1. Criptarea datelor

Date în tranzit

Toate datele transmise prin intermediul site-ului nostru și al aplicațiilor (de exemplu, informații medicale, date de verificare a identității, date de cont și comenzi) sunt criptate folosind TLS 1.2 sau mai recent.

Date în repaus

Datele stocate în bazele noastre de date și în backup-uri sunt criptate folosind AES-256 sau criptografie echivalentă standard de industrie.

Securitate de ultimă generație

Aceste măsuri respectă standardul de securitate "de ultimă generație" cerut de Articolul 32 GDPR / UK GDPR.

2. Locații ale serverelor și găzduire

Găzduire a datelor în UE

Toate datele personale ale utilizatorilor din UE sunt găzduite exclusiv pe servere din cadrul Spațiul Economic European (SEE).

Centre de date certificate

Transtoyou utilizează centre de date certificate conform ISO 27001, SOC 2 și conforme cu toate cerințele relevante GDPR.

Transferuri internaționale

Niciunul dintre datele personale nu este transferat în afara SEE, cu excepția cazului în care acest lucru se întâmplă în baza:

Clauze contractuale standard (SCC)
O decizie de adecvare din partea Comisiei Europene
Consimțământul explicit al persoanei vizate

3. Accesul utilizatorilor la date și portabilitatea acestora (Legea europeană privind datele)

Utilizatorii pot accesa, descărca și exporta datele generate de contul și serviciile lor direct prin tabloul de bord Transtoyou.

Acolo unde este tehnic fezabil, utilizatorii pot solicita, de asemenea, ca Transtoyou să transmită aceste date unei terțe părți desemnate de utilizator, în conformitate cu regulile aplicabile de acces și portabilitate a datelor din UE, inclusiv Legea europeană privind datele, acolo unde este relevant.

Accesează-ți datele

Descarcă și exportă-ți datele direct din tabloul de bord.

Mergi la tabloul de bord

4. Verificarea identității (Verificare ID)

Transtoyou poate solicita o verificare a identității unică pentru:

Cărți de rețetă cu risc ridicat

Cărți de îngrijire medicală pentru persoanele transgender, acolo unde este necesar prin lege sau standarde de siguranță

Suspectarea abuzului, indicii de fraudă sau informații medicale inconsistente

Obligații de reglementare sau de farmacie

Cum funcționează verificarea identității

Verificarea ID-ului implică recunoașterea automată a unui ID valid emis de guvern și o potrivire facială pentru a confirma identitatea.

Date biometrice este procesat exclusiv pentru verificarea identității unice, prevenirea fraudelor și prescrierea sigură. Nu este utilizat pentru marketing, profilare sau alte scopuri.

Baza legală pentru procesarea biometrică se bazează pe Articolul 9(2) GDPR / UK GDPR împreună cu Articolul 6(1), susținută de DPIA-uri, limitarea strictă a scopului și regulile de păstrare.

Verificare de către terți

Verificarea identității este efectuată de un furnizor specializat de terță parte care acționează ca procesator în numele Transtoyou.

Transtoyou nu stochează o copie a documentului de identitate. Primim doar un statut de verificare și metadate limitate necesare pentru conformitate și prevenirea fraudelor.

Păstrarea de către furnizor este limitată la ceea ce este legal necesar și reglementată de Acordul nostru de Procesare a Datelor.

5. Autentificare cu doi factori (2FA)

Personal, Medici și Farmacii

Obligatoriu

2FA este obligatoriu pentru toate autentificările, conform celor mai bune practici pentru securizarea accesului la datele medicale.

Clienți

Opțional, dar Recomandat

2FA este opțional, dar este puternic recomandat. Odată activat, un al doilea pas de autentificare (de exemplu, SMS) este necesar la autentificare sau atunci când plasezi o comandă.

6. Operațiuni Sensibile și Controale de Acces

Revizuirile medicale și aprobările rețetelor sunt efectuate doar de medici autorizați autentificați prin 2FA, cu acces restricționat doar la datele necesare ale pacientului.
Nu se impune o re-autentificare suplimentară (de exemplu, biometrie) pentru medici în timpul acțiunilor sensibile, dar există un Controlul accesului bazat pe roluri (RBAC) strict.
Fiecare acces la dosarele medicale este înregistrat și auditabil.

7. Jurnalele de audit și înregistrarea accesului

Înregistrare cuprinzătoare

Transtoyou menține jurnale ale tuturor accesurilor la datele consultațiilor, rețetelor, verificării identității și înregistrărilor utilizatorilor.

Revizuire regulată

Jurnalele sunt revizuite periodic pentru a detecta accesuri neautorizate sau anomalii.

Acces restricționat

Numai persoanele autorizate cu un rol operațional definit pot accesa dosarele medicale.

8. Securitatea consultațiilor video și chat

Platformă de consultație sigură

Transtoyou folosește o platformă de consultație video și chat sigură, cu conexiuni criptate (TLS/DTLS/SRTP) și controale stricte de acces.

