Act adițional privind prelucrarea datelor (DPA)
Ultima actualizare: octombrie 2025
Introducere
Prezentul Act Adițional privind Prelucrarea Datelor („Act Adițional” sau „DPA”) face parte din și completează Termenii de Utilizare și Politica de Utilizare Acceptabilă a site-ului www.nexo-aligners.com („Site-ul web”), operat de FACE Orthodontics SRL, Str. Pompiliu Teodor 26, Cluj-Napoca, România („Persoană împuternicită de operator” sau „FACE Orthodontics SRL”). Prezentul Act Adițional reglementează prelucrarea datelor cu caracter personal efectuată de FACE Orthodontics SRL în numele profesionistului stomatolog sau ortodontului autorizat („Operator”) în legătură cu utilizarea Site-ului web, a Portalului Medicilor, a sistemului de depunere a cazurilor și a serviciilor conexe („Servicii”). Prezentul Act Adițional garantează că toate prelucrările datelor cu caracter personal sunt conforme cu Regulamentul general privind protecția datelor (GDPR) al UE și cu legile românești aplicabile privind protecția datelor.
1. Scop și domeniu de aplicare
Prezentul Act Adițional definește termenii și condițiile în care FACE Orthodontics SRL prelucrează date cu caracter personal în numele Operatorului în cursul furnizării de servicii de gestionare a cazurilor ortodontice și de planificare a alignerelor digitale. Prelucrarea include colectarea, stocarea, transferul și alte operațiuni efectuate asupra datelor cu caracter personal furnizate sau încărcate de Operator prin intermediul Site-ului web sau al sistemelor asociate.
2. Rolurile părților
Operatorul stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal ale pacienților și ale altor persoane. Persoana împuternicită de operator, FACE Orthodontics SRL, prelucrează aceste date cu caracter personal exclusiv în numele și în conformitate cu instrucțiunile documentate ale Operatorului.
3. Categorii de date și persoane vizate
Persoana împuternicită de operator poate prelucra următoarele categorii de date cu caracter personal, așa cum sunt descrise în Anexa I la prezentul Addendum, inclusiv:
- Date de identificare a pacientului
- Scanări intraorale, radiografii și CBCT
- Fotografii faciale și intraorale
- Planuri de tratament ortodontic
- Cont profesional și informații de contact (ale Operatorilor și ale personalului acestora)
Persoanele vizate pot include pacienți, profesioniști din domeniul stomatologiei și alte persoane implicate în procesul de tratament sau asistență.
4. Obligațiile persoanei împuternicite de operator
FACE Orthodontics SRL va:
1. Prelucrarea datelor cu caracter personal se face numai pe baza instrucțiunilor documentate din partea Operatorului, inclusiv în ceea ce privește transferurile de date cu caracter personal către țări terțe.
2. Asigurați-vă că persoanele autorizate să prelucreze date cu caracter personal sunt obligate să respecte confidențialitatea.
3. Implementați măsuri tehnice și organizatorice de securitate adecvate pentru a proteja datele cu caracter personal.
4. Asistență acordată Operatorului în asigurarea respectării obligațiilor referitoare la securitatea datelor, notificarea încălcărilor, evaluările impactului asupra protecției datelor și consultările cu autoritățile de supraveghere.
5. Să notifice Operatorul fără întârzieri nejustificate după ce a luat cunoștință de orice încălcare a datelor cu caracter personal.
6. La încetarea serviciilor, ștergeți sau returnați toate datele cu caracter personal la cererea Operatorului, cu excepția cazului în care păstrarea este impusă de lege.
5. Confidențialitate
Toate datele cu caracter personal prelucrate în temeiul prezentului Act adițional vor fi tratate cu strictețe. Persoana împuternicită de operator se va asigura că orice persoană care acționează sub autoritatea sa și care are acces la date cu caracter personal nu prelucrează aceste date decât la instrucțiunile Operatorului.
6. Măsuri de securitate
Persoana împuternicită de operator implementează măsuri tehnice și organizatorice adecvate pentru a asigura un nivel de securitate adecvat riscului, inclusiv, dar fără a se limita la:
- Criptarea datelor și pseudonimizarea
- Controlul accesului și autentificarea utilizatorilor
- Transfer securizat de date și comunicații criptate
- Copii de rezervă ale datelor și audituri de sistem regulate
- Stocare securizată în centre de date din UE.
