KINEDBO-Pro

1. Introducere și identitatea operatorului

Prezenta Politică de Confidențialitate descrie modul în care THE KINEDBO SRL (denumit în continuare „Furnizorul") prelucrează datele cu caracter personal în contextul furnizării aplicației KINEDBO-Pro.

Furnizorul acționează ca Persoană Împuternicită (Processor) conform GDPR, prelucrând datele exclusiv în conformitate cu instrucțiunile Operatorului (cabinetul/clinica de kinetoterapie), care este Operatorul de date (Controller) în sensul GDPR.

2. Temeiul legal al prelucrării

Prelucrarea datelor cu caracter personal se realizează în baza următoarelor temeiuri legale:

• Articolul 6 alineatul (1) litera (b) din GDPR Regulamentul UE 2016/679 – executarea unui contract la care persoana vizată este parte.
• Articolul 6 alineatul (1) litera (c) din GDPR Regulamentul UE 2016/679 – îndeplinirea unei obligații legale.
• Articolul 6 alineatul (1) litera (a) din GDPR Regulamentul UE 2016/679 – consimțământul explicit al persoanei vizate (pentru date medicale).
• Articolul 9 alineatul (2) litera (h) din GDPR Regulamentul UE 2016/679 – prelucrarea datelor privind sănătatea în scopul furnizării asistenței medicale sau a tratamentului.

3. Categorii de date prelucrate

3.1 Date de identificare – Fizioterapeut

• Nume și prenume
• Număr de telefon
• Adresă de email
• Date de autentificare (gestionate prin Firebase Authentication)

3.2 Date de identificare – Pacient

• Nume și prenume
• Număr de telefon
• Adresă de email

3.3 Date de identificare – Reprezentantul legal al Pacientului (minori și majori fără discernământ)

În cazul în care Pacientul este minor sau major lipsit de discernământ, sunt prelucrate suplimentar datele reprezentantului legal (părinte, tutore sau curator):

• Nume și prenume
• Domiciliul/reședința
• Calitatea față de pacient (Părinte / Tutore / Curator)

3.4 Materiale foto/video – Pacient (drept la propria imagine / Articolul 6 alineatul (1) litera (a) din GDPR Regulamentul UE 2016/679)

Operatorul poate realiza fotografii sau înregistrări video ale Pacientului în timpul ședințelor, cu scopul de a le publica pe rețelele sociale sau pe alte canale de promovare ale cabinetului. Această prelucrare se realizează exclusiv pe baza consimțământului explicit, liber exprimat și independent al Pacientului sau al reprezentantului său legal (Articolul 6 alineatul (1) litera (a) din GDPR Regulamentul UE 2016/679 și dreptul la propria imagine conform legislației române).

• Consimțământul este separat de consimțământul pentru tratament și de acceptarea prezentei Politici de Confidențialitate.
• Pacientul poate retrage consimțământul oricând, fără nicio consecință asupra tratamentului său, prin modificarea opțiunii în aplicație sau prin notificarea Operatorului.
• Materialele publicate anterior retragerii consimțământului pot rămâne publice; Pacientul poate solicita Operatorului retragerea acestora separat.
• Aceste materiale sunt gestionate exclusiv de Operator și nu sunt prelucrate de Furnizor.

3.5 Date medicale – Pacient (Categorie specială Articolul 9 din GDPR Regulamentul UE 2016/679)

• Documente de kinetoterapie și/sau fizioterapie create în cadrul activității Operatorului.
• Date privind abonamentele și ședințele de kinetoterapie.
• Istoricul programărilor și confirmărilor de participare.

Important: Documentele medicale stocate în Aplicație sunt create și gestionate exclusiv de cabinetul Operatorului. Nu sunt preluate din alte cabinete și nu sunt transmise către alte cabinete sau sisteme.

3.6 Date procesate de Asistentul AI (Categorie specială Articolul 9 din GDPR Regulamentul UE 2016/679)

Funcționalitatea de asistent AI procesează, în cadrul fiecărei sesiuni, un extras din profilul și istoricul de ședințe documentate ale Pacientului (nume, vârstă, sex, diagnostic clinic, comorbidități, medic prescriptor, date ședințe, durate, servicii, obiective și mijloace specifice). Aceste date sunt transmise către Google LLC (Gemini API) exclusiv în scopul generării răspunsurilor sau textelor îmbunătățite. Sesiunile nu sunt stocate permanent de Furnizor. Utilizarea funcționalității AI este opțională și necesită consimțământul explicit al Pacientului.

