Important: Acest Acord de Prelucrare a Datelor (DPA) face parte integrantă din contractul de servicii încheiat între Client (Operator de date) și NexusMed Medicina Muncii SRL (Persoană Împuternicită). DPA-ul reglementează condițiile prelucrării datelor cu caracter personal conform Art. 28 GDPR.
1Părțile contractante
Operator de date (Controller)
| Denumire | [DENUMIRE CLIENT / COMPANIE] |
|---|---|
| CUI | [●] |
| Adresa | [●] |
| Reprezentant legal | [●] |
| [●] |
Persoana Împuternicită (Processor)
| Denumire | NexusMed Medicina Muncii SRL |
|---|---|
| CUI | RO00000000 |
| Reg. Comerțului | J00/0000/2025 |
| Sediu | Str. Exemplu nr. 1, București, România |
| Email contact | contact@nexuxmed.ro |
| DPO | Responsabil GDPR — gdpr@nexuxmed.ro |
2Obiectul acordului
Prezentul DPA reglementează condițiile în care Processorul (NexusMed Medicina Muncii SRL) prelucrează date cu caracter personal în numele Operatorului, în cadrul utilizării aplicației web NexusMed.
Acordul se aplică pe toată durata utilizării serviciilor și se completează cu prevederile contractului principal de prestări servicii.
3Natura și scopul prelucrării
Natura operațiunilor de prelucrare
- Colectare
- Stocare
- Organizare și structurare
- Consultare și extragere
- Utilizare în cadrul fluxurilor aplicației
- Modificare și actualizare
- Arhivare
- Ștergere sau distrugere
- Transmitere (doar către sub-procesatori autorizați și conform indicațiilor Operatorului)
Scopul prelucrării
- Gestionarea activității medicale / medicina muncii
- Administrarea pacienților și angajaților
- Generarea documentelor medicale (fișe aptitudine, dosare, rapoarte)
- Programarea și evidența serviciilor medicale
- Îndeplinirea obligațiilor legale ale Operatorului
4Tipuri de date prelucrate
Date de identificare
- Nume, prenume
- Cod Numeric Personal (CNP)
- Serie și număr carte de identitate
- Adresa de domiciliu
Date de contact
- Număr de telefon
- Adresa de email
Date profesionale
- Funcția / ocupația
- Angajatorul
- Locul de muncă
Date speciale (sensibile) — Art. 9 GDPR
- Date medicale
- Rezultate analize și investigații
- Fișe medicale și antecedente
- Concluzii medicale și aviz de aptitudine
5Categorii de persoane vizate
- Pacienți / persoane examinate
- Angajați ai companiilor cliente
- Colaboratori medicali
- Utilizatori ai aplicației (operatori interni)
6Durata prelucrării
Datele sunt prelucrate pe durata contractului principal încheiat între părți și ulterior conform obligațiilor legale aplicabile (în special arhivarea fișelor medicale conform legislației medicale române).
La încetarea contractului, datele se șterg sau se returnează Operatorului conform Secțiunii 13.
7Obligațiile Processorului (NexusMed Medicina Muncii SRL)
Securitate tehnică
- Criptare a transmisiilor de date (HTTPS / TLS)
- Parole hashuite cu algoritmi siguri (bcrypt / argon2)
- Protecție împotriva accesului neautorizat
- Backup periodic al datelor
- Recuperare în caz de dezastru
Securitate organizatorică
- Acces limitat pe roluri (RBAC – Role Based Access Control)
- Loguri complete de acces și audit
- Politici interne de securitate
- Instruire periodică a personalului cu acces la date
- Acorduri de confidențialitate cu angajații și colaboratorii
Securitate aplicativă (Laravel-specific)
- Protecție CSRF (Cross-Site Request Forgery) pe toate formularele
- Validare strictă a inputului utilizatorului
- Prevenire SQL Injection prin Eloquent ORM și prepared statements
- Protecție XSS (Cross-Site Scripting) prin escape automat în template-uri Blade
- Hash-uire bcrypt 12 rounds pentru parole
- Captcha la autentificare împotriva atacurilor automate
- Sesiuni securizate cu rotire periodică a token-urilor
8Sub-procesatori
Processorul poate utiliza sub-procesatori pentru îndeplinirea obligațiilor sale, în următoarele categorii:
- Hosting — furnizori VPS / cloud, situați în UE
- Servicii email — pentru notificări transactționale
- Servicii backup — copii de siguranță offsite
- Servicii de monitoring — uptime, performanță
Toți sub-procesatorii respectă GDPR și sunt obligați contractual să asigure același nivel de protecție a datelor. Lista actuală a sub-procesatorilor poate fi furnizată la cerere.
