Допълнение за обработка на данни (DPA)
Последна актуализация: октомври 2025 г.
Въведение
Това Допълнение за обработка на данни („Допълнение“ или „DPA“) е част от и допълва Условията за ползване и Политиката за приемливо ползване на www.nexo-aligners.com („Уебсайтът“), управляван от FACE Orthodontics SRL, Str. Pompiliu Teodor 26, Cluj-Napoca, Romania („Обработващ лични данни“ или „FACE Orthodontics SRL“). Това Допълнение урежда обработката на лични данни, извършвана от FACE Orthodontics SRL от името на лицензирания дентален специалист или ортодонт („Администратор“) във връзка с използването на Уебсайта, Лекарския портал, системата за подаване на заявления и свързаните с него услуги („Услуги“). Това Допълнение гарантира, че цялата обработка на лични данни е в съответствие с Общия регламент на ЕС относно защитата на данните (GDPR) и приложимите румънски закони за защита на данните.
1. Цел и обхват
Това Допълнение определя условията, при които FACE Orthodontics SRL обработва лични данни от името на Администратора в процеса на предоставяне на услуги за управление на ортодонтски случаи и планиране на цифрови алайнери. Обработката включва събиране, съхранение, прехвърляне и други операции, извършвани върху лични данни, предоставени или качени от Администратора чрез Уебсайта или свързани системи.
2. Роли на страните
Администраторът определя целите и средствата за обработка на лични данни на пациенти и други лица. Обработващият, FACE Orthodontics SRL, обработва тези лични данни единствено от името на и в съответствие с документираните инструкции на Администратора.
3. Категории данни и субекти на данни
Обработващият може да обработва следните категории лични данни, както е описано в Приложение I към настоящото допълнение, включително:
- Данни за идентификация на пациента
- Интраорални сканирания, рентгенови снимки и компютърна томография (КБТ)
- Снимки на лицето и интраорални снимки
- Планове за ортодонтско лечение
- Професионален профил и информация за контакт (на администраторите и техния персонал)
Субектите на данни могат да включват пациенти, дентални специалисти и други лица, участващи в процеса на лечение или подкрепа.
4. Processor’s Obligations
FACE Orthodontics SRL се задължава:
1. Обработва лични данни само по документирани инструкции от Администратора, включително по отношение на прехвърлянето на лични данни към трети държави.
2. Гарантирайте, че лицата, упълномощени да обработват лични данни, са обвързани със задължения за поверителност.
3. Приложете подходящи технически и организационни мерки за сигурност за защита на личните данни.
4. Подпомагане на администратора при осигуряване на спазването на задълженията, свързани със сигурността на данните, уведомяването за нарушения, оценките на въздействието върху защитата на данните и консултациите с надзорните органи.
5. Уведомете Администратора без ненужно забавяне, след като узнае за всяко нарушение на сигурността на личните данни.
6. При прекратяване на услугите, да изтриете или върнете всички лични данни по искане на Администратора, освен ако съхранението им не се изисква по закон.
5. Поверителност
Всички лични данни, обработвани съгласно това Допълнение, се третират като строго поверителни. Обработващият лични данни гарантира, че всяко лице, действащо под негово ръководство и имащо достъп до лични данни, не обработва тези данни, освен по указания на Администратора.
6. Мерки за сигурност
Обработващият прилага подходящи технически и организационни мерки, за да осигури ниво на сигурност, съответстващо на риска, включително, но не само:
- Криптиране на данни и псевдонимизация
- Контрол на достъпа и удостоверяване на потребителите
- Сигурен трансфер на данни и криптирана комуникация
- Редовни архивирания на данни и системни одити
- Сигурно съхранение в центрове за данни, базирани в ЕС.
7. Подизпълнители
Администраторът упълномощава Обработващия да ангажира подизпълнители за специфични дейности по обработка на данни, при условие че:
- Подизпълнителят е обвързан от писмени задължения, еквивалентни на посочените в настоящото Допълнение.
- Обработващият лични данни остава изцяло отговорен пред Администратора за работата на всеки подизпълнител.
Списък на одобрените подизпълнители може да бъде предоставен при писмено искане.
8. Съдействие на администратора
Обработващият ще съдейства на Администратора при:
- Отговаряне на искания от субекти на данни, които искат да упражнят правата си съгласно GDPR.
- Извършване на оценки на въздействието върху защитата на данните.
- Осигуряване на спазване на задълженията за уведомяване за нарушения на данните.
9. Права на субекта на данни
Администраторът е отговорен за отговарянето на исканията на субектите на данни за упражняване на техните права (достъп, коригиране, заличаване, ограничаване, преносимост и възражение). Обработващият уведомява Администратора незабавно, ако получи директно такова искане, и не отговаря, освен по документирано нареждане на Администратора.
10. Съхранение и изтриване на данни
Обработващият лични данни ще съхранява личните данни само толкова дълго, колкото е необходимо за предоставяне на договорените услуги или както се изисква от приложимото законодателство. При прекратяване на договорните отношения всички лични данни ще бъдат сигурно изтрити или върнати на Администратора, освен ако не е предвидено друго по закон.
11. Международни трансфери на данни
Обработващият няма да прехвърля лични данни извън Европейското икономическо пространство („ЕИП“) без предварителното писмено съгласие на Администратора и без да приложи адекватни предпазни мерки, както се изисква съгласно GDPR.
12. Audit and Compliance
При разумно предизвестие, Администраторът може да проведе или да поиска независим одит на практиките за защита на данните на Обработващия. Обработващият предоставя цялата необходима информация, за да докаже спазването на задълженията си по член 28 от GDPR.
13. Отговорност
Всяка страна носи отговорност за вредите, произтичащи от нейното собствено нарушение на това Допълнение или приложимото законодателство за защита на данните. Отговорността на Обработващия лични данни е ограничена до преки щети, за които е доказано, че са резултат от неспазването на документирани инструкции или задължения по GDPR.
14. Срок и прекратяване
Това Допълнение остава в сила, докато Обработващият обработва лични данни от името на Администратора. След прекратяване на използването на Услугите от Администратора, Обработващият изтрива или връща всички лични данни, както е посочено в Раздел 10.
15. Приложимо право и юрисдикция
Това Допълнение се урежда и тълкува в съответствие със законите на Румъния. Всички спорове, произтичащи от или свързани с това Допълнение, са предмет на изключителната юрисдикция на съдилищата в Клуж-Напока, Румъния.
Приложение I – Категории лични данни и субекти на данни
Категории обработвани лични данни:
- Данни за идентификация на пациента (напр. име, дата на раждане, данни за контакт)
- Интраорални сканирания и 3D цифрови зъбни модели
- Снимки на лицето и интраорални снимки
- Планове за ортодонтско лечение, включително диагностични и планиращи файлове
- Данни за професионалните профили на ортодонти и свързания с тях персонал
Категории субекти на данни:
- Пациенти, подложени на ортодонтско лечение
- Зъболекарски специалисти (контрольори и техни упълномощени служители)
- Персонал за техническа поддръжка (където е приложимо).