To jest szablon techniczno-operacyjny. Wymaga przeglądu prawnego i dostosowania przed użyciem w jakimkolwiek kontekście kontraktowym.
Struktura DPA
- Strony (administrator i podmiot przetwarzający).
- Przedmiot i cele przetwarzania.
- Czas trwania, kategorie danych i osoby, których dane dotyczą.
- Udokumentowane instrukcje od administratora.
- Obowiązki podmiotu przetwarzającego.
- Podprocesory i transfery poza EOG/Wielką Brytanię.
- Środki bezpieczeństwa i procedury w przypadku naruszenia danych.
- Prawa osób, których dane dotyczą, prawa do audytu i rozwiązanie umowy.
Kluczowe środki techniczne
- Kontrola dostępu oparta na rolach i zasada minimalnych uprawnień.
- Szyfrowanie w transporcie (TLS) i w spoczynku, gdzie ma zastosowanie.
- Separacja środowisk: programistyczne / testowe / produkcyjne.
- Operacyjne i AI logi audytu.
- Kopia zapasowa, odtwarzanie i ciągły monitoring.
- Zarządzanie sekretami za pomocą dedykowanego menedżera sekretów.
Aktualni podwykonawcy przetwarzania
PappAI korzysta z następujących podwykonawców przetwarzania w celu świadczenia Usługi. Każdy wpis wskazuje główny cel, kraj przetwarzania oraz podstawę prawną ewentualnego przekazywania danych poza UE/EOG. Lista jest na bieżąco aktualizowana, a o każdej istotnej zmianie Administratorzy zostaną wcześniej poinformowani.
| Dostawca | Cel | Kraj przetwarzania | Kategorie danych | Przekazywanie / zabezpieczenia |
|---|---|---|---|---|
| Google Cloud Platform (Google LLC) | Hosting w chmurze (Cloud Run, Cloud SQL), przechowywanie obiektów (GCS), logowanie i monitorowanie. | EU regions (europe-west1) — corporate USA | Wszystkie dane Usługi: kliniczne, konta, rozliczeniowe, dzienniki operacyjne. | EU SCC + DPA |
| Google Vertex AI (Google LLC) | Wnioskowanie generatywnej AI do tworzenia planów dietetycznych i wsparcia analizy klinicznej. | EU multi-region — corporate USA | Spseudonimizowane dane wejściowe przekazywane do modelu; brak danych osobowych; brak zgody na trenowanie modelu. | EU SCC + DPA · no training opt-in |
| Firebase (Google LLC) | Uwierzytelnianie (tokeny tożsamości) oraz dostarczanie powiadomień push (FCM/APNs). | USA — multi-region | Tożsamość użytkownika (e-mail, telefon), tokeny push urządzenia. | EU SCC + DPA |
| Stripe Payments Europe Ltd | Rozliczenia subskrypcji, fakturowanie, przetwarzanie płatności. | Ireland (EU) | Dane konta i rozliczeniowe, historia transakcji. Brak danych klinicznych. | Intra-EU |
| Brevo (Sendinblue SAS) | Dostarczanie transakcyjnych wiadomości e-mail (konto, powiadomienia rozliczeniowe, szablony profesjonalne). | France (EU) | Adres e-mail odbiorcy, treść wiadomości, status dostarczenia. | Intra-EU |
| Twilio Ireland Ltd | Dostarczanie SMS/WhatsApp (kanał historyczny). | Ireland (EU) — corporate USA | Numer telefonu odbiorcy, treść wiadomości, metadane dostarczenia. | EU SCC + DPA |
| Meta Platforms Ireland Ltd | WhatsApp Business Cloud API do komunikacji z pacjentami za pomocą szablonów. | Ireland (EU) — corporate USA | Numer telefonu odbiorcy, zmienne szablonu, metadane dostarczenia. | EU SCC + DPA |
| Google Analytics 4 (Google LLC) | Zagregowana analityka użytkowania witryny publicznej i aplikacji uwierzytelnionej. | USA — corporate | Spseudonimizowane identyfikatory, odsłony stron, zdarzenia interakcji. Brak danych klinicznych. | EU SCC + DPA · consent-gated |
| Microsoft Clarity (Microsoft Corporation) | Zanonimizowana analityka UX (mapy cieplne, nagrania sesji). | USA — corporate | Spseudonimizowane identyfikatory, zdarzenia interakcji. Brak danych klinicznych; pola wrażliwe zamaskowane. | EU SCC + DPA · consent-gated |
Wszyscy wymienieni podwykonawcy przetwarzają dane na podstawie pisemnych umów zawierających zabezpieczenia zgodne z RODO (umowy powierzenia przetwarzania, standardowe klauzule umowne UE, tam gdzie ma to zastosowanie). Kliniczne dane pacjentów nigdy nie są wykorzystywane przez żadnego podwykonawcę do trenowania, dostrajania ani oceny modeli AI.
Planowane załączniki
- Załącznik A: szczegóły przetwarzania (art. 28(3) RODO).
- Załącznik B: aktualna lista podprocesorów.
- Załącznik C: techniczne i organizacyjne środki bezpieczeństwa (TOB).
