1. Strane
Klinika (Controller / voditelj obrade) ↔ DentOrd (Processor / obradaitelj).
Ovaj DPA reguliše obradu podataka pacijenata i povezanih kategorija koje Klinika unese u DentOrd.
2. Predmet i trajanje
Predmet: obrada ličnih i zdravstvenih podataka radi pružanja DentOrd SaaS usluge.
Trajanje: dok Klinika ima aktivan nalog ili dok traju obaveze čuvanja/brisanja nakon raskida.
3. Priroda obrade
Hostiranje, storage, prikaz u aplikaciji, email delivery (podsjetnici/transakcijski), backup i povezane tehničke operacije potrebne za uslugu.
4. Vrste podataka
Identifikacioni i kontakt podaci, zdravstveni podaci i dokumenti koje unese Klinika, termini, fakture i povezani administrativni zapisi.
5. Kategorije ispitanika
Pacijenti Klinike i zaposleni / korisnici Klinike čiji se podaci obrađuju u okviru usluge.
6. Obaveze Processor-a
Processor obrađuje podatke pacijenata isključivo radi pružanja DentOrd usluge Klinici i po dokumentovanim uputama Controller-a (uključujući konfiguraciju u aplikaciji).
Processor ne koristi podatke pacijenata za treniranje javnih AI modela trećih strana bez eksplicitnog ugovornog osnova i Controllera.
Obaveze uključuju: povjerljivost osoblja, odgovarajuće tehničke i organizacijske mjere, pomoć Controller-u oko prava ispitanika, te angažman podobradaitelja pod jednakim zaštitama.
7. Lista podobradaitelja
Trenutni podobradaitelji uključuju: Supabase, Vercel, Resend, Sentry, PostHog (bez imena pacijenata u analytics), te Stripe od naplate.
O izmjeni materijalnih podobradaitelja Controller će biti obaviješten u razumnom roku i imati pravo prigovora u skladu s primjenjivim propisima.
8. Međunarodni transferi
Default je obrada u EU. Ako ikad zatreba transfer izvan EEA, koristit će se odgovarajući mehanizmi (npr. SCC) gdje je to zakonski potrebno.
9. Prava ispitanika — pomoć Controller-u
Processor će razumno pomoći Controller-u da odgovori na zahtjeve ispitanika (pristup, ispravka, brisanje, prenosivost) kroz alate u aplikaciji i podršku.
10. Obavijest o povredi
U slučaju povrede podataka, Processor će obavijestiti Controller bez nepotrebnog odgađanja — orijentir 72 sata od saznanja — s informacijama dostupnim u tom trenutku.
11. Brisanje / povrat podataka nakon raskida
Nakon raskida, Controller može izvesti podatke u predviđenom roku. Zatim Processor briše ili anonimizira podatke Klinike, osim gdje zakon nalaže duže čuvanje.
12. Audit prava
Controller može, uz razumni interval, NDA i prethodnu najavu, tražiti informacije ili audit relevantan za usklađenost Processor-a s ovim DPA-om.
13. Prihvatanje (clickwrap)
DPA se smatra prihvaćenim kada vlasnik Klinike pri signup-u označi prihvatanje Terms + Privacy. Dodatni potpis nije potreban za v1, osim ako strane drugačije ne dogovore.
Pitanja: support@dentord.com.
