Acord de Prelucrare a Datelor

Ultima actualizare: 27.01.2026

1. Părți

Operator: Clinica/Cabinetul stomatologic care furnizează servicii medicale și decide asupra scopurilor și mijloacelor prelucrării datelor pacienților.

Împuternicit: Furnizorul platformei de management (denumit în continuare „Platforma” sau „Împuternicitul”) care prelucrează date în numele Operatorului conform prezentului acord.

2. Obiectul și durata acordului

Prezentul Acord stabilește condițiile în care Împuternicitul va prelucra date cu caracter personal în scopul furnizării serviciilor software de gestionare a programărilor, fișelor pacienților, facturării și altor funcționalități incluse.

Durata: pe toată perioada în care Operatorul utilizează Platforma.

3. Tipuri de date și categorii de persoane vizate

Tipuri de date prelucrate (exemple):

• Date identificare: nume, prenume, CNP (dacă este necesar)
• Contact: adresă, telefon, email
• Date medicale sensibile: diagnostic, tratamente, istoric medical
• Date financiare: informații de facturare, plăți
• Date tehnice: adrese IP, cookie-uri, jurnale de acces

Categoriile persoanelor vizate: pacienți, reprezentanți legali ai pacienților (dacă este cazul), personal medical și administrativ.

4. Roluri și responsabilități

Operatorul declară că este responsabil pentru:

• determinarea scopurilor și mijloacelor prelucrării;
• obținerea consimțământului (acolo unde este cazul) sau alt temei legal pentru prelucrare;
• asigurarea corectitudinii, legalității datelor transmise.

Împuternicitul este obligat să:

• prelucreze datele numai în conformitate cu instrucțiunile scrise ale Operatorului;
• asigure confidențialitatea și securitatea datelor;
• nu utilizeze datele în scopuri proprii;
• ia măsuri tehnice și organizatorice adecvate (detaliate la §7).

5. Instrucțiuni de prelucrare

Prelucrările permise sunt strict cele prevăzute în contractul de prestări servicii și/sau în documentația operațională a Platformei: stocare fișe pacienți, gestionare programări, facturare, comunicări cu pacienții. Orice prelucrare suplimentară necesită instrucțiune scrisă din partea Operatorului.

6. Subîmputerniciți (subprocesatori)

Împuternicitul poate utiliza subîmputerniciți pentru anumite servicii (ex.: hosting, procesare plăți, backup, servicii de analiză). Lista inițială a subîmputerniciilor și a serviciilor furnizate este anexată la acest acord. Orice adăugare ulterioară a unui subîmputernicit va fi comunicată Operatorului și, dacă contractul prevede acest lucru, Operatorul va avea dreptul de a se opune sau de a solicita garanții suplimentare.

7. Măsuri tehnice și organizatorice

Împuternicitul declară că a implementat cel puțin următoarele măsuri:

• control acces pe bază de roluri și autentificare sigură;
• transmisie criptată (TLS) și criptare a datelor sensibile în repaus acolo unde este aplicabil;
• pseudonimizare/anonimizare când este posibil;
• backup regulat și plan de recuperare în caz de dezastru;
• monitorizare și logare a incidentelor de securitate;
• proceduri de gestionare a vulnerabilităților și patch management;
• formare periodică a personalului cu acces la datele personale.

8. Confidențialitate

Personalul Împuternicitului cu acces la datele personale este obligat la confidențialitate. Orice divulgare neautorizată constituie abatere contractuală și poate atrage răspunderea civilă și/sau penală prevăzută de lege.

9. Notificarea încălcărilor de securitate (data breach)

În cazul unei breșe de securitate care poate conduce la risc pentru drepturile și libertățile persoanelor vizate, Împuternicitul notifică Operatorul fără întârzieri nejustificate și, în orice caz, în termen de maximum 72 de ore de la momentul în care a luat la cunoștință.

Notificarea va conține, pe cât posibil, natura încălcării, categoriile și numărul aproximativ al persoanelor vizate și al înregistrărilor de date, consecințele probabile și măsurile luate pentru remediere.

10. Drepturile persoanelor vizate

Împuternicitul asistă Operatorul, potrivit posibilităților tehnice și organizaționale, în îndeplinirea cererilor legate de exercitarea drepturilor persoanelor vizate (ex.: acces, rectificare, ștergere, restricționare, portabilitate). Orice solicitare directă primită de Împuternicit care vizează datele Operatorului va fi redirecționată imediat către Operator.

11. Audit și inspecții

Operatorul are dreptul de a efectua audituri și inspecții rezonabile, fie direct, fie printr-un auditor independent, pentru a verifica conformitatea Împuternicitului cu obligațiile prezentului acord. Auditurile vor fi efectuate pe baza unui preaviz rezonabil și în condiții care să nu pericliteze securitatea sau proprietatea intelectuală a Împuternicitului.

12. Transferuri internaționale de date

Orice transfer de date în afara SEE se va face numai pe baza unei garanții adecvate (ex.: clauze contractuale standard adoptate de Comisia Europeană) sau pe alte temeiuri legale acceptate de GDPR. În cazul utilizării unor servicii terțe cu stocare în afara SEE, aceste informații vor fi comunicate Operatorului.

13. Returnarea și ștergerea datelor

La încetarea contractului de prestări servicii, Împuternicitul va, la alegerea Operatorului, returna toate datele personale sau va șterge în mod sigur aceste date, cu excepția cazurilor în care păstrarea este impusă de lege. În cazul în care Operatorul nu își exercită această opțiune, datele vor mai fi păstrate în platformă pe o perioadă de 90 de zile. Confirmarea returnării/ștergerii va fi furnizată în scris.

14. Răspundere

Părțile răspund pentru neîndeplinirea obligațiilor asumate conform legislației aplicabile și prezentului acord. Limitările de răspundere pot fi reglementate în contractul comercial principal, fără a limita răspunderea pentru încălcări intenționate sau pentru neglijență gravă în domeniul protecției datelor.

15. Dispoziții finale

Modificările la acest acord vor fi comunicate în scris. Dacă o prevedere a prezentului acord este considerată nulă, restul prevederilor rămân în vigoare.

16. Contact

Pentru chestiuni legate de DPA, vă rugăm să contactați:

Email: contact@stomato.app

17. Aprobarea acordului

Prin acceptarea electronică a documentelor de înregistrare pe Platformă (sau prin semnarea contractului de prestări servicii), părțile confirmă că au citit și sunt de acord cu prevederile prezentului Acord de Prelucrare a Datelor (DPA).