Politica de Confidențialitate și Protecția Datelor cu Caracter Personal

Platforma melio.med — www.melio.med Versiunea 1.0 | Data intrării în vigoare: Septembrie 2025

Prezenta Politică de Confidențialitate este elaborată în conformitate cu Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 (GDPR), Legea nr. 190/2018 privind măsuri de punere în aplicare a GDPR în România, Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice, precum și Legea nr. 95/2006 privind reforma în domeniul sănătății, cu modificările și completările ulterioare.

1. Identitatea Operatorului de Date


Denumire	ONCOSTOP S.R.L. — operatoare a platformei melio.med
CUI	52443272
Nr. Reg. Com.	J2025066671009
Sediu social	București, Sectorul 3, Strada Murgeni, Nr. 3, Camera 1, Bl. L29, Scara B, Etaj 3, Ap. 74
Reprezentant legal	Stefania Carmen CHITU
Website	https://www.melio.med
Email GDPR	gdpr@melio.med
Email contact	contact@melio.med

ONCOSTOP S.R.L. acționează în calitate de OPERATOR DE DATE în sensul art. 4 pct. 7 din GDPR, determinând scopurile și mijloacele de prelucrare a datelor cu caracter personal colectate prin intermediul platformei melio.med.

2. Categoriile de Date cu Caracter Personal Prelucrate

2.1. Date de identificare și contact

Nume și prenume
Cod Numeric Personal (CNP) — colectat exclusiv în contextul serviciilor medicale
Adresa de domiciliu/reședință
Adresa de email
Numărul de telefon
Data nașterii și sexul

2.2. Date medicale — categorii speciale (Art. 9 GDPR)

Platforma melio.med prelucrează date privind sănătatea, care constituie categorii speciale de date cu caracter personal în sensul art. 9 alin. (1) din GDPR și beneficiază de un nivel sporit de protecție:

Simptome descrise de pacient în cadrul consultațiilor
Diagnostice și istoricul medical
Tratamente prescrise și medicamente administrate
Rezultate ale investigațiilor medicale
Alergii și contraindicații medicale
Date biometrice relevante clinic (greutate, înălțime, tensiune arterială)
Fișele medicale create în cadrul teleconsultațiilor
Înregistrări video/audio ale sesiunilor de telemedicină (cu consimțământ explicit)

2.3. Date de plată

Datele de plată (număr card, dată expirare, CVV) sunt procesate exclusiv prin intermediul procesorului de plăți PayU, certificat PCI-DSS. ONCOSTOP S.R.L. nu stochează datele complete ale cardurilor de plată.

2.4. Date tehnice și de navigare

Adresa IP
Tipul și versiunea browserului
Sistemul de operare
Paginile accesate și durata sesiunii
Identificatoare de sesiune și cookie-uri (cf. Politicii de Cookies)

3. Scopurile și Temeiurile Juridice ale Prelucrării

3.1. Furnizarea serviciilor de telemedicină

Temei juridic: Art. 6 alin. (1) lit. b) GDPR (executarea unui contract) + Art. 9 alin. (2) lit. h) GDPR (scop medical/diagnostic) + Legea nr. 95/2006 + HG nr. 1133/2022 privind reglementarea serviciilor de telemedicină.

Crearea și gestionarea contului de pacient
Programarea și desfășurarea teleconsultațiilor video
Accesul medicilor la istoricul medical relevant
Emiterea documentelor medicale (bilete de trimitere, recomandări)
Monitorizarea stării de sănătate a pacienților

3.2. Marketplace medici și clinici

Temei juridic: Art. 6 alin. (1) lit. b) GDPR (executarea contractului) + Art. 6 alin. (1) lit. f) (interes legitim).

Publicarea profilurilor medicilor și clinicilor partenere
Gestionarea recenziilor și evaluărilor
Facilitarea legăturii pacient-medic

3.3. Procesarea plăților

Temei juridic: Art. 6 alin. (1) lit. b) GDPR + Legea nr. 227/2015 (Codul Fiscal) + OG nr. 99/2006 privind instituțiile de credit.

3.4. Obligații legale

Temei juridic: Art. 6 alin. (1) lit. c) GDPR — respectarea obligațiilor prevăzute de Legea nr. 95/2006, Legea Arhivelor Naționale nr. 16/1996, Ordinul MS nr. 1226/2012 privind păstrarea documentelor medicale.

3.5. Interes legitim

Temei juridic: Art. 6 alin. (1) lit. f) GDPR — îmbunătățirea platformei, prevenirea fraudei, securitatea sistemelor informaționale.

4. Destinatarii Datelor cu Caracter Personal

Datele cu caracter personal pot fi divulgate următoarelor categorii de destinatari:

4.1. Medici și furnizori de servicii medicale

Medicii și clinicile partenere prin platforma melio.med, în calitate de operatori asociați sau persoane împuternicite, au acces la datele medicale ale pacienților strict în limitele consultației sau monitorizării convenite.

4.2. Procesatori de plăți

PayU S.A. (România) — procesor de plăți certificat PCI-DSS, cu sediul în București. Datele de plată sunt transmise prin conexiune criptată SSL/TLS.

4.3. Furnizori de servicii tehnice

Furnizori de servicii de hosting/cloud în UE sau cu garanții adecvate conform Cap. V GDPR
Furnizori de servicii de videoconferință medicală
Furnizori de servicii de comunicare (email, SMS)

4.4. Autorități publice

Autorități de sănătate publică, Colegiul Medicilor din România, ANSPDCP, instanțe judecătorești — exclusiv în baza unor obligații legale sau hotărâri judecătorești.

