Data Processing Agreement (DPA)
Acord între Cabinet (Operator) și ClinicOS (Persoană Împuternicită) — versiunea 1.0, 27.04.2026
Acest DPA face parte integrantă din Termenii și Condițiile ClinicOS. Conform GDPR Art. 28 (Persoană împuternicită).
1. Roluri
- Cabinet = Operator de date (Controller) — decide scopul prelucrării, obține consimțământul pacienților.
- ClinicOS = Persoană Împuternicită (Processor) — prelucrează datele numai conform instrucțiunilor cabinetului.
2. Obiectul prelucrării
Stocare și gestiune date cabinet medical: pacienți, programări, consultații, ecografii, documente, audit log.
3. Durata
Pe durata abonamentului + 90 zile (perioadă recovery emergency) după anulare, după care DROP SCHEMA complet.
4. Categorii de date
- Date personale obișnuite: nume, telefon, adresă, email pacienți.
- Date sensibile (Art. 9 GDPR): CNP, date medicale, ecografii, istoric consultații, documente medicale.
5. Categorii de subiecți
- Pacienți ai cabinetului
- Useri staff (doctori, recepționere)
6. Obligații ClinicOS (Processor)
- Prelucrare datelor numai pe baza instrucțiunilor scrise ale cabinetului (uz prin platformă).
- Confidențialitate — toți angajații ClinicOS cu acces la sistem semnează NDA.
- Măsuri tehnice și organizatorice (Art. 32 GDPR):
- Criptare per tenant (Fernet AES-128 cu DEK unic), HTTPS forțat, HSTS
- Pseudonimizare prin schemă PG izolată
- Backup zilnic, retenție 30 zile
- Audit log complet
- Test de restore lunar (1 cabinet random)
- Notificare cabinet în 24h în caz de breach (Art. 33).
- Asistență cabinet în răspunsul la cereri GDPR ale pacienților (Art. 28.3.e).
- La sfârșitul contractului: ștergere completă SAU returnare date (la alegerea cabinetului).
7. Sub-procesatori autorizați
| Furnizor | Scop | Locație | Garanții |
|---|---|---|---|
| Hetzner Online GmbH | Infrastructură VPS | Germania | ISO 27001, ISO 9001 |
| Stripe Technology Europe | Procesare plăți | Irlanda | PCI DSS Level 1 |
| Twilio SendGrid | Email tranzacțional | SUA | EU-US Data Privacy Framework |
| Cloudflare | DNS + protecție DDoS | Global | SOC 2, ISO 27001 |
| Let's Encrypt (ISRG) | Certificate TLS | SUA | Standard public |
Cabinetul autorizează aceste sub-procesatori prin acceptarea acestui DPA. Notificare la adăugarea oricărui alt sub-procesator.
8. Drepturile subiecților datelor (pacienți)
Cabinetul răspunde la cereri GDPR ale pacienților. ClinicOS oferă unelte tehnice (export, ștergere, anonimizare) prin interfața super-admin și self-service.
9. Audit & inspecții
Cabinetul are dreptul, cu preaviz 30 zile, să auditeze măsurile ClinicOS — via vizită fizică (la cerere justificată), questionare, sau review documente ISO/SOC.
10. Răspundere
Răspunderea ClinicOS pentru daune derivate din non-conformitate cu DPA se limitează la valoarea ultimelor 12 luni de abonament, conform clauzei 5 din Termeni.
11. Forță majoră
Niciuna dintre părți nu răspunde pentru întârzieri sau imposibilitate de execuție din cauze de forță majoră (atacuri DDoS masive, dezastre naturale, conflict armat).
12. Legea aplicabilă
Legislația română + GDPR (UE 2016/679). Litigii — instanțele competente din România.
Acceptat tacit prin folosirea platformei. Pentru DPA semnat oficial (cerință cabinet), contactează dpo@clinicos.ro.