1. Criptarea datelor

Date transmise

Toate datele transmise prin site-ul și aplicațiile noastre, cum ar fi informațiile medicale, datele pentru verificarea identității, datele contului și comenzile, sunt criptate folosind TLS 1.2 sau o versiune mai nouă.

Date stocate

Datele stocate în bazele noastre de date și în backup-uri sunt criptate folosind AES-256 sau o criptografie echivalentă, conform standardelor din industrie.

Securitate modernă și avansată

Aceste măsuri respectă standardul de securitate „state of the art” cerut de Articolul 32 GDPR / UK GDPR.

2. Locațiile serverelor și găzduirea

Găzduirea datelor în UE

Toate datele personale ale utilizatorilor din UE sunt găzduite exclusiv pe servere aflate în Spațiul Economic European (SEE).

Centre de date certificate

Transtoyou folosește centre de date certificate conform ISO 27001, SOC 2 și conforme cu toate cerințele GDPR relevante.

Transferuri internaționale

Datele personale nu sunt transferate în afara SEE, cu excepția cazului în care transferul are loc în baza:

Clauzelor contractuale standard (SCC)
Unei decizii de adecvare din partea Comisiei Europene
Consimțământului explicit al persoanei vizate

3. Accesul utilizatorilor la date și portabilitate (EU Data Act)

Utilizatorii pot accesa, descărca și exporta datele generate de contul și serviciile lor direct din panoul Transtoyou.

Atunci când este posibil din punct de vedere tehnic, utilizatorii pot cere și ca Transtoyou să transmită aceste date către o terță parte aleasă de ei, conform regulilor UE privind accesul la date și portabilitatea, inclusiv EU Data Act, acolo unde se aplică.

Accesează-ți datele

Descarcă și exportă datele direct din panoul tău.

Mergi la panou

4. Verificarea identității (verificare ID)

Transtoyou poate solicita o verificare unică a identității pentru:

Procese de prescriere cu risc ridicat

Servicii de îngrijire transgender, atunci când legea sau standardele de siguranță cer acest lucru

Suspiciuni de utilizare abuzivă, indicii de fraudă sau informații medicale neconcordante

Obligații legale, de reglementare sau ale farmaciei

Cum funcționează verificarea identității

Verificarea ID-ului include recunoașterea automată a unui act de identitate valid emis de autorități și o potrivire facială pentru confirmarea identității.

Datele biometrice sunt prelucrate exclusiv pentru verificarea unică a identității, prevenirea fraudei și prescrierea în siguranță. Nu sunt folosite pentru marketing, profilare sau orice alt scop.

Temeiul legal pentru prelucrarea datelor biometrice se bazează pe Articolul 9(2) GDPR / UK GDPR împreună cu Articolul 6(1), susținut de DPIA-uri, limitarea strictă a scopului și reguli clare de păstrare.

Verificare prin terți

Verificarea identității este realizată de un furnizor terț specializat, care acționează ca persoană împuternicită în numele Transtoyou.

Transtoyou nu păstrează o copie a actului de identitate. Primim doar statusul verificării și metadatele limitate necesare pentru conformitate și prevenirea fraudei.

Perioada de păstrare la furnizor este limitată la ceea ce cere legea și este reglementată prin Acordul nostru de prelucrare a datelor.

5. Autentificare cu doi factori (2FA)

Personal, medici și farmacii

Obligatorie

2FA este obligatorie pentru toate autentificările, conform celor mai bune practici pentru protejarea accesului la date medicale.

Clienți

Opțională, dar recomandată

2FA este opțională, dar o recomandăm cu tărie. După activare, este necesar un al doilea pas de autentificare, de exemplu prin SMS, la conectare sau la plasarea unei comenzi.

6. Operațiuni sensibile și controlul accesului

Evaluările medicale și aprobările rețetelor sunt realizate doar de medici autorizați conectați prin 2FA, cu acces limitat strict la datele necesare ale pacientului.
Nu este impusă o reautentificare suplimentară, de exemplu prin biometrie, pentru medici în timpul acțiunilor sensibile, dar există un Control al accesului bazat pe roluri (RBAC) strict.
Fiecare acces la dosarele medicale este înregistrat și auditabil.

7. Jurnale de audit și înregistrarea accesului

Înregistrare completă

Transtoyou păstrează jurnale pentru toate accesările datelor de consultație, rețetelor medicale, verificării identității și înregistrărilor utilizatorilor.

Verificare periodică

Jurnalele sunt verificate periodic pentru a detecta accesul neautorizat sau activitățile neobișnuite.

Acces restricționat

Doar persoanele autorizate, cu un rol operațional definit, pot accesa dosarele medicale.

8. Securitatea consultațiilor video și prin chat

Platformă sigură pentru consultații

Transtoyou folosește o platformă sigură pentru consultații video și prin chat, cu conexiuni criptate (TLS/DTLS/SRTP) și controale stricte de acces.

