PappAI
Wypróbuj za darmo

Umowa o przetwarzaniu danych — Szablon

Przegląd struktury DPA PappAI, kluczowych środków technicznych i listy podprocesorów.

Wersja 1.0 · Szablon (wymaga przeglądu prawnego przed użyciem kontraktowym) · 21 lutego 2026

To jest szablon techniczno-operacyjny. Wymaga przeglądu prawnego i dostosowania przed użyciem w jakimkolwiek kontekście kontraktowym.

Struktura DPA

  1. Strony (administrator i podmiot przetwarzający).
  2. Przedmiot i cele przetwarzania.
  3. Czas trwania, kategorie danych i osoby, których dane dotyczą.
  4. Udokumentowane instrukcje od administratora.
  5. Obowiązki podmiotu przetwarzającego.
  6. Podprocesory i transfery poza EOG/Wielką Brytanię.
  7. Środki bezpieczeństwa i procedury w przypadku naruszenia danych.
  8. Prawa osób, których dane dotyczą, prawa do audytu i rozwiązanie umowy.

Kluczowe środki techniczne

  1. Kontrola dostępu oparta na rolach i zasada minimalnych uprawnień.
  2. Szyfrowanie w transporcie (TLS) i w spoczynku, gdzie ma zastosowanie.
  3. Separacja środowisk: programistyczne / testowe / produkcyjne.
  4. Operacyjne i AI logi audytu.
  5. Kopia zapasowa, odtwarzanie i ciągły monitoring.
  6. Zarządzanie sekretami za pomocą dedykowanego menedżera sekretów.

Aktualni podwykonawcy przetwarzania

PappAI korzysta z następujących podwykonawców przetwarzania w celu świadczenia Usługi. Każdy wpis wskazuje główny cel, kraj przetwarzania oraz podstawę prawną ewentualnego przekazywania danych poza UE/EOG. Lista jest na bieżąco aktualizowana, a o każdej istotnej zmianie Administratorzy zostaną wcześniej poinformowani.

DostawcaCelKraj przetwarzaniaKategorie danychPrzekazywanie / zabezpieczenia
Google Cloud Platform (Google LLC)Hosting w chmurze (Cloud Run, Cloud SQL), przechowywanie obiektów (GCS), logowanie i monitorowanie.EU regions (europe-west1) — corporate USAWszystkie dane Usługi: kliniczne, konta, rozliczeniowe, dzienniki operacyjne.EU SCC + DPA
Google Vertex AI (Google LLC)Wnioskowanie generatywnej AI do tworzenia planów dietetycznych i wsparcia analizy klinicznej.EU multi-region — corporate USASpseudonimizowane dane wejściowe przekazywane do modelu; brak danych osobowych; brak zgody na trenowanie modelu.EU SCC + DPA · no training opt-in
Firebase (Google LLC)Uwierzytelnianie (tokeny tożsamości) oraz dostarczanie powiadomień push (FCM/APNs).USA — multi-regionTożsamość użytkownika (e-mail, telefon), tokeny push urządzenia.EU SCC + DPA
Stripe Payments Europe LtdRozliczenia subskrypcji, fakturowanie, przetwarzanie płatności.Ireland (EU)Dane konta i rozliczeniowe, historia transakcji. Brak danych klinicznych.Intra-EU
Brevo (Sendinblue SAS)Dostarczanie transakcyjnych wiadomości e-mail (konto, powiadomienia rozliczeniowe, szablony profesjonalne).France (EU)Adres e-mail odbiorcy, treść wiadomości, status dostarczenia.Intra-EU
Twilio Ireland LtdDostarczanie SMS/WhatsApp (kanał historyczny).Ireland (EU) — corporate USANumer telefonu odbiorcy, treść wiadomości, metadane dostarczenia.EU SCC + DPA
Meta Platforms Ireland LtdWhatsApp Business Cloud API do komunikacji z pacjentami za pomocą szablonów.Ireland (EU) — corporate USANumer telefonu odbiorcy, zmienne szablonu, metadane dostarczenia.EU SCC + DPA
Google Analytics 4 (Google LLC)Zagregowana analityka użytkowania witryny publicznej i aplikacji uwierzytelnionej.USA — corporateSpseudonimizowane identyfikatory, odsłony stron, zdarzenia interakcji. Brak danych klinicznych.EU SCC + DPA · consent-gated
Microsoft Clarity (Microsoft Corporation)Zanonimizowana analityka UX (mapy cieplne, nagrania sesji).USA — corporateSpseudonimizowane identyfikatory, zdarzenia interakcji. Brak danych klinicznych; pola wrażliwe zamaskowane.EU SCC + DPA · consent-gated

Wszyscy wymienieni podwykonawcy przetwarzają dane na podstawie pisemnych umów zawierających zabezpieczenia zgodne z RODO (umowy powierzenia przetwarzania, standardowe klauzule umowne UE, tam gdzie ma to zastosowanie). Kliniczne dane pacjentów nigdy nie są wykorzystywane przez żadnego podwykonawcę do trenowania, dostrajania ani oceny modeli AI.

Planowane załączniki

  1. Załącznik A: szczegóły przetwarzania (art. 28(3) RODO).
  2. Załącznik B: aktualna lista podprocesorów.
  3. Załącznik C: techniczne i organizacyjne środki bezpieczeństwa (TOB).

Szanujemy Twoją prywatność

Używamy plików cookie, aby poprawić Twoje doświadczenie, analizować ruch na stronie i włączać spersonalizowane funkcje. Możesz zaakceptować wszystkie pliki cookie, odrzucić nieistotne lub zarządzać swoimi preferencjami. Polityka cookies