ПОЛІТИКА КОНФІДЕНЦІЙНОСТІ AURAMED

• (1)Ця Політика застосовується до всієї обробки персональних даних, що здійснюється AuraMed у зв'язку з:
• a)доступом та використанням Платформи;
• b)заповненням онлайн-форм;
• c)надсиланням запитів, медичних описів або логістичної інформації;
• d)завантаженням документів або файлів;
• e)спілкуванням з нами;
• f)направленням до клінік, лікарів або інших партнерів;
• g)призначенням зустрічей, бронюванням, логістичною організацією та операційною підтримкою;
• h)безпекою та належним функціонуванням Платформи.
• (2)Якщо згодом Користувач пов'язаний з клінікою, лікарем, лікарнею, лабораторією, постачальником житла, транспортним засобом або іншим партнером, цей партнер може стати окремим контролером для своїх власних дій з обробки даних. Ці дії з обробки регулюватимуться власними політиками та повідомленнями цього партнера.
• (3)Просто функціонуючи на Платформі, AuraMed не виступає як прямий постачальник медичних послуг. Платформа полегшує, структурує та передає інформацію, але не замінює прямі відносини між пацієнтом та медичним працівником.

Залежно від того, як ви використовуєте Платформу, ми можемо обробляти такі категорії даних:

• 3.1.Ідентифікаційні дані та контактні дані
• a)ім'я та прізвище;
• b)номер телефону;
• c)адреса електронної пошти;
• d)країна, місто або інші логістичні контактні дані;
• e)дані законного представника, якщо ви дієте від імені іншої особи.
• 3.2.Дані, пов'язані з вашим запитом
• a)опис медичної проблеми або заявленої потреби;
• b)переваги щодо клініки, спеціальності, мови, бюджету, місця розташування або доступності;
• c)деталі щодо транспорту, трансферу, проживання або інших супутніх послуг.
• 3.3.Дані про стан здоров'я
• a)інформація про симптоми, медичну історію, результати, дослідження або стани здоров'я, повідомлені вами;
• b)медичні документи, завантажені вами (наприклад: аналізи, зображення, рекомендації, медичні висновки), якщо Платформа надає цю функціональність;
• c)висновки технічного структурування або узагальнення, отримані з завантажених документів.

Дані про стан здоров'я є особливими категоріями даних у розумінні статті 9(1) GDPR.

• 3.4.Технічні дані та дані про використання
• a)IP-адреса;
• b)технічні ідентифікатори пристрою та браузера;
• c)журнали доступу, помилки та технічна діагностика;
• d)дані сесії, безпеки та продуктивності послуг;
• e)дані, зібрані за допомогою файлів cookie або подібних технологій, відповідно до Політики щодо файлів cookie.
• 3.5.Дані комунікації
• a)зміст повідомлень, надісланих через чат, форму, електронну пошту, WhatsApp або інші канали;
• b)історія взаємодій зі службою підтримки;
• c)будь-які відгуки або відповіді на анкети.
• 3.6.Фінансові дані та дані про транзакції

Якщо в майбутньому Платформа дозволить платежі, бронювання або аванси, ми можемо обробляти дані, необхідні для виставлення рахунків та обліку платежів, такі як:

• a)ім'я / назва компанії;
• b)платіжна адреса;
• c)податковий номер / номер ПДВ, де це застосовно;
• d)сума, валюта, статус платежу;
• e)ідентифікатори транзакцій, надані платіжними процесорами.

• (1)Дані збираються:
• a)безпосередньо від вас, у розумінні статті 13 GDPR, коли ви заповнюєте форми, користуєтеся чатом, завантажуєте документи або зв'язуєтеся з нами;
• b)опосередковано, у розумінні статті 14 GDPR, від представників, членів сім'ї, клінік, партнерів або інших постачальників, залучених до вашого запиту, якщо для цього є законні підстави;
• c)автоматично, через використання Платформи, у вигляді технічних даних, журналів та файлів cookie.
• (2)Якщо ви надаєте дані про іншу особу (наприклад, члена сім'ї, пацієнта, якого ви представляєте, неповнолітнього або особу під вашою опікою), ви заявляєте, що маєте на це законне право та що ви надали їй відповідну інформацію з цієї Політики, наскільки це вимагається законом.

