1. Cine suntem

WELIST S.R.L., cu sediul social în , CUI 54493544, Nr. Reg. Com. J2026025099009, denumită în continuare „Societatea", „noi" sau „VAstoma", operează platforma SaaS accesibilă la vastoma.ro.

Puteți contacta Societatea la adresa de email: contact@vastoma.ro

În relația cu cabinetele stomatologice (clienții noștri direcți), Societatea acționează ca operator de date. În relația cu pacienții cabinetelor, Societatea acționează ca persoană împuternicită de operator, operatorul principal fiind cabinetul stomatologic.

2. Ce date colectăm și de ce

2.1 Date ale cabinetelor stomatologice (clienți direcți)

Categorie de date	Scop	Baza legală
Nume, prenume, adresă email, parolă (criptată)	Creare și gestionare cont	Executarea contractului (Art. 6(1)(b) GDPR)
Denumire cabinet, adresă, telefon, nr. WhatsApp	Configurarea agentului AI	Executarea contractului (Art. 6(1)(b) GDPR)
Servicii stomatologice, prețuri, orar de lucru	Funcționarea sistemului de programări	Executarea contractului (Art. 6(1)(b) GDPR)
Date de facturare	Emiterea facturilor	Obligație legală (Art. 6(1)(c) GDPR)
Date de utilizare, log-uri de acces	Securitate, depanare, îmbunătățire serviciu	Interes legitim (Art. 6(1)(f) GDPR)

2.2 Date ale pacienților (procesate în numele cabinetului)

Categorie de date	Scop	Baza legală
Nume, număr de telefon WhatsApp	Identificarea pacientului, comunicare	Interes legitim al cabinetului (Art. 6(1)(f) GDPR)
Istoricul programărilor (dată, serviciu, stare)	Gestionarea programărilor	Interes legitim al cabinetului (Art. 6(1)(f) GDPR)
Conținutul conversațiilor WhatsApp	Procesarea cererilor de programare prin AI	Interes legitim (Art. 6(1)(f) GDPR)
Observații medicale introduse de medic (alergii, tratamente)	Asistarea medicului în îngrijirea pacientului	Art. 9(2)(h) GDPR — necesar pentru asistență medicală

Notă privind datele medicale: Datele privind sănătatea sunt date cu caracter special în sensul Art. 9 GDPR și beneficiază de protecție sporită. Nu colectăm date medicale în mod direct — acestea sunt introduse exclusiv de medicul stomatolog în fișa pacientului.

3. Sub-procesatori și transferuri internaționale

Pentru furnizarea serviciilor, colaborăm cu următorii sub-procesatori:

Sub-procesator	Țara	Scop	Garanție transfer
Hetzner Online GmbH	Germania (UE)	Hosting servere, stocare date	Teritoriu UE — nu necesită garanții suplimentare
Twilio Inc.	SUA	Trimiterea și primirea mesajelor WhatsApp	Clauze Contractuale Standard (SCC) — Decizia 2021/914/UE
Anthropic PBC	SUA	Procesarea NLP a mesajelor prin Claude AI	Clauze Contractuale Standard (SCC) — Decizia 2021/914/UE
Google LLC	SUA	Sincronizare Google Calendar (opțional)	Clauze Contractuale Standard (SCC) — Decizia 2021/914/UE

Transferurile către SUA sunt acoperite prin Clauze Contractuale Standard adoptate de Comisia Europeană. Datele stocate pe servere (Hetzner) rămân în Germania, în interiorul UE.

4. Durata retenției datelor

Categorie de date	Durata retenției
Date de cont cabinet (email, parolă, configurații)	Pe durata contractului + 30 de zile după reziliere
Date de facturare	10 ani (obligație legală conform Legii contabilității nr. 82/1991)
Date pacienți (programări, conversații)	Pe durata contractului cabinetului cu VAstoma + 30 de zile
Observații medicale din fișele pacienților	Conform instrucțiunilor cabinetului stomatologic (operator)
Log-uri de securitate și acces	90 de zile
Date de conversații WhatsApp procesate prin AI	Maximum 30 de zile după finalizarea conversației

5. Drepturile dumneavoastră

În conformitate cu GDPR, aveți următoarele drepturi:

• Dreptul de acces (Art. 15 GDPR) — Puteți solicita o copie a datelor pe care le deținem despre dumneavoastră.
• Dreptul la rectificare (Art. 16 GDPR) — Puteți solicita corectarea datelor incorecte sau incomplete.
• Dreptul la ștergere ("dreptul de a fi uitat") (Art. 17 GDPR) — Puteți solicita ștergerea datelor, în condițiile prevăzute de lege.
• Dreptul la restricționarea prelucrării (Art. 18 GDPR) — Puteți solicita limitarea prelucrării datelor în anumite circumstanțe.
• Dreptul la portabilitate (Art. 20 GDPR) — Puteți solicita datele dumneavoastră într-un format structurat, utilizat în mod curent și lizibil de mașini.
• Dreptul la opoziție (Art. 21 GDPR) — Vă puteți opune prelucrării datelor pe baza interesului legitim.
• Dreptul de a retrage consimțământul — Acolo unde prelucrarea se bazează pe consimțământ, îl puteți retrage oricând.
• Dreptul de a depune o plângere — Puteți depune o plângere la ANSPDCP (Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal), B-dul G-ral. Gheorghe Magheru 28-30, Sector 1, București, www.dataprotection.ro.

Pentru pacienții cabinetelor stomatologice: drepturile GDPR se exercită în principal față de cabinetul stomatologic, care este operatorul datelor dumneavoastră. VAstoma va sprijini cabinetul în onorarea acestor solicitări.

6. Securitatea datelor

Implementăm măsuri tehnice și organizatorice adecvate pentru protejarea datelor, inclusiv:

• Criptare în tranzit (TLS 1.2+) pentru toate comunicațiile
• Criptare la repaus pentru datele stocate
• Parole stocate exclusiv sub formă de hash (bcrypt)
• Acces restricționat la date pe baza principiului „need-to-know"
• Monitorizare continuă a securității și log-uri de acces
• Backup-uri regulate ale datelor

7. Cookie-uri

Utilizăm cookie-uri pentru funcționarea platformei. Detalii complete în Politica de cookie-uri.

8. Modificări ale acestei politici

Putem actualiza periodic această politică. Vă vom notifica cu privire la modificările semnificative prin email sau prin afișare proeminentă pe platformă, cu cel puțin 30 de zile înainte de intrarea în vigoare.