Operatorul va fi notificat în prealabil cu privire la orice modificare a listei sub-procesatorilor.
9Transferuri internaționale
Datele NU sunt transferate în afara Uniunii Europene, cu excepția situațiilor unde există garanții adecvate prevăzute de GDPR:
- Clauze contractuale standard (SCC) aprobate de Comisia Europeană
- Decizii de adecvare ale Comisiei Europene
- Reguli corporative obligatorii
10Drepturile persoanelor vizate
Processorul asistă Operatorul, în măsura posibilităților tehnice, pentru a răspunde solicitărilor persoanelor vizate privind exercitarea drepturilor:
- Drept de acces (Art. 15 GDPR)
- Drept de rectificare (Art. 16 GDPR)
- Drept de ștergere — „dreptul de a fi uitat" (Art. 17 GDPR)
- Drept de restricționare (Art. 18 GDPR)
- Drept de portabilitate (Art. 20 GDPR)
- Drept de opoziție (Art. 21 GDPR)
- Drept de a nu fi supus unei decizii automate (Art. 22 GDPR)
11Notificarea incidentelor de securitate
În cazul identificării unui incident de securitate care afectează datele Operatorului, Processorul:
- Va notifica Operatorul în maxim 72 de ore de la identificare
- Va furniza toate informațiile relevante despre incident (natura, persoanele afectate, măsuri luate)
- Va coopera cu Operatorul pentru investigare și remediere
- Va sprijini Operatorul în notificarea autorității de supraveghere (ANSPDCP), dacă este cazul
12Confidențialitate
Toate persoanele care au acces la datele Operatorului în cadrul prestării serviciilor sunt obligate contractual la confidențialitate, atât pe durata contractului, cât și după încetarea acestuia.
13Returnarea / ștergerea datelor
La încetarea contractului, la cererea Operatorului, Processorul:
- Returnează toate datele într-un format structurat și utilizabil (CSV / Excel / SQL dump)
- Șterge toate copiile datelor de pe serverele sale (cu excepția cazurilor în care păstrarea este obligată legal)
- Furnizează o confirmare scrisă a ștergerii
Termen: maxim 30 de zile de la solicitare, sau o perioadă mai lungă convenită în scris.
14Drept de audit
Operatorul are dreptul de a audita modul în care Processorul prelucrează datele, prin:
- Solicitarea de informații și documente referitoare la măsurile de securitate implementate
- Inspecții la sediul Processorului, anunțate cu minim 30 zile în avans
- Auditare prin terți independenți autorizați (cu acord prealabil al Processorului)
Costurile auditului sunt suportate de Operator, cu excepția cazului în care auditul descoperă încălcări semnificative ale prezentului DPA.
15Răspundere
Fiecare parte răspunde, conform GDPR, pentru încălcările care îi sunt imputabile. Răspunderea este reglementată de prevederile contractului principal și de Art. 82 GDPR.
16Legea aplicabilă
Prezentul acord este guvernat de:
- Legislația din România
- Regulamentul (UE) 2016/679 (GDPR)
- Legea nr. 190/2018 privind măsuri de punere în aplicare a GDPR
17Semnături
Pentru încheierea oficială a prezentului DPA, descărcați documentul în format PDF, completați câmpurile marcate cu [●] și semnați. Semnătura electronică calificată este acceptată conform legislației aplicabile.
| OPERATOR | PROCESOR (NexusMed Medicina Muncii SRL) |
|---|---|
|
Nume: ______________________ Funcție: ______________________ Semnătura: ______________________ Data: ______________________ Ștampilă: |
Nume: ______________________ Funcție: ______________________ Semnătura: ______________________ Data: ______________________ Ștampilă: |
Versiune document: 1.0 | Data ultimei actualizări: 15.05.2026