Politică de Confidențialitate

Ultima actualizare: Iunie 2026

Această politică de confidențialitate descrie modul în care Verumsell SRL (“noi”, “Buzomed”) colectează, utilizează și protejează datele cu caracter personal în cadrul platformei Buzomed (buzomed.com), în conformitate cu Regulamentul (UE) 2016/679 (GDPR) și Legea nr. 190/2018 privind măsurile de punere în aplicare a GDPR în România.

1. Cine suntem

Verumsell SRL este societatea care dezvoltă și operează platforma Buzomed.
Email: hello@buzomed.com

Platforma Buzomed este un software de gestiune destinat cabinetelor de medicină a muncii din România.

2. Rolurile noastre în raport cu datele — Operator vs. Procesator (Art. 28 GDPR)

Buzomed acționează în două calități distincte, în funcție de categoria de date prelucrate:

Operator independent — pentru datele utilizatorilor platformei (conturi, acces, securitate):
Verumsell SRL determină scopurile și mijloacele prelucrării datelor de înregistrare și de utilizare a platformei. Temeiul legal: Art. 6(1)(b) GDPR (executarea contractului).

Procesator de date (împuternicit) — pentru datele medicale ale angajaților introduse în platformă:
Cabinetul de medicină a muncii (Clientul) este Operatorul datelor angajaților firmelor sale cliente. Verumsell SRL acționează ca Procesator (împuternicit al operatorului) în conformitate cu Art. 28 GDPR, prelucrând aceste date exclusiv în baza instrucțiunilor Clientului și în scopul furnizării serviciului contractat. Cabinetul (Clientul), în calitate de Operator, rămâne exclusiv responsabil față de angajații firmelor sale cliente pentru legalitatea prelucrării. Verumsell SRL nu are nicio răspundere față de angajații firmelor cliente ale Cabinetului.

Relația de procesator este reglementată prin Acordul de Prelucrare a Datelor (DPA) inclus în Termenii și Condițiile de Utilizare acceptați la activarea contului. Cabinetul rămâne responsabil față de angajații firmelor sale cliente pentru prelucrarea datelor lor medicale.

3. Ce date colectăm

Date de cont:
Nume, prenume, adresă de email, numele cabinetului, orașul — colectate la activarea contului.

Date profesionale:
Titlu profesional, cod de parafă, semnătură digitală și ștampilă — opționale, furnizate de utilizator.

Date despre angajații firmelor cliente:
Nume, prenume, CNP (stocat criptat AES-256-GCM), dată de naștere, gen, loc de muncă, rezultatele examinărilor medicale ocupaționale. Aceste date sunt introduse de medicii utilizatori ai platformei în exercitarea activității lor profesionale, în calitate de operator.

Date de utilizare:
Adresă IP (hashată), timestamp-uri de autentificare, acțiuni efectuate în platformă — utilizate pentru securitate și audit.

Date din chatbot-ul de pe pagina de prezentare:
Mesajele trimise asistentului AI de pe buzomed.com sunt salvate în formă anonimizată (fără nume, fără email) exclusiv pentru îmbunătățirea serviciului.

4. Cum utilizăm datele

Utilizăm datele pentru:

Furnizarea și îmbunătățirea serviciilor platformei
Trimiterea de emailuri tranzacționale (activare cont, notificări de scadențe, rapoarte)
Asigurarea securității, integrității și auditului platformei
Respectarea obligațiilor legale (arhivare documente medicale)
Facturare și evidență contabilă

Nu vindem, nu închiriem și nu transferăm datele dumneavoastră către terți în scopuri comerciale.

5. Temeiul legal (GDPR Art. 6 și Art. 9)

Prelucrăm datele în baza următoarelor temeiuri legale:

Executarea contractului (Art. 6(1)(b) GDPR) — pentru datele de cont și furnizarea serviciului contractat
Obligație legală (Art. 6(1)(c) GDPR) — pentru datele necesare conformității cu legislația muncii și sănătății ocupaționale (HG 355/2007, Legea 319/2006, Legea 95/2006)
Interese legitime (Art. 6(1)(f) GDPR) — pentru securitatea platformei, prevenirea fraudei și îmbunătățirea serviciului și apărarea drepturilor Verumsell SRL în caz de litigiu
Obligație legală / interes public în domeniul sănătății (Art. 9(2)(b)(h) GDPR) — pentru datele speciale privind sănătatea angajaților, prelucrate în scopul medicinii preventive a muncii, cu respectarea secretului profesional medical (Legea 46/2003, Legea 95/2006)

6. Sub-procesatori (furnizori terți)

În calitate de procesator, Verumsell SRL utilizează următorii sub-procesatori pentru furnizarea serviciului. Toți sub-procesatorii sunt selectați cu respectarea Art. 28(2) GDPR și sunt obligați contractual să asigure un nivel echivalent de protecție a datelor:

Sub-procesator	Rol	Locație date	Mecanism transfer
Supabase Inc.	Infrastructură baze de date, autentificare	Frankfurt, Germania (UE)	UE/SEE — fără transfer extra-UE
Vercel Inc.	Infrastructură aplicație web, hosting, CDN	SUA + noduri EU edge	Clauze Contractuale Standard (SCC) UE-SUA
Anthropic PBC	Procesare AI (date anonimizate exclusiv)	SUA	Clauze Contractuale Standard (SCC) UE-SUA
Brevo SAS (Sendinblue)	Trimitere emailuri tranzacționale	Paris, Franța (UE)	UE/SEE — fără transfer extra-UE
Stripe Inc.	Procesare plăți, facturare	SUA + EU	Clauze Contractuale Standard (SCC) UE-SUA

Verumsell SRL își rezervă dreptul de a înlocui sau adăuga sub-procesatori, cu notificarea Clientului cu cel puțin 14 zile înainte prin email. Dacă Clientul nu formulează obiecții în acest termen, se consideră că a acceptat modificarea.

7. Funcționalități AI și date personale

Platforma Buzomed utilizează servicii de inteligență artificială (Anthropic Claude API) pentru funcționalități specifice (asistent intern, sugestii cod CAEN, narativa rapoarte). Politica noastră strictă:

Ce NU trimitem niciodată la AI:

Nume sau prenume ale angajaților
CNP-uri sau orice identificator personal direct
Date de contact individuale
Orice date care ar permite reidentificarea unui individ

Ce trimitem la AI (exclusiv date anonimizate/pseudonimizate):

Cod CAEN al firmei (pentru sugestii de profil de risc)
Valori medicale anonimizate (vârstă aproximativă, gen, valori numerice) fără identificatori
Statistici agregate per firmă — pentru generarea narativei raportului anual
Header-uri de coloane Excel — pentru maparea automată la import (nu datele efective)

Anthropic procesează aceste date în conformitate cu Clauze Contractuale Standard (SCC) aprobate de Comisia Europeană pentru transferuri UE-SUA (Decizia de punere în aplicare 2021/914) și nu utilizează datele transmise prin API pentru antrenarea modelelor. Verumsell SRL nu poate fi ținută răspunzătoare pentru prelucrările efectuate de Anthropic în afara scopului contractat.

8. CNP-uri — protecție specială

CNP-urile angajaților sunt criptate cu AES-256-GCM înainte de stocare. Cheia de criptare este separată de baza de date. CNP-ul în clar nu este niciodată stocat și nu este niciodată transmis către servicii externe, inclusiv AI.

9. Izolarea datelor între cabinete

Platforma utilizează Row Level Security (RLS) la nivel de bază de date. Datele unui cabinet sunt complet izolate de datele altor cabinete — este imposibil tehnic ca un utilizator al unui cabinet să acceseze datele altui cabinet. Verumsell SRL nu poate fi ținută răspunzătoare pentru accesul neautorizat rezultat din compromiterea credențialelor de acces ale utilizatorilor Clientului.

10. Unde sunt stocate datele

Toate datele principale ale platformei sunt stocate pe servere situate în Frankfurt, Germania (UE), prin intermediul Supabase Inc.

Comunicațiile între client și server sunt protejate prin HTTPS/TLS 1.2+. Accesul intern la baza de date este restricționat prin politici de rețea și control al accesului bazat pe roluri.

11. Cât timp păstrăm datele

Date de cont activ: pe durata utilizării platformei + 24 de luni după expirarea sau anularea abonamentului
Date despre examinări medicale ocupaționale: minim 7 ani conform HG 355/2007 și Legea 319/2006, termen ce poate fi extins prin lege specială pentru anumite expuneri profesionale
Date de audit și loguri: 12 luni
Date din chatbot (anonimizate): 24 luni
Date de facturare: 5 ani conform Legii contabilității nr. 82/1991

La ștergerea contului, datele personale identificabile sunt șterse în termen de 30 de zile. Datele medicale pot fi reținute conform obligațiilor legale menționate mai sus.

12. Drepturile dumneavoastră (GDPR Art. 15-21)

Aveți dreptul la:

Acces (Art. 15) — să solicitați o copie a datelor personale deținute despre dumneavoastră
Rectificare (Art. 16) — corectarea datelor inexacte sau incomplete
Ștergere (Art. 17) — “dreptul de a fi uitat”, în limitele obligațiilor legale de arhivare
Restricționare (Art. 18) — limitarea temporară a prelucrării
Portabilitate (Art. 20) — exportul datelor în format structurat, lizibil de mașină (JSON/CSV)
Opoziție (Art. 21) — față de prelucrarea bazată pe interese legitime, cu excepția cazurilor în care Verumsell SRL demonstrează motive legitime imperioase care prevalează
Retragerea consimțământului — acolo unde prelucrarea se bazează pe consimțământ, fără a afecta legalitatea prelucrării anterioare retragerii

Cererile se depun la hello@buzomed.com și vor primi răspuns în termen de maximum 30 de zile calendaristice (termen ce poate fi extins cu 60 de zile pentru cereri complexe, cu notificarea dumneavoastră). Preferăm întotdeauna rezolvarea directă și amiabilă a oricărei solicitări.

