Acord de prelucrare a datelor (DPA)
Ultima actualizare: 4 iunie 2026
Introducere
Prezentul Acord de prelucrare a datelor („DPA") este încheiat între clinica stomatologică ce utilizează platforma DENTARI („Operator") și DENTARI, operatorul platformei („Persoană împuternicită").
Prezentul DPA face parte integrantă din Termenii și condițiile de utilizare și reglementează prelucrarea datelor cu caracter personal de către DENTARI în numele clinicii, în conformitate cu Art. 28 din GDPR (UE 2016/679).
1. Definiții
- „Operator" — clinica stomatologică care determină scopurile și mijloacele prelucrării datelor pacienților.
- „Persoană împuternicită" — DENTARI, care prelucrează date cu caracter personal în numele Operatorului.
- „Date cu caracter personal" — orice informație referitoare la o persoană fizică identificată sau identificabilă (GDPR Art. 4(1)).
- „Date din categorii speciale" — date privind sănătatea conform GDPR Art. 9, inclusiv fișe dentare și informații despre tratamente.
- „Persoană vizată" — pacientul sau personalul clinicii ale cărui date sunt prelucrate.
- „Subcontractant" — orice terț angajat de Persoana împuternicită pentru prelucrarea datelor cu caracter personal.
- „GDPR" — Regulamentul general privind protecția datelor (UE) 2016/679.
2. Obiectul, natura și scopul prelucrării
Persoana împuternicită prelucrează date cu caracter personal în numele Operatorului în scopul furnizării platformei DENTARI pentru managementul clinicilor stomatologice, incluzând: gestionarea programărilor, stocarea fișelor pacienților, planuri de tratament și analiza veniturilor.
Natura prelucrării include: colectare, stocare, recuperare, afișare, modificare și ștergere a datelor din platformă.
Prezentul DPA se aplică pe durata acordului de abonament dintre părți.
3. Tipurile de date cu caracter personal prelucrate
- Personalul clinicii: nume, adresă de e-mail, rol.
- Pacienți: nume, date de contact (telefon, e-mail), data nașterii, istoricul vizitelor, planuri de tratament, fișe dentare, note clinice.
Categorii de persoane vizate: personalul clinicii; pacienții clinicii.
Datele de sănătate ale pacienților constituie o categorie specială conform GDPR Art. 9. Operatorul este responsabil pentru asigurarea unui temei juridic valabil pentru colectarea și utilizarea acestora.
4. Roluri și responsabilități
| Parte | Rol | Responsabilitate |
|---|---|---|
| Clinica stomatologică | Operator de date | Determină ce date se colectează, în ce scop, și obține consimțământul acolo unde este necesar. Responsabil pentru obligațiile GDPR față de pacienți. |
| DENTARI | Persoană împuternicită | Prelucrează datele exclusiv conform instrucțiunilor documentate ale Operatorului. Implementează măsuri tehnice și organizatorice de securitate. |
5. Obligațiile Persoanei împuternicite (GDPR Art. 28(3))
Persoana împuternicită se angajează să:
- (a) Prelucreze doar conform instrucțiunilor — prelucreze datele cu caracter personal exclusiv conform instrucțiunilor Operatorului. Dacă o obligație legală impune prelucrarea fără instrucțiuni, va informa Operatorul în prealabil, cu excepția cazurilor interzise de lege.
- (b) Confidențialitate — asigure că personalul autorizat este supus unei obligații contractuale sau legale de confidențialitate.
- (c) Securitate — implementeze măsuri tehnice și organizatorice adecvate conform GDPR Art. 32, inclusiv criptare în tranzit (TLS 1.2+), criptare în repaus și control al accesului.
- (d) Subcontractanți — angajeze subcontractanți numai cu acordul scris prealabil al Operatorului. Impune obligații echivalente de protecție a datelor tuturor subcontractanților.
- (e) Drepturile persoanelor vizate — asiste Operatorul în îndeplinirea obligațiilor privind răspunsul la cererile drepturilor persoanelor vizate în termen de 5 zile lucrătoare.
