Politica de Confidentialitate — PsihoLog

Ultima actualizare: 30 aprilie 2026

1. Operatorul de date

Aplicatia PsihoLog (denumita in continuare "PsihoLog" sau "Serviciul") este operata de Lumin Technologies SRL (in curs de inregistrare la Registrul Comertului Romania), cu sediul in Bucuresti, Romania. Pana la finalizarea inregistrarii, operatorul de fapt al datelor este persoana fizica fondatoare, contactabila la adresele de mai jos.

Contact general: support@psiholog.lumin.ro
Cereri privind datele personale: privacy@psiholog.lumin.ro
Website: https://psiholog.lumin.ro

PsihoLog nu a desemnat un Responsabil cu Protectia Datelor (DPO) in temeiul art. 37 GDPR deoarece nu indeplineste pragurile obligatorii. Toate cererile privind datele personale sunt tratate de echipa de confidentialitate la adresa de mai sus.

2. Controlor vs. imputernicit (clinici si pacienti)

PsihoLog se comporta diferit in functie de tipul de date:

Date despre psihologi si clinici (utilizatorii Serviciului): PsihoLog actioneaza ca operator (controller). Decidem de ce si cum prelucram aceste date.
Date despre pacientii cabinetelor: PsihoLog actioneaza ca persoana imputernicita (processor) in numele psihologului sau al clinicii care utilizeaza Serviciul. Operatorul ramane cabinetul/clinica respectiva, care este responsabil de baza legala a prelucrarii (consimtamant scris, contract terapeutic, obligatie legala).

Acest fapt este formalizat printr-un Acord de Prelucrare a Datelor (DPA) conform art. 28 GDPR, disponibil la cerere pentru clinici.

3. Date colectate si scopuri

Categorie	Exemple	Scop	Baza legala
Date de cont	Email, nume complet, specializare, parola criptata	Crearea si autentificarea contului	Executarea contractului (art. 6(1)(b))
Date despre cabinet	Denumire, CUI, adresa, numar de inregistrare COPSI	Generarea documentelor profesionale, facturare	Executarea contractului (art. 6(1)(b))
Date despre pacienti	Nume, data nasterii, CNP (optional), contact, note clinice	Gestionarea cabinetului (in numele psihologului)	PsihoLog actioneaza ca imputernicit; baza legala apartine cabinetului
Date de programare	Data, ora, durata, locatia sesiunilor	Functionarea calendarului si a paginii publice de programari	Executarea contractului (art. 6(1)(b))
Date de plata	Suma, status, ID tranzactie Stripe (NU numerele de card)	Procesarea abonamentelor si facturarea	Executarea contractului (art. 6(1)(b))
Date tehnice	Adresa IP, tip dispozitiv, log-uri de eroare	Securitate, depanare, prevenirea abuzului	Interes legitim (art. 6(1)(f))

PsihoLog nu utilizeaza datele pentru marketing, profilare sau decizii automatizate cu efect juridic asupra utilizatorilor sau pacientilor in sensul art. 22 GDPR.

4. Date speciale (de sanatate)

Notele clinice pot contine date speciale conform art. 9 GDPR. Aceste date sunt:

Stocate criptat in repaus (AES-256) si in tranzit (TLS 1.3);
Izolate per cabinet prin Row Level Security in baza de date;
Accesibile doar utilizatorilor explicit autorizati de cabinet (rol admin sau terapeut);
Protejabile cu PIN sau biometrie pe dispozitiv (la cererea utilizatorului);
Niciodata transmise catre furnizorul de AI (Anthropic) — generarea de documente foloseste sabloane si campuri non-PII.

