Споразумение за обработка на данни (DPA)
Последна актуализация: 4 юни 2026 г.
Въведение
Настоящото Споразумение за обработка на данни („DPA") се сключва между стоматологичната клиника, използваща платформата DENTARI („Администратор"), и DENTARI, оператор на платформата („Обработващ").
Настоящото DPA е неразделна част от Условията за ползване и урежда обработката на лични данни от DENTARI от името на клиниката, в съответствие с Член 28 от GDPR (ЕС 2016/679).
1. Определения
- „Администратор" — стоматологичната клиника, определяща целите и средствата за обработка на данните на пациентите.
- „Обработващ" — DENTARI, обработващ лични данни от името на Администратора.
- „Лични данни" — всяка информация, свързана с идентифицирано или идентифицируемо физическо лице (Член 4(1) GDPR).
- „Специални категории данни" — здравни данни по смисъла на Член 9 GDPR, включително зъбни карти и информация за лечение.
- „Субект на данни" — пациент или служител на клиниката, чиито данни се обработват.
- „Подизпълнител" — всяка трета страна, ангажирана от Обработващия за обработка на лични данни.
- „GDPR" — Общ регламент за защита на данните (ЕС) 2016/679.
2. Предмет, естество и цел на обработката
Обработващият обработва лични данни от името на Администратора с цел предоставяне на платформата DENTARI за управление на стоматологична клиника, включваща: управление на разписания, съхранение на досиета на пациенти, планове за лечение и приходна аналитика.
Естеството на обработката включва: събиране, съхранение, извличане, показване, промяна и изтриване на данни в платформата.
Настоящото DPA се прилага за срока на абонаментното споразумение между страните.
3. Видове обработвани лични данни
- Персонал на клиниката: имена, имейл адрес, роля.
- Пациенти: имена, данни за контакт (телефон, имейл), дата на раждане, история на посещенията, планове за лечение, зъбни карти, клинични бележки.
Категории субекти на данни: персонал на клиниката; пациенти на клиниката.
Здравните данни на пациентите представляват специална категория по Член 9 GDPR. Администраторът носи отговорност за осигуряване на валидно правно основание за тяхното събиране и обработване.
4. Роли и отговорности
| Страна | Роля | Отговорност |
|---|---|---|
| Стоматологична клиника | Администратор | Определя какви данни да се събират, за какви цели, и осигурява съгласие там, където е необходимо. Отговаря за изпълнение на задълженията по GDPR спрямо пациентите. |
| DENTARI | Обработващ | Обработва данните само по документирани инструкции на Администратора. Прилага технически и организационни мерки за сигурност. |
5. Задължения на Обработващия (Член 28(3) GDPR)
Обработващият се задължава да:
- (а) Обработва само по инструкции — обработва лични данни единствено съгласно инструкциите на Администратора. Ако се изисква обработка без такива инструкции по закон на ЕС или национален закон, Обработващият уведомява Администратора предварително, освен ако законът забранява такова уведомление.
- (б) Поверителност — гарантира, че упълномощените лица са обвързани с договорно или законово задължение за поверителност.
- (в) Сигурност — прилага подходящи технически и организационни мерки съгласно Член 32 GDPR, включително криптиране при пренос (TLS 1.2+), криптиране в покой и контрол на достъпа.
- (г) Подизпълнители — ангажира подизпълнители само с предварително писмено съгласие на Администратора. Налага еквивалентни задължения за защита на данните на всички подизпълнители.
- (д) Права на субекти на данни — съдейства на Администратора при изпълнение на задълженията му за отговор на искания за права в рамките на 5 работни дни от искането на Администратора.
- (е) Изтриване или връщане — при прекратяване на споразумението изтрива всички лични данни в рамките на 30 дни и предоставя писмено потвърждение.
- (ж) Одитно сътрудничество — предоставя информация, необходима за доказване на съответствие, и позволява одити с минимум 14 дни предизвестие.
- (з) Уведомяване за незаконни инструкции — незабавно информира Администратора, ако дадена инструкция нарушава GDPR или приложимото законодателство.
6. Оторизирани подизпълнители
Администраторът дава общо писмено съгласие за следните подизпълнители. DENTARI ще уведомява Администратора за промени в този списък с поне 14 дни предизвестие.
| Подизпълнител | Цел | Местоположение | Гаранция |
|---|---|---|---|
| Supabase Inc. | База данни, удостоверяване, файлово хранилище | ЕС (Франкфурт, Германия) | DPA + резиденция в ЕС |
| Stripe Inc. | Обработка на плащания (само данни за таксуване) | ЕС + САЩ | SCCs + PCI DSS |
| Google LLC | Удостоверяване (само OAuth) | ЕС + САЩ | SCCs |
| Vercel Inc. | Хостинг на приложението и CDN | Глобален (ЕС приоритет) | DPA + SCCs |
Забележка: Данните на пациентите се съхраняват изключително в региона Supabase ЕС (Франкфурт).
7. Мерки за сигурност (Член 32 GDPR)
DENTARI прилага следните технически и организационни мерки:
- Криптиране на данни при пренос (минимум TLS 1.2) и в покой (AES-256).
- Контрол на достъпа на базата на роли (RBAC) — персоналът на клиниката има достъп само до данните на своята клиника.
- Сигурност на ниво ред, наложена на ниво база данни (Supabase RLS политики).
- Двуфакторна автентикация за всички акаунти.
- Редовни актуализации за сигурност и одити на зависимостите.
- Автоматизирани резервни копия на базата данни с възстановяване към произволен момент.
8. Уведомяване при нарушение на сигурността
При нарушение на сигурността на личните данни на Администратора, Обработващият:
- Уведомява Администратора без излишно забавяне и, когато е осъществимо, в рамките на 24 часа.
- Предоставя: естеството на нарушението; категориите и приблизителния брой засегнати субекти и записи; вероятните последствия; мерките, предприети за справяне с нарушението.
- Съдейства на Администратора за своевременно уведомяване на надзорния орган (в рамките на 72 часа по Член 33 GDPR).
9. Международно предаване на данни
Данните на пациентите и клиниките се съхраняват в региона Supabase ЕС (Франкфурт). Предаванията към подизпълнители извън ЕИП се уреждат от Стандартни договорни клаузи (SCCs) съгласно Член 46(2)(в) GDPR.
10. Права на одит
Администраторът има право да извършва одит на дейностите по обработка на Обработващия веднъж годишно или незабавно след потвърдено нарушение. Изисква се минимум 14 дни писмено предизвестие. Одитите се провеждат в работно време по начин, минимизиращ смущенията в работата.
11. Отговорност
Всяка страна носи отговорност пред другата за преки вреди, причинени от нарушение на настоящото DPA. Общата отговорност на Обработващия не надвишава таксите, платени от Администратора за 12-те месеца преди претенцията.
12. Срок и прекратяване
Настоящото DPA влиза в сила от датата на първото използване на Услугата от Администратора и остава в сила за срока на абонаментното споразумение. То се прекратява автоматично при прекратяване на абонамента, след което Обработващият изтрива всички лични данни в рамките на 30 дни.
13. Приложимо право
Настоящото DPA се урежда от законите на Република България и се тълкува в съответствие с Регламент (ЕС) 2016/679 (GDPR). Всички спорове се разрешават пред компетентните съдилища в Burgas, България.
14. Контакт
DENTARI
Burgas, Bulgaria
Имейл: info@dentari.app