Политика за поверителност

ToothIt („ние", „нашата платформа") е SaaS услуга, разработена в България, която предоставя на зъболекарските клиники инструменти за водене на медицински картони, гласови прегледи с AI, амбулаторни листове за НЗИС и комуникация с пациенти.

Администратор на лични данни е клиниката, която използва ToothIt. ToothIt действа като обработващ лични данни от името на клиниката (Article 28 GDPR).

За работа на платформата обработваме следните категории данни:

• Данни на клиниката / лекаря — имена, имейл, телефон, ЛПК, РЗИ код, адрес, ЕИК (когато се прилага).
• Данни на пациента — три имена, ЕГН (маскирано в интерфейса), дата на раждане, телефон, имейл, адрес, НЗОК номер, диагнози, зъбен статус, амбулаторни листове, история на лечения и плащания. Това са специални категории данни (данни за здравословното състояние) по чл. 9 GDPR.
• Записи на гласови прегледи — аудио, временно изпратено до OpenAI Whisper за транскрипция (около 30 секунди обработка), след което записът се изтрива от нашите сървъри. Транскрипцията се запазва в картона на пациента.
• Данни за използване — анонимни събития за действия в приложението (приети/отхвърлени AI препоръки), без лична информация. Записва се само ако сте приели разширените бисквитки.

Обработваме данните на следните законови основания:

• Изпълнение на договор (чл. 6.1.b GDPR) — за да предоставим услугата на клиниката.
• Изпълнение на законово задължение (чл. 6.1.c GDPR + чл. 86 от Закона за здравето) — водене на медицинска документация и подаване към НЗИС.
• Изричното съгласие на пациента (чл. 9.2.a GDPR) — за обработка на данните за здраве, събрано преди първия преглед чрез анкета.
• Легитимен интерес (чл. 6.1.f GDPR) — за сигурност на платформата и подобряване на услугата чрез анонимни метрики.

Използваме следните доказани процесори, всеки от които отговаря на европейските изисквания за защита на данните:

• Supabase (база данни) — данните се съхраняват в дейтацентър в ЕС, с криптиране при пренос и в покой.
• OpenAI (Whisper за транскрипция, GPT за извличане на находки) — аудио и текст се изпращат за обработка в реално време. OpenAI не използва тези данни за обучение съгласно API споразумението.
• Resend (имейл доставка) — за изпращане на напомняния, потвърждения и анкети към пациентите.
• Vercel (хостинг + анализ на трафика) — анонимни метрики за заявки и грешки.
• Sentry (мониторинг на грешки, когато е активиран) — записва технически грешки за откриване на бъгове. Не записваме персонални данни на пациенти.
• НЗИС — амбулаторни листове се изпращат при изрично искане от клиниката за обработка на електронни отчетни форми.

Не продаваме лични данни на трети страни и не споделяме данни на пациенти с реклама или маркетинг доставчици.

• Гласови записи — изтриват се след 24 часа, освен ако амбулаторният лист е изрично финализиран.
• Картон на пациент — до 5 години след последното посещение (българско изискване по Закона за здравето), след което се анонимизира или изтрива по искане на клиниката.
• Технически логове — 30 дни.
• Метрики за използване — 13 месеца (Vercel Analytics default).

Като пациент или зъболекар имате право на:

• Достъп до личните си данни.
• Корекция на неточни данни.
• Изтриване („правото да бъдете забравени").
• Ограничаване на обработката.
• Преносимост на данните.
• Възражение срещу обработка, основана на легитимен интерес.
• Жалба до Комисията за защита на личните данни (КЗЛД, cpdp.bg).

За упражняване на правата си се свържете първо с клиниката, която ви обслужва (като администратор на данните). За технически въпроси пишете на privacy@dentos.bg.

Прилагаме следните технически и организационни мерки: TLS 1.3 при пренос, AES-256 криптиране в покой, многофакторна автентикация за достъп до сървърите, регулярни резервни копия, контрол на достъпа по принцип „минимални необходими права".

ToothIt не използва маркетингови или рекламни бисквитки. Запазваме локални данни (localStorage) за работата на приложението — сесия, предпочитания, чернови. Разширените бисквитки (продуктови анализи, Sentry replay при грешка) се активират само след изрично съгласие чрез банера на първото посещение.

При съществени промени ще ви уведомим през приложението и/или имейл, преди те да влязат в сила. Текущата версия е винаги достъпна на този URL.