Acord de Prelucrare a Datelor (DPA)

Versiunea 1.0 · În conformitate cu art. 28 din Regulamentul (UE) 2016/679 (GDPR)

Despre acest document: Acest Acord de Prelucrare a Datelor (DPA) este parte integrantă din contractul de servicii DentAIM. Reglementează relația dintre cabinetul stomatologic (operator de date) și DentAIM (împuternicit / processor) atunci când DentAIM prelucrează date cu caracter personal ale pacienților în numele cabinetului.

1. Părțile

Acest DPA se încheie între:

Operator de date („Cabinetul"): cabinetul stomatologic care contractează serviciul DentAIM. Datele complete (denumire, CUI, sediu, reprezentant) se completează la semnarea contractului de abonament.

Împuternicit („DentAIM"): furnizorul serviciului. Datele complete de identificare sunt comunicate la semnarea contractului și pe factură. Contact:

Email: andrei.maresi@yahoo.com
Telefon: 0735 029 207

2. Obiectul prelucrării

DentAIM prelucrează date cu caracter personal în numele Cabinetului, exclusiv pentru furnizarea serviciilor descrise în contractul principal (generare mesaje WhatsApp, fișe pacient, instrucțiuni post-tratament, prescripții, devize etc.).

3. Detalii ale prelucrării

Aspect	Detaliu
Durata	Pe toată perioada contractului principal + 30 zile (perioada de retenție)
Natura prelucrării	Colectare, structurare, transmitere către sub-procesatori AI, returnare către operator
Scopul prelucrării	Generare conținut asistat de AI pentru comunicarea cabinet-pacient și pentru documentație medicală internă
Categorii de persoane vizate	Pacienții Cabinetului
Categorii de date personale	• Date de identificare: nume, prenume • Date de contact: număr de telefon • Date privind sănătatea: procedura efectuată, observații clinice, medicație, anestezie, descriere intervenție (categorie specială art. 9 GDPR) • Date despre vizită: data, ora, tipul ședinței

4. Obligațiile DentAIM (împuternicit)

DentAIM se obligă:

Să prelucreze datele exclusiv pe baza instrucțiunilor documentate ale Cabinetului, inclusiv pentru transferuri către o țară terță;
Să se asigure că persoanele autorizate să prelucreze datele s-au angajat să respecte confidențialitatea;
Să implementeze măsuri tehnice și organizatorice adecvate (art. 32 GDPR), inclusiv:
- Criptare TLS/HTTPS pentru toate transmisiile;
- Stocare Firebase Firestore cu reguli de acces per cabinet (site_id);
- Protejare acces setări cu PIN;
- Cheia API stocată local în browser, nu pe servere centrale;
- Pseudonimizare unde este posibil;
- Capacitate de restaurare a accesului în caz de incident.
Să asiste Cabinetul cu măsuri tehnice și organizatorice pentru îndeplinirea obligației de a răspunde solicitărilor persoanelor vizate (acces, rectificare, ștergere, portabilitate);
Să asiste Cabinetul în asigurarea conformității cu art. 32-36 GDPR (securitate, notificarea breșelor, DPIA);
Să notifice Cabinetul fără întârziere nejustificată (max. 48 de ore) în cazul unei breșe de securitate care afectează datele pacienților;
La încetarea contractului, la alegerea Cabinetului, să șteargă sau să returneze toate datele și să elimine copiile existente, exceptând cazul în care legislația UE/română impune păstrarea lor;
Să pună la dispoziția Cabinetului toate informațiile necesare pentru a demonstra respectarea obligațiilor și să permită audituri.

5. Sub-procesatori autorizați

Cabinetul autorizează DentAIM să folosească următorii sub-procesatori:

Sub-procesator	Serviciu	Locație	Garanție
Google Ireland Ltd. (Firebase)	Stocare setări, autentificare	UE	În SEE
OpenRouter Inc.	Routing apeluri AI	SUA	SCC UE (Decizia 2021/914)
Anthropic PBC	Model de limbaj (generare text)	SUA	SCC UE
OpenAI L.L.C. (când aplicabil)	Model de limbaj alternativ	SUA	SCC UE
Google (Apps Script / Sheets)	Sincronizare programări — la alegerea Cabinetului	UE / SUA	SCC UE
Netlify Inc.	Hosting site cabinet — opțional	UE / SUA	SCC UE

DentAIM va notifica Cabinetul cu minimum 30 de zile înainte de orice intenție de schimbare a unui sub-procesator. Cabinetul are dreptul de a se opune motivat, caz în care părțile vor căuta o soluție; dacă nu se ajunge la un acord, Cabinetul poate rezilia contractul fără penalizare.

6. Transferuri internaționale

O parte a prelucrării (generare AI) are loc pe servere din Statele Unite ale Americii. Transferul se efectuează în baza Clauzelor Contractuale Standard adoptate de Comisia Europeană prin Decizia de punere în aplicare (UE) 2021/914 din 4 iunie 2021, modulul „Operator — Împuternicit" sau „Împuternicit — Sub-împuternicit", după caz.

7. Asistență privind drepturile persoanelor vizate

DentAIM va asista Cabinetul în răspunsul la solicitările pacienților privind drepturile lor (acces, rectificare, ștergere, restricționare, portabilitate, opoziție). Solicitările pacienților se adresează direct Cabinetului, iar DentAIM va furniza la cerere extrase din datele prelucrate.

8. Notificarea breșelor de securitate

În caz de breșă: DentAIM va notifica Cabinetul în maximum 48 de ore de la momentul în care a luat cunoștință de breșă, furnizând:

Natura breșei și categoriile / numărul aproximativ de persoane afectate;
Datele de contact ale persoanei responsabile;
Consecințele probabile;
Măsurile luate sau propuse pentru remediere.

Cabinetul este responsabil pentru notificarea ANSPDCP în 72 de ore de la momentul în care ia cunoștință de breșă (art. 33 GDPR) și pentru notificarea pacienților dacă breșa prezintă un risc ridicat (art. 34 GDPR).

9. Audituri și inspecții

Cabinetul are dreptul, la cerere rezonabilă și cu un preaviz de minimum 14 zile, să auditeze conformitatea DentAIM cu obligațiile din acest DPA, fie direct, fie printr-un auditor independent. Auditurile se desfășoară în programul normal de lucru, fără a perturba operațiunile DentAIM, iar costurile auditului sunt suportate de Cabinet, cu excepția cazului în care se constată o încălcare semnificativă.

10. Răspundere

Răspunderea fiecărei părți pentru daune cauzate de prelucrarea contrară GDPR este reglementată de art. 82 GDPR. În relația dintre părți, răspunderea totală a DentAIM este limitată conform clauzei din Termenii și Condițiile generale.

11. Durata și încetarea

Acest DPA intră în vigoare la data semnării contractului principal și produce efecte pe toată durata acestuia. La încetare, DentAIM va șterge sau returna datele conform clauzei 4(7), în maximum 60 de zile.

12. Legea aplicabilă

Acest DPA este guvernat de legea română și de Regulamentul (UE) 2016/679. Pentru orice litigiu, competența revine instanțelor de la sediul DentAIM.

13. Dispoziții finale

În caz de conflict între acest DPA și Termenii și Condițiile generale, prevederile prezentului DPA prevalează în ceea ce privește prelucrarea datelor cu caracter personal.

OPERATOR (Cabinetul)

Nume reprezentant

Funcție

Semnătură · Data

ÎMPUTERNICIT (DentAIM)

Andrei Mareși

Administrator

Semnătură · Data