Notă pentru angajații firmelor cliente: Verumsell SRL acționează exclusiv ca procesator în relația cu cabinetul medical și nu deține un raport juridic direct cu angajații firmelor cliente. Solicitările privind datele medicale trebuie adresate direct Cabinetului. Orice solicitare primită direct de Buzomed va fi redirecționată, fără a ne angaja răspunderea pentru soluționarea ei.

13. Incidente de securitate și notificări (Art. 33-34 GDPR)

În cazul unui incident de securitate care implică date cu caracter personal (acces neautorizat, divulgare, modificare sau distrugere accidentală):

Notificarea ANSPDCP: Verumsell SRL va notifica ANSPDCP în termen de 72 de ore de la constatarea incidentului, în conformitate cu Art. 33 GDPR, dacă incidentul prezintă risc pentru drepturile și libertățile persoanelor fizice
Notificarea persoanelor afectate: Dacă incidentul prezintă un risc ridicat pentru drepturile și libertățile persoanelor fizice, acestea vor fi notificate fără întârziere nejustificată, conform Art. 34 GDPR
Notificarea Clientului (Cabinetului): În calitate de procesator, vom notifica Cabinetul (Operatorul) fără întârziere nejustificată după constatarea oricărui incident care afectează datele procesate în numele său, pentru a-i permite să își îndeplinească propriile obligații de notificare

Menținem un registru intern al incidentelor de securitate conform Art. 33(5) GDPR. Procedurile de răspuns la incidente sunt revizuite anual.

14. Responsabil cu Protecția Datelor (DPO)

Verumsell SRL nu are obligația legală de a desemna un Responsabil cu Protecția Datelor (DPO/RPD) conform Art. 37 GDPR, întrucât prelucrarea datelor speciale (medicale) este accidentală față de activitatea principală a societății și nu se realizează la scară largă.

Toate solicitările legate de protecția datelor sunt gestionate de echipa Buzomed la: hello@buzomed.com

15. Cookie-uri

(1) Cookie-uri strict necesare — fără consimțământ

Buzomed utilizează cookie-uri tehnice strict necesare pentru autentificare și funcționarea platformei (sesiune, preferințe limbă). Aceste cookie-uri sunt active fără a fi necesară acceptarea dumneavoastră, în temeiul interesului legitim al furnizării serviciului. Nu utilizăm cookie-uri de publicitate.

(2) Cookie-uri analitice GA4 — numai cu consimțământ explicit

Site-ul public buzomed.com utilizează Google Analytics (GA4) pentru măsurarea anonimă a traficului. Aceste cookie-uri sunt activate exclusiv după acordarea consimțământului dumneavoastră explicit prin bannerul de cookie-uri afișat la prima vizită. Nu sunt utilizate pentru identificare personală sau publicitate.

Cookie	Durată	Furnizor	Scop
`_ga`	2 ani	Google Analytics (GA4)	Distinge utilizatorii unici; statistici de trafic
`_gid`	24 ore	Google Analytics (GA4)	Distinge utilizatorii unici în cursul zilei
`_gat`	1 minut	Google Analytics (GA4)	Limitează rata cererilor către Google

Cookie-urile analitice sunt terțe (setate de Google LLC). Consimțământul poate fi retras oricând prin ștergerea cookie-urilor din setările browserului sau prin selectarea opțiunii “Continuă fără analytics” din bannerul de cookie-uri. Refuzul cookie-urilor analitice nu afectează accesul la platformă sau la orice funcționalitate a acesteia.

16. Legislație aplicabilă

Prezenta politică este redactată în conformitate cu:

Regulamentul (UE) 2016/679 (GDPR)
Legea nr. 190/2018 privind măsurile de punere în aplicare a GDPR în România
Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice (ePrivacy — cookie-uri)
HG nr. 355/2007 privind supravegherea sănătății lucrătorilor (cu modificările ulterioare)
Legea nr. 319/2006 — Legea securității și sănătății în muncă
Legea nr. 95/2006 — Legea privind reforma în domeniul sănătății
Legea nr. 46/2003 — Drepturile pacientului (confidențialitate medicală)
Legea nr. 82/1991 — Legea contabilității (pentru datele de facturare)

17. Modificări ale politicii

Verumsell SRL își rezervă dreptul de a modifica prezenta politică oricând, cu notificarea utilizatorilor activi prin email cu cel puțin 14 zile înainte de intrarea în vigoare a modificărilor semnificative.

Versiunile anterioare ale politicii pot fi solicitate la hello@buzomed.com.

18. Contact

Pentru orice întrebare legată de confidențialitate sau pentru exercitarea drepturilor GDPR:
Email: hello@buzomed.com
Răspuns: în termen de maximum 72 de ore lucrătoare la întrebări generale; maximum 30 de zile calendaristice pentru cereri formale de exercitare a drepturilor

← Înapoi la buzomed.com