Ultima actualizare: 8 iunie 2026 · Versiunea 1.2
Politica de confidențialitate
Praxio este o platformă de management pentru cabinete de psihologie. Înțelegem că datele cu care lucrați sunt extrem de sensibile — atât datele dumneavoastră profesionale, cât și datele clienților dumneavoastră. Această politică explică transparent cum le protejăm.
1. Identitatea operatorului și a persoanei împuternicite
Persoana împuternicită (procesator)
Platforma Praxio este dezvoltată și operată de:
- ALVERNA IMOBILIARE SRL
- CUI: 38371154 | J12/6089/2017
- Sediu: Str. Alexandru Donici nr. 26-28, Cluj-Napoca, Cluj
- Email: [email protected]
În relație cu datele clienților introduse în platformă, ALVERNA IMOBILIARE SRL acționează exclusiv în calitate de persoană împuternicită (processor) conform art. 28 GDPR.
Operatorul de date
Psihologul sau psihoterapeutul care utilizează platforma (prin entitatea sa juridică — cabinet individual, PFI, SRL etc.) este operatorul de date în sensul GDPR față de clienții săi. Acesta decide ce date colectează, în ce scop și pe ce bază legală, și este responsabil față de persoanele vizate (pacienți/clienți).
Acordul de prelucrare a datelor (DPA) dintre Praxio și utilizatorul-psiholog este disponibil la cerere la adresa [email protected].
2. Categoriile de date prelucrate
2.1 Date ale utilizatorilor (psihologi)
- Date de cont: Nume, prenume, email, parolă (hash bcrypt), avatar — furnizate de utilizator sau Google OAuth
- Date profesionale: Denumire cabinet, adresă, telefon, CUI, număr parafă CPR, specialitate — furnizate de utilizator
- Date de facturare: Date de identificare fiscală pentru abonament, istoric plăți — furnizate de utilizator, procesate prin Stripe
- Date tehnice: Adresa IP, browser, dispozitiv, pagini accesate, timestamp-uri acțiuni — colectate automat
- Date de utilizare: Funcționalități accesate, erori generate, performanță sesiune — colectate automat
2.2 Date introduse de utilizator (date ale clienților/pacienților)
- Date de identificare client: Nume, prenume, CNP, adresă, telefon, email — date personale obișnuite
- Date clinice: Note de ședință, evaluări psihologice, diagnostic, istoricul terapeutic — date speciale (art. 9 GDPR)
- Date financiare client: Facturi emise, sume, metode de plată — date personale obișnuite
- Documente: Contracte, acorduri de evaluare, documente scanate — date personale, confidențialitate sporită
3. Scopurile și temeiul legal al prelucrării
| Scop | Temei legal | Notă |
|---|---|---|
| Furnizarea serviciului Praxio | Executarea contractului (art. 6(1)(b)) | Fără aceasta, serviciul nu poate fi prestat |
| Autentificare și securitate cont | Executarea contractului și Interes legitim | Protejarea accesului la date sensibile |
| Procesarea plăților abonament | Executarea contractului și Obligație legală | Facturare, conformitate fiscală |
| Notificări și remindere serviciu | Executarea contractului | Alerte programări, notificări sistem |
| Îmbunătățirea platformei | Interes legitim (art. 6(1)(f)) | Date agregate anonimizate |
| Comunicări de marketing | Consimțământ (art. 6(1)(a)) | Opțional, retragere oricând |
| Conformitate legală | Obligație legală (art. 6(1)(c)) | Răspuns solicitări autorități, obligații fiscale |
4. Măsuri tehnice și organizatorice de securitate
Securitate tehnică
- Criptare în tranzit: TLS 1.2/1.3 pentru toate comunicațiile
- Criptare la stocare: AES-256-GCM la nivel de aplicație, cu cheie unică per cabinet protejată prin AWS KMS (Frankfurt)
- Row Level Security (RLS): Fiecare psiholog accesează exclusiv propriile date — izolare completă la nivel de bază de date
- Autentificare: Parole hash-uite cu bcrypt
- Token-uri iCal: Token unic per utilizator, regenerabil oricând din setări
- Backup-uri automate: Daily backup cu retenție 30 zile
- Monitorizare: Logging acces și alertare anomalii
Securitate organizatorică
- Accesul intern la date este restricționat prin principiul minimului de privilegii
- Personalul cu acces la infrastructură este instruit GDPR
- Nu există acces uman la datele clinice ale pacienților în condiții normale de operare
- Incidentele de securitate sunt raportate autorității de supraveghere în 72 de ore conform art. 33 GDPR
5. Subprocesori (terți cu acces la date)
| Furnizor | Scop | Locație | Garanții |
|---|---|---|---|
| Supabase | Baza de date, autentificare, stocare | UE (AWS eu-west-1) | DPA, SCC |
| Railway | Hosting aplicație web | UE | DPA, SCC |
| Resend | Email tranzacțional (notificări, remindere) | UE | DPA |
| Stripe | Procesare plăți abonamente | UE/SUA | SCC, PCI DSS |
| Autentificare OAuth (opțional) | UE/SUA | SCC | |
| OpenRouter | Procesare AI (funcționalități asistent) | SUA | DPA, SCC |
| AWS KMS | Protecție chei de criptare per cabinet | UE (Frankfurt, eu-central-1) | DPA, ISO 27001 |
| Cloudflare R2 | Stocare fișiere (documente, evaluări, contracte) | UE | DPA, SCC |
| SMSLink | Trimitere SMS remindere ședințe | România | Contract prestări servicii |
| ANAF (SPV) | Trimitere facturi electronice conform legii | România | Obligație legală |
Nu vindem, nu închiriem și nu divulgăm datele personale unor terți în scopuri comerciale proprii.