- (f) Ștergere sau returnare — la încetarea acordului, șterge toate datele cu caracter personal în termen de 30 de zile și furnizează confirmare scrisă.
- (g) Cooperare la audit — pune la dispoziție informațiile necesare pentru demonstrarea conformității și permite audituri cu un preaviz de cel puțin 14 zile.
- (h) Notificarea instrucțiunilor ilegale — informează imediat Operatorul dacă o instrucțiune încalcă GDPR sau altă legislație aplicabilă.
6. Subcontractanți autorizați
Operatorul acordă consimțământul scris general pentru următorii subcontractanți. DENTARI va notifica Operatorul cu privire la orice modificări ale acestei liste cu cel puțin 14 zile preaviz.
| Subcontractant | Scop | Localizare | Garanție |
|---|---|---|---|
| Supabase Inc. | Baze de date, autentificare, stocare fișiere | UE (Frankfurt, Germania) | DPA + rezidență UE |
| Stripe Inc. | Procesare plăți (doar date de facturare) | UE + SUA | SCC + PCI DSS |
| Google LLC | Autentificare (numai OAuth) | UE + SUA | SCC |
| Vercel Inc. | Găzduire aplicație și CDN | Global (UE prioritar) | DPA + SCC |
Notă: Datele pacienților sunt stocate exclusiv în regiunea Supabase UE (Frankfurt).
7. Măsuri de securitate (GDPR Art. 32)
DENTARI implementează următoarele măsuri tehnice și organizatorice:
- Criptarea datelor în tranzit (minim TLS 1.2) și în repaus (AES-256).
- Control al accesului bazat pe roluri (RBAC) — personalul clinicii accesează exclusiv datele clinicii proprii.
- Securitate la nivel de rând impusă la nivelul bazei de date (politici Supabase RLS).
- Autentificare multifactor disponibilă pentru toate conturile.
- Actualizări de securitate regulate și audituri ale dependențelor.
- Backup-uri automate ale bazei de date cu recuperare point-in-time.
8. Notificarea încălcărilor de securitate
În cazul unei încălcări a securității datelor cu caracter personal ale Operatorului, Persoana împuternicită va:
- Notifica Operatorul fără întârzieri nejustificate și, dacă este fezabil, în termen de 24 de ore.
- Furniza: natura încălcării; categoriile și numărul aproximativ de persoane vizate și înregistrări afectate; consecințele probabile; măsurile luate sau propuse.
- Coopera cu Operatorul pentru notificarea în timp util a autorității de supraveghere (în 72 de ore, conform GDPR Art. 33).
9. Transferuri internaționale de date
Datele pacienților și ale clinicii sunt stocate în regiunea Supabase UE (Frankfurt). Transferurile către subcontractanți din afara SEE sunt reglementate de Clauze contractuale standard (SCC) conform GDPR Art. 46(2)(c).
10. Dreptul de audit
Operatorul are dreptul de a efectua un audit al activităților de prelucrare ale Persoanei împuternicite o dată pe an calendaristic sau imediat după o încălcare confirmată, cu un preaviz de minimum 14 zile scrise. Auditurile se desfășoară în timpul orelor de lucru.
11. Răspundere
Fiecare parte răspunde față de cealaltă pentru daunele directe cauzate prin încălcarea prezentului DPA. Răspunderea totală a Persoanei împuternicite nu va depăși taxele plătite de Operator în cele 12 luni precedente cererii.
12. Durata și încetarea
Prezentul DPA intră în vigoare de la data primei utilizări a Serviciului de către Operator și rămâne în vigoare pe durata acordului de abonament. Încetează automat la rezilierea abonamentului, după care Persoana împuternicită va șterge toate datele cu caracter personal în termen de 30 de zile.
13. Legea aplicabilă
Prezentul DPA este guvernat de legislația Republicii Bulgaria și interpretat în conformitate cu Regulamentul (UE) 2016/679 (GDPR). Orice litigiu se soluționează de instanțele competente din Burgas, Bulgaria.
14. Contact
DENTARI
Burgas, Bulgaria
E-mail: info@dentari.app