Відповідно до статті 6 GDPR та, де це застосовно, статті 9 GDPR, AuraMed обробляє ваші дані для наступних цілей:

• 5.1.Надання та експлуатація Платформи

Мета: доступ, використання, відображення функцій, технічна стабільність, управління сесіями та забезпечення базової безпеки.

Правова підстава:

Стаття 6(1)(b) GDPR – обробка, необхідна для виконання договору або для вжиття заходів на запит суб'єкта даних до укладення договору;

Стаття 6(1)(f) GDPR – законний інтерес щодо безпеки, адміністрування та належного функціонування Платформи.

• 5.2.Обробка запитів, контакт та підтримка

Мета: отримання вашого запиту, формування відповідей, уточнення запиту, зв'язок з вами та надання операційної або адміністративної підтримки.

Правова підстава:

Стаття 6(1)(b) GDPR;

Стаття 6(1)(f) GDPR, для внутрішньої організації, ведення обліку та захисту законних інтересів AuraMed.

• 5.3.Інформаційне попереднє сортування, структурування та сприяння зв'язку з клініками / лікарями / партнерами

Мета: організація наданої вами інформації, формування додаткових запитань, визначення відповідних варіантів та передача запиту обраним або сумісним партнерам.

Для звичайних даних:

Стаття 6(1)(b) GDPR.

Для даних про стан здоров'я:

Стаття 6(1)(a) GDPR, разом зі статтею 9(2)(a) GDPR – явна згода;

наскільки певні операції є суворо необхідними для явного запиту суб'єкта даних та сумісні з чинним законодавством, можуть застосовуватися й інші дозволені законом правові підстави, але AuraMed розглядає явну згоду в поточній моделі як основну правову підставу для цієї категорії даних.

• 5.4.Комунікація та передача даних обраним клінікам / лікарям / партнерам

Мета: надсилання запиту, отримання пропозицій, доступності або відповідей, сприяння плануванню та організація супутніх послуг.

Правова підстава:

Стаття 6(1)(b) GDPR, для кроків, запитаних вами;

Стаття 6(1)(a) GDPR + Стаття 9(2)(a) GDPR, наскільки передаються дані про стан здоров'я.

• 5.5.Дотримання юридичних зобов'язань

Мета: податкова та бухгалтерська відповідність, юридичне архівування, відповіді на запити органів влади, запобігання шахрайству та захист прав у судових або адміністративних провадженнях.

Правова підстава:

Стаття 6(1)(c) GDPR – юридичне зобов'язання;

Стаття 6(1)(f) GDPR – законний інтерес у встановленні, здійсненні або захисті права.

• 5.6.Безпека, запобігання зловживанням та внутрішній аудит

Мета: моніторинг безпеки, виявлення інцидентів, запобігання несанкціонованому доступу, технічний аудит та документування інцидентів.

Правова підстава:

Стаття 6(1)(f) GDPR;

заходи безпеки повинні бути реалізовані відповідно до статті 32 GDPR.

• 5.7.Комерційні комунікації / розсилка

Мета: надсилання новин, пропозицій, рекламної інформації або кампаній.

Правова підстава:

Стаття 6(1)(a) GDPR – згода;

у разі використання спеціально регульованих електронних засобів дотримується також Закон № 506/2004.

• 5.8.Файли cookie та подібні технології

Мета: технічне функціонування, безпека, запам'ятовування налаштувань та, де це застосовно, аналітика / маркетинг.

Правова підстава:

для файлів cookie, які є суворо необхідними: законний інтерес / технічна необхідність, в межах закону;

для необов'язкових файлів cookie: згода, відповідно до статті 4(5) Закону № 506/2004 та статті 6(1)(a) GDPR. У 2025 році ANSPDCP також наклав санкції на операторів, які зберігали необов'язкові файли cookie без чіткого повідомлення та без вираженої згоди.

• 5.9.Покращення послуг

Мета: покращення робочих процесів, виявлення помилок, оптимізація досвіду та операційне тестування та калібрування.

Правова підстава:

Стаття 6(1)(f) GDPR, для технічних даних, журналів та пропорційної операційної інформації;

якщо дані незворотно перетворені на анонімізовані, вони більше не є персональними даними.

Принципи законності, прозорості, обмеження мети, мінімізації даних та обмеження зберігання викладені у статті 5 GDPR, тоді як обов'язок інформування щодо цілей, правових підстав, отримувачів та термінів зберігання покладається статтями 13-14 GDPR.