6. Transferuri internaționale de date
Unii subprocesori (Google, Stripe, OpenRouter) operează sau procesează date în SUA. Aceste transferuri sunt protejate prin:
- Clauze Contractuale Standard (SCC) aprobate de Comisia Europeană
- Mecanisme de certificare adecvate (ex: Data Privacy Framework)
- Garanții contractuale specifice pentru date sensibile
7. Retenția datelor
| Categorie | Durată | Motiv |
|---|---|---|
| Date cont activ | Pe durata abonamentului | Furnizare serviciu |
| Date după ștergere cont | Maximum 14 zile | Perioadă de grație pentru recuperare cont |
| Facturi și date fiscale | 10 ani | Obligație legală (Codul Fiscal) |
| Loguri de securitate | 12 luni | Detectare incidente, audit |
| Date backup | 30 de zile | Recuperare date în caz de incident |
| Comunicări suport | 3 ani | Interes legitim, rezolvare dispute |
8. Drepturile dumneavoastră GDPR
Conform Regulamentului (UE) 2016/679, beneficiați de următoarele drepturi:
- Dreptul de acces (art. 15): Puteți solicita o copie a datelor personale pe care le prelucrăm despre dumneavoastră
- Dreptul la rectificare (art. 16): Puteți corecta datele incorecte sau incomplete direct din platformă sau prin cerere
- Dreptul la ștergere (art. 17): Puteți solicita ștergerea contului și a datelor asociate (cu excepția datelor cu obligație legală de păstrare)
- Dreptul la portabilitate (art. 20): Puteți solicita exportul datelor în format structurat (JSON/CSV)
- Dreptul la opoziție (art. 21): Puteți refuza prelucrarea în scopuri de marketing sau pe baza interesului legitim
- Dreptul la restricționare (art. 18): Puteți solicita limitarea prelucrării în anumite circumstanțe
- Dreptul de a nu face obiectul unei decizii automate (art. 22): Nu luăm decizii automatizate cu efecte juridice bazate pe datele dumneavoastră
Răspundem cererilor în maximum 30 de zile calendaristice. Pentru cereri complexe, termenul poate fi extins cu încă 60 de zile, cu notificarea dumneavoastră prealabilă.
Dreptul de a depune plângere
Dacă considerați că prelucrăm datele dumneavoastră în mod neconform, aveți dreptul de a depune o plângere la:
- ANSPDCP — Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal
- Adresa: B-dul G-ral. Gheorghe Magheru 28-30, București
- Web: www.dataprotection.ro
9. Cookie-uri și tehnologii similare
Utilizăm exclusiv cookie-uri strict necesare pentru funcționarea platformei:
| Cookie | Scop | Durată |
|---|---|---|
| sb-auth-token | Sesiune autentificare Supabase | Sesiune browser |
| sb-refresh-token | Reînnoire token autentificare | 7 zile |
| praxio-preferences | Preferințe interfață (temă, limbă) | 1 an |
| cookie_consent | Stocarea alegerii privind cookie-urile | 1 an |
În aplicația Praxio (unde sunt datele clienților tăi) folosim doar cookie-uri esențiale — fără publicitate sau analiză terță parte. Site-ul de marketing (mypraxio.ro) folosește cookie-uri opționale de statistică și publicitate (Google Analytics, Google Ads, Meta, TikTok), activate doar cu consimțământul tău și refuzabile din banner. Pentru detalii complete, consultă Politica de cookies.
10. Notificarea incidentelor de securitate
În cazul unui incident de securitate care afectează datele personale:
- Notificăm ANSPDCP în maximum 72 de ore de la identificarea incidentului (art. 33 GDPR)
- Notificăm utilizatorii afectați fără întârzieri nejustificate dacă incidentul prezintă un risc ridicat pentru drepturile acestora (art. 34 GDPR)
- Documentăm toate incidentele de securitate, indiferent de gravitate
11. Modificări ale politicii
Putem actualiza această politică periodic. La modificări semnificative:
- Vă notificăm prin email cu minimum 14 zile înainte de intrarea în vigoare
- Afișăm un banner de informare în platformă
- Păstrăm versiunile anterioare accesibile la cerere
Continuarea utilizării platformei după data intrării în vigoare constituie acceptarea modificărilor.
12. Contact
ALVERNA IMOBILIARE SRL
CUI: 38371154 | J12/6089/2017
Str. Alexandru Donici nr. 26-28, Cluj-Napoca, Cluj
Email confidențialitate: [email protected]
Email general: [email protected]
Răspundem la toate solicitările legate de confidențialitate în maximum 5 zile lucrătoare pentru confirmare și 30 de zile pentru soluționare completă.