Înregistrări ale consultațiilor

Consultațiile video și/sau prin chat pot fi înregistrate doar atunci când este necesar pentru:

Siguranță clinică
Asigurarea calității
Instruire legată de siguranța pacientului
Gestionarea disputelor sau reclamațiilor, de exemplu dacă un utilizator sau un medic contestă ce s-a spus în timpul consultației

Perioada de păstrare: 90 de zile

Înregistrările sunt păstrate în siguranță pentru o perioadă limitată de 90 de zile, după care sunt șterse automat, cu excepția cazului în care este necesară păstrarea pe o perioadă mai lungă din cauza unei reclamații deschise, a unei obligații legale sau a unei investigații în curs. Acest lucru respectă principiul limitării stocării din GDPR / UK GDPR.

Măsuri importante de protecție

Accesul la înregistrări este strict limitat la medicul desemnat și la personalul autorizat pentru conformitate sau soluționarea disputelor, conform RBAC și cu jurnalizare completă pentru audit.
Înregistrările nu sunt folosite niciodată pentru marketing, profilare sau orice alt scop fără legătură.
Utilizatorii sunt informați înainte de începerea consultației că aceasta poate fi înregistrată, care este scopul înregistrării și cât timp va fi păstrată.

9. Protecție împotriva breșelor de date

Protocolul nostru de răspuns

În cazul unei breșe de date, Transtoyou:

Notifică autoritățile

Notifică autoritatea relevantă pentru protecția datelor, de exemplu Andmekaitse Inspektsioon din Estonia, în termen de 72 de ore, conform Articolelor 33 și 34 din GDPR.

Notifică utilizatorii afectați

Dacă există un risc ridicat pentru persoane, acestea vor fi notificate direct.

Analiza cauzei principale

După fiecare incident se face o analiză a cauzei principale, cu măsuri corective luate imediat.

10. Măsuri interne de securitate

Revizuirea drepturilor de acces

Drepturile de acces sunt verificate periodic și imediat atunci când se schimbă rolul unei persoane sau când colaborarea încetează.

Instruire în securitate

Instruirea privind securitatea și confidențialitatea este obligatorie pentru tot personalul care are acces la date personale sau medicale.

Actualizări regulate

Politicile de securitate și controalele tehnice sunt verificate și actualizate periodic.

11. Acorduri de prelucrare a datelor și subprocesatori

Transtoyou a semnat Acorduri de prelucrare a datelor (DPA) cu toți procesatorii terți, inclusiv furnizori de găzduire, furnizori de verificare a identității, farmacii, medici și instrumente de marketing.
Subprocesatorii pot prelucra datele doar conform instrucțiunilor Transtoyou și sub supravegherea acesteia.
O listă actualizată a subprocesatorilor este disponibilă la cerere prin: privacy@transtoyou.com

12. Registrul activităților de prelucrare (Art. 30 GDPR)

Transtoyou păstrează un Registru al activităților de prelucrare (ROPA) intern conform Articolului 30 din GDPR.

Acest registru include:

Toate activitățile de prelucrare
Scopurile
Categoriile de date personale
Procesatorii
Locațiile de stocare
Perioadele de păstrare
Măsurile de securitate aplicate

Este disponibil autorităților de supraveghere la cerere.

13. Evaluări ale impactului asupra protecției datelor (DPIA)

Pentru toate prelucrările de date medicale sau date personale sensibile, Transtoyou realizează periodic Evaluări ale impactului asupra protecției datelor (DPIA) conform Articolului 35 GDPR.

DPIA-urile sunt realizate și înainte de introducerea unor tehnologii noi sau fluxuri de lucru care pot aduce riscuri mai mari pentru confidențialitate.

14. Responsabil intern pentru confidențialitate (non-DPO)

Transtoyou nu are obligația legală de a numi un Responsabil cu protecția datelor (DPO) conform Articolului 37 GDPR, deoarece activăm în cadrul confidențialității profesionale medicale.

Totuși, am numit un responsabil intern pentru confidențialitate care supraveghează:

Conformitatea privind confidențialitatea
Menținerea registrului nostru de prelucrare
Realizarea DPIA-urilor
Verificarea acordurilor cu procesatorii

Această persoană este principalul punct de contact pentru aspectele legate de confidențialitate și susține auditurile, răspunsul la breșe și reducerea riscurilor.

Întrebări sau raportarea unei probleme

Dacă ai întrebări despre securitatea datelor sau vrei să raportezi o vulnerabilitate suspectată, contactează-ne:

Echipa de confidențialitate și securitate

Pentru întrebări și nelămuriri despre securitate:
privacy@transtoyou.com

Raportează o vulnerabilitate

Ai găsit o problemă de securitate? Spune-ne:
privacy@transtoyou.com

Securitatea ta este prioritatea noastră

Investim constant în protejarea datelor tale personale și medicale prin măsuri de securitate moderne și avansate.

Politica de confidențialitate Drepturi GDPR

Tip

Interval de preț

Sănătate sexuală și performanță

Sănătate hormonală și vitalitate

Îngrijirea părului și scalpului

Contracepție

Sănătate hormonală și reproductivă

Sănătate vaginală și menstruală

Tranziție și hormoni

Suport pentru sănătate

Sănătate mintală și sprijin general

Durere și recuperare

Sănătate cronică și metabolică

Alergii, infecții și sănătate urinară

Dermatologie și sănătate intimă

Prezentare suport

Instrumente eHealth gratuite

Despre Transtoyou eHealth

Transtoyou Social Media