• (1)Дані про стан здоров'я є чутливими даними / особливими категоріями даних у розумінні статті 9(1) GDPR. Як правило, їх обробка заборонена, за винятком ситуацій, передбачених статтею 9(2) GDPR.
• (2)У поточній моделі AuraMed, коли ви надаєте нам:
• a)симптоми;
• b)дані медичної історії;
• c)аналізи, МРТ, КТ, рентген, результати, медичні листи або інші медичні документи;

обробка здійснюється переважно на підставі вашої явної згоди, відповідно до статті 9(2)(a) GDPR, разом зі статтею 6(1)(a) та/або (b) GDPR, залежно від характеру запиту.

• (3)Згода повинна бути вільною, конкретною, інформованою та недвозначною, а для даних про стан здоров'я вона повинна бути явною. Її можна відкликати в будь-який час, не впливаючи на законність обробки, здійсненої до відкликання, відповідно до статті 7 GDPR. EDPB явно розглядає згоду як еталонний стандарт у таких чутливих контекстах.
• (4)Відкликання згоди може унеможливити продовження запитуваної послуги, наскільки ці дані є суворо необхідними для обробки вашого запиту.
• (5)Будь ласка, не надавайте більше медичних даних, ніж це необхідно для зазначеної мети.

• (1)Деякі дані є обов'язковими для обробки вашого запиту або надання запитуваної послуги. Вони будуть позначені як такі у формах або явно запитані під час розмови.
• (2)Відмова надати певні дані може призвести до:
• a)неможливості аналізу запиту;
• b)неможливості визначити відповідного партнера;
• c)неможливості сприяти призначенню зустрічі, бронюванню або пропозиції.
• (3)Надання маркетингових та необов'язкових даних, як правило, є необов'язковим.

• (1)AuraMed може використовувати програмні інструменти, алгоритми та компоненти штучного інтелекту для:
• a)вилучення та структурування інформації з документів;
• b)формування уточнюючих запитань;
• c)створення резюме;
• d)впорядкування певних варіантів;
• e)розмовна допомога та операційна підтримка.
• (2)У поточній моделі Платформи ці операції служать для допомоги та підтримки, і AuraMed прагне уникати прийняття рішень, що базуються виключно на автоматизованій обробці, які мають юридичні наслідки для суб'єкта даних або подібним чином суттєво впливають на нього, у розумінні статті 22(1) GDPR.
• (3)Якщо в конкретному робочому процесі існує компонент автоматизованої оцінки, що має відношення до суб'єкта даних, AuraMed надасть інформацію, необхідну відповідно до статті 13(2)(f) та/або статті 14(2)(g) GDPR, залежно від обставин.
• (4)У випадках, передбачених законом, суб'єкт даних має право:
• a)вимагати втручання людини;
• b)висловити свою точку зору;
• c)оскаржити рішення відповідно до статті 22(3) GDPR.

У межах необхідності та пропорційності ми можемо розкривати ваші дані:

• a)постачальникам ІТ, хмарних послуг, хостингу, безпеки, технічного обслуговування та підтримки;
• b)постачальникам послуг ШІ або обробки документів, наскільки вони використовуються в операційному потоці;
• c)клінікам, лікарям, лікарням, лабораторіям або іншим зазначеним або обраним медичним партнерам;
• d)партнерам з транспорту, трансферу, проживання, перекладу, консьєрж-послуг або іншим супутнім послугам;
• e)юристам, консультантам, аудиторам, бухгалтерам;
• f)державним органам, установам, судовим органам або наглядовим органам, де існує юридичне зобов'язання або сильний законний інтерес;
• g)платіжним процесорам та фінансовим установам, якщо та коли Платформа інтегрує платежі.

У кожному випадку передача даних обмежується тим, що необхідно для зазначеної мети, і здійснюється відповідно до статті 5(1)(c) GDPR та статті 28 GDPR, де це застосовно.

