc sunt suport decizional, nu decizii automate. Puteti solicita explicatii despre componentele fiecarui scor. Pentru exercitarea drepturilor, contactati: adrianmicu@optim.health. Raspundem in maxim 30 de zile.

Protejam datele prin: • Autentificare centralizata cu Keycloak (JWT tokens) • Izolarea datelor pe medic (fiecare medic vede doar pacientii proprii) • HTTPS pe toate comunicarile • Pseudonimizare automata inainte de procesare AI • Deduplicare pe continut (SHA-256) pentru documente • Audit log complet (cine a accesat ce, cand, de unde)

Aveti dreptul de a depune o plangere la Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal (ANSPDCP): Adresa: B-dul G-ral. Gheorghe Magheru nr. 28-30, Sector 1, Bucuresti Telefon: +40.318.059.211 Email: anspdcp@dataprotection.ro Website: www.dataprotection.ro

Aceasta politica poate fi actualizata periodic. Utilizatorii vor fi notificati prin email si/sau prin anunt in platforma la orice modificare substantiala. Data ultimei actualizari este afisata in partea de sus a acestei pagini.