7. Subcontractanți
Operatorul autorizează Persoana împuternicită de operator să angajeze subcontractanți pentru activități specifice de prelucrare a datelor, cu condiția ca:
Subcontractantul este obligat prin obligații scrise echivalente cu cele prevăzute în prezentul Act adițional.
- Persoana împuternicită de operator rămâne pe deplin răspunzătoare față de Operator pentru performanța oricărui subcontractant.
O listă a subcontractanților aprobați poate fi furnizată la cerere scrisă.
8. Asistență pentru Operator
Persoana împuternicită de operator va asista Operatorul în:
- Răspunderea la solicitările persoanelor vizate care doresc să își exercite drepturile în temeiul GDPR.
- Efectuarea evaluărilor impactului asupra protecției datelor.
- Asigurarea respectării obligațiilor de notificare a încălcărilor de date.
9. Drepturile Persoanelor Vizate
Operatorul este responsabil pentru răspunsul la solicitările persoanelor vizate de exercitare a drepturilor lor (acces, rectificare, ștergere, restricționare, portabilitate și obiecție). Persoana împuternicită de operator va notifica prompt Operatorul dacă primește direct o astfel de solicitare și nu va răspunde decât la instrucțiunile documentate ale Operatorului.
10. Păstrarea și ștergerea datelor
Persoana împuternicită de operator va păstra datele cu caracter personal numai atât timp cât este necesar pentru furnizarea Serviciilor contractate sau conform cerințelor legislației aplicabile. La încetarea relației contractuale, toate datele cu caracter personal vor fi șterse în siguranță sau returnate Operatorului, cu excepția cazului în care există alte prevederi legale.
11. Transferuri internaționale de date
Persoana împuternicită de operator nu va transfera date cu caracter personal în afara Spațiului Economic European („SEE”) fără acordul prealabil scris al Operatorului și fără a implementa garanții adecvate, așa cum este cerut în temeiul GDPR.
12. Audit and Compliance
În urma unei notificări rezonabile, Operatorul poate efectua sau solicita un audit independent al practicilor de protecție a datelor ale Operatorului de date. Operatorul de date va pune la dispoziție toate informațiile necesare pentru a demonstra respectarea obligațiilor sale în temeiul articolului 28 din RGPD.
13. Răspundere
Fiecare parte va fi răspunzătoare pentru daunele rezultate din propria încălcare a prezentului Addendum sau a legislației aplicabile privind protecția datelor. Răspunderea Persoanei Procesate de Operator se va limita la daunele directe dovedite a rezulta din nerespectarea instrucțiunilor documentate sau a obligațiilor GDPR.
14. Termen și încetare
Prezentul Act adițional rămâne în vigoare atât timp cât Persoana împuternicită de operator prelucrează date cu caracter personal în numele Operatorului. La încetarea utilizării Serviciilor de către Operator, Persoana împuternicită de operator va șterge sau va returna toate datele cu caracter personal, așa cum se specifică în Secțiunea 10.
15. Legea aplicabilă și jurisdicția
Prezentul Act Adițional este guvernat și interpretat în conformitate cu legile din România. Orice litigii care decurg din sau sunt legate de prezentul Act Adițional vor fi supuse jurisdicției exclusive a instanțelor din Cluj-Napoca, România.
Anexa I – Categorii de date cu caracter personal și persoane vizate
Categorii de date cu caracter personal prelucrate:
- Date de identificare ale pacientului (de exemplu, nume, data nașterii, date de contact)
- Scanări intraorale și modele dentare digitale 3D
- Fotografii faciale și intraorale
- Planuri de tratament ortodontic, inclusiv dosare de diagnostic și planificare
- Datele profesionale ale ortodonților și ale personalului asociat
Categorii de persoane vizate:
- Pacienți care urmează tratament ortodontic
- Profesioniști stomatologi (Controlori și personalul lor autorizat)
- Personal de asistență tehnică (unde este cazul).