Înregistrările consultațiilor

Consultațiile video și/sau chat pot fi înregistrate doar acolo unde este necesar pentru:

Siguranța clinică
Asigurarea calității
Instruirea legată de siguranța pacientului
Gestionarea disputelor sau plângerilor (de exemplu, dacă un utilizator sau medic contestă ceea ce s-a spus în timpul unei consultații)

Perioada de păstrare: 90 de zile

Înregistrările sunt stocate în siguranță pentru o perioadă limitată de retenție de 90 de zile, după care sunt șterse automat, cu excepția cazului în care este necesară o retenție mai lungă din cauza unei plângeri deschise, a unei obligații legale sau a unei investigații în curs. Aceasta respectă principiul de limitare a stocării conform GDPR/UK GDPR.

Măsuri de Siguranță Importante

Accesul la înregistrări este strict limitat la medicul desemnat și personalul autorizat pentru conformitate sau soluționarea disputelor, conform RBAC și cu înregistrarea completă a auditului.
Înregistrările nu sunt niciodată folosite pentru marketing, profilare sau orice alt scop nelegat.
Utilizatorii sunt informați înainte de începerea consultației că pot avea loc înregistrări, scopul înregistrării și perioada de retenție.

9. Protecția Împotriva Breșelor de Date

Protocolul Nostru de Răspuns

În cazul unei breșe de date, Transtoyou:

Notificarea Autorităților

Notifică autoritatea relevantă pentru protecția datelor (de exemplu, Andmekaitse Inspektsioon în Estonia) în termen de 72 de ore, așa cum este necesar conform Articolelor 33 și 34 din GDPR.

Notificarea Utilizatorilor Afectați

Dacă există un risc ridicat pentru persoane, acestea vor fi notificate direct.

Analiza Cauzei Fundamentale

O analiză a cauzei fundamentale este efectuată după fiecare incident, cu acțiuni corective luate imediat.

10. Măsuri de Securitate Internă

Revizuirea Drepturilor de Acces

Drepturile de acces sunt revizuite periodic și imediat la schimbarea rolului sau la încetarea activității.

Instruire în securitate

Instruirea în conștientizarea securității și a confidențialității este obligatorie pentru tot personalul cu acces la date personale sau medicale.

Actualizări regulate

Politicile de securitate și controalele tehnice sunt revizuite și actualizate regulat.

11. Acorduri de procesare a datelor și subprocessori

Transtoyou a semnat Acorduri de procesare a datelor (DPA) cu toți procesatorii terți (inclusiv furnizorii de găzduire, furnizorii de verificare a identității, farmaciile, medicii și instrumentele de marketing).
Subprocessorii pot procesa datele doar conform instrucțiunilor și sub supravegherea Transtoyou.
O listă actualizată a subprocessorilor este disponibilă la cerere prin: privacy@transtoyou.com

12. Registrul activităților de procesare (Art. 30 GDPR)

Transtoyou menține un Registrul activităților de procesare (ROPA) intern conform Articolului 30 din GDPR.

Acest registru include:

Toate activitățile de procesare
Scopurile
Categorii de date personale
Procesatori
Locațiile de stocare
Perioadele de retenție
Măsurile de securitate aplicate

Este disponibil autorităților de supraveghere la cerere.

13. Evaluări ale Impactului asupra Protecției Datelor (DPIA)

Pentru toate prelucrările de date medicale sau personale sensibile, Transtoyou efectuează regulat Evaluări ale Impactului asupra Protecției Datelor (DPIA) conform Articolului 35 din GDPR.

DPIA sunt de asemenea realizate înainte de introducerea de noi tehnologii sau fluxuri de lucru care prezintă riscuri ridicate pentru confidențialitate.

14. Ofițer Intern de Confidențialitate (non-DPO)

Transtoyou nu este obligat prin lege să numească un Ofițer pentru Protecția Datelor (DPO) conform Articolului 37 din GDPR, deoarece operăm sub confidențialitatea profesională medicală.

Cu toate acestea, am numit un ofițer intern de confidențialitate pentru a supraveghea:

Conformitatea cu confidențialitatea
Menținerea registrului nostru de procesare
Executarea DPIA-urilor
Revizuirea acordurilor cu procesatorii

Această persoană acționează ca punct principal de contact pentru problemele de confidențialitate și susține auditurile, răspunsul la breșe și mitigarea riscurilor.

Întrebări sau raportarea unei probleme

Dacă ai întrebări despre securitatea datelor sau dorești să raportezi o vulnerabilitate (suspectată), te rugăm să ne contactezi:

Echipa de Confidențialitate și Securitate

Pentru întrebări și preocupări legate de securitate:
privacy@transtoyou.com

Raportează o vulnerabilitate

Ai găsit o problemă de securitate? Anunță-ne:
privacy@transtoyou.com

Securitatea ta este prioritatea noastră

Investim continuu în protejarea datelor tale personale și medicale cu măsuri de securitate de ultimă generație.

Politica de confidențialitate Drepturile GDPR

Tip

Interval de preț

Sănătate sexuală și performanță

Sănătate hormonală și vitalitate

Îngrijirea părului și scalpului

Anticoncepție

Sănătate hormonală și reproductivă

Sănătate vaginală și menstruală

Tranziție și îngrijire hormonală

Soluții de sănătate suportive

Suport mental și general

Durere și recuperare

Cronic și metabolic

Alergii, infecții & căi urinare

Dermatologie & intimitate

Prezentare suport

Instrumentele tale gratuite eHealth

Despre Transtoyou eHealth

Transtoyou Social Media