Dodatek dotyczący przetwarzania danych (DPA)
Ostatnia aktualizacja: październik 2025 r.
Wstęp
1. Cel i zakres
Niniejszy Dodatek określa warunki, na jakich FACE Orthodontics SRL przetwarza dane osobowe w imieniu Administratora w ramach świadczenia usług zarządzania przypadkami ortodontycznymi i cyfrowego planowania nakładek. Przetwarzanie obejmuje gromadzenie, przechowywanie, przesyłanie i inne operacje wykonywane na danych osobowych przekazanych lub przesłanych przez Administratora za pośrednictwem Strony internetowej lub powiązanych systemów.
2. Role Stron
Administrator określa cele i sposoby przetwarzania danych osobowych pacjentów i innych osób. Podmiot przetwarzający, FACE Orthodontics SRL, przetwarza takie dane osobowe wyłącznie w imieniu i zgodnie z udokumentowanymi instrukcjami Administratora.
3. Kategorie danych i podmioty danych
Podmiot przetwarzający może przetwarzać następujące kategorie danych osobowych, zgodnie z opisem zawartym w Załączniku I do niniejszego Dodatku, w tym:
- Dane identyfikacyjne pacjenta
- Skanowanie wewnątrzustne, zdjęcia rentgenowskie i tomografia komputerowa CBCT
- Zdjęcia twarzy i wewnątrzustne
- Plany leczenia ortodontycznego
- Konto zawodowe i dane kontaktowe (Kontrolerów i ich personelu)
Podmiotami danych mogą być pacjenci, lekarze dentyści i inne osoby biorące udział w procesie leczenia lub wsparcia.
4. Obowiązki podmiotu przetwarzającego
Firma FACE Orthodontics SRL zobowiązuje się do:
1. Przetwarzaj dane osobowe wyłącznie na udokumentowane polecenie Administratora, w tym również w przypadku przekazywania danych osobowych do państw trzecich.
2. Zapewnić, że osoby upoważnione do przetwarzania danych osobowych są zobowiązane do zachowania poufności.
3. Wdrożyć odpowiednie środki bezpieczeństwa techniczne i organizacyjne w celu ochrony danych osobowych.
4. Pomaganie Administratorowi w zapewnieniu przestrzegania obowiązków związanych z bezpieczeństwem danych, zgłaszaniem naruszeń, oceną skutków dla ochrony danych i konsultacjami z organami nadzoru.
5. Powiadom Administratora bez zbędnej zwłoki po uzyskaniu wiedzy o jakimkolwiek naruszeniu ochrony danych osobowych.
6. Po zakończeniu świadczenia usług, na żądanie Administratora, wszystkie dane osobowe zostaną usunięte lub zwrócone, chyba że ich przechowywanie jest wymagane na mocy prawa.
5. Poufność
Wszystkie dane osobowe przetwarzane na podstawie niniejszego Aneksu będą traktowane jako ściśle poufne. Podmiot Przetwarzający zapewni, że żadna osoba działająca z jego upoważnienia, która ma dostęp do danych osobowych, nie będzie przetwarzać tych danych inaczej niż na polecenie Administratora.
6. Środki bezpieczeństwa
Podmiot przetwarzający wdraża odpowiednie środki techniczne i organizacyjne w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do ryzyka, w tym, ale nie wyłącznie:
- Szyfrowanie i pseudonimizacja danych
- Kontrola dostępu i uwierzytelnianie użytkowników
- Bezpieczny transfer danych i szyfrowana komunikacja
- Regularne tworzenie kopii zapasowych danych i audyty systemu
- Bezpieczne przechowywanie danych w centrach danych zlokalizowanych w UE.
7. Podprocesory
8. Pomoc dla Kontrolera
9. Prawa osób, których dane dotyczą
Administrator jest odpowiedzialny za odpowiadanie na żądania osób, których dane dotyczą, dotyczące wykonywania ich praw (dostępu, sprostowania, usunięcia, ograniczenia, przenoszenia i sprzeciwu). Podmiot przetwarzający jest zobowiązany niezwłocznie powiadomić Administratora o otrzymaniu takiego żądania bezpośrednio i nie udzielać odpowiedzi, chyba że na podstawie udokumentowanego polecenia Administratora.
10. Przechowywanie i usuwanie danych
Podmiot przetwarzający będzie przechowywał dane osobowe wyłącznie tak długo, jak będzie to konieczne do świadczenia Usług objętych umową lub zgodnie z wymogami obowiązującego prawa. Po rozwiązaniu stosunku umownego wszystkie dane osobowe zostaną bezpiecznie usunięte lub zwrócone Administratorowi, chyba że przepisy prawa stanowią inaczej.
11. Międzynarodowy transfer danych
Podmiot przetwarzający nie będzie przekazywał danych osobowych poza Europejski Obszar Gospodarczy („EOG”) bez uprzedniej pisemnej zgody Administratora i bez wdrożenia odpowiednich zabezpieczeń wymaganych na mocy RODO.
12. Audyt i zgodność
Po uprzednim powiadomieniu Administrator może przeprowadzić lub zażądać niezależnego audytu praktyk Podmiotu Przetwarzającego w zakresie ochrony danych. Podmiot Przetwarzający udostępni wszelkie niezbędne informacje w celu wykazania zgodności z obowiązkami wynikającymi z art. 28 RODO.
13. Odpowiedzialność
Każda ze stron ponosi odpowiedzialność za szkody wynikające z naruszenia przez nią niniejszego Dodatku lub obowiązującego prawa o ochronie danych. Odpowiedzialność Podmiotu Przetwarzającego ogranicza się do szkód bezpośrednich, co do których udowodniono, że wynikają z nieprzestrzegania przez niego udokumentowanych instrukcji lub obowiązków wynikających z RODO.
14. Okres obowiązywania i rozwiązanie umowy
Niniejszy Aneks pozostaje w mocy tak długo, jak Podmiot Przetwarzający przetwarza dane osobowe w imieniu Administratora. Po zakończeniu korzystania z Usług przez Administratora, Podmiot Przetwarzający usunie lub zwróci wszystkie dane osobowe zgodnie z postanowieniami Sekcji 10.
15. Prawo właściwe i jurysdykcja
Niniejszy Aneks podlega prawu rumuńskiemu i zgodnie z nim będzie interpretowany. Wszelkie spory wynikające z niniejszego Aneksu lub z nim związane podlegają wyłącznej jurysdykcji sądów w Klużu-Napoce w Rumunii.