4. Scopurile prelucrării

• Gestionarea activității de kinetoterapie și/sau fizioterapie a Operatorului.
• Evidența pacienților și a programărilor.
• Gestionarea abonamentelor și confirmarea ședințelor.
• Stocarea documentației medicale specifice kinetoterapiei și/sau fizioterapiei.
• Generarea de rapoarte de activitate pentru uzul intern al Operatorului.
• Asigurarea securității și funcționalității Aplicației.
• Furnizarea funcționalității opționale de asistent AI pentru analiza conversațională a istoricului de ședințe ale Pacientului, exclusiv la inițiativa Utilizatorului sau Pacientului.

Aplicația nu utilizează module de urmărire publicitară, cookie-uri de marketing, pixeli de retargeting sau rețele publicitare de nicio natură. Datele sunt colectate exclusiv în scopurile enumerate mai sus.

5. Destinatarii datelor

Datele cu caracter personal sunt accesibile:

• Operatorului și Utilizatorilor autorizați ai Operatorului.
• Furnizorului (THE KINEDBO SRL), exclusiv în scopuri tehnice de mentenanță și suport.
• Google LLC (Firebase/Google Cloud Platform și Gemini API) – în calitate de sub-procesator, pentru stocarea datelor pe servere securizate certificate ISO 27001, precum și pentru procesarea datelor de sesiune în cadrul funcționalității opționale de asistent AI (Gemini API). Gemini API funcționează în conformitate cu politicile de utilizare a datelor Google pentru API-urile AI, disponibile la ai.google.dev/terms.

Datele nu sunt transferate, vândute sau dezvăluite altor terți fără consimțământul explicit al Operatorului.

6. Transferuri internaționale de date

Firebase/Google Cloud Platform poate stoca date pe servere situate în Spațiul Economic European (SEE) sau în afara acestuia. Google LLC respectă clauzele contractuale standard aprobate de Comisia Europeană pentru transferurile internaționale de date, în conformitate cu Articolul 46 din GDPR Regulamentul UE 2016/679.

Furnizorul se obligă să configureze proiectul Firebase exclusiv cu regiuni situate în Spațiul Economic European pentru baza de date, fișiere și funcții, cât timp Firebase/Google Cloud Platform are această opțiune.

7. Durata prelucrării

• Datele de identificare sunt păstrate pe durata contractului cu Operatorul și șterse în maxim 90 de zile de la încetarea acestuia.
• Documentele medicale sunt păstrate conform politicii de retenție stabilite exclusiv de Operator, care este singurul responsabil pentru respectarea termenelor minime de arhivare impuse de legislația română aplicabilă în domeniul medical și actele normative în vigoare. Furnizorul nu inițiază nicio ștergere de documente medicale din proprie inițiativă.
• Datele de autentificare sunt gestionate conform politicilor Firebase Authentication.

Excepție PNRR: Întrucât aplicația este co-finanțată prin PNRR — NextGenerationEU, datele aferente proiectului sunt păstrate minimum 5 ani de la data plății finale efectuate de Comisia Europeană către România, în conformitate cu obligațiile de audit PNRR. Această obligație prevalează față de termenele standard de mai sus, exclusiv pentru datele relevante proiectului finanțat.

7a. Accesul autorităților de audit PNRR

În contextul finanțării prin PNRR, următoarele autorități pot solicita acces la date în scop de audit, control sau investigație, constituind temei legal conform Articolul 6 alineatul (1) litera (c) din GDPR Regulamentul UE 2016/679 (obligație legală):

• Ministerul Investițiilor și Proiectelor Europene (MIPE)
• Autoritatea de Audit de pe lângă Curtea de Conturi a României
• Curtea de Conturi a României
• Oficiul European de Luptă Antifraudă (OLAF)
• Curtea Europeană de Conturi
• Comisia Europeană

Accesul acestor autorități la date se limitează strict la datele relevante pentru scopul auditului și se realizează conform procedurilor legale aplicabile.

8. Drepturile persoanelor vizate

Persoanele vizate (pacienți, fizioterapeuți) beneficiază de următoarele drepturi, exercitate prin intermediul Operatorului:

• Dreptul de acces (Articolul 15 din GDPR Regulamentul UE 2016/679) – de a obține confirmare privind prelucrarea și o copie a datelor.
• Dreptul la rectificare (Articolul 16 din GDPR Regulamentul UE 2016/679) – de a solicita corectarea datelor inexacte.
• Dreptul la ștergere (Articolul 17 din GDPR Regulamentul UE 2016/679) – „dreptul de a fi uitat", în condițiile prevăzute de lege.
• Dreptul la restricționarea prelucrării (Articolul 18 din GDPR Regulamentul UE 2016/679).
• Dreptul la portabilitatea datelor (Articolul 20 din GDPR Regulamentul UE 2016/679).
• Dreptul la opoziție (Articolul 21 din GDPR Regulamentul UE 2016/679).
• Dreptul de a nu face obiectul unei decizii automate (Articolul 22 din GDPR Regulamentul UE 2016/679).