5. Stocare si servicii terte

Datele primare sunt stocate in Uniunea Europeana (Frankfurt, Germania) prin Supabase (AWS eu-central-1). Urmatoarele servicii terte (sub-imputerniciti) pot prelucra date in numele PsihoLog:

Serviciu	Scop	Locatie / transferuri
Supabase Inc.	Baza de date, autentificare, stocare fisiere	UE (Frankfurt)
Stripe Payments Europe Ltd.	Procesare plati, facturare abonamente	UE (Irlanda); transfer catre Stripe Inc. (SUA) in temeiul Clauzelor Contractuale Standard si DPF
Resend Inc.	Trimitere email-uri tranzactionale	SUA; Clauze Contractuale Standard
Anthropic PBC	Generare text pentru documente (fara PII transmis)	SUA; Clauze Contractuale Standard, retentie zero
Google LLC	Autentificare optionala (Sign in with Google)	SUA; Clauze Contractuale Standard
Apple Inc.	Autentificare optionala (Sign in with Apple)	UE / SUA; Clauze Contractuale Standard
Vercel Inc.	Hosting frontend	Edge global; SCC + DPF

Lista actualizata a sub-imputernicitilor este disponibila la cerere la privacy@psiholog.lumin.ro.

6. Retentia datelor

Categorie	Perioada
Cont activ	Pe durata utilizarii Serviciului
Cont dezactivat	30 de zile, apoi sterse complet
Date despre pacienti (exportabile inainte de stergere)	Conform politicii cabinetului; minim 10 ani conform legislatiei medicale romane daca cabinetul cere asta
Facturi si documente fiscale	10 ani conform Codului Fiscal Romania
Log-uri de securitate	90 de zile
Backup-uri criptate	30 de zile rolling

7. Drepturile dumneavoastra (GDPR)

In calitate de persoana vizata, aveti dreptul de a:

Accesa datele personale stocate (art. 15);
Solicita rectificarea datelor incorecte (art. 16);
Solicita stergerea datelor — dreptul la uitare (art. 17), in limita obligatiilor legale de retentie;
Restrictiona prelucrarea (art. 18);
Primi datele intr-un format structurat, portabil (art. 20);
Va opune prelucrarii bazate pe interes legitim (art. 21);
Retrage consimtamantul oricand, fara a afecta legalitatea prelucrarilor anterioare;
Depune plangere la Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal (ANSPDCP), Bd. G-ral Gheorghe Magheru 28-30, Sector 1, Bucuresti, www.dataprotection.ro.

Pentru exercitarea oricaruia dintre aceste drepturi, scrieti la privacy@psiholog.lumin.ro. Raspundem in maxim 30 de zile.

Stergerea contului: pasii concreti pentru stergerea contului si a datelor asociate sunt descrisi la /account-deletion. Cererea poate fi initiata din aplicatie (Setari → Securitate) sau prin email la adresa de mai sus.

Pacienti ai cabinetelor: daca sunteti pacient si datele dumneavoastra sunt prelucrate prin PsihoLog de psihologul/clinica dumneavoastra, va rugam sa adresati cererile direct cabinetului, care este operatorul de date. PsihoLog poate ajuta tehnic doar la cererea cabinetului.

8. Securitate

Implementam masuri tehnice si organizatorice adecvate, inclusiv:

Criptare in tranzit (TLS 1.3) si in repaus (AES-256);
Izolare per cabinet prin Row Level Security la nivel de baza de date;
Autentificare cu doi factori si lock pe inactivitate;
Acces bazat pe roluri (admin / terapeut);
Audit log pentru actiunile administrative si accesul la datele clinice;
Backup-uri zilnice automate si testate.

9. Notificarea incalcarilor

In cazul unei incalcari a securitatii datelor cu impact probabil asupra drepturilor dumneavoastra, vom notifica ANSPDCP in maxim 72 de ore conform art. 33 GDPR si va vom informa direct, fara intarziere, daca incalcarea prezinta risc ridicat.

10. Modificari ale acestei politici

Putem actualiza aceasta politica periodic. Modificarile materiale vor fi anuntate in aplicatie si pe email cu cel putin 14 zile inainte de intrarea in vigoare. Versiunea curenta va fi marcata in antet cu data ultimei actualizari.

11. Contact

Pentru orice intrebare privind aceasta politica sau prelucrarea datelor, scrieti la privacy@psiholog.lumin.ro.