• (1)В принципі, AuraMed прагне обробляти дані в межах Європейської економічної зони («ЄЕЗ»).
• (2)Якщо для певних технічних послуг, хмарних послуг, послуг ШІ, підтримки або комунікаційних послуг дані передаються отримувачам за межами ЄЕЗ, AuraMed використовуватиме один із механізмів, дозволених Розділом V GDPR, зокрема:
• a)рішення про адекватність у розумінні статті 45 GDPR; або
• b)належні гарантії у розумінні статті 46 GDPR, такі як стандартні договірні положення, де це застосовно.
• (3)Європейська Комісія підтверджує, що відповідно до статті 45 GDPR дані можуть надходити до юрисдикцій, щодо яких існує рішення про адекватність, без додаткових гарантій, і список цих юрисдикцій офіційно оновлюється Комісією.
• (4)Якщо ви бажаєте отримати інформацію про конкретний механізм, що застосовується до міжнародної передачі, що стосується ваших даних, ви можете написати нам на contact@auramed.ro.

AuraMed застосовує принцип обмеження зберігання, викладений у статті 5(1)(e) GDPR. Дані зберігаються лише протягом терміну, необхідного для цілей, для яких вони були зібрані, або протягом терміну, встановленого законом.

• 11.1.Контактні дані та запити

Вони зберігаються протягом часу, необхідного для обробки запиту, а потім протягом розумного періоду, необхідного для ведення обліку, підтримки, захисту прав або дотримання вимог.

• 11.2.Завантажені медичні документи

У поточній MVP-моделі AuraMed завантажені медичні документи, як правило, обробляються тимчасово для вилучення / структурування інформації і не призначені для довгострокового зберігання, за відсутності протилежної договірної або юридичної необхідності.

Якщо на момент збору технічний потік вимагає тимчасового зберігання, воно буде обмежено мінімально необхідним.

• 11.3.Розмови та взаємодії

Розмови можуть тимчасово зберігатися в ідентифікованій або псевдонімізованій формі протягом часу, необхідного для роботи служби, підтримки та безпеки. Згодом вони можуть бути видалені або незворотно анонімізовані.

• 11.4.Дані про виставлення рахунків та транзакції

Вони зберігаються протягом терміну, встановленого чинним податковим, бухгалтерським законодавством та законодавством про архівування.

• 11.5.Технічні журнали та безпека

Вони зберігаються протягом часу, необхідного для діагностики проблем, запобігання інцидентам та захисту Платформи.

• 11.6.Маркетинг

Дані, що використовуються для комерційних комунікацій, зберігаються до відкликання згоди або доти, доки існує законна мета для обробки.

• (1)Платформа може використовувати файли cookie та подібні технології для роботи, безпеки, аналітики та, де це застосовно, маркетингу.
• (2)Відповідно до статті 4(5) Закону № 506/2004:
• a)зберігання або доступ до інформації на кінцевому обладнанні користувача дозволено лише після того, як користувач отримав чітку та повну інформацію;
• b)для файлів cookie, які не є технічно необхідними, потрібна дійсна згода користувача, за винятком випадків, суворо передбачених законом. ANSPDCP підтвердив цей стандарт через нещодавні санкції, застосовані до необов'язкових файлів cookie, встановлених без згоди та без належного повідомлення.
• (3)Повні деталі щодо типів файлів cookie, їх тривалості та методів керування будуть викладені в окремій Політиці щодо файлів cookie або в спеціальному модулі згоди.

За умов, викладених у статтях 12-22 GDPR, ви маєте такі права:

• a)право на інформацію – статті 13 та 14 GDPR;
• b)право на доступ – стаття 15 GDPR;
• c)право на виправлення – стаття 16 GDPR;
• d)право на видалення («право на забуття») – стаття 17 GDPR;
• e)право на обмеження обробки – стаття 18 GDPR;
• f)право на переносимість даних – стаття 20 GDPR;
• g)право на заперечення – стаття 21 GDPR;
• h)право не бути об'єктом рішення, що базується виключно на автоматизованій обробці – стаття 22 GDPR;
• i)право відкликати згоду в будь-який час, якщо обробка базується на згоді;
• j)право подати скаргу до компетентного наглядового органу – стаття 77 GDPR;
• k)право на ефективний судовий захист – стаття 79 GDPR.

Ці права також відображені в офіційних матеріалах ANSPDCP щодо прав суб'єктів даних.

