Acord de prelucrare a datelor (DPA)
Ultima actualizare: 15 iulie 2026 · Versiune: v1-2026-07
Acordul cerut de Art. 28 GDPR între specialist (operator) și furnizorul aplicației (împuternicit). Se acceptă de specialist odată cu Termenii.
Părțile
Operatorul: specialistul / cabinetul care folosește aplicația. Împuternicitul: COTVISION IT SERVICES S.R.L („Cabinetul Digital"), CUI 55202066, Toplița, jud. Harghita, Str. Cerbului bl. H, contact@cotvision.ro.
1. Obiect, durată, natură, scop
- Obiect și natură: găzduirea și prelucrarea tehnică a datelor introduse de operator, pentru funcționarea aplicației.
- Scop: exclusiv furnizarea Serviciului, conform instrucțiunilor operatorului.
- Durată: pe durata contractului de utilizare, plus perioada de ștergere.
- Persoane vizate: pacienții operatorului (și persoanele lor de contact).
- Categorii de date: identificare și contact; date privind sănătatea (Art. 9): măsurători, obiective, alergii, note medicale, anamneză, jurnal alimentar și poze, aderență, check-in-uri; date de cont portal.
2. Obligațiile împuternicitului (Art. 28(3))
Împuternicitul: (a) prelucrează datele doar pe baza instrucțiunilor documentate ale operatorului (inclusiv transferuri); (b) asigură confidențialitatea persoanelor autorizate; (c) implementează măsuri tehnice și organizatorice (Art. 32): criptare în transport, izolare pe cabinet, bucket-uri private cu link temporar, autentificare cu chei asimetrice, jurnal de acces, secrete pe server, copii de siguranță; (d) nu angajează sub-împuterniciți fără autorizarea generală (lista la §5), anunță schimbările și răspunde pentru ei; (e) asistă operatorul la cererile persoanelor vizate (export, ștergere fișă cu fișiere); (f) asistă la securitate, notificarea încălcărilor (Art. 33-34), evaluări de impact (Art. 35), consultare prealabilă (Art. 36) și notifică fără întârziere o încălcare; (g) la încetare, șterge sau returnează toate datele (mai puțin ce cere legea); (h) pune la dispoziție informații pentru conformitate și permite audituri rezonabile.
3. Obligațiile operatorului
Operatorul garantează că are un temei legal, își informează pacienții și introduce date corecte și minime. Răspunde de legalitatea instrucțiunilor sale.
4. Încălcări de securitate
Împuternicitul notifică operatorul fără întârziere nejustificată după ce ia cunoștință de o încălcare, cu informațiile disponibile, ca operatorul să poată notifica ANSPDCP în 72 de ore.
5. Sub-împuterniciți autorizați
| Sub-împuternicit | Rol | Regiune |
|---|---|---|
| Supabase | Bază de date, autentificare, stocare | UE (Frankfurt) |
| Railway | Găzduire backend | UE [de confirmat] |
| Cloudflare | DNS, CDN, protecție, site | UE / global |
| Resend | Trimitere e-mailuri | UE |
| Stripe | Plăți abonament (date operator, nu pacienți) | UE / adecvare |
6. Transferuri
Datele se păstrează în UE. Orice transfer în afara UE se face doar cu garanțiile GDPR (adecvare sau clauze contractuale standard).
7. Durată și ștergere
Acordul durează cât contractul de utilizare. La încetare, datele se șterg conform §2(g) și politicii de retenție a operatorului. În caz de conflict cu alte acorduri, prevalează acest DPA.