4.5. Transferuri internaționale

În măsura în care sunt implicate transferuri de date în afara SEE, acestea se realizează exclusiv cu respectarea garanțiilor prevăzute la Cap. V din GDPR (Decizii de adecvare, Clauze Contractuale Standard aprobate de Comisia Europeană).

5. Durata Stocării Datelor

Categorie date	Perioadă stocare	Temei legal
Fișe și documente medicale	Minim 10 ani de la ultima consultație	Ordinul MS 1226/2012
Date cont utilizator activ	Pe durata contractului + 5 ani	GDPR + Codul Civil
Date financiare/facturi	10 ani	Codul Fiscal / Legea 82/1991
Înregistrări video consultații	90 zile (cu consimțământ)	GDPR Art. 9 + consimțământ
Date de navigare / log-uri	12 luni	Legea 506/2004
Cookie-uri tehnice	Sesiune / max. 12 luni	Legea 506/2004

6. Drepturile Persoanelor Vizate

În conformitate cu GDPR (art. 15-22) și Legea nr. 190/2018, beneficiați de următoarele drepturi:

Dreptul de acces (Art. 15 GDPR) — Aveți dreptul de a obține confirmarea că prelucrăm datele dumneavoastră și o copie a acestora, împreună cu informații despre scopuri, categorii, destinatari și perioadă de stocare.

Dreptul la rectificare (Art. 16 GDPR) — Aveți dreptul de a solicita corectarea datelor inexacte sau completarea datelor incomplete.

Dreptul la ștergere / «dreptul de a fi uitat» (Art. 17 GDPR) — Aveți dreptul de a solicita ștergerea datelor, cu excepția cazurilor în care prelucrarea este necesară pentru respectarea unor obligații legale (ex: păstrarea fișelor medicale conform Ordinului MS 1226/2012).

Dreptul la restricționarea prelucrării (Art. 18 GDPR) — Aveți dreptul de a solicita restricționarea prelucrării în situațiile prevăzute de lege.

Dreptul la portabilitatea datelor (Art. 20 GDPR) — Aveți dreptul de a primi datele furnizate într-un format structurat, utilizat frecvent, care poate fi citit automat.

Dreptul la opoziție (Art. 21 GDPR) — Aveți dreptul de a vă opune prelucrării bazate pe interesul legitim al operatorului.

Dreptul de a nu face obiectul unei decizii automate (Art. 22 GDPR) — Aveți dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrare automată, inclusiv profilare, care produce efecte juridice asupra dumneavoastră.

Pentru exercitarea drepturilor menționate, vă puteți adresa la: gdpr@melio.med. Vom răspunde solicitărilor în termen de 30 de zile calendaristice (cu posibilitate de prelungire la 90 de zile pentru solicitări complexe, cu notificare prealabilă).

Aveți totodată dreptul de a depune o plângere la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), cu sediul în București, B-dul G-ral. Gheorghe Magheru nr. 28-30, Sector 1, email: anspdcp@dataprotection.ro, website: www.dataprotection.ro.

7. Securitatea Datelor

ONCOSTOP S.R.L. implementează măsuri tehnice și organizatorice adecvate pentru protecția datelor cu caracter personal împotriva distrugerii accidentale sau ilegale, pierderii, modificării, divulgării neautorizate sau accesului neautorizat, conform Art. 32 GDPR:

Criptare SSL/TLS pentru toate comunicațiile
Criptarea datelor medicale în repaus (AES-256)
Autentificare cu doi factori (2FA) pentru conturile medicale
Controlul accesului bazat pe roluri (RBAC)
Jurnalizarea auditului accesărilor
Evaluare periodică a vulnerabilităților
Plan de răspuns la incidente de securitate
Instruirea periodică a personalului în domeniul protecției datelor

În cazul producerii unei încălcări a securității datelor cu caracter personal, ONCOSTOP S.R.L. va notifica ANSPDCP în termen de 72 de ore și, acolo unde riscul este ridicat, va informa direct persoanele vizate, conform Art. 33-34 GDPR.

8. Responsabilul cu Protecția Datelor (DPO)

Dată fiind natura activității (prelucrare pe scară largă a datelor privind sănătatea — categorii speciale), ONCOSTOP S.R.L. are obligația desemnării unui Responsabil cu Protecția Datelor (DPO) conform Art. 37 alin. (1) lit. c) GDPR și a notificării acestuia la ANSPDCP.


Contact DPO	gdpr@melio.med

Responsabilul cu Protecția Datelor poate fi contactat pentru orice aspecte legate de prelucrarea datelor cu caracter personal și exercitarea drepturilor GDPR.

9. Evaluarea Impactului asupra Protecției Datelor (DPIA)

Conform Art. 35 GDPR, ONCOSTOP S.R.L. efectuează o Evaluare a Impactului asupra Protecției Datelor (DPIA) pentru operațiunile de prelucrare care prezintă un risc ridicat, în special:

Prelucrarea pe scară largă a datelor privind sănătatea (Art. 35 alin. 3 lit. b GDPR)
Monitorizarea sistematică a stării de sănătate a pacienților
Utilizarea de noi tehnologii în telemedicină

Rezultatele DPIA sunt disponibile la solicitare adresată la gdpr@melio.med.

10. Modificări ale Politicii de Confidențialitate

ONCOSTOP S.R.L. își rezervă dreptul de a modifica prezenta Politică de Confidențialitate pentru a reflecta modificările legislative, modificările aduse serviciilor sau alte circumstanțe. Orice modificare substanțială va fi comunicată utilizatorilor prin email și/sau notificare pe platformă, cu cel puțin 30 de zile înainte de intrarea în vigoare.

Versiunea curentă este întotdeauna disponibilă la adresa: https://www.melio.med/politica-de-confidentialitate


Data ultimei actualizări	Septembrie 2025
Versiune	1.0