Cererile privind exercitarea drepturilor se transmit Operatorului (cabinetul/clinica), care este responsabil pentru soluționarea acestora.

În cazul pacienților minori sau al majorilor lipsiți de discernământ, drepturile GDPR se exercită exclusiv prin intermediul reprezentantului legal (părinte, tutore sau curator), care acționează în numele și în interesul persoanei vizate.

9. Securitatea datelor

Furnizorul implementează măsuri tehnice și organizatorice adecvate pentru protecția datelor:

• Autentificare prin Firebase Authentication.
• Criptare în tranzit (TLS) și în repaus pentru toate datele stocate în Firestore și Firebase Storage.
• Reguli de securitate Firestore și Storage configurate pentru control strict al accesului.
• Monitorizare și audit al accesului la date.
• Backup automat al datelor prin infrastructura Firebase/Google Cloud.

9a. Asistentul AI — prelucrarea datelor medicale

Aplicația include o funcționalitate opțională de asistent bazat pe inteligență artificială (AI), accesibilă din istoricul de ședințe. Prin utilizarea acestei funcționalități, Utilizatorul sau Pacientul inițiază în mod explicit o sesiune de conversație AI.

Date transmise: Profilul Pacientului și istoricul de ședințe documentate (date, durate, servicii, obiective/mijloace specifice) sunt incluse în cererea transmisă către Gemini API (Google LLC) ca parte a contextului de sistem al conversației.

Temei legal: Articolul 9 alineatul (2) litera (h) din GDPR Regulamentul UE 2016/679 — prelucrare în scopul furnizării asistenței în domeniul sănătății, combinat cu consimțământul explicit al persoanei vizate la inițierea sesiunii AI.

Limitări importante:

• Răspunsurile generate de AI sunt exclusiv informative și nu constituie sfaturi medicale, diagnostic sau recomandări terapeutice.
• Conversațiile nu sunt stocate permanent de Furnizor și nu se integrează în dosarul medical al Pacientului.
• Sesiunile AI sunt izolate per utilizator autentificat — datele unui Pacient nu sunt accesibile altor Pacienți.
• Utilizarea funcționalității AI este opțională. Neutilizarea acesteia nu afectează niciun alt drept sau serviciu al Pacientului.

Sub-procesator AI: Google LLC (Gemini API) procesează datele transmise conform propriilor politici de confidențialitate și acordurilor de sub-procesare aplicabile serviciilor Firebase/Google Cloud, care includ angajamente de conformitate GDPR.

10. Notificarea incidentelor

În caz de incident de securitate care implică date cu caracter personal, Furnizorul va notifica Operatorul în maxim 72 de ore de la identificarea incidentului, conform Articolul 33 din GDPR Regulamentul UE 2016/679. Operatorul este responsabil pentru notificarea Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) și a persoanelor vizate, dacă este cazul.

11. Responsabilul cu protecția datelor (DPO)

Dacă Operatorul este obligat prin GDPR să desemneze un DPO (ex: instituție de sănătate publică sau prelucrare la scară largă de date medicale), acesta este exclusiv responsabilitatea Operatorului. Furnizorul poate fi contactat la kinedbo@gmail.com pentru orice aspecte tehnice legate de prelucrarea datelor.

12. Plângeri

Persoanele vizate au dreptul de a depune plângeri la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), cu sediul în Bd. G-ral. Gheorghe Magheru 28-30, București — www.dataprotection.ro.

13. Modificări ale politicii

Prezenta Politică de Confidențialitate poate fi actualizată. Versiunea curentă este întotdeauna disponibilă în Aplicație. Modificările semnificative vor fi comunicate Operatorului cu minimum 30 de zile înainte de intrarea în vigoare.

14. Date de contact

• Denumire: THE KINEDBO SRL
• CUI: 42862532
• Nr. Reg. Com.: J2020000360311
• Adresă: Sat Aghireș, Comuna Meseșenii de Jos, Nr. 411, Județ Sălaj, România
• Email: kinedbo@gmail.com