• (1)Для здійснення вищезазначених прав ви можете зв'язатися з нами за адресою:

Електронна пошта: contact@auramed.ro

ІЗД (якщо є): наразі не призначено

• (2)Ми відповімо без невиправданої затримки і, як правило, протягом не більше одного місяця з моменту отримання запиту, відповідно до статті 12(3) GDPR, з можливістю продовження терміну за умов, передбачених законом.
• (3)Якщо ми маємо обґрунтовані сумніви щодо особи заявника, ми можемо запросити додаткову інформацію для перевірки, наскільки це дозволено статтею 12 GDPR.

Якщо ви вважаєте, що обробка ваших даних порушує чинне законодавство, ви маєте право подати скаргу до:

Національний наглядовий орган із захисту персональних даних (ANSPDCP)

вул. Ген. Георге Магеру, 28-30, Сектор 1, Бухарест, Румунія

Веб-сайт: https://www.dataprotection.ro/

Електронна пошта: anspdcp@dataprotection.ro

Ви також маєте право на ефективний судовий захист відповідно до статті 79 GDPR. ANSPDCP офіційно вказує на право суб'єктів даних подавати скарги та надає відповідні процедури.

• (1)AuraMed впроваджує відповідні технічні та організаційні заходи для забезпечення рівня безпеки, що відповідає ризику, відповідно до статті 32 GDPR.
• (2)Ці заходи можуть включати, де це застосовно:
• a)контроль доступу;
• b)автентифікація та журналювання;
• c)шифрування під час передачі та/або зберігання, де це можливо;
• d)сегментація та обмеження внутрішнього доступу;
• e)псевдонімізація;
• f)політики резервного копіювання, моніторингу та реагування на інциденти;
• g)принципи «захист даних за дизайном» та «захист даних за замовчуванням», викладені у статті 25 GDPR.
• (3)Однак жодна система не може гарантувати абсолютну безпеку. У разі інциденту безпеки AuraMed застосує відповідні юридичні процедури.

• (1)Платформа не призначена для самостійного використання особами, які не мають необхідної правоздатності для самостійного здійснення запитів, що охоплюються послугою.
• (2)Якщо дані стосуються неповнолітнього або особи під законним представництвом, використання Платформи та подання даних повинні здійснюватися батьком, опікуном, куратором або іншим уповноваженим законним представником.
• (3)Якщо послуга інформаційного суспільства пропонується безпосередньо дитині на підставі згоди, застосовуються відповідні правила відповідно до статті 8 GDPR та чинного національного законодавства.

• (1)AuraMed є контролером для операцій обробки, які вона вирішує у власному робочому процесі: збір запиту, структурування, операційна підтримка, передача обраним партнерам та адміністрування Платформи.
• (2)Клініки, лікарі та інші партнери, як правило, є окремими контролерами для своєї діяльності, включаючи:
• a)медичну оцінку;
• b)медичне планування;
• c)видачу медичних документів;
• d)фактичне надання медичної послуги;
• e)власне виставлення рахунків;
• f)медичне архівування та професійні зобов'язання.
• (3)Якщо в конкретному робочому процесі існує спільний контролер відповідно до статті 26 GDPR або спеціальний мандат на обробку, ви будете повідомлені окремо.

Платформа може містити посилання на веб-сайти, портали, системи планування, сторінки клінік або інші зовнішні послуги. AuraMed не несе відповідальності за політики конфіденційності або практики третіх сторін. Ми рекомендуємо вам ознайомитися з їхніми власними політиками перед наданням їм даних.

• (1)AuraMed може змінювати цю Політику з юридичних, технічних, операційних або комерційних причин.
• (2)Будь-яка оновлена версія буде опублікована на Платформі із зазначенням дати останнього оновлення.
• (3)Якщо зміни будуть суттєвими, ми можемо також повідомити вас іншими розумними способами.

З будь-якими запитаннями щодо обробки персональних даних ви можете зв'язатися з нами за адресою:

PTECHIT SRL

Адреса: вул. Мамая Норд 14, CORP B2, поверх 2, кв. 38, Наводарі, повіт Констанца, поштовий індекс 905700, Румунія

Електронна пошта: contact@auramed.ro

Телефон: +40 750 484 004

ІЗД: наразі не призначено

Регламенту (ЄС) 2016/679 («GDPR»), зокрема статей 5, 6, 7, 9, 12-22, 25, 32 та 44-49;

Закону № 190/2018 про заходи щодо впровадження GDPR;

Закону № 506/2004 про обробку персональних даних та захист конфіденційності у сфері електронних комунікацій, включаючи файли cookie та подібні технології.